Hoy estaré de ponente en el "RegTech egambling international Workshop" (slides)

El próximo 17 de Junio por la mañana se celebrará la primera edición del "RegTech egambling international workshop" organizado por la Dirección General de Ordenación del Juego, en el Auditorio CaixaForum de Madrid. 

Durante el evento, que se desarrollará en la ciudad de Madrid, se realizarán distintas sesiones prácticas relacionadas con el uso de la tecnología en el sector del juego online:  identificación biométrica; se realizarán aproximaciones prácticas relacionadas con el fraude en los medios de pago o la geolocalización en internet; y por último, y en lo que se refiere propiamente a la actividad de juego, se efectuarán ponencias relacionadas con el seguimiento y análisis de los patrones de juego de los participantes a los efectos de detectar conductas de juego problemáticas.

Yo estaré de ponente y abordaré la problemática de la identificación de los participantes en las plataformas de juego online a través de procesos de "digital onboarding".

Podéis acceder a la agenda completa del evento en el siguiente enlace:

Por si alguien no ha podido acudir al evento y quiere conocer algo más sobre el tema, a continuación tenéis disponibles las slides:


Si alguien va a asistir y quiere tomar un café y charlar un rato, que me avise }:)

OS fingerprinting: a brief history

In this post I will show some historical techniques, tools and countermeasures I will be showing in Derevolutionizing OS Fingerprinting: The Cat and Mouse Game at Defcon China.

OS fingerprinting describes the method of utilising gathered information of a target host to find out what OS the machine is running on.

Wikipedia describes it as:

“ TCP/IP stack fingerprinting is the passive collection of configuration attributes from a remote device during standard layer 4 network communications. The combination of parameters may then be used to infer the remote machine's operating system (aka, OS fingerprinting), or incorporated into a device fingerprint ”

There are multiple approaches for finding out the OS of an unknown host without having an account, or any way of logging on the machine:

• Banner Information & Manual Reconnaissance
• Active Fingerprinting
• Passive Fingerprinting
• Timing Analysis Fingerprinting

OSfooler-ng v1.0 released

Take a look a the oficial repository of OSfooler-ng at Github.

An outsider has the capability to discover general information, such as which operating system a host is running, by searching for default stack parameters, ambiguities in IETF RFCs or non-compliant TCP/IP implementations in responses to malformed requests. By pinpointing the exact OS of a host, an attacker can launch an educated and precise attack against a target machine.

There are lot of reasons to hide your OS to the entire world:

• Revealing your OS makes things easier to find and successfully run an exploit against any of your devices.
• Having and unpatched or antique OS version is not very convenient for your company prestige. Imagine that your company is a bank and some users notice that you are running an unpatched box. They won't trust you any longer! In addition, these kind of 'bad' news are always sent to the public opinion.
• Knowing your OS can also become more dangerous, because people can guess which applications are you running in that OS (data inference). For example if your system is a MS Windows, and you are running a database, it's highly likely that you are running MS-SQL.
• It could be convenient for other software companies, to offer you a new OS environment (because they know which you are running).
• And finally, privacy; nobody needs to know the systems you've got running.

OSfooler was presented at Blackhat Arsenal 2013. It was built on NFQUEUE, an iptables/ip6tables target which delegate the decision on packets to a userspace. It transparently intercepted all traffic that your box was sending in order to camouflage and modify in real time the flags in TCP/IP packets that discover your system.

OSfooler-NG has been complete rewriten from the ground up, being highly portable, more efficient and combining all known techniques to detect and defeat at the same time:

• Active remote OS fingerprinting: like Nmap
• Passive remote OS fingeprinting: like p0f v2
• Commercial engines like Sourcefire’s FireSiGHT OS fingerprinting

Some additional features are:

• No need for kernel modification or patches
• Simple user interface and several logging features
• Transparent for users, internal process and services
• Detecting and defeating mode: active, passive & combined
• Will emulate any OS
• Capable of handling updated nmap and p0f v2 fingerprint database
• Undetectable for the attacker

Next Stop, Defcon China: Derevolutionizing OS Fingerprinting: The cat and mouse game (slides)

Great news!! I will be speaking at Defcon China (31 May - 02) about “Derevolutionizing OS Fingerprinting: The Cat and Mouse Game”.

With the explosive growth and distributed nature of computer networks, it has become progressively more difficult to manage, secure, and identify Internet devices. An outsider has the capability to discover general information, such as which operating system a host is running, by searching for default stack parameters, ambiguities in IETF RFCs or non-compliant TCP/IP implementations in responses to malformed requests. By pinpointing the exact OS of a host, an attacker can launch an educated and precise attack against a target machine.

There are lot of reasons to hide your OS to the entire world:

• Revealing your OS makes things easier to find and successfully run an exploit against any of your devices.
• Having and unpatched or antique OS version is not very convenient for your company prestige. Imagine that your company is a bank and some users notice that you are running an unpatched box. They won't trust you any longer! In addition, these kind of 'bad' news are always sent to the public opinion.
• Knowing your OS can also become more dangerous, because people can guess which applications are you running in that OS (data inference). For example if your system is a MS Windows, and you are running a database, it's highly likely that you are running MS-SQL.
• It could be convenient for other software companies, to offer you a new OS environment (because they know which you are running).
• And finally, privacy; nobody needs to know the systems you've got running.

This talk aims to present well-known methods that perform classification using application-layer traffic (TCP/IP/UDP headers, ICMP packets, or some combination thereof), old style approaches to defeat remote OS fingerprinting (like tweaking Windows registry or implement patches to the Linux kernel) and why this doesn't work with nowadays and could affect TCP/IP stack performance.

I'll also present a new approach to detect and defeat both active/passive OS fingerprint with OSfooler-NG, a completely rewritten tool, highly portable, completely undetectable for the attackers and capable of detecting and defeating famous tools like nmap, p0f, Xprobe, pfsense and many commercial engines:

Sorry guys, OS fingerprinting is over ...

Kratos (una historia de Password Cracking): especificaciones técnicas y montaje

Desde hace ya muchos años, he pasado la mayoría de mis días hackeando sistemas, investigando servicios / aplicaciones / protocolos o creando nuevas herramientas. Como parte de este trabajo, descifrar hashes es algo con lo que he tenido que enfrentarme frecuentemente. Sé que hoy en día es sencillo alquilar una instancia en la nube con varias GPUs, pero cuanto más avanzábamos en nuestra charla de Kaonashi, más me daba cuenta de que necesitaba acceso casi constante, por lo que decidí montarme mi propio sistema.

Esta es la historia de Kratos.

Examen del Master in Cybersecurity (IE School of HST) 2018 / 2019

Como ya sabéis muchos de vosotros, soy profesor del Master in Cybersecurity del IE School of HST. Todos los años por estas fechas, toca poner a prueba los conocimientos adquiridos por mis alumnos durante las diferentes sesiones que hemos pasado juntos. De forma directa o indirecta, se repasan todos los conceptos que les he proporcionado a través de las slides, sesiones prácticas y ejercicios que debe realizar cada semana.

A continuación veréis la parte tipo Test del examen de este año, que tienen que realizar en papel, durante un examen de de una hora y media en el que, además, también deben completar una parte práctica con ejercicios de XSS, SQLi, OSINT, Criptografía o Password Cracking entre otras muchas cosas...

Si os animáis, también podéis hacerlo vosotros y saber como andáis de conocimientos. El master se imparte en inglés, por lo que os dejo el examen directamente con alguna pequeña variación }:)

Descubriendo la estafa de un Intel® Core™ i9

Como ya sabréis, hace poco dimos una charla en RootedCon sobre técnicas avanzadas de Password Cracking que puedan surgir en tu Red Team o Blue Team. Como consecuencia de esto, decidí actualizar laboratorio, incluyendo una máquina propia y no tener que depender de instancias en la nube. La configuración era como la publicada en el siguiente tweet:

Building a small and well suited password cracking rig: 2x2080ti, i9 9900k, MSI Z390m, 64Gb DDR4 & 1Tb NVMe PCIe 😈 #weekendfun #passwordcracking #2x2080ti #Kratos #codename pic.twitter.com/S2EkppSsyh

— Jaime Sanchez (@segofensiva) April 6, 2019

Estoy seguro de que todos conocéis ya de sobra la gama de procesadores Intel, con sus diferentes variantes y velocidades. Al igual que cualquier otro producto conocido, están abocados a tener falsificaciones y a la picaresca de unos cuantos. Las falsificaciones de un producto como un iPhone, MacBook e incluso procesadores Intel son adecuadas para generar fraude y dinero de forma sencilla, ya que es un producto con mucho mercado. Sin embargo, el proceso para falsificar/realizar un fraude con un procesador Intel es un tanto curioso.

Os voy a contar la historia de lo que me encontré recientemente mientras montaba mi nueva máquina 'Kratos' durante el fin de semana... }:)

Disponibles las Slides de 'I know your P4$$w0rd (and if I don’t, I will guess it)'

Ya están disponibles las slides de la charla que Pablo Caro y yo dimos en RootedCon 2019, titulada 'I KNOW YOUR P4$$W0RD (AND IF I DON’T, I WILL GUESS IT)'.

En breve publicaremos las wordlist, reglas, mascaras etc. de forma pública }:) 

I know your P4$$w0rd (and if I don’t, I will guess it) - Rootedcon 2019

La conferencia de seguridad informática Rooted CON nació con el propósito de promover el intercambio de conocimientos entre los miembros de la comunidad de seguridad. La edición de este año 2019 tendrá lugar del 28 al 30 de marzo en Kinépolis (Madrid).

Para mi Rooted es un congreso al que tengo mucho cariño. A pesar de haber hablado en muchas otras grandes conferencias, como Blackhat, Defcon, Shmoocon, Derbycon o Nuit du Hack, por nombrar algunas, podríamos decir que esta conferencia fue la que me vio nacer y me brindó una oportunidad durante los inicios.

Por eso, me gustaría anunciaros con orgullo que vuelvo a las andadas }:) y este Viernes 29 a las 10.00 am estaremos en la Sala Cibeles mi compañero Pablo J Caro y yo dando un charla que hemos llamado "I know your P4$$w0rd (and if I don’t, I will guess it)", y compartiendo espacio y un buen rato con otra gran cantidad de profesionales que también estarán allí presentes