El Libro Maravilla De Steve Wozniak

  • December 16, 2017
  • tuxotron
  • The Woz Wonderbook

    The Woz Wonderbook

    Con la popularización del Apple ][ y su incremento en ventas, una de las cosas que la preocupaba a Steve Job era la pobre calidad de la documentación de dicho ordenador. Durante el verano y otoño de 1977, se recolectaron de los archivos de Steve Wozniak todos sus apuntes para crear un “libro” de documentación interna usado por los ingenieros de Apple. A esta colección de notas, diagramas, código, etc se le bautizó como The Woz Wonderbook. Este cubría el vacío que existía en la documentación oficial del Apple ][.

    The Woz Wonderbook sirvió como fuente principal para el primer manual real del Apple ][, el famoso Libro Rojo o Red Book (PDF), publicado en enero de 1978.

    En 2004 Digibarn Computer Museum, gracias a Bill Goldberg (empleado de Apple), se hizo con una de las copias del original y se encargó de digitalizar y ponerlo a disposición pública en formato PDF.

    El libro contiene un total de 213 páginas, cuyo contenido es el siguiente:

    • Auto Repeat for Apple-II Monitor Commands.
    • Use of the Apple-II Mini-Assembler.
    • Apple-II Pointers and Mailboxes.
    • Apple-II 2716 EPROM Adaptation (‘D0’ and ‘D8’ Sockets).
    • Using Apple-II Color Graphics.
    • Adding Colors to Apple-II Hi-Res.
    • Apple-II Disassembler Article (Apple-II MONITOR ROM).
    • Apple-II Cassette Article.
    • Apple-II Floating Point Package.
    • Apple-II Sweet-16 – The 6502 Dream Machine.
    • Apple-II 6502 Code Relocation Program.
    • Apple-II Renumbering and Appending BASIC Programs.
    • References (03/11/2004).
    • Bill Goldberg Interview (19/04/2004). Audio de la entrevista (MP3)

    Las dos últimas entradas (Referencias y Entrevista) son adiciones de 2004 cuando se digitalizó el libro, por lo tanto no son parte del libro original.

    Esta es otra de las joyas de la historia de Apple, un elemento de colección para cualquier amante de las curiosidades de la historia de la informática.

Tiredful, Una API Vulnerable

  • December 3, 2017
  • tuxotron
  • Tiredful API

    Tiredful API

    Cómo hemos dicho muchas veces, sin hacer no se aprende. Leer es un hábito que todos debemos desarrollar y cultivar, pero cuando hablamos de tecnología, si sólo lees y no pruebas, practicas, rompes, etc, no aprenderás mucho.

    Ya hemos publicado algunas entradas (vulnerable, pentesting, etc) con aplicaciones vulnerables de forma intencionada para el beneficio del que desea practicar y aprender. En este caso os hablamos sobre otra de estas aplicaciones, aunque esta vez es una REST API.

    Conocer como funcionan las APIs REST es fundamental, sobre todo para desarrolladores y auditores de seguridad, cualquiera que sea el color de tu equipo. Hay quien dice que las APIs son los nuevos blogs para las empresas, y que prácticamente cualquier empresa debería tener su propia API.

    Tiredful-API es una REST API intencionadamente vulnerable. Está escrita en Python con Django y actualmente contiene las siguientes vulnerabilidades:

    • Information Disclosure.
    • Insecure Direct Object Reference.
    • Access Control.
    • Throttling.
    • SQL Injection (SQLite).
    • Cross Site Scripting.

    El código está disponible en Github, junto con las instrucciones de cómo ejecutarla.

    Pero si no te encuentras cómodo con Python y Django, o simplemente no quieres instalar ninguna de las dependencias que necesitas, puedes usar una imagen Docker que he creado y que puedes ejecutar con un simple comando:

    docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api

    Evidentemente necesitas tener Docker instalado. Si tu usuario no es parte del grupo de Docker o no tienes privilegios elevados, necesitarás prefijar el comando anterior con sudo.

    sudo docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api

    Una vez hayas ejecutado dicho comando, puedes acceder a la aplicación yendo a http://localhost:8000.

    Si te atascas y necesitas un poco de ayuda, puedes acceder a las soluciones, pero inténtalo y no te des por vencido muy rápido.

¿Y tú de qué vas? Pablo González

  • November 30, 2017
  • cybercaronte
  • Pablo Gonález Pérez

    Pablo Gonález Pérez

    1) ¿Quién eres y a qué te dedicas?

    Soy Pablo González (tercera generación xD). Me dedico a los sueños locos que hacemos en el equipo SWAT o miniLab de CDO en Telefónica Digital España. Ahora en serio, me dedico a la difusión tecnológica, a la generación de pruebas de concepto, de estudiar si alguna de estas pruebas pueden pasar a los productos o servicios y, además, si alguna prueba pudiera acabar en una patente. También, doy charlas y talleres sobre cosas que hacemos, que investigamos, ayudamos a la comunicación. En definitiva, formo parte de un equipo que no tiene tiempo de aburrirse y que hacemos de todo. Por cierto, Fran (Cybercaronte) también forma parte de dicho equipo :)

    También soy una persona que llega a las 7:00am al trabajo, que mira ilusionado cada día, ya que tenemos la gran suerte de trabajar en un gran ¡work place! y con la innovación y las pruebas de concepto siempre en nuestra mente. Sin duda, privilegiado, y me lo repito todos los días, para que no se me olvide. Si quieres ver el mundo, está debajo de tus pies :-) (lo decía Fito).

    2) ¿Qué hardware utilizas en el trabajo y en casa?

    De todo. Siempre he dicho que tenemos que utilizar en todo momento lo que necesitemos, tanto hardware como software. Pero sí, tengo un iPhone (esto es un primer dato para un ataque dirigido, me estás “leakeando”) y un Mac. También tengo Arduinos, Raspberry Pis y algunos juguetes más (haré seguridad por oscuridad :D).

    3) ¿Qué software usas en el trabajo y en casa?

    Pues de todo. Aplico la respuesta anterior. Es decir, si necesitamos en un momento dado las bondades de Linux, Microsoft o Apple, ¿Por qué no usarlas? Generalmente utilizo iOS & macOS, pero también tengo Windows o Linux en caso de necesitarlo. Hasta hace poco utilizaba mucho más Windows, pero intento repartir en función de las necesidades, para eso está la virtualización para dejarnos “jugar” con todo.

    4) ¿Qué libros estás leyendo ahora?

    Un fantasma en el sistema de D. Kevin Mitnick (y firmado por él :D). También he de decir, que he estado releyendo Got Root: El poder de la mente, pero este no cuenta porque es mío (que fue un honor poder escribir una novela de hacking). Dirás, ¿Releyendo? Sí, quería sacar fallos por si en el futuro me animase con algo similar, pero de momento no. Respecto a los fallos, mentalidad de pentesting hasta con los libros :-)

    5) ¿Qué música estás escuchando ahora?

    Me gusta Fito (antes y ahora). Lo que no trago es el Trap (mención de honor a mi amigo Álvaro Núñez-Romero). Me gusta la música de AC/DC (me gusta escuchar una canción antes de las charlas, salgo activo!), me gusta el Rock, Pop (incluso SKA-P, creo que eran grandes músicos y grandes letras), pero sobretodo que te haga sentir, que levante el ánimo y te active la motivación. Espero que lo de SKA-P no se entienda como que soy un fan activo, pero uno también tuvo su edad revolucionaria, ¿Qué te has pensado? (guiño guiño).

    Nota cyberhades: Pablo es toda una referencia en el mundo de la seguridad informática además de ser una gran persona. Es para mí un honor (Fran, cybercaronte) trabajar en su equipo CDO de Telefónica donde hay mucho estrés (del bueno), pero disfrutamos de verdad en los proyectos en los que trabajamos. En unos días Pablo se marcha a dar una conferencia junto a Santiago Hernández (@santiagohramos) a la prestigiosa Black Hat en Londres con la charla: UAC-A-MOLA donde seguro que presentarán algo interesante ;). También nos gustaría recomendaros el libro “Goot Root” de Pablo, una historia de hackers “de verdad”, creíble, donde se hablan de técnicas reales de hacking mezclado con una intensa trama que te atrapará desde el primer momento (y hasta aquí puedo leer).