HoneyCon 2020, otro apoyo de TECNOideas a un gran evento

Desde que empezamos nuestra especialización en seguridad, hace ya dos años, apostamos por tener una estrecha relación con el mundo Hacker, de donde provenimos gran parte del equipo técnico. Ahora le toca el turno al congreso HoneyCon 2020.

HoneyCon es un congreso de seguridad informática que organiza HoneySec, una asociación sin ánimo de lucro que tiene su sede en Guadalajara.
Pero este año va a tener un formato diferente al del año pasado, donde ya estuvimos presentes, tal y como anunciamos en este blog.

HONEYCON
HoneyCon, congreso de seguridad informática de Guadalajara (España).

Y es que dadas las circunstancias actuales, incluso estuvo en el aire su celebración. Pero finalmente ya tiene fechas seguras: será el fin de semana del 7 y 8 de noviembre. Recordamos que antes de la crisis sanitaria se prolongaba durante toda una semana en Guadalajara. Además, la pandemia obliga a que no pueda ser presencial, por lo que la edición de este año será online.

Sin embargo, el formato es un poco diferente a todos los “onlines” actuales, ya que será una maratón de 24 horas de duración, que comenzará el 7 de noviembre.

TECNOideas en HoneyCon20

Nuestro compañero Jordi Ubach ha sido escogido para dar una charla sobre uno de los temas que más nos apasionan porque somos expertos : la ciberseguridad industrial. De hecho, poseemos la certificación más alta del Centro de Ciberseguridad Industrial.

Jordi Ubach realizará la charla, de la historia real de un ataque a un sistema de control industrial considerado como crítico. Se trata de una subestación eléctrica de distribución, que daba servicio a mas de 25.000 personas. Un ataque real donde se realizó un análisis forense de dispositivos como SCADA, PLC, RTU, etc.

TECNOideas 2.0 estará presente y aprovechará el congreso para dar a conocer sus nuevos vídeos promocionales. Os avanzamos que os sorprenderán, porque son divertidos y en un formato que no suele verse en nuestro sector. ¡No os los perdáis!

Leer más
1 Comment

Revelación responsable con final feliz en Australia

Ya hablamos anteriormente de lo que significa la “revelación responsable” aplicada al sector de la ciberseguridad. Se trata de informar al o a los afectados de una vulnerabilidad o fuga de datos, para que puedan corregir el error. Podéis leer el anterior artículo AQUÍ.

Pero como decíamos, en el caso de los hackers (¡no caigáis en el error de lo que es un hacker! Tenéis la definición AQUÍ) españoles, cuando suelen detectar un problema en algún organismo o empresa ESPAÑOLA, se han de dar por vencidos y, en consecuencia, ya no suelen comunicarlo. ¿Por qué? Porque acarrea más problemas que beneficios.

Por suerte hay otros países en que se toman en serio el trabajo de los hackers, como es el caso que os vamos a relatar. Y para ello nos vamos a Australia.

Alex es un hacker australiano, que aceptó el reto de un amigo suyo. Resulta que este amigo había localizado una foto de una tarjeta de embarque y le dijo a Alex si sería capaz de identificar al sujeto de la imagen. Alex fue investigando y tirando de los hilos, consiguió dar con los datos al completo de la persona objetivo.

Resulta que la aerolínea en cuestión, Quantas, usa un obsoleto y poco seguro sistema, donde con el código de barras, y/o la numeración correspondiente, se puede acceder a los datos personales que se han facilitado para hacer la reserva del vuelo.

Ya os lo podéis imaginar: aparte de la ruta y el vuelo (con fecha y hora), nombre, apellidos, dirección, número de pasaporte, fecha de nacimiento, etc. Lo suficiente para poder suplantar la identidad de una persona y arruinarle la vida.

Alex intenta ver que procedimiento tiene que seguir, empezando por la web de la compañía aérea, pero sin éxito. Al final consiguió contactar, y quien le devolvió el mensaje fue la Agencia de Seguridad Australiana, pudiendo dar aviso con detalle y consiguiendo que la compañía arreglara el fallo. Alex incluso recibió una llamada del afectado, que resultó ser un ex-Primer Ministro del país en cuestión.

Podéis leer la historia al completo en Micosiervos.

Moraleja, que la tiene y grande. Como siempre, los delincuentes no es que sean más listos que los sistemas de seguridad, es que aprovechan los fallos de estos y la INFORMACIÓN QUE LA GENTE SUELE REGALAR, para poder entrar de forma fraudulenta.

Así que el postureo se puede pagar caro, cualquier dato que te parezca insignificante, puede ser un tesoro para otro. Como se viene diciendo desde hace tiempo “Los datos son el nuevo petróleo del siglo XXI”.

Ya lo veis, incluso en un viaje cualquiera, por simple y cercano que sea, nuestros datos están ahí. Es muy importante confiar siempre en empresas de ciberseguridad para minimizar los riesgos de un ataque. Parece sencillo y creemos que estamos en buenas manos cuando volamos, por ejemplo, con una compañía tan solvente como Quantas. Pero no siempre es así.

Una noticia reciente informaba que el grupo Lockbit, (creador de ransomware), filtró en la red datos de pasaportes de 182.179 personas.
¿Necesitáis más ejemplos?

Leer más
No Comments

Actualización de nuestro curso de análisis forense.

Seguimos actualizando nuestra oferta de cursos online, esta vez renovando el de Análisis Forense. Son 20 plazas, a un precio súper competitivo. Comienzo en pocas semanas, a cargo de Jordi Ubach y un módulo legal con Juan Carlos Fernández Martínez

Aprende las diferentes técnicas forenses para la recolección y tratamiento de evidencias digitales en sistemas linux y windows, así como una introducción a diferentes herramientas consta de un 75% de práctica y un 25% de teoría.
Nota: Se le entregarán al alumno 2 maquinas virtuales para montar el entorno de laboratorio.

Curso análisis forense
Curso análisis forense

• Recolección de Evidencias
• Uso de herramientas forenses
• Construye tu pendrive forense
• Análisis de memoria windows y linux
• Análisis de evidencias sistemas Windows
• Análisis de evidencias sistemas Linux
• El informe Pericial
• Cumplimiento normativo del entorno pericial.

Entrega de diploma de adquisición de conocimientos al final de todas las sesiones.

El docente del curso en general será Jordi Ubach, especialista en Ciberseguridad en entornos OT, auditorias Iso27001. Hacking ético, análisis forense y pentester. Profesor máster Ciberseguridad Universidad Castilla la Mancha, ponente en los más reputados eventos de España de Ciberseguridad, y profesor formación profesional. 


Y el módulo de legalidad correrá a cargo de Juan Carlos Fernández Martínez, abogado y CEO de la empresa Tecnogados, despacho especialista en asuntos digitales y privacidad.

Combina el ejercicio de la abogacía con la de ponente en los principales Congresos de Seguridad Informática y la docencia como profesor del Máster deCiberseguridad de la UCLM, curso de Peritos Ingenieros Informáticos de Madrid, curso Ciberseguridad en UDIMA/CEF, …

Leer más
1 Comment

Qué es el e-skimming y como defraudan a los e-commerces con los pagos.

Por poner en referencias de varios términos:

Skimming es una palabra que hace referencia al robo de datos de una tarjeta de crédito, ya sea en un cajero, presencialmente o robando datos de un sitio donde estén almacenados.

Carding es la acción de defraudar con los datos anteriores, ya sea en micro pagos, compras en comercios o e-commerces.

Fraude tarjeta de crédito skimming
Fraude tarjeta de crédito skimming

Y ahora la que hacíamos referencia en el título, e-skimming, es la técnica de robo de datos de formas de pago almacenados o en vivo en un e-commerce.

Esto lo realizan mediante campañas de phising contra los operadores de dicha web, para acceder al control del backend.

Otra manera es a través de vulnerabilidades del código de la web, que suele ser muy frecuente en tiendas medias-pequeñas, ya que los operadores no suelen actualizarla.

¿Y que recomendamos para blindarnos? Actualizaciones al día, sobre todo de plugins. Copias y en diferentes sitios de la web y bases de datos.

Y una auditoría de vez en cuando no estaría mal. Nosotros las realizamos, a e-commerces y otras webs con datos sensibles. Si tiene interés en ver si su web es vulnerable o no, contáctenos.

Hay otras recomendaciones que ayudarán a subir el nivel de seguridad de su comercio electrónico, que puede ver AQUÍ.

Leer más
No Comments

TECH.PARTY.2019 (PARTE-4). Final y resumen.

También fuimos a otras charlas y talleres, pero el tiempo no daba para desdoblarnos e ir a más o poder hacer más reseñas.

Estuvimos con Kneda y su “Día a día de un pentester”, que bien podría hacer una novela con sus vivencias. Con Rafael Guerrero y su Elemental querido hacker, con un punto de vista más de detective privado (con los que nosotros colaboramos bastante). O con Pablo González & Alberto Sánchez, y su UAC history.

TechParty2019
TechParty2019

No queremos desmerecer a nadie, haciendo estas reseñas o menciones, porque según lo que comentamos con otros ponentes y asistentes, todas estuvieron a un alto nivel.

También desde “Plusradio la radio en positivo”, el programa El Cronovisor, con su podcast de dos horas de duración, realizaron entrevistas a participantes del evento.

Lo podéis escuchar AQUÍ, y a ellos seguirlos en Twitter @ElCronovisor, facebook @radioelcronovisor e Instagram @elcronovisor, y también plusradio.es

Desde nuestra parte felicitar a la organización, de diez, a los ponentes, y todo el público, que sin todo este conjunto no sería posible.

Quizás el único pero, que nos hubiera gustado asistir a muchos más eventos, y ojalá fuera posible en futuros eventos, que esperemos que los haya, que fuera menos denso por horarios, hacerlo en un par de jornadas, para que podamos asistir y empaparnos de más conocimiento.

Gracias!

Leer más
No Comments

TECH.PARTY.2019 (PARTE-3)

Qubes Os. Aunque ya lo conocíamos no lo habíamos probado, ya que nunca nos coincidía con un hardware compatible.

Elena Mateos nos realizó una demo de este sistema, y nos explicó sus interioridades. Un sistema muy interesante enfocado a seguridad personal, ya que creas unas máquinas virtuales, Qubos, en los que configurar ciertas aplicaciones.

Así por configuración y rango de colores tendrás unas VM listas para ejecutar lo que necesites en cada momento, y tener el core del sistema completamente separado de estas máquinas.

Qubes OS a cargo de Elena Mateos
Qubes OS a cargo de Elena Mateos

Lo malo es la compatibilidad de hardware, un poco limitada, sobre todo si lo quieres usar en un portátil, pero algo más amplia en clónicos. Puedes ver los requerimientos AQUÍ, y la lista de componentes y modelos concretos AQUÍ.

¿Como hay que tratar un tema que la os que lo seguimos nos hace parecer paranoicos, y a los neófitos no les importa, porque “quien va a querer nada mis datos si no tengo nada de valor?

Pues con gracia, de forma ágil, amena y divertida. Esa fue la charla sobre Privacidad, a cargo de Ulises Gascón.

Ulises Gascón
Ulises Gascón

Unas cuantas demostraciones, sobre todo el buscador de cámaras online, que no solo son dispositivos que cuelga la gente para compartir su vida, sino de gente que no lo hace con esa intención, sino que simplemente deja este hardware con usuario y password por defecto de fábrica.

Y antes de seguir asustando a la gente, explica que es un plan de amenazas, que saca el Big 5 de nuestra información (que suele ser mucho, ya que se la regalamos y ellos la guardan a perpetuidad). la publicidad invasiva y como bloquearla, y etc … etc….

Resumen, no hay que reglar datos, desconfiar de la red en general, y blindarnos. No hay que ponérselo nunca fácil a los delincuentes (no hackers).

Leer más
No Comments

TECH.PARTY.2019 (PARTE-2)

A las 11.30 acudimos a la charla de Jose Luis Rosales, investigador y profesor en la Universidad complutense de Madrid. El tema nos tenía muy intrigados “Proyectos de Ciberseguridad Cuántica”, y no nos defraudó.

Ya se llevan 4 o 5 años impartiendo clases de computación cuántica, y se empiezan a cerrar alianzas para hacer nodos de comunicación metropolitanos en varias ciudades de Europa (Madrid, Poznań , Varsovia, Cambridge).

Computación cuántica
Computación cuántica

¿Pero que es la computación cuántica? Lo mismo nos preguntamos nosotros, pero el Sr Rosales nos lo aclaró en su charla.

Es la aplicación de la teoría cuántica a la física, donde ordenadores especiales (Cuánticos), aislados, refrigerados casi hasta punto cero, realizan unos cálculos, y se comunican con otros a través de filamentos que transportan fotones.

Estos cálculos realizan matrices, por lo que no dan una sola solución, sino varias posibles y con una probabilidad estadística cada una.

Lo que entre las Universidades antes citadas quieren realizar es unir las dos capas de Informática, la actual, y una integración con la cuántica, por lo que están trabajando en protocolos y estándares.

Se han unido marcas comerciales, de varios países, como Telefónica, Huawei en su filial Alemana o UPM, para que veáis que se busca una aplicación práctica desde ya. Podéis buscar más información sobre esto Open QKD.

Y a nivel de seguridad promete mucho más. Tendría que extenderme mucho más para explicarlo llanamente, pero las comunicaciones cuánticas son inviolables, y si lo fueran, quedaría reflejada la variabilidad.

Una charla muy amena, práctica, con ejemplos, y que me dio ganas de retomar los estudios de física.

RadioWarfare: la guerra invisible por David Marugán
RadioWarfare: la guerra invisible por David Marugán

RadioWarfare: la guerra invisible por David Marugán, una charla sobre las ondas de radio. Una charla amena, sobre todo para quien no conoce este campo, y con ejemplos de como se usan las ondas para desinformación, o para con encriptación, comunicaciones seguras.

Hace muchos años, cuando las conexiones se realizaban con módem de 1200 y 2400 baudios, nos las teníamos que ingeniar para poder interconectarnos. Una opción, casi mítica eran las Blue Box para operar sobre teléfono. Otra era la comunicación con estaciones de radio aficionado, hacía un servidor.

David, aparte de los temas anteriores, hizo un repaso al lenguaje utilizado en estos sistemas, muy amplio para definirlo aquí, pero que quizás lo hagamos en otro artículo: Singit, Sysop, C&C, Comint, Comsel, Satcom, RadioGamming o Covcom.

También dejó ejemplos de software de cifrado y descifrado bajo ondas de radio, para enviar mensajes cifrados por ejemplo HM01, o para aprendizaje de identificación de señales, como Artemis.

Para los que queráis profundizar en este tema, tiene varios videos de conferencias colgadas en Youtube.

Leer más
No Comments

TECH.PARTY.2019, estuvimos allí (Parte-1)

El pasado 14 de Septiembre se celebró en La Nave, Madrid, un evento de conocimiento compartido, buscando una buena definición.

En él se trataron muchos temas del ámbito tecnológico, con charlas, talleres, mesas redondas, etc… Ciberseguridad en todos sus ámbitos (perimetral, pentesting,…), Blockchain, programación, derecho Tecnológico, Internet de las cosas o Seguridad en ámbito industrial.

Nuestro roll-up en la Tech.Party.2019

También hubo expositores, entre los que nos contamos nosotros, y otras empresas u organizaciones como Hack Madrid, Internet Society, TTN Madrid, o las empresas de ordenadores Slimbook y Vant, de Criptomonedas Bitcobie, y un montón más.

Como no, repartimos como ya anunciamos en este blog, y en las redes sociales, nuestro Rubber Ducky Low Cost versión beta, a expertos “cacharreros” y a quién nos lo pidió, para que nos den su opinión y poder sacarlo a la venta, a quien no se lo quiera hacer el mismo. Esperamos los feedbacks con impaciencia.

Como no, también agradecer el food truck de Navidul, para los tentempiés correspondientes, o el puesto de Hack&Beer, con sus dos cervezas artesanas para refrescar el fresco y lluvioso día que hizo.

Vectores de ataque en IIoT Jordi Ubach
Vectores de ataque en IIoT Jordi Ubach

Nuestro colaborador Jordi Ubach, dio una charla sobre Vectores de ataque IT, a primera hora, pero muy concurrida. Dejó durante la misma unos cuantos sensores y PLCs en una red a la que podía entrar quien quisiera para probar.

Ofreció cifras alarmantes sobre ataques a infraestructuras críticas, como centrales hidroeléctricas, plantas de aerogeneradores, potabilizadoras, etc… la poca seguridad que tienen, y lo mucho que hay que hacer.

Sensores de prueba en red Jordi Ubach
Sensores de prueba en red Jordi Ubach

También un repaso más técnico a los tipos de sensores y demás aparatos interconectados en la industria, DC,PLC, RPU o SCADA.

Este es uno de los servicios que ofrecemos en Industria 4.0, tanto auditorías de seguridad, como análisis forense en cualquiera de estos sensores.

Seguiremos con la narración de la Tech.Party.2019, al menos de las charlas a las que fuimos, porque era imposible abarcar todo.

Leer más
No Comments

Cuando los meta datos dieron con un asesino en serie: Informática forense.

Una serie muy recomendable, que ha estrenado recientemente su segunda temporada, es Mindhunter. Cuenta los inicios de las investigaciones de la conducta de los asesinos en serie por el FBI.

Diskete BTK según NY Times
Diskete BTK según NY Times

Una de las investigaciones que llevaron a cargo, aunque en la serie no, y solo se ve como comete algún crimen, es el del asesino BTK, que entre 1974 y 1992, torturó y mató a diez personas, en el estado de Wichita.

En ese tiempo envió cartas a varios medios de comunicación, burlándose de la policía por no ser capaz de cogerlo. En dichas misivas daba buena cuenta de sus crímenes, con descripciones, fotos y listas de objetos que se llevaba como trofeo del lugar del crimen.

Pero no fue hasta 2004 cuando en otra carta de BTK y otro alarde de arrogancia, intercambió mensajes con la policía, para saber si con una carta en un diskete o CD, podrían dar con él.

Entre que vieron el coche que usaba en un vídeo donde dejó el soporte, y que luego extrajeron los metadatos del archivo de Word, llevaron a su detención.

Ese año queda lejos, y en estos 15 siguientes el análisis forense ha seguido avanzado. Nosotros realizamos estos servicios, de momento no para atrapar asesinos en serie, pero cualquier dato que crea que puede interesar en saber que le ha ocurrido a su sistema, o en cualquier pleito que quiera realizar, no dude en ponerse en contacto con nosotros.

Leer más
1 Comment