Fotografiar nubes me parece difícil por los intensos contrastes que existen y ajustar la luz es algo complicado. Sin embargo, lo intento.

Guatavita Cundinamarca

Guatavita Cundinamarca

Volando

Cartagena

Desde hace muy poco tiempo, cuento con un modesto equipo de fotografía que consta de una cámara Sony DSLR A230 con un lente 18-55, un filtro uv de protección, un filtro naranja para contrastes de blanco y negro, 12 gb entre dos memorias y un trípode.

Estoy intentando tomar buenas fotos, probando, intentando, leyendo, viendo videos, entendiendo conceptos…. voy lentamente aprendiendo cosas nuevas.

Por el momento, he encontrado un dvd muy bueno llamado ‘curso de fotografia tripode‘ que enseñan lo básico. También he leido algunos tutoriales, pero aún me falta mucho.

Inspirado en un artículo de iluminación de estudio, hace unas horas, hice un experimento utilizando fomi (espuma) de color blanco y la luz incandecente de 100w en el techo de la habitación. Ajusté el balance de blancos a tugsteno y para mi asombro, las fotos salieron cerca de lo que quería.

El pliego de fomi me costó $3.700 pesos colombianos.

Luego con la cámara en el tripode ajusté la exposición y salieron estas fotos:

Para ser la primer vez que lo intento, me siento muy satisfecho con el resultado. Considero que me hace falta una mejor iluminación, pero lo puedo arreglar en esta semana comprando las bombillas necesarias y haciendo algunos tutoriales al estilo ‘hagalo usted mismo’.

Suerte.

Happy Photo.

Se cumplió un año del registro de este dominio, pero los post que he escrito han sido muy pocos. Me di cuenta que llevaba un año porque me llegó un email diciendome que el dominio iba a expirar; entonces renové el dominio.

Mientras tanto, voy a ver que otras cosas publico por aquí… sin embargo, no creo que mucha gente lea este blog.

Si al realizar un análisis forense, nos encontramos con archivos de skype con extensión dbb, seguramente nos preguntaremos ¿y eso cómo se lee?

Afortunadamente, alguien más se lo pregunto y escribió un paper donde explica donde comienza el mensaje, el time stamp (bastante ofuscado) y el mensaje.

El PDF está aqui: http://www.lpcforensic.it/public_html/yabbfiles/Attachments/SkypeLogFileAnalysis.pdf y se puede ver en linea en: http://www.scribd.com/doc/9676016/Skype-Log-File-Analysis

Otra explicación sobre el time stamp: http://www.patrickmin.com/linux/tip.php?name=skype_timestamp

PERO como muchas personas no quieren ponerse a escribir programas para decodificar conversaciones de skype, entonces se puede recurrir a uno ya hecho. Para ver los archivos *.dbb de los chats de skype, solo basta usar el programa Skype Log View. http://www.nirsoft.net/utils/skype_log_view.html

In forensics, there are two diferents scenarios:

1. Dead analysis
2. Live analysis

Dead analysis are commons. It uses software like “Encase” or even linux distributions like “Helix” or “Caine”. But in dead analysis, you can’t know what a malware is doing or how a software instaled is working. So, you need to do a Live analysis.

If you have an image adquired through “dd”, you can mount it as a live pc system, in a vmware enviroment.  You need:

• Vmware Player (free) or Vmware Workstation (pay)
• Vmware Virtual Disk Development Kit VDMK (free) http://www.vmware.com/download/sdk/virtualdisk.html
• Live View (free) http://liveview.sourceforge.net/

Then, install vwmare player, VDMK and run Live View.

In Live View, select Image file, Output directory and select Start. After a little work, a vm is launched with ‘dd’ image as first hard disk.

Live View 0.7b

By other side, if you only need mount a “dd” image as a secundary hard disk into a vmware, you should try these options:

1. Use Pro Discover Basic (free) http://www.techpathways.com/Demo.htm In Tools>Image Convertion Tools>Vmware support for “DD” image
2. Make  your own vmware disk, filling the information about sectors, heads, cylinders and size, as same as the original disk. This information could be read from a “dd” image, using a hex editor.  Example of vmware disk.

# Disk DescriptorFile
version= 1
CID = fffffffe
parentCID = ffffffff
createType = "monolithicFlat"

# The Disk Data Base
#DDB

ddb.virtualHWVersion = "4"
ddb.geometry.sectors = "63"
ddb.geometry.heads = "16"
ddb.geometry.cylinders = "1"
ddb.adapterType = "ide" or "buslogic"

# Extent description
RW 156301488 FLAT "sdc-img.dd"0

Happy Forensics.

If you use EDPR, when you try to crack a cuda capable thing, EDRP only use the GPU instead GPU+CPU. But, there is a trick to use both. It’s quite simple, you only need to install a virtual machine, then install EDRP into vm.

Diferences? well, with gpu, speed cracking for LM was 22.5M/s, but after vm, it increases to 28.6M/s.

One screenshot.

EDRP GPU+cpu

¿Por qué es vulnerable su empresa si se tiene compatibilidad con windows 9x?

Porque la compatibilidad de Windows 9x permite que en la SAM local (y del directorio activo) se almacenen dos tipos de hash: Hash LM (compatibles con windows 9x) y Hash NTLM.  Las debilidades de LM permite que sea ‘crackeado’ en poco tiempo. (Ver cracking lm vs ntlm).

Puede que en su empresa no tengan ningún equipo 9x, pero Windows 2000, xp y 2003, TIENEN HABILITADOS POR DEFECTO la compatibilidad con windows 9x, y por lo tanto almacenan en la SAM tanto LM como NTLM.

¿Cómo evitar almacenar hashes LM?

Seguir las recomendaciones de microsot en su artículo: http://support.microsoft.com/kb/299656 el cual practicamente dice:

1. En Directiva de grupo, expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.
2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
3. Haga clic en Habilitado y después en Aceptar.

El otro día estuve con varios amigos en una serie de conferencias en el BarCamp Bogotá. Mientras el expositor confundía el concepto de GPU por algo como “procesamientos controlados por la cpu”, el ‘pisco’ y yo estabamos compartiendo una mesa con otros cuantos chicos que fueron a la conferencia pero que tampoco prestaban atención.

Uno de ellos tenía la tapa de su CPU llena de stickers como “I USE LINUX, ¿WHY USE WINDOWS?” y otro sticker con un “1337 Tux”. Mientras tanto, yo estaba con mi Windows Seven y el pisco con su querido Mac, ambos jugando con la red. Los chicos de la mesa hablaban y hablaban de algo que no les funcionaba. Mi amigo les preguntó sobre sus problemas y nos respondieron -”Desde hace como una hora estamos tratando de pasar unos archivos desde mi linux a windows”. Yo respondí: ¡ahh sencillo, suban el ftp en el inetd.conf! y la respuesta del chico con la pc llena de stickers “pro linux” fue una cara que decía “No tengo ni la más remota idea de qué me está hablando”. Entonces mi amigo le dijo con la propiedad que un ‘mac-hero’ puede decir: “Si no sabe que es el inetd, ¿para qué usa linux?”

Lo que quiero criticar es el uso de sistemas solo por aparentar, pero sin tener idea de qué se está usando. Ahora linux se puso de moda y muchos solo quieren utilizarlo para impresionar a los demás, pero no son capaces de resolver un problema sencillo como transferir un archivo. (Por otro lado, apuesto que ni usando windows serían capaces).

Ahora, los consejos prácticos para transferir archivos de linux a windows en una red de solo dos pc:

1. Configurar Samba en linux, crear un usuario de samba, crear un directorio compartido y copiar los archivos. (El utilitario de Webmin es muy util)
2. Configurar un servidor FTP en linux. Normalmente en casi todas las distribuciones está disponible el servicio FTP para ser activado en cualquier momento.
3. Configurar el servicio de transferencia de archivos por SSH, SFTP.
4. Configurar un servidor WEB (en linux o windows) y subir una página html con los archivos a transferir.
5. Utilizar NFS en linux con cliente windows
6. Utilizar netcat. En el servidor que aloja el archivo: #nc -l 1337 >archivo.ext  En el cliente que recibe el archivo: #nc 192.168.1.3 1337 <archivo.ext

Resulta que google indexa todo, pero esta vez estuvo indexando un bar de chicos DARK con las paredes llenas de grafitis.

Los típicos ‘flames’ de windows vs linux siempre tratan de mostrar que un sistema es mejor que otro. Sin embargo, yo no voy a decir cual es mejor, solo voy a contarles una historia.

Con cierta frecuencia nos vemos con varios amigos que trabajan como ‘pen testers’ o ‘hackers eticos’ para probar la seguridad de diversas empresas. Entre cerveza y cerveza, compartimos experiencias y metodologías para escalar privilegios. El fin de semana pasado, un amigo (que voy a llamar ‘oscurito’) me estuvo contando que en uno de sus trabajos obtuvo control total de los servidores y bases de datos (hasta ahí, una historia ‘normal’ en nuestras conversaciones), y debido a eso, se había convocado una reunión con el grupo de tecnología y el proveedor. La reunión fue algo como esto:

Oscurito: Ustedes tienen huecos de seguridad debido a falta de controles en la red, no hay vlans, no hay servidores protegidos, no tienen parches.

Grupo de tecnología: ¿Y qué hacemos?

Oscurito: Implementar los controles necesarios. Por ejemplo, mantener los servidores en una vlan protegida con un firewall, actualizar los parches de los servidores…

Proveedor (interrumpiendo a Oscurito): ¡LO QUE HAY QUE HACER ES PONER LINUX PORQUE ES MEJOR QUE WINDOWS!

Oscurito pensando: ¡mierda, este tipo si que molesta… vamos a escanear su laptop que está conectada a la red!

Proveedor: ¡….PORQUE LINUX ES LIBRE, NO HAY QUE PAGAR LICENCIAS, ES LO MEJOR QUE HAY EN EL MERCADO… bla bla bla bla lba!

Oscurito (mirando su laptop y pensando): Este tipo tiene gentoo en su pc… apuesto que no lo ha actualizado y que le corre el exploit de ssl que salió hace unos meses para conseguir su llave privada de ssh. Montemos la máquina virtual con Backtrack, ejecutemos exploit……..

Proveedor: ¡….Y ES QUE LINUX ES MÁS SEGURO…!

Oscurito (Interrumpiendo): ¿Está seguro que linux es más seguro?

Proveedor: ¡ABSOLUTAMENTE!

Oscurito: Entonces, ¿qué es esto? ¿es esta su máquina? (se veia una consola ssh con un ifconfig y un ls mostrando la ip y los documentos del proveedor.

Proveedor: ………………………………………………………………………………………

MORALEJA:
1. La seguridad de un sistema es directamente proporcional a la capacidad de su administrador. Un administrador regular tendra un sistema con poca seguridad.

LA MORALEJA OBVIA:

1. Un sistema desactualizado es inseguro.