Balance PyConEs 2014

Después de un fin de semana muy intenso, aprovechamos nuestro blog para hacer balance de lo que ha supuesto para buguroo ser patrocinador de la PyConEs 2014. Durante un par de días, Zaragoza se convirtió en la capital española de Python, y nosotros quisimos estar allí con un papel muy activo.

A lo largo de todo el fin de semana, un stand de buguroo nos permitió acercarnos a la comunidad pythonera de una forma amena y divertida: conversaciones muy frikis técnicas, regalos, un test de conocimientos sobre Python…  Utilizamos este lenguaje de programación en nuestras aplicaciones y somos grandes entusiastas de su particular filosofía, por lo que ha sido un lujo formar parte de un evento como este.

B18du9xIAAA51na.jpg large

A nivel humano el encuentro ha sido sensacional, pero la cosa no se queda atrás a nivel técnico. Ponencias, talleres y lighting talks han estado a un nivel impresionante. No hay más que buscar el hashtag #PyConEs2014 en Twitter para ver las buenas sensaciones que se registraron. Además, son muchos los ponentes que se están animando a publicar las diapositivas de sus presentaciones, por lo que en el mismo enlace las podrás encontrar.

No queremos dejar de hablar de la sede. Puede que en las charlas de las salas faltara espacio (sobretodo la primera mañana), pero en general el Centro de Arte y Tecnología Etopia ha cumplido con nota. Da gusto encontrarse unas instalaciones con tantas posibilidades, sin ellas el encuentro no habría sido tan exitoso. Lo mismo se podría decir de la organización: ¡un diez para ellos!

Por cierto, os recordamos que nosotros fuimos a la PyConEs, entre otros motivos, porque buscamos dos senior developers de Python. Si dominas Python, mándanos tu CV a info@buguroo.com y valoraremos inmediatamente tu candidatura.

B2BUT7BIEAIFJmj.jpg large

Y para terminar, aquí os dejamos una pequeña galería de imágenes de la PyConEs 2014. Tenemos decenas de fotos, si necesitáis alguna no dudéis en escribirnos. ¡Nos vemos en 2015!

¡La PyConES ya está aquí! ¡Nos vemos en Zaragoza!

Después de semanas de dura e ilusionante preparación, por fin llega la PyConEs: la conferencia anual oficial de Python en España. El 8 y el 9 de noviembre se celebrará en el Centro de Arte y Tecnología Etopia de Zaragoza el principal encuentro de Python a nivel estatal. Y allí estará buguroo como parte del elenco de patrocinadores.

B1hIrENCEAA9SpG.jpg large

Durante todo el fin de semana habrá un stand de buguroo en la zona principal de la PyConEs, justo a la entrada del auditorio principal. Allí estaremos para recibir a los asistentes al evento, hacer algunos regalitos y entrevistarnos con aquellos que quieran trabajar con nosotros, ya que estamos buscando dos Python Senior Developers.

Además, dos miembros de nuestro equipo (Roberto Abdelkader y Samuel Herrero) serán los encargados de dar la última conferencia del evento. Será el domingo a las 19:30, en una ponencia titulada Metaprogramación práctica. Allí, además de repasar algunas cosillas chulas de Python, entregaremos unos cuantos regalos.

B1grIPCCAAAoCxN.jpg large

¡Nos vemos en Zaragoza! :-)

Phishing, malware y botnets: las amenazas más comunes en internet

El pasado 2 de octubre, en el contexto de la reunión anual de la industria de Bienes de Consumo y Distribución, nuestro CTO Pablo de la Riva explicó los más frecuentes riesgos tecnológicos para empresas contra los que luchamos en buguroo. A estas alturas, seguramente no sorprenderá a nadie que dichas amenazas sean phishing, malware y botnets.

INDUSTRIA

Respecto al phishing, se hizo un rápido repaso a su evolución. Una amenaza que originalmente estaba enfocada casi en su totalidad a atacar webs de entidades bancarias, pero que con el tiempo se ha expandido a otras industrias. El concepto es sencillo: copiar una web para que sea lo más parecida posible a la página legítima, distribuir la réplica por doquier y recopilar las credenciales de los usuarios que caigan en el engaño.

El malware se presentó como un riesgo más peligroso que el phishing, fundamentalmente por su carácter dinámico. Una vez un equipo está infectado, el malware entra en funcionamiento cuando su creador quiere: eso implica un comportamiento sigiloso, imperceptible para un usuario que hace login en una cuenta de email o en su banca online.

Por último, el concepto que quizá sea menos conocido a nivel usuario es el de las botnets: conjuntos de ordenadores infectados que siguen las instrucciones del dueño de la red, recopilando información de manera sistemática y almacenándola ordenadamente. De esta manera, es fácil identificar credenciales y otro tipo de información sensible.

El principal problema es que todas estas amenazas son a nivel global: no hay ninguna empresa que se libre de ella, sin importar si su core es o no tecnológico. ¿Hay un ordenador conectado a internet? ¿Se reciben emails? ¿Se dispone de página web? Ya hay riesgo.

Los ciberdelincuentes son cada vez más rápidos y durante las primeras 24 horas es muy difícil detectar al atacante. Por tanto, si el criminal es capaz de obtener información sensible, hacer negocio con ella y borrar su rastro, será casi imposible de localizar.

La respuesta de buguroo a esta problemática es bugThreats, nuestra herramienta de detección avanzada de amenazas en la red. Con más de 4500 servidores repartidos por todo el mundo, procesamos miles de gigas de información para poder anticiparnos a un ataque y dar la respuesta incluso antes de que este se haya producido.

Si quieres ver el vídeo con la ponencia, pulsa en la siguiente imagen:

pablodelariva

buguroo en la FOCUS Security Conference 14

Esta semana se ha celebrado en el icónico The Venetian Hotel de Las Vegas la FOCUS Security Conference 14, el encuentro anual de McAfee dedicado a seguridad. Durante unos días, los principales players del sector a nivel internacional se reunieron para hablar de las últimas novedades en ciberinteligencia, ciberseguridad y temas afines.

Una delegación de buguroo Offensive Security, encabezada por nuestro CTO Pablo de la Riva y nuestro Project Manager Luis Cappa, ha estado presente en el evento. Nuestra compañía, presente en más de quince países de Europa y América, ha tenido un papel muy activo y ha podido estrechar lazos con corporaciones de todo el planeta. Por supuesto, también hemos aprovechado para mostrar bugScout, bugBlast y bugThreats, las principales herramientas de nuestra suite.

focus2

En el evento no solo participaron las principales empresas del sector, sino también reconocidas figuras del panorama internacional como Condoleezza Rice (ex Secretaria de Estado de EEUU). Fueron unas jornadas maratonianas en las que se presentaron herramientas, empresas, programas de formación y prácticamente cualquier asunto relacionado con seguridad en nuevas tecnologías, además de favorecer un positivo networking del cual fuimos agente muy activo.

Haber participado en la FOCUS Security Conference 14 forma parte de la estrategia de comunicación de buguroo Offensive Security, que en fechas recientes ha incrementado su presencia en eventos de corte nacional e internacional. Sin ir más lejos, a comienzos del mes de noviembre seremos sponsor de la PyConEs 2014, la conferencia oficial de Python en España.

des

(Español) Banner + CPE = Vulnerabilidades offline

# De qué va este post?

En este post hablaremos de la identificación de plataformas informáticas y su correlación con CPE (Common Platform Enumeration).

# Identificación: Porqué es importante?

En cualquier auditoría de seguridad que se precie, la identificación del sistema a auditar es el primero de los pasos a llevar a cabo.

Los resultados obtenidos durante ese proceso, condicionarán en gran medida el trabajo que hagamos a posteriori.

# Cómo solemos identificar un sistema?

Existen muchas formas de enumerar e identificar la plataforma de un sistema (cuando hablamos de un sistema, nos referimos a uno al que no tenemos acceso local).

El método más común y sencillo de identificar un sistema, suele por el banner que podemos obtener de éste. En la imagen podemos ver el banner de un servidor web:

banner

Aunque es muy fácil de falsear el banner que devuelve un servicio o sistema (eso es harina de otro costal, de lo se podría escribir un libro entero), para este post asumiremos que el resultado obtenido es el real.

# ¿Para qué podemos usar este banner?

Una vez identificado el sistema, ya podemos encauzar nuestros ataques de una forma más afinada: No es lo mismo atacar un Apache, que un nginx o un IIS.

# La ‘IP’ de las plataformas

Hasta aquí, nada nuevo. Vamos a ver, qué otras cosas útiles podríamos hacer con este banner:

Al igual que la identificación de un host en una red se hace por su IP (abstenerse los puretas, se que hay más métodos de identificación :-P), las plataformas de un sistema informático se pueden definir de forma única mediante su CPE.

# Qué es el CPE?

El CPE (http://cpe.mitre.org) es el método para identificar de forma inequívoca una plataforma. La base de datos es con todas las plataformas es gratuita y se puede descargar de: http://nvd.nist.gov/cpe.cfm

Si nos descargamos el XML de la última version (2.3) y echamos un vistazo, podemos ver algo como:

cpe:/a:igor_sysoev:nginx:1.4.2

Esta cadena conformaría el CPE para el banner de la imagen expuesta más arriba.

# Quien usa CPE?

Actualmente existen varias bases de datos de vulnerabilidades públicas, pero tal vez la más conocida sea la del NIST: http://nvd.nist.gov/download.cfm

Si descargamos y abrimos el fichero XML, podemos ver cómo a cada vulnerabilidad se el asocia un CPE. Esto es así porque es la manera más estándar de identificar un sistema de forma única.

# Porqué es útil el CPE?

Con lo expuesto arriba, podemos sacar una conclusion rápida: Si tenemos el CPE de un sistema, podemos obtener sus vulnerabilidades publicadas, de una forma muy rápida. Tan rápida como buscar en el XML.

# Problemática

Cual es el principal problema para hacer esto: Que hay que hacerlo de forma manual.

Los banners prácticamente nunca suelen coincidir con su texto descriptivo del CPE. Esto es así porque, normalmente, se suele añadir en el propio banner la plataforma, módulos de compilación, etc.

Debido a esto, no es nada trivial automatizar la búsqueda de vulnerabilidades a partir de un banner. O si….?

# Conversión: Banner -> CPE

## ¿Qué pasaría si pudiéramos obtener un CPE, a partir de un banner?

Fácil, que podríamos automatizar la búsqueda de vulnerabilidades de una plataforma y hacerlo en offline, con un porcentaje de error bastante bueno.

## ¿Cómo lo hacemos?

Como dice un colega: “cuando el diablo se aburre…”. Pues eso, que nos da por maquinar :)

Precisamente por lo explicado en este post, publiqué una librería llamada “info2cpe” que trata de hacer la conversión entre un banner y su CPEhttps://github.com/cr0hn/info2cpe

Aunque la librería todavía está en beta, funciona bastante bien para banners de servidores web.

Como se puede ver en la ayuda, podemos usar “info2cpe” como librería o por linea de comandos.

## Ejemplo: Convirtiendo un banner en CPE

Tras descargar la librería y obtener un banner de “por ahí”, tratamos de identificar un “”Microsoft IIS httpd 7.5″:

found

No está mal del todo, no? :-P

## Automatización

¿No sería genial, que hubiera una herramienta que “automágicamente” buscara vulnerabilidades en sistemas remotos usando este método?

No se a vosotros, pero a mi me vendría de perlas :)

Como buenos “juaquers” amantes de la automatización, por su puesto trataremos de hacer todo esto de forma automático. ¿Cómo y donde? Como no podía ser de otra forma, dentro de muy poco lo integraremos en nuestro querido GoLismero :)

Versión testing: https://github.com/cr0hn/golismero

Versión estable: https://github.com/cr0hn/golismero

## Por hacer

Soy consciente de que la librería está verde todavía y requiere mucho trabajo todavía. Estoy en ello, con la ayuda de todo aquel que se anime a echar un mano con cualquier idea y/o sugerencia.

# Sobre mi

Bueno, aquí un poco de spam mío :-P

Twitter: https://twitter.com/ggdaniel

Portfolio genérico: http://www.cr0hn.com/

 

Page 1 of 1512345»10...Last »