Infosec Reactions
La imagen representa el ritmo de trabajo de los equipos de hacking dentro de una multinacional bancaria.
Una curiosidad.. Cada multinacional supongo que lo hará a u manera, pero en esta empresa finaciera, la seguridad se divide en:
-Gobernanza Infosec
-Cibersecguridad
-Seguridad Lógica
-Autorizaciones
-Perfilado
-Blue Team
-Hacking Etico
Todos a priori lo veriamos bien, ya que cumple con la granularidad.. pero, visto por estos ojos, dividir seguridad en tantos departamentos diferentes, cuando como veis, hay tres que pueden ser uno teniendo el numero adcuado de gente..
Por que´Blue Team no está con CiberSeguridad y Hacking ético si todos estos departamentos tienen que actuar si o si siempre cuando sale u producto... son cosas de los "polítivos"
Bueno , voy a explicar paso a paso, lo dicho, para mi abuela, dos formas de disociar una clave y si quieres te la llevas a tu casa en un papel en el bolsillo.. solo tu ' a priori' sabes que tipo de ingeniería 'hs metido', ya que tendrás que hacer ' la inversa' para obtener la clavede nuevo en texto pano..
Esto es más antiguo para el hacker que el mismo hacking pero he visto, de manera objetiva, que en gestión nadie sabe nada de nada de técnica... A veces me pregunto para que coño sirve ingeniería de gestión... me lo pregunto con sistemas.. pues imagina a todos lo que se meten en seguridad sin saber...
MÉTODO, ALTERNATIVA U OPCIÓN 1 DE DISOCIAR CLAVES para llevarlas en la cartera (..)
Lo que se va a mostrar de manera rápida con herramientas on line free de acceso público es a disociar la M1 Y M2
OPCIÓN 1
A- Convertir la Contraseña en Hexadecimal
Lo primero que vamos a realizar será transformar la contraseña de formato ASCII a Hexadecimal.
Para esto , tenemos cientos de herramentas en Google.
Por ejemplo
Las intrucciones están muy claras y más sencillo.. mi abuela lo hizo conmigo, y le salió a la primera.
La Opción Padding, mejor, la olvidamos por ahora y desmarcams la casilla ( Tiene que ver con el valor de la propiedad Text)
B-Generando la M1
Obviamente necesitamos tener esta variable generada para poder llevar a cabo el proceso completo. Para tal fin podemos usar esta misma heramienta
A tener en cuenta a la hora de configurar esta herramienta es que :
1 - La M1 tiene que tener formato Hexadecimal, por lo que en la primera línea pinchamos "Hex"
2-En el campo "Lenght" lo más acertado ( /Me ) y recomiendo informar la misma cantidad de digitos que tiene la cntraseña en hexadecimal
Claro.. y aquí... que harían los señores Infosec, si ellos solitos tuvieran que dar el siguiente paso con lo dicho en la frase anterior..
.. bien y ahora que pasa.. pues que "todos" sabemos que la contraseña hexadecimal TENDRÁ EL DOBLE DE CARACTERES EN ASCII, YA QUE UN CARACTER ASCII CODIFICADO EN HEXADECIMAL SON DOS DIGITOS
Y ya solo nos queda pinchar en "Generate". El campo inferior nos otorgará la M1
C- Generando la M2
Teniendo ya la contraseña en hexadecimal y la M1, la M2 se calcula realizando un XOR de ambas.
Para realizar el XOR podemos usar la herramienta que existe en esta web, ya sea bien por applet o ejecutando directamente el .jar
No hace comentar que Java Runtime Enviroment tendrá que estar... vamos, digo yo.. Para los luser mundamos JRE
Ejecutando el JAR ( el Applet es espejo) y tendremos la siguiente pantalla
Nos encontramos con dos campos:
Input Data I y II, y es aquí donde introduciremos la contraseña en hexadecimal y la M1.
Solo nos queda pinchar sobre el boton XOR y en el campo XOR result obtendremos la M2
Que tenemos?
Contraseña:PruebaDeConcepto
Contraseña en Hexadecimal: 5072756562614465436f6e636570746f
M1: E79635AD057C5DB3AE31E5E76236EE86
M2: b7e440c8671d19d6ed5e8b8407469ae9
Importante: Si las longitudes de los Inputs Data 1 y 2 son distintas, para podeer hacer el XOR, la herramienta rellena ( padding) con ceros a la izquierda.
Pero esto , verlo así, o haces un ejercicio de fe y creer en lo que no se ve, o por lo menos yo no observo que los datos que tengos realmente esten bien disociados y contengan la clave que posteriormente será la que tendrá el custodio de clave si es que es "el hombre" , en vez unn Hardware Security Module que gestione esto de uan manera , digamos, más lógica, eficiente y , visto lo visto, segura :-)
Haciendo "La inversa" o Ingeniería Reversa ( que no Reserva )
Para hacer el proceso inverso, nos marcaremos como fin obtener la contraseña a partir de la M1 y M2.
Para ello usamos la misma herramienta para realizar el XOR, introduciendo la M1 y M2 en los campos Input Data 1 y 2 y vemos que el X0R result es la contraseña inicial en formato Hexadecimal
Ahora , para convertir la contraseña hexadecimal a Ascii pues usamos de nuevo cualquier herramieta on line.
Por ejemplo, acabo de buscar y me encuentro esta misma..vamos a usar otra herramienta para cambiar, no por otra cosa.. cientos de miles de herramientas de este tipo, señores de Infosec, tienen para leer mucho..
..pero bueno, si se pueden permitir una hora y media para entender algo tan simple como esto explicado por un hacker... no olvide darle las gracias...
saben? Nos cuesta muchas veces no saltar y decir lo que realmente pensamos... si, eso somos todos..sin excepciones !!
" Todos.. quien?"
" Esos que son hackers.."
" Y quien es un hacker?"
"Un tal Germán lo sabe, y de paso te bajas Insanity Protector :-) "
La Semana que viene más opciones de disociación !!
PELIGRO DE ACTUACIONES 'EXTRAÑAS' POR CAUSAS DESCONOCIDAS
Si empezamos conel ENS :
El ENS ESTABLECE que las empresas externas de seguridad que colaboren con las administraciones públicas, el personal deberá "Ser Ingeniero técnico informático o Titulado Superior así como Experto en temas de ciberseguridad" ( Claro, no pone hacker... pero se sabe.
Bien, si esto es norma para las administraciones píblicas... no es extrapolable al resto de empresas?
Por sentido común..
Pues os cuento un cuento, porque de historias ya son muchas las que sé, y son muy largas..
"El cuento de Robert Bosch"
La Ultima moda es contratar a chicas majas, guapas, para que , a la hora d enfrentarte a arquitectura de soluciones , que son intocables o a ingeniería de sistemas que están con transformación digital, pues ea MUCHO MÁS FÁCIL, convocar reuniones y pedir evidencias de auditoría con los cryptografos, arquietctura ingeniería.
SI, como lo leeis... Es tan descabellado? Pues no.. aunque haya ido en contra mía...
Si Auditar a arquitectura de seguridad, cryptografos, etc va ser muy dificil porque es algo nuevo implementado, pues si les manda una convocatoria una chica con buen CULO, si es así.. no subo foto por estar prohibido, pero si , las mujeres están entrando con fuerza, pero espero que realmente sea por sus conocimientos y que este tipo de actuaciones solo sean te,mas aislados consecuencia de la falta de formación del manager... A huevo .. NO TIENE OTRA EXPLICACIÓN ... ç
Un hacker en GOBIERNO? De locos.. El que no caí bien a los "arquitecgtos" fui yo, cuando mi manager me presento con el pecho muy ancho contando que venía de tal y de cual para el estar cubierto... y claro.. eso se corrió como LA ESPUMA, Y YA ESTABAN NERVIOSITOS PORQUE HABÍAN TRAIDO A UNA PERSONA QUE PODÍA VER SUS CAGADAS... LITERAL, YA QUE LAS VI
bUENO, EL TEMA DE "ELENA Robert Bosch"... Compara el ENS con el CV de esta chica.. no existe base curricular para lo que mis ojos han visto, pero el tereno fraud dentro de gestion, s una salida chicas, ya que he visto que están contratando a cualquiera, pero a cualquera, para ir a hacer una auditoria a un banco... claro, luego asñí tenemos CON's derrotistas como Robewrto Baratta..
Pues todo esto comienza con recursos humanos... asi de fácil...La falta de preparación, como los jueces, en ciberseguridad:ç
Que es cada cosa quien es mejor para un sitio que para otros según criterios objeticos...
Mi compañera teniá como CV
Robert Bosch cadena de montaje
1 mes KMPG Despido Disciplinario
Asi que ya sabeis, si quereis vuestra primera oportunidad, KMPG pilla a cualquiera de vosotras que sea mona ( obligatorioa) y con un CV de risa... Os Pillan acabais en el BBVA haciendo AUDITORÍAS INTERNAS.... !!!
Imagen Mujer Experta en seguridad modificando un RAT ( Utopía )
