Ya se viene DEFCON 26

Durante mas de 20 años las vegas concentra a una gran cantidad de entusiastas en Seguridad Informática.

Este 2018 se celebra DEFCON 26 - LAS VEGAS durante las fechas del 9 al 12 de Agosto, en Caesars Palace. Este año se espera que alrededor de 22000 lo cual hace que sea uno de los eventos mas grandes de seguridad informática a nivel mundial.

El 2017 tuve la oportunidad de asistir al evento por lo cual me gustaria compartirles mi punto de vista y algunos consejos.

El evento es excelente gran parte de las personas es especialista, y se aprende mucho acerca de nuevas tecnologías y formas de intrusión, y la comunidad Latina no se queda atras en 2017 Salvador Mendoza brindo una charla muy interesante sobre MagStripe. 

Algo muy interesante es Visitar las Villas, son zonas especializadas en alguna area en especifica:

• IOT village
• Biohacking Village
• Packet Hacking Village
• Crypto & Privacy village
• Wireless Village
• Lockpicking village
• Hardware Hacking Village
• Social Engineer Village
• Entre muchos otros mas informacion de las Villas en este 2018 aquí

Por otra parte también es recomendable llevar dinero extra ya que muchos vendedores de Hardware tienen un espacio para vender interesantes dispositivos, y es muy recomendables comprarlos allí ya que muchas veces es el unico lugar donde los puedes adquirir a precios bajos.

Resguarda la comunicación:

Imagínate que habrán 22000 personas que tienen interés en seguridad informática de todas partes del mundo, alguno de ellos estará interesado en tus datos , entonces cuida tus comunicaciones. En el evento existe personas muy capaces y siempre sera bueno resguardar tu información.

Para resguardarte puedes tomar medidas básicas como por ejemplo no conectarte a redes libres o publicas, por otro lado procura que tus conexiones estén seguras a través de un VPN.

Acerca de LAS VEGAS

Tal vez no todo el día pases dentro del Congreso por lo cual puedes disfrutar de los placeres que trae las Vegas, ademas no olvides que las vegas esa situado sobre un desierto entonces hace mucha calor, y siempre debes de estar hidratado, Las Vegas es relativamente Costoso pero como en todo lado hay precios bajos y altos para diferentes actividades.

Nos vemos en las Vegas  :)

#HappyHackers

Reconocimiento Óptico de Caracteres, Un ejemplo

Hace algunos días me encontré con algunos sistemas CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) bastante peculiares en Internet con algunas características interesantes como el uso pocos colores(1,2,3), con zonas determinadas, una fuente sin curvaturas, etc,etc.

Quiero compartir un pequeño análisis

Tomaremos por ejemplo los siguientes CAPTCHAS:

Figura 1: Ejemplo Numero 1

Figura 2: Ejemplo Numero 2

Figura 3: Ejemplo Numero 3

Análisis:

Cada imagen presenta 2 colores primarios, existe una degradación entre estos colores con una serie de letras y números en el centro de la imagen.

Figura 4: Colores primarios

Al ser una imagen sencilla se resolverá en 2 pasos:

Paso 1.-

Se debe colorear cada pixel que no sea una letra de color blanco, para esto usaremos los códigos RGBA seleccionando cada pixel que no cumpla con el patrón

• R > 170  
• G > 220
• B < 250 

Si se cumple el pixel se pinta de Blanco y en lo contrario de Negro.


for y in xrange(alto):
        for x in xrange(ancho):
            if (pixel[x, y][0] > 170) and (pixel[x, y][1] > 220) and (pixel[x, y][2] < 250):
                pixel[x, y] = (0, 0, 0, 255)
            else:
                pixel[x, y] = (255, 255, 255, 255)


Paso 2 .-

En la parte inferior, alrededor del 75% al 100%(tomando como punto de partida la parte superior) cumplen con el patrón anteriormente mencionado, pero al ser una zona de la imagen que no presenta pixeles significativos para este análisis, se pintan todos de Blanco.


ancho = img.size[0]
alto = img.size[1]

altom = img.size[1] * 0.78

for y in xrange(int(altom),alto):
        for x in xrange(ancho):
            pixel[x, y] = (255, 255, 255, 255) 

Estas tareas realizan modificaciones en la imagen permitiéndonos obtener lo siguiente:

Figura 5: Salida de la imagen modificada.

Pytesseract


Pytesseract es una librería para python que sirve como Python wrapper para Google Tesseract, permitiendo reconocer y/o "leer" el texto incrustado en las imágenes.

Entonces usaremos el método image_to_string y limpiando la salida de cualquier cosa que no sea un numero o letra, como se muestra continuación:

print "Opcion 1: ",

    text1 = image_to_string(img)

    salida1 = re.sub('\W+','', text1 )

    print salida1

Así también se uso otra técnica de escalar la imagen  

big = im_orig.resize((ancho * porcentaje,alto * porcentaje), Image.NEAREST)

y luego analizar esta nuevamente con Pytesseract.

El script Completo se puede encontrar en mi github:

• https://github.com/lorddemon/ocr-webxix.git

Uso: python websis-ocr.py 15.jpg

Tomando en cuenta la siguiente imagen:

Figura 6: Archivo con el nombre 15.jpg

Figura 7: Uso del Script.

Conclusiones:

Es relativa mente sencillo crear un script para romper un Captcha sin mucha complejidad(toda la tarde de un sabado), se recomienda utilizar:

• https://www.google.com/recaptcha

Muchas gracias por su tiempo:

• Pueden seguirme en twitter @lorddemon

¿Que puedes hacer los Sabados?

|Lo mejor que se puede compartir es el conocimiento.

-Alain Ducasse-

Cuando me di cuenta que pasaría mucho tiempo en Panamá, empezamos a conocer mucha personas interesadas en seguridad informática, en las distintas universidades donde nos invitaban.

Entonces con @crhystamil planificamos crear un grupo de aprendizaje en el área de Seguridad Informática (tenemos experiencia con un grupo similar en SCESI-UMSS en Cochabamba - Bolivia) y @aandradex también se puso manos a la obra, con todo el apoyo posible.

Entonces después del FLISOL 2016 Panamá se hizo la invitación para poder formar un grupo de aprendizaje en Seguridad Informática.

Desde el inicio hasta la fecha de hoy fueron parte del grupo una gran cantidad de personas, en su mayoría estudiantes universitarios, pero también profesionales que trabajan en el área. El enfoque de aprendizaje del grupo fue cambiando, desde temas de Seguridad Web, Seguridad en Redes, Resolución de Wargames, GNU/Linux, etc, etc, etc.

Solucionando Problemas

El objetivo de este grupo es crear una comunidad de Seguridad Informática, dispuesta a colaborar y compartir conocimientos, así también actualizar a los participantes sobre las novedades y actualidad del mundo de la Seguridad Informática, Actualmente la reunión se realiza en las Oficinas de Ethical Hacking Consultores.

Compartiendo con los amigos

Gracias a Ethical Hacking Consultores por brindarnos el espacio y muchas veces el refrigerio.

Entonces nos reunimos todos los sábados a las 10:00 am hasta las 12:00 en las oficinas de Ethical Hacking Consultores, para formar parte del grupo no se necesita un nivel alto de conocimiento, solo ganas de aprender. Por cierto es Libre no tiene ningún Costo.

En el grupo se encuentran personas de distintos lugares de Latam, por eso decidimos bautizarlo LatamSec.

Nos comunicamos por Telegram, en el grupo LatamSec

Por su puesto que estas invitado a ser parte del grupo.

Personalmente me siento agradecido con los grupos de Fedora Panama y FLOSSPA que gracias a ellos conocí personas muy maravillosas.

Estamos Creciendo

Compartiendo experiencias.

Como Ethical Hacking Consultores estamos comprometidos a mejorar la seguridad informática, por ello compartimos el conocimiento.

ATM & CASH INNOVATION LATIN AMERICA PANAMA-2017

ATM & CASH INNOVATION LATIN AMERICA es un evento donde las firmas más grandes del mundo presentan sus soluciones respecto a ATM(Automated Teller Machine) cajeros automáticos.

Estas soluciones estuvieron muy interesantes e innovadoras, y no solamente hablando de software para el ATM sino también de soluciones físicas como un mecanismo que mancha de tinta el dinero cuando se detecta que el ATM esta siendo forzado o manipulado de mala manera, por otro lado también había soluciones de transferencia física de dinero seguro entre otros.

Si me intereso las soluciones acerca de Switchs Bancarios y ademas de detallar el funcionamiento de este y la interacción con los bancos.

Durante el evento estuvimos representado a la empresa Ethical Hacking Consultores, mostrando distintas soluciones en seguridad informática entre ellas KAS (Krypto ATM System) y Pentest365.

KAS es una solución para resguardar ATMs que nos ayuda a prevenir y alertar de manera temprana anomalías y/o comportamientos extraños, tanto físico como en el software.

Producto KAS

Pentest365

Es una herramienta en cloud que se encarga de realizar distintos tipos de técnicas para la recolección y/o explotación de sistemas de manera automatizada y periódica.

Pentest365

En el equipo de Ethical Hacking Consultores, Tenemos a Personas de muchas lugares y un gran trabajo en equipo.

En equipo de EHC

FUDCon 2016 Puno - Peru

Empezamos diciendo que el evento estuvo fabuloso

FUDCon 2016 - Peru

Es muy grato para mi persona hablar de este gran evento, FUDCon 2016(Fedora Users and Developers Conference) hace referencia a uno de los congresos mas grandes de latino-américa dedicados al software libre,fueron días de intenso trabajo para la comunidad local que trabajaron e hicieron del evento un éxito.

En este evento se habla sobre como aportar a la comunidad en distintos temas como Documentación, Empaquetamiento de software, el Rol de los embajadores, así algunos otros puntos importantes de como aportar activamente al proyecto Fedora.

En este evento tuve la oportunidad de conocer a gente increíble, de distintas partes de LatinoAmerica, y ademas de poder adquirir mucho conocimiento de ellas.

Fueron 3 días muy activos en la cual me dieron la oportunidad de aportar con una charla: Telegram Bot & Security

Gonzalo Nina M

Es una charla orientada a Pestesting, como un Bot en Telegram puede ser de mucha ayuda en el proceso de Pentesting utilizando Herramientas que se encuentran en el Laboratorio de Seguridad de Fedora.

En este evento ademas de ser una gran comunión de conocimiento, no se desaprovecho ningún momento para socializar.

Comunidad Fedora

Grandes amigos posando para la Foto.

Conociendo a la Comunidad URUS

Todos contentos por conocer gente tan interesante.

Compartiendo con los Amigos

Las Cervezas y la Alegria.

Gracias Tonnet, Aly , Rene, y a todas personas que hicieron posible este evento.