miércoles, mayo 31, 2023

Cursos Online de Seguridad Informática & hacking para JUNIO de 2023 en HackBySecurity

Este mes voy a celebrar mi cumpleaños, pero no por ello vamos a dejar de formarnos. Así que hoy os traigo la lista de formaciones y cursos online, que dan comienzo este mes de JUNIO, y que puedes hacer a tu ritmo desde en la Academia de HackBySecurity. Están diseñadas para los que queréis formaros  en Seguridad informática & Hacking, como complemento a vuestra jornada diaria. Esta es la lista de Cursos Online de Ciberseguridad de HackBySecurity, para que luego, si te parece bien, te vengas a trabajar a nuestras ofertas de empleo después.
Además, si quieres tener un descuento en ellos, puedes utilizar tus Tempos de MyPublicInbox para comprar un código descuento de 30% de descuento por 100 Tempos en la sección de Canjea tus Tempos. Solo hay 10 códigos.
Y ahora, la lista de cursos online que tienes en HackBySecurity para este mes de JUNIO. Aquí tienes a los que puedes apuntarte para formarte online a tu ritmo en cibeseguridad, hacking y seguridad informática.

- MIFD (Máster Online en Investigación y Forensia Digital): En esta formación que dará comiendo el próximo 6 de JUNIO aprenderás desde los principios básicos legales necesarios para la creación y defensa de un informe forense, aprenderás cómo se deben recolectar evidencias digitales en diferentes sistemas (Windows, Linux, Android, IOS) y a organizar la documentación para preparar el caso.

Además, esta formación incluye una Masterclass con Juan Carlos Fernandez, y los libros de "Hacking dispositivos iOS (iPhoen & iPad) 2ª edición", el  y el libro de 0xWord escrito por Pilar Vila, llamado "Técnicas de Análisis Forense para Peritos Judiciales profesionales".  

Figura 4: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema AlonsoIoseba PalopPablo González y Alejandro Ramos entre otros.

CTEC (Curso Técnico Especialista en Ciberinteligencia): El día 8 de JUNIO comienza la formación para aquellos que quieran empezar a trabajar en labores de ciberinteligencia en el mundo de la empresa. Con el objetivo de aprender cuáles son las fuentes de información pública, las técnicas de captura de información y cómo realizar una investigación en Internet y en la Deep Web, este curso enseña metodologías y procedimientos de análisis de información.  El curso tiene por docente a Rafael García Lázaro, con el que puedes consultar en su buzón público para resolver dudas.
Además, como complemento a esta formación se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación. 

En esta edición, además, se cuenta con MásterClass en directo de Rafa García y de Miguel Ángel Martín, así como con 200 Tempos de MyPublicInbox que recibirán todos los asistentes. 

CSIO (Curso de Seguridad Informática Ofensiva): En este curso online de seguridad informática ofensiva que comienza el 14 de JUNIO el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de penetración y auditorías de seguridad informática pudiendo llegar a desempeñar puesto como el de hacker ético, pentester o auditor de ciberseguridad. Se le introducirán desde los conceptos de hacking básicos hasta la creación de sus propios exploits, pasando por las técnicas de ataque y herramientas más avanzadas y efectivas. 
 
Además, el alumno tendrá como complemento del mismo una de las dos opciones siguientes, que puede elegir. Podrá tener el libro de Metasploit para Pentesters Gold Edition o el VBOOK de Ethical Hacking de 0xWord

Figura 8: Metasploit para Pentesters Gold Edition  

Este Curso Online de Seguridad Informática Ofensiva en HackBySecurity es una de las mejores opciones si lo que estás es buscando formarte profesionalmente para trabajar de pentester, y además quieres un modelo flexible de formación, y tiene como docentes a Sergio Rodríguez Gijón y a Pablo González, con los módulos de Python y Bash, que además puedes conocer mejor en la entrevista que le han hecho donde habla de muchas cosas de este mundo. 

Y para completar la formación, además esta edición cuenta con MásterClass en Directo de Pablo González el día 15 de JUNIO, así como de 200 Tempos de MyPublicInbox que recibirán todos los asistentes. 

MHSW ("Máster Online en Hardening de Sistemas Windows):  Además, ya se ha abierto el periódo de reserva de matrícula para este Máster Online, que ha creado y tutoriza Ángel A. NúñezMVP de Microsoft desde el año 2016 en Tecnologías Cloud & DataCenter, y escritor del libro de 0xWord "Windows Server 2016: Configuración, Administración y Seguridad" y del "VBOOK de Windows Server 2016", que dará comienzo el 19 de JUNIO.
Ángel A. Núñez es un veterano en la gestión de seguridad de plataformas Microsoft Windows, y ha desarrollado esta formación Máster Online en Hardening de Sistemas Windows para enseñar a los equipos de seguridad de sistemas, los equipos Blue Team, y a los arquitectos de sistemas que trabajan con los DevSecOps cómo dejar fortificado al máximo los servidores de la infraestructura. Esta formación incluye:


Por supuesto, todas las formaciones, además de llevar incluidos los libros de 0xWord, tendrán Tempos de MyPublicInbox y salas de tutorias con los formadores de las formaciones. Así que, ya sabes, haz tu calendario ... y a formarte.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, mayo 30, 2023

The Realist: Inteligencia Artificial para fantasías eróticas con Stable Diffusion

Ya hemos hablado muchas veces de Stable Diffusion, de cómo lo puedes crear para configurarte selfies hiper-realistas de ti mismo en MyPublicInbox, o para configurarlo en la creación de lo que desees. Pero hoy quería hablaros de The Realist, del que han hablado en Segu-info, que está pensado en la creación de imágenes hiper-realistas basadas en fantasías eróticas.
Al final no es más que un modelo de Generative-AI basado en Stable Diffusion y entrenado convenientemente para la creación de imágenes realistas de contenido erótico, lo que parece que marca el camino hacia donde va a ir el mundo de la creación de contenido erótico y pornográfico en el futuro. Mismo modelo que el que puedes entrenar tu para crear imágenes tuyas en MyPublicInbox.
Hay que tener en cuenta que cada vez estamos más cerca de no poder distinguir a las personas sintéticas digitales de las reales, y que el uso de las DeepFakes en el mundo de la pornografía y el contenido erótico es algo de lo que se está hablando hace tiempo. Actores y actrices que no actúan con su cara, ni su cuerpo, o personas digitales que ni tan siquiera existen y que cumplen las fantasías de quién quiera.
Se han publicado muchas imágenes en la cuenta Twitter del servicio, donde puedes ver lo realistas que son y lo afinado que está el modelo de Stable Diffusion. También las han subido a la plataforma DevianArt donde tienes las imágenes de alta calidad bajo modelos de suscripción, pero en cualquier caso necesitas estar autenticado y tener puesta tu fecha de nacimiento - y ser mayor de edad para verlas -.
Decía la canción mítica eso de "Internet is for porn", explicando cómo esta industria ha empujado la innovación tecnológica - pagos online -, y ventas online en streaming como cuentan en la serie "Tom y Pam" donde hablan de cómo un vídeo leaked influyó en la industria de las webcam de actores XXX

Figura 5: The Internet is for pòrn "Warcraft"

Pues bien, esta industria, seguro, seguro, seguro, que no va a dejar pasar la oportunidad de implementar técnicas de Inteligencia Artificial en general y de Geneartive-AI en particular para crear nuevoas fuentes de ingresos.


Ahora, si quieres ver las imágenes de alta calidad más impactantes generadas por The Realistic, debes pagar una suscripción mensual de 10$ en DevianArt. Os hubiera puesto alguna imagen de las gratuitas por aquí, pero creo que mejor las veis en su cuenta.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, mayo 29, 2023

Google y Apple trabajan (juntos) para dificultar la vida a los Stalkers que usan Location Trackers (Como los Apple AirTag)

Hace ya tiempo que os hablé de cómo Stalkers habían estado utilizando Apple AirTag para vigilar y espiar los movimientos de sus víctimas. En este caso, era especialmente difícil de detectar por las víctimas cuando el Stalker estaba utilizando Apple AirTag y la víctima tenía un terminal Android, ya que si no sospechaba que esto era posible y se bajaba una app especial para localizar los trackers, podía estar vigilada durante mucho tiempo sin saberlo.
Esto, que acabó en los tribunales, ha llevado a Google y Apple a ponerse a trabajar conjuntamente en un estándar para definir cómo deben funcionar los Location Trackers y cuáles son las capacidades que deben llevar estos para evitar lo que han denominado "Unwanted Location Trackers". El draft del IETF, titulado "Detecting Unwanted Location Trackers" está firmado por cuatro ingenieros, dos de Apple y dos de Google.
En él se define el funcionamiento que tienen que tener los Location Trackers, basados en si estos están cerca del dueño de los mismos - donde el objetivo debe ser minimizar el envío de información -, pero también cómo deben comportarse cuando están lejos del dueño del mismo, para poder ser localizados por su dueño.

Figura 3: Modos de funcionamiento descritos en el draft de

Y en estos casos, se están definiendo márgenes de tiempo que indiquen cuando pasa de un modo a otro, y cuándo debe emitir una información y cuándo otra, para hacer que el producto siga siendo funcional, al mismo tiempo que se reduce el uso de estos en modo stalker, o se hace más claro que está en un comportamiento unusual, algo que reclamaban los demandantes contra Apple.
Pero el comportamiento negativo, que hace que una víctima pueda ser controlada, es cuando estos Location Trackers como los Apple AirTag pasan mucho tiempo cerca de una persona que no es consciente de ello, y su legítimo dueño no está cerca nunca. 

Localización de los Unwanted Location Trackers

En este caso, lo que están trabajando los ingenieros es para hacer sistemas de detección de estos trackers "Unwanted", donde como base de la definición del estándar, que aún está en Draft se cumplen dos hitos importantes.  El primero de ellos es que debe existir algún mecanismos de localización físico del mismo.
El segundo de ellos, es que deben venir con una altavoz que permita emitir sonidos, y las personas que lo deseen localizarlo deben tener la capacidad de hacerles sonar, lo que permitiría descubrir en qué ubicación está almacenado este tracker.
Estas medidas de control, hacen que los Location Trackers como los AirTags de Apple permitan al dueño localizar los objetos perdidos, pero a un posible ladrón de un objeto localizar fácilmente estos trackers, sin necesidad de bajarse apps como sucede en Android, lo que llevaría a que la "utilidad" de estos trackers fuera menor.
Hay que tener en cuenta que estamos hablando de un dispositivo de localización de objetos de consumo, no de un sistema anti-robo o de localización silenciosa de alta seguridad, que son otros tipo de productos, con otros precios y otras características de configuración y uso.
Parece que en esta ocasión Apple y Google, para sus productos de consumo, van a poner la detección de los trackers usados por los stalkers, metiendo medidas de limitación de funciones, detectando el mal uso de los mismos, y haciendo que sea mucho más fácil para las víctimas localizarlos, algo que reclamaban en la demanda de hace tiempo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, mayo 28, 2023

Ciberseguridad y Emprendimiento en un Podcast con CEAJE

Hace unos días, CEAJE, la Confederación Española de Asociaciones de Jóvenes Empresarios nos hizo una entrevista a mi compañero y amigo Rafael García de HackBySecurity y mi sobre seguridad y emprendimiento, especialmente dirigido a los jóvenes empresarios (o emprendedores), para darles nuestro punto de vista.
La sesión la grabaron en un podcast que subieron a las plataformas, pero también la tienes en Youtube, y yo la he subido a mi canal para que la puedas ver. La tienes aquí mismo, por si tienes unos minutos para escucharla y, por supuesto, especialmente si estás pensando en emprender en seguridad informática o ciberseguridad.


Figura 2: Entrevista sobre Emprendimiento y Ciberseguridad

Al final, emprender no es nunca sencillo. Tienes cosas muy divertidas, pero tienes que tener ganas de pelear mucho, porque probablemente no será ni rápido, ni fácil, ni un camino de pisar pétalos de flores. Yo he emprendido en muchas iniciativas y ya sé qué es lo que me voy a encontrar en el camino, pero aún así... sigo pensando en nuevas ideas.


Si alguno está pensando en emprender, yo encantado de compartir mi experiencia personal. He estado, y estoy involucrado en muchos proyectos desde Informática64, ElevenPaths, 0xWord, Cálico Electrónico, LUCA, Wayra, MyPublicInbox, Singularity Hackers, ... y sigo con ganas de hacer muchas más cosas, como veréis pronto. Os lo prometo.

¡Saludos Malignos!,

Autor: Chema Alonso (Contactar con Chema Alonso)  


sábado, mayo 27, 2023

Nuevo reto Hacking Web3 de Level_UP! -> Forensic Ouch! - Aprende cómo rastrear la interacciones en Blockchain

Tenemos un compromiso interno en el equipo de IdeasLocas con lo dejar pasar un mes sin publicar un nuevo reto en la plataforma de Level_UP! Por esta razón traemos el nuevo reto del mes de mayo. En esta ocasión toca un poco de forense básico en la Blockchain. Hay que recordar que en la pasada RootedCON la presentamos y mostramos nuestros objetivos respecto a ella. Nuestra intención es publicar un writeup mensual sobre algún reto y publicar un nuevo reto con el que la comunidad pueda seguir su aprendizaje.

Figura 1: Nuevo reto Hacking Web3 de Level_UP! -> Forensic Ouch!
 - Aprende cómo rastrear la interacciones en Blockchain

A modo de resumen rápido os dejamos el listado de artículos y solucionarios de retos de Level_UP! que tenemos publicados y os animamos a que “juguéis” con este mundo de la seguridad en Web3, ya que es apasionante cuando uno conoce los ‘basics’ de la Web3:
Hoy toca publicar nuevo reto, el cual ya está disponible en el repositorio de Github de Level_UP! El reto de hoy trabaja sobre conceptos de forense y de rastreo en la forma en que los SmartContracts ejecutan las acciones. La frase de “todo queda en la Blockchain” no siempre es correcta, pero en este caso sí. Si quieres saber qué ha ocurrido en ese contrato del reto deberás analizarlo.


Como se puede ver en la imagen, forensich_ouch es el reto número 12 (ya que empezamos en el 0, aunque el reto 0 sea un tutorial guiado). La puntuación que el usuario puede obtener con el nuevo reto es de 150 puntos y la dificultad del reto supone un nivel intermedio. No es un reto complejo, pero si se debe tener algunos conocimientos sobre el funcionamiento interno de los SmartContracts así de cómo los datos son registrados en la Blockchain.


Cuando uno entra al reto y lo quiere desplegar para jugarlo, se encontrará con la introducción de lo que se necesita hacer en el reto. Además, nos muestran una serie de funciones que solo el propietario del contrato podrá ejecutar.

Reto Forensic_Ouch   

Cuando se despliega el reto a través del botón ‘Deploy Contract’ se debe acceder a las ‘Dev Tools’ del navegador. Desde la consola de desarrollo del navegador, se puede acceder a través del comando ‘help’ o ‘help()’ (depende del navegador) a la ayuda. Disponemos de tres objetos con los que interactuar: player, base y contract.

Figura 4: Reto Forensic Ouch!

El objeto player almacena la dirección pública del usuario con el que estamos jugando en la plataforma. El objeto base representa la conexión con el contrato base de la plataforma, es el contrato que gestiona los puntos, los jugadores que están jugando, etcétera. Por último, y una vez está desplegado el reto, tenemos el objeto contract, el cual nos permite interactuar con el contrato del reto. 

Figura 5: Lectura del contrato

Siempre recomendamos que hagas uso de la instrucción ‘contract.functions’ para ver las funciones disponibles. También puedes aprender qué funciones hay disponibles leyendo el contrato, tal y como se puede ver en la imagen de la Figura 5.

Figura 6: Libros de Python para Pentesters y Hacking con Python
de Daniel Echeverri publicados en 0xWord.

El algoritmo Keccak será importante en este reto, es recomendable utilizar recursos como el de OnlineTools y el uso de Keccak. La conexión a la Blockchain se puede hacer de muchos modos, recomendamos usar Python o JS para usar la librería Web3. Ánimo. Una vez que tengamos la flag, acordaros de validar los puntos en la plataforma, tal y como se puede ver en la siguiente imagen:

Figura 7: Validación de Flag

Los chicos y chicas de Escuela 42 están realizando el reto durante estas semanas. La acogida ha sido bastante buena y pronto os contaremos más cosas de lo ocurrido en ese hackathon de Level_UP! en 42. Pronto más solucionarios y más retos. El mes de junio está a la vuelta de la esquina.

Y recuerda que si quieres aprender de estas tecnologías, tienes Bit2Me Academy, que es una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos además del libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación" de Yaiza Rubio y Félix Brezo que seguro que te ayudan a ponerte las pilas.

Más artículos de Web3, Blockchain & SmartContracts
Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 15: Contactar con Pablo González

viernes, mayo 26, 2023

iRecorder un nueva Gremlim Botnet en Android con una app que pasa de Gizmo a Mogwai

Nuestros amigos de ESET han publicado una investigación en la que han alertado al equipo de seguridad de Google Play de la existencia de una app, muy instalado por los usuarios, que se ha vuelto maliciosa. Es decir, una Gremlin App & Gremlin Botnet que ha pasado de ser un Gizmo cariñoso y amigable a convertirse en MogWai. En este caso la app se llama iRecorder.
Esta app, que es una herramienta que permite grabar la pantalla de los sistemas operativos Android es muy popular, y tenía una valoración en Google Play de 4.2. Durante mucho tiempo no ha tenido ninguna función maliciosa, pero, como sucede con el negocio de las Gremlin Apps & Gremlin Botnets, alguien ha decidido convertirla en una botnet para espiar a los usuarios.
De todo esto hemos estado hablando mucho tiempo, pero mucho más investigando. De hecho, en el año 2020, en la charla de Gremlin Botnets: El club de los poetas muertos, contamos la investigación que habíamos hecho años atrás sobre este tema. Puedes leer el artículo completo en el blog, y ver la charla que di en RootedCON 2020 o en Hack In The Box CyberWeek 2021.


Muchos de los detalles qué descubrimos con este estudio los plasmó nuestro compañero en el libro de Malware en Android: Discovering, Reversing & Fonrensics que os recomiendo encarecidamente que leáis. No, que os estudiéis a fondo, si queréis entender todas este mundo del cibrecrimen en forma de apps móviles para Android, que publicó nuestro compañero Miguel Ángel del Moral - que fue uno de los investigadores del equipo que construyo Tacyt junto a Sergio de los Santos - después de haber realizado todas estas investigaciones.

Figura 4: Malware en Android: Discovering, Reversing & Forensics

En este caso, iRecorder solicitaba acceso a los permisos de acceso al micrófono y al carrete de fotos, así que más que fantástico para poder espiar la vida de las personas por medio de un troyano que lo metía en una botnet.
El bot de malware que se ha incluido en iRecorder está basado en AhMyth Android RAT (Remote Administration Tool), y en el análisis que han hecho los investigadores de ESET se pueden ver las conexiones con el C&C para solicitar los comandos a ejecutar en cada dispositivo.
El mundo de las Gremlin Apps y las Gremlin Botnets es algo con lo que llevamos viviendo más de una década, y por eso, son tan importantes los equipos de seguridad de Google Play & App Store y los procesos de revisión. Que una app lleve siendo buena mucho tiempo no quiera decir que lo vaya a ser siempre, y cualquier día cambia de dueño y....

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, mayo 25, 2023

DotNET Conference Spain 2023 - 29 de Junio - Madrid

Una de las citas que más me gusta es participar en la DotNET de mis amigos de Plain Concepts, así que este año no podía faltar de nuevo a la cita que tienen en Madrid. El día 29 de Junio, y será probablemente de lo último que haga antes de cortar mis charlas hasta después del verano. En el mes de Julio creo que tengo solo una cita ineludible por calendario, pero luego... ya me han visto hasta Septiempre, así que si me quieres ver el pelo dando una charla esta será una buena ocasión.


Pero además, esta cita, enfocada al mundo de los creadores de tecnología, cuenta con otros ponentes de lujo, como son Scott Hunter, que es Director of Program Management en Microsoft, y Margarita Sanz del Río, que es Technical Partner Manager en GitHub, entre una larga lista de más de 20 ponentes, y varios Workshops. Así que vas a tener para elegir en los 3 tracks en paralelo que va a haber allí ese día.

La entrada la tienes disponible ahora en EventBrite, donde puedes conseguirla en "Early Bird" hasta el día 14 de Junio, con un precio de 30 € y si eres estudiante o estás en el paro, la puedes conseguir por 20 €, y así nos vemos en el evento.


Pero... que siempre hay un pero positivo. Como MyPublicInbox es colaborador del evento, todos los asistentes van a tener Tempos gratis con su entrada, y... si ya tienes Tempos, puedes conseguir un descuento del 50% de la entrada con el código descuento que puedes conseguir en MyPublicInbox con 100 Tempos, que tenemos 20 códigos descuento.

Así que, una vez que consigas tu código descuento de DotNET 2023 en MyPublicInbox, puedes irte a EventBrite, y conseguirás las entradas entre 10€ y 15€, pero solo hasta el día 14 de Junio que se acaba el Early Bird, y ... hasta que se acaben los códigos descuentos o las entradas y ya no haya sitio para asistir.
Así que, si te gusta programar, y quieres pasar una jornada con .NET, puedes venirte a vernos, allí. Si quieres comenzar a trabajar como desarrollador, no te olvides de llevar tu CV y entregarlo al equipo de Plain Concepts.

Y si quieres ese día tener una reunión privada conmigo, yo voy a hacerme hueco para reuniones, así que puedes reservar una reunión (que no será virtual sino presencial) a través de MyPublicInbox. Nos vemos en la DotNET 2023.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)