lunes, 26 de diciembre de 2016

Inyección SQL.: 18 años después (por D. Méndez y D. Hermida)

El título lo dice todo, "Inyección SQL.: 18 años después". Ante este título se abre el documento pensando en encontrarnos lo de siempre. Bien, lo de siempre está, pero organizado de una forma muy elegante y totalmente didáctica. Mi total enhorabuena a D. Méndez y D. Hermida por la calidad de esta revisión de la SQLi.

Report "Inyección SQL.: 18 años después" disponible aquí.

jueves, 22 de diciembre de 2016

Methbot, el mayor esquema de fraude !conocido!

Noticia disponible aquí.

[Gracias Alejo, la inteligencia humana al servicio de la captación de la pasta ajena puede llegar a ser realmente .....]

viernes, 9 de diciembre de 2016

Defensa P3 (semana del 13 al 16 de diciembre)

La próxima semana, del 13 al 16, será la defensa de la práctica 3.

Las máquinas virtuales serán tiradas abajo el lunes 12 a las 12:30.

miércoles, 30 de noviembre de 2016

Firefox Zero-Day Exploit to Unmask Tor Users Released Online

Noticia vinculada con algunas de las cosas que vemos en LSI (privacidad, tor, browser security, zero-day, etc.)

Noticia disponible aquí.

[Gracias Víctor por el aporte]

viernes, 25 de noviembre de 2016

Práctica 3 y defensa

El viernes 2 de diciembre se iniciarán las prácticas de la parte de legislación. Por lo tanto, recomendamos que los alumnos de los grupos del viernes asistan al inicio-explicaciones de alguno de los grupos de prácticas del martes al jueves.

Sobre la defensa de la práctica 3, será la semana del 13 al 16 de diciembre.

Los que tengan la práctica 1 y, o, la 2, pendiente, deberá quedar defendida-superada entre el 29 de noviembre y el 1 de diciembre, en cualquier grupo.

Conferencia Peritaje informático y lo que la evidencia esconde (aula 3.2 de la FI de la UDC, 25 de noviembre de 2016)

Peritaje informático y lo que la evidencia esconde

Pilar Viña Avendaño
Presidenta de la Comisión de Peritajes del CPEIG
CEO y Co-founder de Forensic & Security
Lugar: Aula 3.2.
Fecha: Viernes, 25 de noviembre de 2016
Hora: 15:30‐17:00

Acceso a prácticas y documentación

El servidor del TIC, en el que se localizan algunos ficheros de la asignatura, como las prácticas o la documentación, está caído. En unos minutos estará todo disponible en una nueva ubicación.

lunes, 21 de noviembre de 2016

Práctica 2

Publicadas en tablón de la FI las calificaciones de la P2 de los grupos 1.* y 2.*

viernes, 18 de noviembre de 2016

Fecha límite entraga "reports"

Aquellos que han propuesto algún tema de "report" tienen hasta el día del examen de la primera convocatoria para la entrega del mismo.

viernes, 11 de noviembre de 2016

VMs down

El lunes 14 de noviembre a las 12:30 se tirarán las VMs abajo.

martes, 25 de octubre de 2016

3 dígitos, es lo único que quiero

Aunque llevamos varias semanas juntos y creo que he repetido un número indeterminado de veces que para cualquier referencia a las máquinas de prácticas el formato para identificarlas es de tres dígitos.

X.Y.Z

X.Y identifica vuestro grupo de prácticas
Z es el número de máquina entre 1..21 con el identificador de vuestra máquina.

Sigo recibiendo emails del tipo, levántame la 250.

Emails de este tipo no serán atendidos.



What is a DDoS?

Una muy buena ilustración sobre DDoS.

https://twitter.com/kokonoe0825/status/789536739887112192?s=08

[Gracias Alberto por el aporte, me he reído un buen rato]

domingo, 23 de octubre de 2016

Privacidad, ocultación !!! y protección física de los centros de datos

Me quedo con algunas frases de esta noticia que me remite mi colega Alejo.

- Angelitos. Que las cosas se oculten no quiere decir que no ocurran.
- Pese a la importancia geoestratégica de la empresa, no fueron inversores institucionales, ni tan siquiera españoles los que acudieron a ella sino una empresa portuguesa, ...
- ... los ocupantes de la furgoneta arrancaron y se fueron.
- En España la ley no obliga aun a empresas a comunicar, como si pasa en Estados Unidos, sus incidentes de seguridad informática, lo que únicamente garantiza que no nos enteramos de nada.
- Cosas como estas ocurren en nuestro país semana a semana, sin control ni trascendencia social. En fin…

A esto también me gustaría añadir que la situación que se vive actualmente en muchos organismos pone fácil las cosas a los amigos de lo ajeno. Los enormes recortes económicos han hecho que muchas infraestructuras estén sin mantenimiento y, por añadidura, sin actualizaciones, con software y hardware en versiones cuasi-prehistóricas. Y eso tiene consecuencias, negativas claro está, para su seguridad.

Noticia disponible aquí.

viernes, 21 de octubre de 2016

Martín Fumarola y las Aerolíneas Argentinas

Tengo colegas que saben hacerme reír un buen rato. Hoy Alejo me envía noticia sobre las aventuras y desventuras de D. Martín Fumarola con las Aerolíneas Argentinas. Buenísimo.

No estaría mal incluirlo en alguna de charlas en seguridad que se organicen. (-: (nosotros nos encargamos del alojamiento y él de los billetes de avión)

Noticia disponible aquí.

DDoS Attack on DNS; Major sites including GitHub PSN, Twitter Suffering Outage

Esta noticia, que me remite A. Otero, y que incluso ha salido hoy en los informativos de varios canales de TV, ilustra perfectamente lo que se apunta en el tema de D[D]oS que estamos viendo actualmente en LSI. Estos ataques son frecuentes y producen considerables pérdidas económicas en los organismos afectados.

https://www.hackread.com/ddos-attack-dns-sites-suffer-outage/

jueves, 20 de octubre de 2016

Webcams de portátiles

Llega el verano y son muchos los portátiles que nos encontramos en clase con un papelito-pegatina sobre la webcam. Pobres webcam, privadas de la luz. Hoy surgió el tema en relación a la botnet Mirai.

D. Méndez me remite información sobre algunas BIOS que permiten desactivar la webcam. Una solución sin duda mucho más elegante y ergonómica. También tienes la posibilidad de desactivarla a nivel de sistemas operativo aunque, sin duda alguna, poderlo hacer a nivel de BIOS tiene su elegancia.

[Fuente.: D. Méndez, gracias]


Mirai: A Botnet Case Study

M. Seoane, gracias por el aporte, me remite sugerencia, dentro del contexto del tema de D[D]oS que hemos iniciado hoy, de uno de los casos recientes, la "botnet" Mirai, en esta ocasión tomando forma sobre dispositivos IoS.

Por cierto, y a sugerencia de M. Seoane, ¿qué es IoS?, ¿qué es IoT?

[Fuente.: M. Seoane, gracias]




miércoles, 19 de octubre de 2016

Hackathiño de datos abertos (Coruña, 22-23 octubre)

En el caso de que no tengas planes para el próximo fin de semana, 22-23 de octubre, una buena alternativa está en el Hackathiño de datos abiertos, organizado por el GPUL, y celebrado en A Coruña.

Algunos me habéis preguntado de que va esto. Para no repetir información, lo mejor es que te pases por https://hackathino.gpul.org/

Anímate, es una buena forma conocer proyectos, involucrarte en los mismos y, de paso, entrar en contacto con gente de nuestro mundillo. Recuerda que conocer gente puede abrir muchas puertas.

Si alguien de LSI asiste al Hackathiño espero un pequeño "report" sobre lo acontecido.

Servidores NX en las VMs

Algunos alumnos tienen diversos problemas con sus servidores NX (caches corrompidas, mala configuración clientes, etc., etc.).

Otra posibilidad de poder trabajar con X contra vuestras VMs, además de NX, en los pocos casos en los que necesitamos X es.:

Si en vuestros equipos tenéis Ubuntu u otras distros Linux podéis abrir conexión ssh con la opción -X

$ ssh -X usuario@x.x.x.x

De esta forma al lanzar un aplicativo X en vuestras VMs os manda la salida X a vuestro equipo-portátil.

En el caso de que vuestro equipo cliente sea Windows, deberéis montar algún software servidor X, tipo xming o similares.

Clases LSI del jueves 20 de octubre

Mañana jueves 20 de octubre hay junta de la FI a las 11:30. Hemos recibido algunos emails preguntando si habrá clase mañana. Hasta las 11:30 las clases se desarrollarán con normalidad. Se cancelan las clases de las 11:30 a 14:30.

En el caso de que estés asignado a algún grupo de prácticas en dicho horario, puedes asistir a cualquier otro grupo de prácticas, incluidos los del viernes.

martes, 18 de octubre de 2016

VMs

Aquellos alumnos que no tengan conectividad con su máquina virtual que indiquen número de máquina y motivo a su correspondiente profesor de práctica, preferiblemente por email, para dejarlas operativas.

lunes, 10 de octubre de 2016

Calificaciones práctica 1

Las calificaciones de la práctica 1 de los grupos 1 y 2 han sido "colgadas" en el tablón de la planta 1 de la FI.

jueves, 6 de octubre de 2016

Crackeando Redes Wi-FI.: WPA y WPA2-PSK (por Alberto Maroto M.)










En la última semana hemos hablado de algunas de las formas posibles de ataque a nuestras wifis. Como complemento a lo tratado, Alberto Maroto M. nos remite el primer report de 2016, muy didáctico e interesante, titulado "Crackeando Redes Wi-Fi.: WPA y WPA2-PSK".

Monitorizacion y debugging

Un antiguo alumno me remite un breve documento con una colección de comandos y herramientas básicas de monitorización y debug en entornos Linux. Un interesante documento, didáctico, para este tipo de tareas en nuestros cacharros (disponible aquí).

[Gracias Suso por el aporte]

viernes, 30 de septiembre de 2016

Grupos de prácticas del viernes para la semana del 3 al 7 de octubre

Los grupos de la próxima semana del viernes, por ser festivo, tendrán que defender en los grupos del martes al jueves, siempre con el profesor de asignatura asignado.

En cuanto a los grupos 1 y 2, preferiblemente en los siguientes grupos por orden de prioridad.:

2.1, 1.4, 2.2, 2.4

Los mejores, por se los que tienen menos alumnos, 2.1 y 1.4

Respecto a los grupos 3 del viernes, preferiblemente que acudan al 3.2 (miércoles 8:30) o al 3.4 (martes 10:30), en ese orden.

martes, 20 de septiembre de 2016

Defensa Práctica 1

La defensa de la práctica 1 será la semana del 3 al 7 de octubre. El lunes día 3 se tirarán todas las máquinas abajo a las 12:30. A lo largo de la semana se irán levantando únicamente para las defensas.

jueves, 15 de septiembre de 2016

FALADOIROS DIXITAIS AO REDOR DA CIBERSEGURIDADE (Santiago, 21 de setembro de 2016)

FALADOIROS DIXITAIS AO REDOR DA CIBERSEGURIDADE
Santiago, 21 de setembro de 2016
09.45 h.-14.00 h.
Edif. CINC, Salón 1
Cidade da Cultura. Monte Gaiás, s/n.
Santiago de Compostela

Máis información dispoñible aquí.

-----------------
Para asistir, basta con inscribirse a través de la propia Web. Es gratuito.

El CPEIG va a poner un bus que saldrá de la FIC sobre las 9:00 y regresará sobre las 14:30. Aquellos alumnos interesados en ir en el bus, pueden enviar un email antes del lunes 19 a las 14:30 al prof. José Manuel Vázquez Naya, indicando en el asunto "Jornada Ciberseguridad". Las plazas son limitadas.
------------------

lunes, 12 de septiembre de 2016

viernes, 9 de septiembre de 2016

Reboot MV

El lunes 12 de septiembre por la mañana, a las 10:30, haré un shutdown de todas las máquinas virtuales de prácticas para tareas de mantenimiento. Se tenía planificado para el domingo 11 pero por distintos motivos se hará el lunes 12.

Se avisará mediante entrada en el blog del momento en que se levanten.

Cambios de grupo de prácticas grupos 1 y 2

Cualquier cambio de grupo de prácticas deberá solicitarse por el procedimiento habilitado.

En el caso de los grupos de prácticas 1.* y 2.*, únicamente se aceptarán cambios directos al grupo 1.3. Motivo, están todos los grupos con muchos alumnos y curiosamente el 1.3 tiene 5 alumnos. Si cualquier alumno de los grupos 1.* y 2.* quiere cambiarse al 1.3 (viernes de 10:30 a 12:30) que me ponga un email y lo reasigno de forma automática.

jueves, 23 de junio de 2016

Cisco acaba de lanzar un programa de 10 millones de dólares en becas para formar estudiantes en Ciberseguridad

Sin duda alguna puede ser una magnífica oportunidad para aquellos alumnos que estén interesados en una completa formación en temas de seguridad.

Toda la información sobre esta convocatoria en https://mkto.cisco.com/Security-Scholarship.html

[Fuente.: Prof. Nóvoa por email, gracias]

miércoles, 1 de junio de 2016

Final Rexional da Conferencia Norte do torneo de e-sports OGSeries University

Este venres, 3 de xuño, terá lugar na nosa facultade a Final Rexional da Conferencia Norte do torneo de e-sports OGSeries University. Haberá competición de LOL e Hearthstone. 

Competirán os equipos das universidades de Alcalá, Oviedo, Valladolid e A Coruña. O evento contará coa asistencia dos padriños da competición, os coñecidos youtubers Knekro e Revenant, e está aberto de forma gratuíto para todo tipo de público. 

Na seguinte páxina web podedes consultar toda a información: http://www.ogseriesuniversity.com/news/university/1374/

miércoles, 13 de abril de 2016

Crackeado el ransomware Petya: Ya se puede desencriptar gratis el disco duro

Experts crack Petya ransomware, enable hard drive decryption for free (noticia disponible aquí)

[Gracias Alejo por el aporte]

Talk FIC: Virtual Reality and Augmented Reality- MOBGEN Labs

Facultad de Informática.  A2.9
April 20, 2016 at 11:30

MOBGEN Labs will present in the FIC the last tendencies in Virtual Reality (VR), Augmented Reality (AR) and 360 imaging. In the talk, Mobgen will show  several examples, one of them bringing the possibility to offer to brands and organisations an immersive experience by allowing real-time collaboration in VR powered by your Smartphone!

More information and register in        https://www.eventbrite.es/e/entradas-virtual-reality-24479298240

domingo, 27 de marzo de 2016

miércoles, 9 de marzo de 2016

Hacking industrial vehicles from the internet

Lo de siempre, pero en este caso sobre dispositivos Telematics Gateway Unit (TGU) de camiones, autobuses, etc. conectados a internet. Esperemos que los vehículos autónomos sean un poco más "listos".

Noticia disponible aquí.

En LSI veíamos los muchos dispositivos que podemos encontrarnos, por ejemplo en shodan, aquí un ejemplo más de los posibles.

[Gracias Dani por el aporte]




Finis Terrae II (el hermano mayor de nuestros cacharros)

A todos nos gusta la "cacharrada" con la que convivimos y pasamos muchas horas, siempre buscando tener el equipo con las prestaciones que mejor se adapten a nuestro ...

Traigo a esta entrada la configuración de unos de los hermanos mayores de nuestro equipos, el nuevo supercomputador que estará en producción el próximo 1 de abril en el Centro de Supercomputación de Galicia (CESGA), el Finis Terrae II.

Información remitida por el CESGA.
--------------
Finisterrae-2 es un sistema de computación basado en procesadores Intel Haswell e interconectado mediante red Infiniband con un rendimiento pico de 328 TFlops y sostenido en Linpack de 213 Tflops.

Descripción de la nueva máquina Finisterrae-II:


Está compuesta por 306 nodos de cómputo cada uno con dos procesadores Haswell 2680v3, 128 GB memoria y 1 disco de 2TB, 4 nodos con GPUs, cada uno con 2 GPUs NVIDIA Tesla K80, 2 procesadores Haswell 2680v3, 128 GB memoria y 1 disco de 2TB, 2 nodos con Intel Xeon Phi, cada uno con 2 procesadores Intel Xeon Phi 7120P, 2 procesadores Haswell 2680v3, 128 GB memoria y 1 disco de 2TB. Y un 1 FAT node con 8 procesadores Haswell 8867v3, 4096 GB de memoria y 24 discos de 1,2 TB.

Cuenta con una red de Interconexión de alto rendimiento Mellanox Infiniband FDR@56Gbps con topología Fat-tree y sistema de ficheros paralelo Lustre con 768TB de capacidad (750TB netos) y 20GB/s de lectura/escritura.

En total son 7712 cores, 44,8 TB de memoria y 1,5 PB en disco.
-----------------

domingo, 21 de febrero de 2016

ZFS será incluido de forma predeterminada en Ubuntu 16.04

Ubuntu 16.04 integrará ZFS. Una gran noticia, que nos apunta nuestro colega Alejo, que posiblemente hará que otros muchos sigan su camino. Un gran sistema de ficheros que se merece su integración en todo tipo de distros.

Noticia disponible aquí.


viernes, 5 de febrero de 2016

Curso contaminación electromagnética de baja frecuencia 50 Hz.

Hoy me he encontrado información sobre un tema del que estuve revisando información hace un par de años y, ahora, empezamos a encontrarnos cursos relacionados, en este caso uno de la Fundación para la salud geoambiental.

Información disponible aquí.

OpenSSL Key Recovery Attack on DH small subgroups (CVE-2016-0701)

Como dice Alexis, n-esimo fallo en SSL (gracias por el aporte). Pues si, efectivamente, y van ... "hemos perdido la cuenta".

Noticia disponible aquí.

martes, 26 de enero de 2016

Puerta trasera casera (por anónimo)

Adjunto en esta entrada un pequeño "report" enviado por un alumno de esta convocatoria (2015-2016) con la puerta trasera casera que ha utilizado para garantizarse conectividad root a las máquinas de los alumnos más descuidados con sus claves. Ha pedido que lo publique de forma anónima. Lo adjunto literalmente.
------------
Es la segunda semana de prácticas y todavía hay máquinas con la contraseña del
usuario root sin cambiar. Algunas no tienen actividad, pero en otras se puede
ver que hay gente trabajando. De hecho, hay quién ha cambiado la contraseña del
usuario lsi, pero no la del superusuario.

Tarde o temprano, más de lo primero que de lo segundo, acabarán cambiando las
contraseñas y me quedaré sin máquinas extra para hacer las prácticas, así que
quiero encontrar una forma rápida de seguir teniendo acceso como root.
No vale eso de crear un usuario invitado y meterlo en el sudoers. Tiene que ser
algo un poco más sutil, pero sin llegar a extremos de parchear todo el sistema.
En cualquier caso, no quiero que afecte al trabajo de prácticas de los usuarios
de las máquinas.

Necesito un usuario, que no sea root ni lsi, pero no quiero crear uno nuevo,
así que voy a utilizar uno del sistema.

En los sistemas UNIX existe una distinción entre usuarios "normales" y
"usuarios del sistema". Los primeros son para que una persona pueda hacer uso
de la máquina. Los segundos son para tareas del sistema operativo, como
demonios y servicios. En los sistemas Debian los usuarios del sistema tienen
UIDs comprendidos entre el 0 y el 999, mientras que los usuarios normales
tienen UIDs de 1000 en adelante. Esta distinción es puramente organizativa y
cada sistema operativo, distribución o administrador elige los UID como mejor
le parece.

Otro detalle importante sobre los usuarios del sistema es que no tienen un
password válido definido, imposibilitando así la autenticación por contraseña.
Esto no es problema, porque como voy a acceder por SSH, puedo configurar
autenticación con clave pública.

Voy a buscar un usuario del sistema en el fichero /etc/passwd. En este existe
una línea por cada usuario, con siete campos delimitados por ":". Los campos
indican:

1. Nombre de usuario
2. Password cifrado opcional
3. UID
4. GID
5. GECOS
6. Directorio home
7. Intérprete de comandos (Shell)

messagebus es el usuario del servicio D-Bus, que es un sistema para
comunicación entre procesos. Su línea en el fichero /etc/passwd es esta:

messagebus:x:101:111::/var/run/dbus:/bin/false

La configuración de la autenticación con clave pública no debería sorprender a
nadie, pero el intérprete de comandos del usuario tiene un poco más de miga.

La mayoría de los usuarios del sistema tienen definido como intérprete de
comandos /usr/sbin/nologin o /bin/false. nologin es un comando que,
amablemente, indica la no disponibilidad de la cuenta y termina. false no hace
nada, solo termina con un código de estado de error. En ambos casos el usuario
no va a poder iniciar sesión porque esta configuración no se lo va a permitir.

Messagebus tiene /bin/false como intérprete, y no es casualidad, lo elegí de
forma intencionada porque la implementación de este comando es trivial. Así
puedo escribir una versión que me permita arrancar una shell solo cuando lo
ejecute el usuario messagebus. Por ejemplo:

#include

int main()
{
if (getuid() == 101)
execv("/bin/bash", NULL);

return EXIT_FAILURE;
}

Después de sustituir /bin/false con mi versión, podré conectarme a la máquina y
conseguir un terminal con bash con el usuario messagebus. No está mal, pero yo
quiero ser root.

Solo tengo que cambiar dos cosas. Primero, establecer el setuid en el
ejecutable /bin/false, que ya pertenece al usuario root.

chmod u+s /bin/false

Así, /bin/false se ejecutará con las credenciales del propietario del fichero,
root en este caso.

En UNIX cada proceso tiene asociados tres UIDs. UID del usuario real, UID del
usuario efectivo y UID salvado. El UID del usuario real es el del propietario
del proceso. El UID del usuario efectivo lo utiliza el sistema operativo para
determinar que permisos tiene el proceso a la hora de acceder a recursos
compartidos como colas de mensajes o memoria compartida. En la mayoría de
sistemas UNIX también determina los permisos para acceder a ficheros. Nótese
que Linux realiza esta tarea con otro identificador (FSUID). El UID salvado se
utiliza en procesos que tienen el setuid establecido para guardar una copia del
UID efectivo. Así el proceso puede cambiar sus privilegios alternado entre el
UID del usuario real y el UID salvado.

Entonces, teniendo el setuid establecido y siendo root el propietario de
/bin/false debería ser suficiente para que bash se ejecute como root. Pues no,
porque bash va a establecer el usuario efectivo al valor del usuario real si
estos no coinciden. Es una medida de seguridad para evitar exploits.

Para solventar esto, basta utilizar la llamada al sistema setuid. Esta
establece el usuario efectivo del proceso. Un usuario sin privilegios solo
puede establecerlo al UID del usuario real o al UID salvado. Pero cuando el
UID efectivo del proceso es el de root, el 0, setuid cambia los tres UIDs,
real, efectivo y salvado.

#include
#include

int main()
{
if (getuid() == 101) {
setuid(0);
execv("/bin/bash", NULL);
}

return EXIT_FAILURE;
}

Con este cambio, cuando se ejecute bash, el proceso tendrá los 3 UIDs
establecidos a 0, el UID de root.

Resumiendo, al conectarme a la máquina mediante SSH con el usuario messagebus,
se ejecutará /bin/false. Al tener el setuid establecido, y pertenecer al
usuario root, el usuario efectivo del proceso será root y el usuario real será
messagebus. La llamada getuid devuelve el usuario real, de modo que se
llamará a setuid(0), estableciendo los tres UIDS 0. Ahora la llamada
execv("/bin/bash", NULL) ejecutará un bash, y al ser el UID real igual al UID
efectivo, el shell tendrá privilegios de root.

jueves, 21 de enero de 2016

Publicación notas LSI

Se han comunicado las notas de LSI por SMS y publicado. La revisión de exámenes será el martes  26 a las 11:00.


lunes, 11 de enero de 2016

Examen LSI

Ante las múltiples preguntas al respecto.

El examen de mañana constará de 30 preguntas tipo test, con 1 única respuesta correcta de las 4 posibles. Cada 3 mal resta 1 bien. De las 30, 8 son de la parte de legislación y 22 de la parte de seguridad informática.