La Complejidad Ciclomática en Desarrollo de Software y su Impacto en la Ciberseguridad
Hoy un hilo sobre desarrollo, buenas prácticas y como pueden hacer eco en la seguridad del software
Tranqui, no va a ser tan espeso como crees :)
Enga, al lío! 👇
Imágenes "Bomba" y como liarla con una imagen PNG
Hoy vamos a ver como con una imagen te puden hacer una denegación de servicio, like a boss.
Ale, al turrón! 👇
Mi mujer me acaba de desbloquear un TOC XD
En la web de Renfe:
Todos los números 8 están al revés. Es sutil. Pero están
Dice que lleva así desde siempre. Yo me acabo de dar cuenta
Pasando desapercibido y engañando a los “hackers”.
Si tienes sistemas en producción, seguro que recibirás ataques día sí, día también.
Hoy os cuento cómo hacer que los ataques no den pie con bola o… sistemas anti-fingerprinting
Ale, al turrón! 👇
Secuelas o experiencia?
Llevo 20 años dedicado a ciberseguridad. He visto muchas cosas. Muy bizarras.
Después de tanto tiempo me he vuelto increíblemente desconfiado y bastante paranoico. En muchos aspectos de la vida, no sólo en lo profesional.
Estoy seguro que todos los que
🧠 Hackeando humanos :)
Lo prometido es deuda, así que hoy vamos a ver un poco sobre ingeniería social y técnicas de manipulación.
Es un hilo chungo? Naaaa, más bien curioso y divertido 😉
Al turrón! 👇
Recibir notificaciones Push en tu móvil, sin tener que hacerte tu propia App 📲
Es una tontá que me cambió la forma de recibir mensajes urgentes.
Enga, al turrón 👇
Los hilos en Python son MENTIRA
Si pensabas que tu código estaba super optimizado solo por usar hilos: lo siento pero…NOP
En la chapa de hoy: Hilos en
#Python
Primero: Conceptos básicos que necesitamos tener claros: Concurrencia vs paralelismo 👇
He vuelto a poner GRATUITO mi libro de:
"Hacking y manipulación de paquetes IPv4 con SCAPY"
El link os lleva para pillarlo "by the face" :)
Que rule! 😁
El otro día vi este SSID en
#rootedcon
Cuando lo vi me hizo muchísima gracia.
El tema es que después se lo he enseñado a varias personas y no entienden el chiste.
Vosotros lo entendéis, verdad?
Ofuscando código de Python con ingenio 💡
La idea es evitar que herramientas de análisis, o incluso personas, sean capaces de averiguar qué hace un trozo de código de Python.
Al turrón! 👇
#python
Ojito con el módulo “random” de Python
El módulo de Python “random” NO DEBERÍAS USARLO para crear secretos. Es decir: contraseñas, tokens, semillas criptográficas o similares.
Sep. Ya se que creías que era mu aleatorio y muy seguro, pero… nop, lo siento.👇
Kubernetes vs Swarm… tras sufrirlos 😩
Sus mierdas, sus cosas buenas, o cuándo usar uno u otro; según mi experiencia.
Este es el análisis que me hubiera gustado leer a mi cuando empecé con ellos.
Ale, al turrón! 👇
Acabo de publicar las transparencias de mi presentación de Navaja Negra:
"Protege tu Python... porque si es tan malo como suena, mejor que nadie lo vea"
He subido todo el código con ejemplos a un repositorio de GitHub (está la URL en las slides).
Mañana pondré gratuito, durante 48 horas, el curso de:
“Ocultación y ejecución de código Python”
“Aprenderás trucos para que tu código pase desapercibido, ya sea para ojos curiosos o para esos molestos analizadores de código.”
Voy a contar una batallita de mi primer trabajo en ciberseguridad.
Para que veáis que bonita es la ignorancia y que nadie nacemos aprendidos. La voy a titular:
“Las auditorías de GSM y los satélites”
Venga, a echar una risas! xD 👇
Vamos a ver cómo ejecutar una bomba lógica en una GitHub Action.
Es muy simple.
Os dejo el código primero y después explico:
Para que no se me quede muy largo lo explico en mini-hilo 👇
Truco rápido para hacer un bypass del WAF de AWS:
Generar bodys de más de 8k (para load balancers / 16k (API Gateway, cloud front o Cognito) en las peticiones HTTP
Con esos tamaños, AWS WAF deja pasar la petición sin inspeccionar …
¿Que podría salir mal en un tren con 3h de viaje por delante donde la cobertura 4G/5G flojea?
Pd: No os conectéis nunca a redes Wifi públicas abiertas.
#flipperzero
#evilportal
#wifimarauder
Cuál es la cosa más bizarra que os han dicho cuando habéis presentado el informe tras un Hacking. Esta es la mía:
Encontramos un XSS en la Interfaz de administración de un conocido fabricante de circuiteria de red.
Obviamente lo explotamos. Pusimos las evidencias en el informe.
Últimamente veo muchos másters de especialización
Sobre todo de IA y ciberseguridad
Casi todos lo mismo:
“no se necesitan conocimientos previos”
Si no necesitas conocimientos previos de nada NO es especialización, no os la cuelen.
Cursos de “0 a experto” suelen ser un timo
En mi github tengo accesible mi libro gratuito "Seguridad del protocolo SSL/TLS. Ataques criptoanalíticos modernos". Todavía sigue siendo una de las mejores formas de aprender criptografía con ataques reales - Difundan la palabra :) -
Haces un proyecto que se llama: "Vulnerable Node" y lo publicas en GitHub
No paras de recibir Pull Request parcheando los SQL Injections.
La gente no lee una mierda antes
Hace poco descubrí Ngnix Unit.
Algo a caballo ente servidor de aplicaciones y un Nginx clásico.
Puede gestionar aplicaciones hechas en: Java, Ruby, Python, PHP, Go o NodeJS
Lo conocías? Tienes experiencia en el?
Este es uno de los vídeos favoritos de mis alumnos de mi asignatura de: manipulación e ingeniería social.
Es parte del tema de las reglas de manipulación de masas de Noam Chomsky.
Me parece una genialidad
El vídeo es un fragmento de la serie “House of Lies”
Que os parece 😉
Se que es una tontería, pero me sigue haciendo mucha ilusión cuando veo en un libro de seguridad informática una referencia a una charla que di en
@rootedcon
hace unos años
A vosotros también os pasa que los cursos, tutoriales o vídeos en general los tenéis que ver, como mínimo, a 1.75x (y lo normal a 2x) o vuestro cerebro se aburre y se va, o sois normales? XD
Los hackers y pen-testers son medio mentalistas y no lo saben xD
¡¿Qué no?!
Un tío/tía intentado de crujirse un sistema que ha programado otra persona. Que normalmente no conoce. Que no sabe qué ha hecho, ni cómo. Esta tratando de adivinar qué se le puede haber pasado por alto
Qué formas de protección tendríamos de cara del servidor.
Es muy sencillo: comprobar que una imagen es lo que dice ser y limitar tamaños.
Aquí un ejemplo de código:
Por fin publico!
Hoy, algo en lo que llevamos casi 2 años de trabajando ha visto la luz.
API Capture:
Una herramienta para crear y mejorar definiciones de API REST donde no las hay
Mañana haré un hilo al respecto. Es brutal :)
Acabo de descubrir esta maravilla: Generado de números válidos de documentos Españoles: DNI, pasaportes, IBAN, CC.... una maravilla para hacer pruebas y test de integración
Creo que ya se puede decir: este año seré ponente en Navaja Negra.
Mi charla:
“Protege tu Python… porque si es tan malo como suena, mejor que nadie lo vea”
La charla es un poco fumada e irá sobre cómo ocultar y ofuscar código de Python.
Como “Brainfuck” final enseñaré cómo
Hoy he descubierto esta maravilla:
Editor de markdown online. Colaborativo. Privado y público. Sincroniza con GitHub,Dropbox o Drive. Con syntax highlighting. Comentarios inline.
Una maravilla para equipos
PD: No pagan nada por la publicidad
Que es mejor como broker de mensajería: Redis o RabbitMQ?
En resumen:
Si buscas persistencia, asegurar la entrega, alta resiliencia, alta escalabilidad, entonces: RabbitMQ
Si buscas algo rápido y razonable: Redis
En estas notas está explicado genial:
Estas afirmaciones son peligrosisimas, además de ser mentira.
Hacienda NO PUEDE infectar tu móvil ni acceder a los datos de tu dispositivo SIN ORDEN DE UN JUEZ
Recolectar información PÚBLICA NO ES INFECTAR tu móvil
Por favor, dejad de decir estas jilipolleces
HACIENDA INFECTA TU MÓVIL PARA ESPIARTE
El recaudador español ha comprado un ciberarma israelí para clonar tu móvil y controlar todo lo que haces
Te voy a enseñar a engañar al GPS, a blindar tu móvil y a defenderte de esta terrible agresión a tu libertad
¿Cómo? Dentro hilo 👇
Hoy he probado JumpDesktop pare conectarme al ordenador de mi oficina desde una sala de reuniones y he flipao.
Como si estuvier trabajando en mi PC remoto. Las personas a quiene les he hecho la demo ni se han dado cuenta de que no era mi PC local.
0 lag. Ni un glitch
Por fin publico!
Hoy, algo en lo que llevamos casi 2 años de trabajando ha visto la luz.
API Capture:
Una herramienta para crear y mejorar definiciones de API REST donde no las hay
Mañana haré un hilo al respecto. Es brutal :)
No está mal esta chula sobre buenas prácticas en Dockerfiles
PERO PERO PERO
IMO usar versiones específicas no está mal, pero NO es bueno desde el punto de vista de seguridad
Por qué?
Fácil 👇🧵
#docker
#dockerfile
Y otras más!
Esto es un no parar…
Estoy esperando ver las inversiones en ciber que van a provocar.
O, lo que es lo mismo, que le den unos millones a Indra para que contraten a 4 becarios por 2 duros
En serio ya:
O nos vamos poniendo las pilas, o va ir de mal en peor
Bueno, pues ayer descubrí estas 2 maravillas que hacen que mi odio al desarrollo del front web se relaje bastante.
CSS:
Bulma CSS
Me encanta lo simple que es. Y más viniendo de Bootstrap o TailwindCSS.
Para Javascript…
Hace unos años escribí mi primer libro multimedia (más de 40 videos integrados): "Hacking y manipulación de paquetes IPv4 con Python y Scapy". A pesar de los años Scapy sigue siendo un framework de seguridad de redes impresionante
#seguridad
#scapy
Me ha llegado, no recuerdo por dónde, esta chuleta con trucos de productividad
En mi caso, la que más me cuesta es aprender a delegar.
No solo no es fácil el asumir que hay cosas que ya no vas a hacer tú…
Intérprete remoto de Python for fun :)
En el hilo de hoy no os cuento el típico código para hacer una shell remota. Está muy visto ya.
Estoy casi seguro de que esta no te la sabes :)
Ale, al turrón! 👇
#python
#ciberseguridad
Estoy leyendo el código fuente de Python (cada uno tienes sus hobbies, vale! xD).
Cada vez que veo que NO CUMPLEN el PEP-8 en el propio core... el universo mata un gatito.
Y, creedme, con el core de Python mató muchos muchos
Busco a 5 personas para asistir a taller privado on-line de 1,5 horas (gratuito, por supuesto) de un nuevo Lenguaje de Programación para Seguridad Open Source que hemos creado y que nos deis vuestro feedback. Si a alguien le apetece que me escriba por privado!
Bueeeeno, la primera clase de mi asignatura del Master de ciber seguridad, ya está dada.
Todos los años me quedo con la misma duda: si le resultará interesante el tema o se la suda.
Yo creo que los alumnos se han entretenido y les ha gustado.
Misión cumplida.
Por sino os habéis enterado de la movida de Redis:
Redis ha cambiado su modelo de licenciamiento (está de moda esto últimamente, por lo visto)
Ahora ya no se puede usar tan alegremente como antes. Esto aplica más a entornos corporativos y empresas
Tu PC “viaja” en el tiempo y tu no lo sabías 🎇
De hecho, lo puede hacer hasta varias veces al día :)
Este hilo es un poco fumada, pero estoy seguro de que te va gustar.
Enga, al lío! 👇
Los más obvio: que nadie nacemos sabiéndolo todo.
Segundo: No tengas miedo de hacer el idiota y déjate ayudar. Así es como se aprende. No temas preguntar.
Tercero, si eres Senior: No seas imbecil, ni prepotente y ayuda a los nuevos. Un día tu lo fuiste.
Pues una cosa a llevado a la otra y entre
@mindcrypt
@patowc
y un servidor, esta
@rootedcon
vamos a presentar nuestra nueva locura:
¿Qué de qué va?
Un proyecto con el que vamos a intentar tener charlas que molen con gente que aún no conoces :)
Me escriben de Manning (la editorial).
Que si quiero ser revisor de un libro que van a sacar de seguridad en APIs. Tengo que leer como un cabrón y encima tengo un deadline de 2 semanas.
- Cuánto pagan por ello, pregunto?
- Nada, me responden. Pero te mandamos un copia de libro
Sobre Redis y securización
Estoy viendo que nadie tiene NPI de cómo se hace un hardening de Redis.
Más allá de las DMZ, SSL y esas cosas de despliegue y que poco tienen que ver con la configuración de seguridad de Redis en si misma… nada de nada
Pregunta de ACLs:
Bueeeno, despues de mucho pelearme con Jekyll, acabo de lanzar (por fin! mi nuevo blog).
El primer artículo:
Rompiendo el CI/CD usando repositorios Git maliciosos
La infraestructura tecnológica de una startup que acaba de empezar vale dos duros
Hoy me acordaba de una conversación que tuve el otro día con un cliente
Me comentaba que el coste que tenían de infraestructura rondaba los 2000-3000 € al mes
Conoceís servicios que, cuando subes imagen:
- Las redimensionen o las retoquen?
- Creen minituras de ellas?
Pues eso
Pues...salvo que hagan escrito el código muy muy bien, tienen que descomprimir la imagen en memoria primero :)
No la lieis!
Por cierto: conocíais este ataque?
Como conclusiones:
- La bombas lógicas son conocidas, Zip Bombs por ejemplo, pero bombas en imágenes se suele hablar poco.
- Es realmente sencillo crear imágenes más optimizadas en tamaño todavía.
- NO es una vulnerabilidad. Es una explotación de funcionalidad.
Curso de intro al reversing con beneficio a Médicos si Fronteras "Core Security – Curso de Introducci��n al Reversing a beneficio de Médicos sin Fronteras" con los geniales
@ricnar456
y Daniel Kazimirow