Suplantación de identidad a través del robo de cookies débilmente cifradas

• November 19, 2013
• tuxotron

ECB (Electronic codebook) es otro de los magníficos ejercicios de PentesterLab en el que podemos aprender a robar cookies que usan cifrado ECB o por bloques, de forma débil, del cual nos podríamos a provechar para suplantar la identidad de otro usuario.El ejercicio es de iniciación y todo lo que se requieren son conocimientos básicos de PHP y HTTP, además de un software de virtualización (VirtaulBox o VMPlayer por ejemplo).Como de costumbre te puedes descargar la máquina virtual para 32 ó 64 bits además del PDF que nos guía a través del ejercicio.
Leer más

Material de la Zero Nights 2013

• November 14, 2013
• tuxotron

Disponible el material de las presentaciones dadas en la conferencia rusa Zero Nights 2013: Endpoint security via application sandboxing and virtualization — past, present, future State of Crypto Affairs Practical exploitation of rounding vulnerabilities in internet banking applications The Machines that Betrayed their Masters Virtually Impossible: The Reality Of Virtualization Security DbiFuzz framework Windows Kernel Trap Handler and NTVDM Vulnerabilities — Case Study IP fragmentation attack on DNS HART (in)security Exploitation of AVR & MSP microchips Filesystem timing attacks practice Strike to the infrastructure: a story about analyzing thousands mobile apps SCADA deep inside: protocols, security mechanisms, software architecture Anatomy and metrology of DoS/DDoS TOPGUN multi terabit DPI Timing analysis An introduction to the use SMT solvers for software security BlackBox analysis of iOS apps Hacking HTML5 Physical (In)Security — it’s not –ALL– about Cyber Advanced exploitation of Android Master Key Vulnerability (bug 8219321) HexRaysCodeXplorer: make object-oriented RE easier Practical application of math methods and image recognition in attack detection.
Leer más

Vídeo explicando el método de compresión L.Z.77 para texto

• November 9, 2013
• cybercaronte

(recuerda que siempre puedes activar los subtítulos) LZ77 y LZ78
Leer más

Presentaciones de la Hack.Lu 2013

• November 8, 2013
• tuxotron

Ya están disponibles las diapositivas de la Hack.Lu 2013 celebrada del 22-24 de octubre en Luxemburgo: Thijs Houtenbos, Dennis Pellikaan - Automated vulnerability scanning and exploitation Jurriaan Bremer - Abusing Dalvik Beyond Recognition J. Butterworth, C. Kallenberg, X. Kovah - BIOS Chronomancy: Fixing the Core Root of Trust for Measurement Fran Cisco - Wiretapping an entire Cisco VOIP environment - Exploiting the Call Manager Abstract Philippe Teuwen - Unveiling online banking authentication devices Sebastien Larinier, Guillaume Arcas - Exploit Krawler Framework PCAP2Bubbles J.
Leer más

Presentaciones de Ruxcon 2013

• November 4, 2013
• tuxotron

Ya tenemos disponibles las presentaciones (diapositivas) de Ruxcon 2103, conferencia sobre seguridad informática celebrada anualmente en Melbourne, Australia. Amateur Satellite Intelligence: Watching North Korea Payment Applications Handle Lots of Money. No, Really: Lots Of It. Visualization For Reverse Engineering and Forensics Electronic Voting Security, Privacy and Verifiability Cracking and Analyzing Apple iCloud Protocols: iCloud Backups, Find My iPhone, Document Storage Buried by time, dust and BeEF Under the Hood Of Your Password Generator Malware, Sandboxing and You: How Enterprise Malware and 0day Detection is About To Fail (Again) VoIP Wars: Return of the SIP BIOS Chronomancy: Fixing the Static Root of Trust for Measurement The BYOD PEAP Show: Mobile Devices Bare Auth Bypassing Content-Security-Policy Deus Ex Concolica - Explorations in end-to-end automated binary exploitation Top of the Pops: How to top the charts with zero melodic talent and a few friendly computers AntiTraintDroid - Escaping Taint Analysis on Android for Fun and Profit Introspy : Security Profiling for Blackbox iOS and Android Inside Story Of Internet Banking: Reversing The Secrets Of Banking Malware Edward Snowden: It's Complicated Roll the Dice and Take Your Chances Cracking, CUDA and the Cloud – Cracking Passwords Has Never Been So Simple, Fast and Cheap
Leer más

Hacking Techniques and Intrusion Detection

• November 4, 2013
• tuxotron

Hacking Techniques and Intrusion Detection es una nueva clase disponible en Open Security Training. La clase cubre los métodos más usados en ataques informáticos con la intención de aprender a defendernos y protegernos de ellos. En comparación con otras clases ofrecidas en Open Security Training, ésta es bastante extensa. El tiempo recomendado de la misma es de 5 a 6 días de clase intensos o entre 10-15 días, si prefieres un horario más relajado.
Leer más

The MagPi 18, noviembre 2013

• November 3, 2013
• tuxotron

Ya está disponible el número de noviembre de la magnífica revista electrónica dedicada a Raspberry Pi The MagPi. En este número 18 podemos encontrar el siguiente contenido: ATMEL WIRELESS MCUS: USING LOW POWER WIRELESS PROJECT CURACAO: REMOTE SENSOR MONITORING IN THE CARIBBEAN BRICKPI: LEGO® NXT INTERFACE IR SENSITIVE PHYSICAL COMPUTING PI VISION LOGI-PI SPARTAN6 FPGA BOARD THE RASPBERRY PI AT CERN BOOK REVIEWS COMPETITION C++ CACHE THIS MONTH'S EVENTS GUIDE FEEDBACK Como siempre la puedes descargar en formato PDF o leerla en línea.
Leer más

Más HackerSpaces de Europa y el Mundo

• November 2, 2013
• cybercaronte

Click en la imagen para ver fotos del Hack42 en Alemania (instalado en una vieja base militar) Ya sabéis que nos encantan los "Hackerspaces" y como no tenemos muchos aquí en España (si conocéis alguno que esté en funcionamiento hoy día nos gustaría saberlo), uno de nuestros pasatiempos es ver cómo se lo montan y observar con envidia la cantidad de hardware (moderno y clásico), herramientas, etc que tienen en estos lugares de diversión geek.
Leer más

Material de la Ekoparty 2013

• October 31, 2013
• tuxotron

Ya podemos descargarnos y ver las presentaciones de la Ekoparty 2013. Conferencia sobre seguridad informática de primer nivel. Ekoparty se organiza cada año en Buenos Aires, Argentina. Droid Rage: Android exploitation on steroids - Pablo Solé - PDF - VideoModification to the Android operating system´s resource control - Joaquín Rinaudo - ZIP - VideoCompromising industrial facilities from 40 miles away - Carlos Mario Penagos - PDF - PDF - VideoAtacando IPv6 con Evil FOCA - Chema Alonso - PPT - VideoString allocations in Internet Explorer - Chris Valasek - PPT - VideoCompilador ROP - Christian Heitman - PDF - VideoBIOS Chronomancy - Corey Kallenberg - PPT - VideoDefeating Signed BIOS Enforcement - Corey Kallenberg - PPT - VideoERP Security: how hackers can open the box and take the jewels - Jordan Santasieri - PDF - VideoShoulder surfing 2.
Leer más

Mejora tus habilidades de penetración... ¡web!

• October 22, 2013
• tuxotron

Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc. Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.
Leer más