Ganate Una Entrada Para la EKOPARTY

Participa del concurso para crear el slogan que utilizará la ekoparty en su merchandising y ganate una entrada para la conferencia!

Que?
Participa con tu slogan y gana una entrada para la conferencia!

Para?
El mismo aparecerá en el merchandising de esta edición.

Como?
Envía tu slogan a slogan@ekoparty.com.ar

Cuando?
Timeline
14 julio deadline para el envio.
15 julio publicación de la preseleccion | apertura webpoll
20 julio cierre del web poll - publicación de del ganador

Mucha de la gente que asistió a la ekoparty y esta suscripta a nuestra lista de correo también envía su slogan a la lista para que a nadie más se le ocurra lo mismo, les recomiendo también suscribirse a la lista pero no olviden enviar el slogan a la dirección de correo: slogan@ekoparty.com.ar

Lista de ekoparty: http://groups.google.com/group/ekoparty

Realizado

Ahora que aparezco en los agradecimientos de un "Libro" puedo sentir que me siento realizado! Y no de cualquier libro, del libro Hacking Ético ;-)

Fuera de broma, quiero agradecerle a Carlos Tori por haberme incluído en los agradecimientos de su libro Hacking Ético, y especialmente conociendo el esfuerzo y sacrificio que significó para el realizarlo. Gracias Tato!

Más Info: Libro "Hacking Ético"

Pecha Kucha Night

Anoche con unos amigos fuimos al Pecha Kucha Night volumen 9 que se realizo en la Ciudad Cultural Konex de Buenos Aires.

¿ Qué es Pecha Kucha ? Pecha Kucha en japonés, es como chit-chat en inglés o cháchara en castellano. Fue creado por 2 diseñadores japoneses con la idea de mostrar sus experimentos multimediales, y debido al éxito del formato se comenzó a hacer Pecha Kuchas en todas las ciudades del mundo.

El formato del Pecha Kucha es 20x20, osea que cada presentador puede utilizar 20 slides, con 20 segundos para cada uno, para presentar su idea. Esto resulta en un tiempo total de presentación de 6 minutos y 40 segundos, lo que obliga al presentador a focalizarse en su mensaje. Los presentadores pueden venir de los ámbitos mas diversos, como arquitectura, diseño, fotografía, ONGs, etc.

Lo interesante de los Pecha Kuchas es poder aprender de los recursos que pueden ser utilizados en una presentación, y no estructurarnos en los malditos templates del PowerPoint.

De las 12 presentaciones que se hicieron anoche, la que más me gusto fue la de los famosos cineastas Burman/Dubcovsky, obviamente sabían manejar muy bien lo visual y como contar su historia. En un momento la gente comenzó a aplaudir y uno de ellos dijo "no aplaudan que se me va el tiempo", lo que alguna forma demostraba lo involucrados que estaban con su Pecha Kucha.

Otras presentaciones que me gustaron como utilizaron lo multimedial con algunos videos, fueron la Revista Gata Flora y la AMIA. Generalmente utilizar videos en una presentación es algo muy poco común, por lo que cuando los utilizamos la audiencia se sorprende y es un recurso muy fresco. Me hizo recordar al año pasado en la ekoparty, cuando Domingo Montanaro sorprendió mostrando un video del 9/11 y los discos rígidos en su presentación de Forensics.

Finalmente otra de las mejores presentaciones fue la del fotógrafo Marcos Lopez, obviamente su trabajo es muy bueno como pueden ver, pero también le agrego mucha frescura y humor.

Algunos expertos en oratoria dicen que en una presentación no hay que entretener a la audiencia porque el mensaje se pierde. Para mi entretener y usar el humor, en su punto justo claro, es fundamental para que una presentacion sea exitosa.

Saludos para Cinic, Chechu y Gesolmina que me acompañaron anoche al Pecha Kucha y creo que les gusto ;-)

Cómo Mejorar Nuestras Presentaciones

A todos alguna vez nos ha tocado dar una una capacitación interna, hacer la presentación final de un proyecto, o hasta dar un curso de varios días de duración. En este post, quiero dejarles algunas recomendaciones para mejorar nuestras habilidades de presentación.

Primero quiero aclarar que yo estoy lejos de ser un buen ejemplo como presentador, pero en poco tiempo pase de tener un pánico escénico mortal a solamente sufrir durante los primeros 10 minutos de una presentación y luego disfrutar de estar hablando en publico.

Para ser un buen presentador, una de las primeras cosas en las que tenemos que trabajar es en la oratoria, y para ello un libro al cual nunca me voy a cansar de recomendar es "Oratoria Contemporánea" de Ignacio Di Bártolo.

Lo que más me gusta de este libro es que no esta escrito por un Gurú de la Oratoria, sino por un pediatra del Hospital Alemán, que en su larga trayectoria como profesional asistió y fue orador de cientos de conferencias. En ese proceso, Di Bártolo fue mejorando sus habilidades al punto de que sus colegas le pedían consejos, y hoy en día ya es considerado un experto en oratoria. Sinceramente les recomiendo este libro porque es excelente.

Otro aspecto importante de una presentación, son los medios que utilizamos para realizar la entrega del contenido a la audiencia. ¿ A cuántas conferencias asistieron en donde los PowerPoint eran malísimos ?

En principio, PowerPoint no es la mejor herramienta para hacer presentaciones, o por lo menos los templates que vienen con PowerPoint no lo son. Si tienen la posibilidad de utilizar Keynote, que es el PowerPoint de Apple, van a poder apreciar que los templates de Keynote son altamente superiores a los de PowerPoint.

Pero mas allá de la herramienta que usemos, hay mucho en lo que se puede mejorar en la parte de diseño de nuestra presentación. Para ello les quiero recomendar el libro "Presentation Zen" de Garr Reynolds.

Este libro no solo es una obra de arte, sino que nos da métodos, ejemplos e ideas para hacer una presentación desde cero con el objetivo de lograr un fuerte impacto en la audiencia.

Reynolds también tiene un famoso Blog, del cual yo soy un fanático, en donde si no se pueden comprar el libro van a encontrar gran parte del mismo posteado en forma de artículos: www.presentationzen.com

Para finalizar, les dejo 2 imágenes que valen más que 1000 palabras. Ustedes diganme cuál de estos dos es un verdadero Presentation Samurai:

Videos de la shmoocon 2008

Se encuentran disponibles los videos de la shmoocon 2008, realmente MUY recomendables. Los pueden bajar desde este link: http://www.shmoocon.org/2008/videos/

Estos días no estuve posteando demasiado, mas que nada porque ya estamos mucho más ocupados con la organización de la ekoparty 2008. Aunque no se note demasiado en la web, desde Febrero que comenzamos a trabajar y ya para esta fecha esta todo mucho más movido.

Sin ninguna duda esta ekoparty va a ser excelente! hay muchas novedades y hasta condimentos externos que vuelven todo más interesante ;-)

Lo Último en Policy Enforcement

¿ Cansado de que los usuarios no cumplan con la política de la empresa ? ¿ Otra vez papelitos con la contraseña pegados en el monitor ? ¿ Los usuarios siguen chateando en horario laboral ?

Tenemos lo que usted necesita, realice en su oficina un Policy Enforcement con Terry Tate:

Nunca Confíes En Tus Herramientas

Todos los que trabajamos en seguridad utilizamos herramientas como Nmap para nuestras tareas diarias, y tomamos muchas decisiones de acuerdo a la información que obtenemos de ellas. ¿ Pero qué hacemos cuando estas herramientas no nos dicen toda la verdad ?

Un gran problema que tienen muchas herramientas, es que interpretan en lugar de decodificar.

Por ejemplo, cuando Nmap no recibe un RST o un SYN/ACK de un host, interpreta que "el puerto se encuentra filtrado". Cuando si solamente decodificara, debería decir "no he recibido ninguna respuesta del host". El trabajo de interpretar es del analista, y no del autor de la herramienta.

En el siguiente ejemplo, podemos ver que al escanear el puerto 80 de un host con Nmap, obtenemos que el puerto esta filtrado:

Ahora si mientras hacemos nuestro escaneo con Nmap, sniffearamos el tráfico con Wireshark, podríamos ver lo siguiente:

Como pueden apreciar, obtuvimos un paquete de error ICMP Host Unreachable. Esto significa que el firewall nos daba permiso para acceder al puerto 80, pero del otro lado no había ningún servidor que conteste a nuestro pedido.

En este ejemplo que hemos visto, Nmap claramente interpreto "el puerto se encuentra filtrado", cuando en realidad debería haber dicho "el puerto esta abierto pero del otro lado no hay nadie que conteste el pedido".

Esto para un consultor de seguridad es algo muy grave, ya que durante un PenTest podríamos pensar que nuestro cliente esta protegido, cuando en realidad tiene un puerto abierto que podría ser usado por un atacante para poner un backdoor.

Otro ejemplo muy claro, puede ser la vulnerabilidad que se descubrió hace poco en Snort, que permitía evadir la detección de un ataque. Si solamente confiáramos en Snort para detectar un ataque, nos estaríamos perdiendo de muchas cosas.

Por todo esto, nunca confíes en tus herramientas.

10km de Buenos Aires

Este post también se podría haber llamado, ¿ Qué hago acá un Domingo a la mañana ? pero la verdad es que la carrera estuvo muy buena!

Hoy a la mañana corrí los 10km de Buenos Aires organizado por BSAS Runners, una carrera diferente porque era por categorías de tiempo y no de edad. Aparte de estar muy bien organizada tuvo unas cuantas innovaciones que la hicieron excelente!

Leyendo algunos foros, parece que hubo algo de bronca porque había algunos vivos que por ejemplo se anotaban en la categoría de 47 a 51 minutos, y la corrían en 35, obviamente tendrían que haber estado en otra categoría.

Todavía no se publicaron los tiempos pero yo creo que la hice en poco menos de 49 minutos. Me había anotado en la categoría de 51 a 55, pero había 2 minutos de tolerancia, y aparte la única vez que corrí 10km fue el año pasado y los había hecho en 1 hora y 2 minutos, así que no podía saber que soy taaaan rápido... :-P

Le tengo que agradecer muy especialmente al amigo Matias Soler, a quien tuve el gusto de conocer en la ekoparty, y fue quien me consiguió la inscripción a esta carrera. Gracias Matias!

Temanme! Soy un CEH

Hace un rato termine de rendir el examen CEH "Certified Ethical Hacker" de EC-Council, y después de casi 4hs y 150 preguntas aprobé!

Así que ya saben, soy un Hacker Ético, y encima Certificado... :P

Libro "Hacking Etico"

El amigo Carlos Tori finalmente publicó su libro "Hacking Etico", y ya lo pueden reservar desde: www.hackingetico.com

Como se puede apreciar por el Temario, este libro es un excelente recurso de información para introducirse en las técnicas de intrusión, y conocer las acciones necesarias para asegurar la información.

También les recomiendo descargar la "muestra gratis" del libro en donde se detalla como crackear passwords utilizando Rainbow Tables.

Felicitaciones para Carlos!

Metasploit Hackeado

El ataque se realizo mediante un ARP Poisoning dentro de la misma VLAN en la que se encontraba el servidor de Metasploit. ¿ Cuantos ISP's toman precauciones contra un ataque tan viejo como este ?

NOT A CISSP

El viernes pasado en la Drunked Security Professionals, la meeting semanal que FedeK se encarga de organizar para reunir a los amigos que fueron a la ekoparty, Nico Waisman trajo de regalo para los presentes unos prendedores con el mensaje "NOT A CISSP":

Como no tenía nada que hacer, me puse a reflexionar sobre el significado que tiene este prendedor. En mi opinión, estamos hablando de algo mucho más profundo que el simple mensaje "No Tengo la Certificación CISSP", sino que también nos habla del valor que tienen hoy en día las certificaciones de seguridad.

CISSP es sin dudas una de las certificaciones más respetadas dentro de la seguridad. No solo hay que rendir un examen, sino que para poder rendirlo te tiene que recomendar otro CISSP, hay que poseer varios años de comprobada antigüedad como profesional, y en algunos casos hasta pueden llegar a hacerte una auditoria para comprobar tus antecedentes.

Pero poseer una certificación como CISSP, ¿ es realmente un aval del conocimiento práctico que puede tener un profesional en la vida real ?

¿ Porqué algunos avisos de trabajo para el área de seguridad de Google tienen la leyenda casi desafiante: "CISSP not required. Relevant experience must be hands-on." ?

En el caso particular de CISSP, pienso que esta más orientada a managers que técnicos, y si bien creo CISSP avala una excelente base de conocimientos de seguridad en un profesional, definitivamente esto no significa experiencia práctica en la vida real.

Escucho sus comentarios...

Evadiendo Snort con Paquetes Fragmentados

Hace unos días, iDefense publico un advisory sobre una vulnerabilidad en el preprocesador Frag3 de Snort que permitiría evadir la detección de un ataque con paquetes fragmentados.

Definitivamente esta vulnerabilidad no tuvo el mismo impacto mediático que la catástrofe criptográfica de Debian, pero que todas las redes protegidas por Snort, hayan sido susceptibles a ataques de los que nadie se ha enterado, no es para nada poca cosa.

Parte del advisory de iDefense decía lo siguiente:

"Due to a design error vulnerability, Snort does not properly reassemble fragmented IP packets. ... In order to exploit this vulnerability, an attacker would have to fragment IP packets destined for a targeted host, ensuring that the TTL difference is greater than the configured maximum. By default, the maximum difference is 5."

¿ Cuál es el problema ?

Básicamente, el problema se debía a la opción "ttl_limit" de frag3, que por default tiene un valor de 5. Esto significa que si llegaba un fragmento con una TTL de 40, y luego otro con una TTL de 46, debido a la vulnerabilidad encontrada estos fragmentos no serían controlados por la política de Snort.

Al parecer esto se debió a un error de concepto introducido en Snort 2.6 y 2.8, y que ha sido corregido por Sourcefire en el nuevo release 2.8.1. iDefense también propone un workaround a este problema, que consiste en llevar el "ttl_limit" a su valor máximo de 255.

¿ Qué es frag3 y porque controla la TTL ?

frag3 es un preprocesador de Snort. Un preprocesador sirve para detectar ataques que no pueden ser detectados mediante una comparación de firmas, o para normalizar datos que luego si puedan ser detectados por comparación de firmas. En particular, el preprocesador frag3 se encarga de reensamblar paquetes fragmentados para poder comparar el payload con firmas de ataques.

Una de las técnicas mas usadas para evadir un IDS es la fragmentación de paquetes, por lo que frag3 no solo reensambla los paquetes, sino que también verifica que no se este intentando realizar una evasión mediante paquetes fragmentados, y aquí es en donde entra en juego el control de la TTL.

frag3 posee 2 opciones para controlar la TTL, una es "min_ttl" y la otra es "ttl_limit", en la cual se descubrió la reciente vulnerabilidad. Veamoslas un poco más:

- min_ttl: Indica el valor mínimo de TTL que debe tener un paquete para ser aceptado. Esto es útil para detectar ataques de evasión en los que entre nuestro IDS y el target hay un router. La idea de estos ataques es enviar un paquete fragmentado con una TTL muy chica que al pasar por el router expire.

Por ejemplo, mandamos 3 paquetes fragmentados a un target, el primero y el tercero poseen un payload de ataque y una TTL alta, mientras que el segundo paquete posee un payload con datos basura y una TTL muy chica. Cuando Snort reensamble los 3 paquetes, se mezclará el payload de ataque con los datos basura, y ninguna comparación de firmas detectará el ataque. Como el segundo paquete tiene una TTL muy chica, va a expirar cuando pase por el router, y solamente llegarán al target el primer y el tercer paquete, que efectivamente tenían el payload de ataque.

- ttl_limit: Como ya dijimos, esta opción controla la diferencia máxima del valor de la TTL que puede haber entre paquetes fragmentados con el mismo ID de fragmentación. Según se ha publicado, esto es un error de diseño que ya se venía arrastrando de versiones anteriores de Snort con frag2, y que en el futuro será descontinuado.

Al parecer, esta opción fue agregada porque herramientas como Fragroute, para realizar ataques de evasión con paquetes fragmentados, configuraban los campos de los paquetes con valores al azar que raramente se veían en tráfico normal. Por ejemplo, una diferencia de TTL de hasta 5 saltos podría llegar a ser normal ya que es posible que un paquete haya tomado una ruta mas larga, pero según entiende Snort más de 5 saltos ya es algo más raro.

Bueno, saludos a todos los administradores de Snort que seguramente deben tener mucho trabajo, primero corrigiendo esta vulnerabilidad, y después averiguando si en algún momento los han hackeado sin enterarse ;-)

Más info:
- iDefense Advisory
- Diff for /preprocessors/spp_frag3.c
- Snort: Frag3
- Eluding Network Intrusion Detection
- SecurityFocus: Evading NIDS, revisited