domingo, 27 de septiembre de 2015

Unidad 1 Tareas Continuacion II

Llegamos a la ultima tarea propuesta, un poco de criptografia

Y en la tarea se describe brevemente el uso de herramientas criptograficas.

Si bien se proponen distintas herramientas y se sugiere la utilizacion de linea de comando, elegiremos el camino grafico con la herramienta GPG4Win la cual descargaremos desde su sitio oficial http://www.gpg4win.org/

Como recomendacion adicional a lo propuesto en la tarea, a quienes esten interesados un poco mas en  la historia de la criptografia moderna, les recomiendo leer la apasionante historia de la maquina enigma escrita por Roman Ceano en mas de 100 capitulos http://www.kriptopolis.com/enigma y para quienes quieran aprender sobre algoritmos criptograficos modernos y totalmente en español, recomiendo http://www.criptored.upm.es/crypt4you/portada.html pero en este ultimo caso habra que tener una muy buena base matematica :)

Aca les presento la tarea:

TAREA 3: Una sencilla práctica sobre criptografía(NOTAEsta actividad es una práctica que os servirá para la resolución del enigma que se planteará al final de la unidad 2 de cara a acceder a la propuesta del RETO)
Descripción de la tareaQuizás hayas oído hablar sobre Pretty Good Privacy (PGP), aplicación software comúnmente utilizado para cifrar y firmar digitalmente el correo electrónico, el cual permite cifrar, descifrar y firmar además del correo electrónico, diferentes tipos de archivos.  Así se proporciona integridad, privacidad y autenticación a la comunicación de datos.
A su vez, debido principalmente al carácter privado de PGP, la IETF (Grupo de Trabajo de Ingeniería de Internet) definió y ahora mantiene mediante el OpenPGP Working Group el estandar de Internet OpenPGP. Este estándar se define en el RFC 4880 y se utiliza como base en programas como el GNU Privacy Guard abreviado comúnmente como GnuPG o GPG. Este  programa lo desarrolla el Free Software Foundation. Distribuido libremente mediante la licencia General Public Licence (GPL), GPG ofrece una interfaz de línea de comandos aunque también existen diversas interfaces de usuario gráficas. Estos son algunos de ellos:
1.  Windows 2.  Mac OS X 3.  Linux
  • Seahorse (Gnome/xfce)
4.  Más herramientas aquí.
En esta tarea te proponemos el intercambio de un archivo cifrado y firmado digitalmente. Para ello será necesario trabajar en grupos de al menos dos personas. A grandes rasgos, cada integrante del grupo generará un archivo de texto (mensaje), lo cifrará con la clave pública de un tercero y a su vez, compartirá el mensaje cifrado con el propietario de la clave pública para que éste lo descifre utilizando su clave privada.
Aunque se puede utilizar cualquiera de las herramientas descritas en el párrafo anterior, a modo de ejemplo se ha empleado gpg2, el cual permite realizar las operaciones necesarias mediante la línea de comandos. A grandes rasgos, estos son los pasos a seguir:
1.  Generar un nuevo par de claves (pública y privada):
  • $ gpg2 --gen-key
2.  Exportar la clave pública generada en binario y el modo ASCII blindado
  • $ gpg2 --export nombre_usuario > nombre_usuario-pub.gpg
  • $ gpg2 --armor --export nombre_usuario > nombre_usuario-pub-asc.gpg
3.  Compartir con un tercero la clave pública exportada y obtener el suyo
4.  Importar la clave pública de un tercero
  • $ gpg2 --import nombre_usuario2-pub.gpg
5.  Generar un archivo de texto y firmarlo y cifrarlo.
  • Modo binario
- >   $ gpg2 --recipient nombre_usuario2 --sign --encrypt test.txt
  • Modo ASCII
- >   $ gpg2 --recipient nombre_usuario2 --armor --sign --encrypt test.txt6.  Enviar y recibir el mensaje cifrado al compañero de la tarea
7. Descifrar el mensaje recibido mediante nuestra clave privada, el proceso verifica la firma
  • Modo binario
- >   $ gpg2 --decrypt test.txt.gpg > test.txt
  • Modo ASCII
- >   $ gpg2 --decrypt test.txt.gpg > test.asc.txtUna vez realizados los pasos, el compañero debería de ser capaz de interpretar el mensaje que se le ha enviado.
Para más información podéis descargar el siguiente tutorial donde se detalla paso a paso el uso de la herramienta Gpg4win al igual que la interfaz Kleopatra para la generación de claves, el cifrado y el descifrado de archivos.

Descargamos e instalamos PGP4Win en su version mas reciente.
Iniciamos Kleopatra y generamos los nuevos certificados
Seguimos los pasos del Wizzard, completamos nuestros datos y ponemos una contraseña. Yo recomiendo que la misma tenga fortaleza en cuanto al largo y complejidad. Matematicamente es mejor para la fortaleza el largo que la complejidad, pero eso podremos verlo otro dia en un post aparte :)

Podemos tanto encriptar y firmar un archivo, como asi tambien un texto que tengamos copiado en nuestra memoria, habiendolo seleccionado y copiado antes.
En este primer caso veremos algo asi al firmarlo y encriptarlo
Y al desencriptarlo y verificar la firma
Para el caso de copiar un texto y firmar y cifrar ese texto este sera nuestro resultado

Ahora nos queda pendiente intercambiar firmas y archivos con otros colegas del curso...
Esta tarea la realizamos con Melvin Soler, abajo los resultados


Espero que todos puedan terminar la tarea, si alguien mas necesita colaboracion o intercambiar firmas, aca estoy para ayudar.


Publicado por en No hay comentarios:

sábado, 26 de septiembre de 2015

Unidad 1 Tareas - Continuacion

Continuamos con las tareas propuestas para la primer unidad.

Aca presentamos la tarea 2

TAREA 2: Búsqueda y puesta en común de recursos

Internet es un gran espacio para relacionarse con otros usuarios pero ante todo es una gran biblioteca que está en continuo crecimiento. En esta tarea te proponemos que identifiques tres espacios web relacionados con la temática de este curso. Dos de ellos deben ser sitios que puedan ser considerados relevantes por la cantidad y calidad de recursos que ofrecen sobre Hacking. Pueden ser blogs personales, sitios web de organizaciones, empresas o grupos de usuarios de la red que comparten contenidos de calidad sobre Hacking.

El tercer sitio web debe ser un espacio de encuentro entre interesados en el Hacking, pueden ser foros, grupos o comunidades en redes sociales, un hashtag en Twitter, etc. en general un sitio donde sea posible interactuar con otros usuarios, hacer preguntas y participar de forma activa en conversaciones.

A continuación abre un artículo en tu blog y anota en él los tres recursos que has identificado indicando los aspectos más relevantes de cada uno de ellos y los motivos por los que los has seleccionado entre otros posibles recursos.
Mi primer propuesta es sin duda el blog de segu-info, http://blog.segu-info.com.ar/ participo activamente como redactor desde el año 2005 y lo considero uno de los sitios de seguridad en español mas relevantes.
Cuenta con mas de 17 mil articulos y muchos de ellos investigaciones exclusivas por parte de sus colaboradores y redactores.
Ademas considero a Cristian Borghello, Director de Segu uno de los referentes en materia de seguridad.


En mi segunta eleccion, coincido con Ana y su eleccion de Flu Project http://anaglezmoochackingmu.blogspot.com.es/2015/09/unidad-1-tarea-2.html
Los chicos de flu. Jose Antonio y Pablo son dos colegas muy reconocidos y me encanta el proyecto flu. http://www.flu-project.com/

Finalmente, para la tercer eleccion, el mejor punto de reunion de Hackers, con una comunidad  muy activa http://comunidad.dragonjar.org/ y material sumamente interesante, no podia dejar afuera a DragonJar http://www.dragonjar.org/  
Fundado por el colega colombiano Jaime, quien tambien es un profesional muy reconocido en el mundo de la seguridad.
Espero que todos los sitios les sean de utilidad, no querria terminar el post sin dejar en el olvido otras fuentes de informacion permanente, tanto blogs personales como sitios oficiales como

 http://www.seguridadjabali.com/

 http://www.elladodelmal.com/
http://www.cyberhades.com/
http://www.cert.org/
https://cve.mitre.org/
https://nvd.nist.gov/home.cfm
http://www.nist.gov/
https://www.exploit-db.com/google-hacking-database/
https://www.incibe.es/
Y muuuuchos otros
Publicado por en No hay comentarios:

Unidad 1 Tareas

Para cada unidad tendremos material de lectura e investigacion, iremos poniendo los resultados de las tareas propuestas

TAREA 1: Herramientas básicas para obtener información de servidores externos

Las siguientes herramientas son especialmente útiles para empezar a obtener información de los servidores que queremos poner a prueba. Te proponemos que las descargues y te familiarices con ellas.
  1. Ping: Utiliza la herramienta ping desde la terminal de tu ordenador para comprobar si están disponibles los siguientes hosts:



2. Whois: Comprueba si esta herramienta está disponible para tu Sistema Operativo. Si es así descárgala y si no usa su versión online (http://ping.eu/ns-whois/). A continuación busca información sobre el dominio que estás investigando. Encuentra la persona que figura como contacto técnico y como contacto administrativo. Esta información puede servir a un hacker para contactar directamente con las personas adecuadas dentro de la empresa (nota: Kevin Mitnick era un experto en colarse en las empresas vestido con un uniforme de asistencia técnica y preguntando por las personas adecuadas).
Buscamos la informacion para el primer dominio propuesto y se informa que es necesario consultar con http://www.nic.es quien seguramente sera una importante fuente de informacion para nuestras investigaciones

Consultando en http://www.nic.es vemos que por supuesto el dominio solicitado esta registrado, por eso teniamos respuesta a nuestro ping


Ahora consultaremos por mas datos del dominio y el sistema nos proporciona un captcha https://es.wikipedia.org/wiki/Captcha para demostrar que somos humanos solicitando la informacion





Una vez completado el captcha tenemos acceso a la informacion y ya cumplimos con este objetivo de conocer quienes son los contactos tecnicos y administrativos del sitio




3. Nmap: Descarga la herramienta Nmap y analiza alguna de las anteriores direcciones. A continuación explica qué puertos están abiertos y cuál puede ser la razón. Nmap también intenta identificar los sistemas operativos y las aplicaciones que están corriendo en el servidor que estás investigando. Identifica alguna aplicación en el servidor y consulta en la página de la Base de Datos de Vulnerabilidades Nacional de Estados Unidos (NVD) a cuántas vulnerabilidades está expuesto.

Optamos por la version grafica para Windows de Nmap llamada Zenmap para mostrar la version grafica de la herramienta. La descargamos del sitio oficial https://nmap.org/zenmap/ y corremos un scaneo contra el primer objetivo www.google.es

Para esto buscamos el IP obtenido en el ping y lo agregamos en target en la herramienta Zenmap como mostramos a continuacion



Obtenemos los primeros datos de nuestro objetivo


Ahora que sabemos que tiene abiertos los puestos 80 (hhtp) y 443 (https) queda utilizar los datos obtenidos y consultar con la Base de Datos de Vulnerabilidades Nacional de Estados Unidos (NVD) a ver a cuántas vulnerabilidades está expuesto.

Buscamos las relacionadas con el puerto 443 y nos aparecen gran cantidad... quedara investigar mas sobre nuestro objetivo para la proximas tareas.


Espero que lo hayan disfrutado!!!

 Adolfo Fioranelli, de la redaccion de Blog Curso Hacking Etico Universidad Mondragon - AF
@adolfofioranell
Publicado por en No hay comentarios:

Bienvenidos

Bienvenidos al blog.

Cree este blog con el objetivo de ir siguiendo el curso de Hacking Etico ofrecido por la Universidad de Mondragon en el año 2015

Desde las entradas iremos siguiendo las distintas unidades y ejercicios propuestos para el curso y espero que la informacion le pueda servir tanto a quienes esten realizando el curso como a quienes den con el blog a traves de una busqueda especifica.

Con esta introduccion me presento brevemente, soy Adolfo Fioranelli, apasionado de la Seguridad de la Informacion desde muy chico y trabajo desde hace unos 15 años en puestos relacionados con la SI (Seguridad de la Informacion).

Ademas soy desde hace unos años docente de telecomunicaciones como docente certificado del CCNA (Cisco Certified Network Asociate) y a pedido de algunos de mis alumnos arme una capacitacion de Seguridad a medida con los temas que mas me gustaban para que las clases sean educativas y divertidas :)

Tambien soy redactor y colaborador del blog de seguridad Segu-Info http://blog.segu-info.com.ar/ desde el año 2005.

Espero que encuentren interesante o al menos util la informacion que iremos agregando del presente curso MOOC de la Universidad de Mondragon https://mooc.mondragon.edu/


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)