No cON Name CTF Pre Quals: Access Level 3

• October 2, 2013
• tuxotron

En este tercer y último reto nos enfrentamos a un fichero ELF. Este nivel fue el más fácil de los tres. Como veremos es súper sencillo. Una vez bajamos el binario, lo primero es ejecutar file: tuxotron@tuxotron-T530 ~/ctf/noconname2013quals $ file level.elf level.elf: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, BuildID[sha1]=0xb589d432799bf15343387fea63d4bdc00faa177c, not stripped Está compilado con símbolos y demás. Esto nos facilitará mucho la vida.
Leer más

No cON Name CTF Pre Quals: Access Level 2

• October 2, 2013
• tuxotron

En el segundo nivel nos enfrentamos a una aplicación Android. Lo primero que hacemos aquí es expandir el .apk con la herramienta apktool. Primero miramos el contenido del fichero AndroidManifest.xml, donde podemos ver la clase inicial de la aplicacion: También nos encontramos en el directorio res con un subdirectorio llamado raw, el cual contiene 17 imágenes, 16 de las mismas parecen ser trozos de un QR-Code. Parece que nuestro objetivo es leer dicho código.
Leer más

No cON Name CTF Pre Quals: Access Level 1

• October 1, 2013
• tuxotron

En el primer nivel o el primer reto de la Pre Qual del CTF de la NoConName , nos encontramos con una página en la que se nos pide un clave (Key). Cuando introducimos algún texto, inmediatamente nos muestra un mensaje: Invalid Password! (a menos que hayas introducido una clave válida en el primer intento, lo cual me sorprendería :)). Lo primero que podemos apreciar es que el mensaje viene de la típica ventana que muestra el navegador cuando se ejecuta un alert en javascript.
Leer más

Vídeos de la DerbyCon 3.0

• October 1, 2013
• tuxotron

A través de la magnífica web de Irongeek, podemos ver todos los vídeos de las charlas dadas (tracks 1 y 2 y algunas de la 3) en la DerbyCon 3.0. La lista de los vídeos publicados es: Scanning Darkly – HD Moore (keynote) Kinetic Pwnage: Obliterating the Line Between Computers and the Physical World – Ed Skoudis (keynote) Look Ma – No Exploits! – The Recon-ng Framework – Tim “LaNMaSteR53?
Leer más

Introducción a la Ingeniería Inversa del Software de OpenSecurityTraining, edición 2013

• September 30, 2013
• tuxotron

Ya hemos hablado aquí varias veces de las clases ofrecidas por OpenSecurityTraining. En esta ocasión nos hacemos eco de la actualización de la clase a la Introducción de la Ingeniería Inversa del Software, que ha sido renovada con material nuevo: Dealing with DLLs, Other Languages y Basic RE algorithms. Los nuevos vídeos son los siguientes: Day 1 Part 1 (5:25) - What is RE and What Can it Tell Me?
Leer más

Vídeos de la Ruxcon 2012

• September 24, 2013
• tuxotron

Ya están disponibles los vídeos de la pasada Ruxcon 2012. Recuerda que las presentaciones también están disponibles. Reverse Engineering a Mass Transit Ticketing System - TrainHack Hardware Backdooring is Practical - Jonathan Brossard Injecting PHY-Layer Packets without a Bug or your Radio - Travis Goodspeed How To Catch a Chameleon: Its All In Your Heap - Steven Seeley Tracking vulnerable JARs - David Jorm A Tale of Two Firefox Bugs - Fionnbharr Davies Bluetooth Packet Sniffing Using Project Ubertooth - Dominic Spill Thar' be Vuln.
Leer más

Los arqueólogos de Internet, reconstruyendo páginas web perdidas

• September 19, 2013
• cybercaronte

Primer ratón (Fuente: Wikipedia) Un estudio de Technology Review revela un hecho, que aunque suene un poco sensacionalista, es totalmente cierto: Internet se está perdiendo. La conclusión es que los datos se pierden con una media del 11% en un año y 27% en dos. Al hablar de webs perdidas por supuesto se incluyen por ejemplo foros de discusión, post de bloggers, etc, además de páginas web de todo tipo.
Leer más

Diapositivas de Intro to Computer & Network Security & Applied Cryptography

• September 1, 2013
• tuxotron

David Brumley Intro to Computer & Network Security & Applied Cryptography es otra de las clases impartidas por la Universidad de Carniege Mellon en las que han publicado las diapositivas de la misma. Esta clase se impartió el otoño pasado. Ésta fue impartida por David Brumley, mentor facultativo del equipo PPP. Las diapositivas son: 01_introduction.pdf 02_compilation.pdf 03-controlflow-attack.pdf 05-controlflow-defense.pdf 06-CFI.pdf 07-08-web-security.pdf 09-typesafety-theory.pdf 10-information-flow-overview.pdf 11-malware.pdf 12-crypto-intro.pdf 13-crypto-block-ciphers.pdf 14-crypto-mac-hashes.pdf 15-crypto-public-key.pdf 16-crypto-authenticated-encryption-protocols.pdf 17-netsec-intro.pdf 18-netsec-firewall-ids.
Leer más

Vídeos de la OWASP AppSec Europe 2013

• August 28, 2013
• tuxotron

Ya tenemos disponibles los vídeos de otra magnífica conferencia sobre seguridad informática: OWASP AppSec Europe 2013. Ésta se celebró en Hamburgo durante el pasado 20-23 de agosto. La lista de los vídeos es la siguiente: AbrahamAranguren-IntroducingOWASPOWTF5x5_720p.mp4 AchimHoffmannOferShezaf-WAFEC-contentandhistoryofanunbiasedprojectchallenge_720p.mp4 BastianBraunJoachimPoseggaChristianV.Pollak-ADoormanforYourHome-Control-FlowIntegrityMeansinWebFrameworks_720p.mp4 ColinWatsonDennisGroves-OWASPAppSensorInTheoryInPracticeandInPrint_720p.mp4 DanCornell-DoYouHaveaScanneroraScanningProgram_720p.mp4 DieterGollmann-ClosingNoteAccessControloftheWeb-TheWebofAccessControl_720p.mp4 DirkWetter-ClosingCeremony_720p.mp4 EduardoVela-Matryoshka_720p.mp4 ErlendOftedal-RESTfulsecurity_720p.mp4 FredDonovan-Q-BoxandH-BoxRaspberryPIfortheInfrastructureandHacker_720p.mp4 JrgSchwenk-KeynoteCryptographyinWebSecurityStupidBrokenandmaybeWorking_720p.mp4 KonstantinosPapapanagiotouSpyrosGasteratos-OWASPHackademicapracticalenvironmentforteachingapplicationsecurity_720p.mp4 LucaViganLucaCompagna-TheSPaCIoSToolproperty-drivenandvulnerability-drivensecuritytestingforWeb-basedapplicationscenarios_720p.mp4 MarcoBalduzziVincenzoCiangagliniRobertMcArdle-HTTPS-BasedClusteringforAssistedCybercrimeInvestigations_720p.mp4 MarioHeiderich-TheinnerHTMLApocalypse-HowmXSSattackschangeeverythingwebelievedtoknowsofar_720p.mp4 MicheleOrr-RootingyourinternalsInter-ProtocolExploitationcustomshellcodeandBeEF_720p.mp4 MiltonSmith-MakingtheFutureSecurewithJava_720p.mp4 NickNikiforakis-WebFingerprintingHowWhoandWhy_720p.mp4 NicolasGrgoire-BurpPro-Real-lifetipsandtricks_720p.mp4 PaulStone-PrecisionTiming-AttackingbrowserprivacywithSVGandCSS_720p.mp4 PhilippeDeRyckLievenDesmetFrankPiessensWouterJoosen-ImprovingtheSecurityofSessionManagementinWebApplications_720p.mp4 RetoIschi-AnAlternativeApproachforReal-LifeSQLiDetection_720p.mp4 RobertoSuggiLiverani-AugmentedRealityinyourWebProxy_720p.mp4 SahbaKazerooni-NewOWASPASVS2013_720p.mp4 SaschaFahlMarianHarbachMatthewSmith-MalloDroidHuntingDownBrokenSSLinAndroidApps_720p.mp4 SaschaFahlMatthewSmithHenningPerlMichaelBrenner-QualitativeComparisonofSSLValidationAlternatives_720p.mp4 SimonBennetts-OWASPZAPInnovations_720p.mp4 TalBeEry-APerfectCRIMEOnlytimewilltell_720p.mp4 ThomasHerleaNelisBouckJohanPeeters-RecipesforenablingHTTPS_720p.mp4 YvanBoilyMinion-MakingSecurityToolsaccessibleforDevelopers_720p.mp4 AngelaSasse-KeynoteBustingTheMythofDancingPigsAngelasTop10listofreasonswhyusersbypasssecuritymeasures_720p.mp4 BenStock-EradicatingDNSRebindingwiththeExtendedSame-OriginPolicy_720p.mp4 DavidRoss-InsaneintheIFRAME--Thecaseforclient-sideHTMLsanitization_720p.mp4 DirkWetter-Welcomenoteandamanualfortheconferenceandeverythingelse_720p.mp4 ErlendOftedal-SecuringamodernJavaScriptbasedsinglepagewebapplication_720p.
Leer más

La CMU publica el material de su clase Secure Software Systems

• August 28, 2013
• tuxotron

La facultad de Ingeniería Eléctrica e Informática de la Universidad Carnegie Mellon, ha publicado el material de una de sus clases, llamada Secure Software Systems. Las diapositivas de la clase son las siguientes: Introduction [pdf] System model: Source code to execution [pdf] Attacks: Buffer overflows, format-string vulnerabilities, and other attacks [pdf] Basic building blocks: separation, memory protection [pdf] Basic building blocks: VMs, Java sandboxing [pdf] Isolation and confinement in Android [pdf] Control-flow integrity [pdf] Run-time enforcement: enforceable properties [pdf] Web attacks [pdf] Web defenses: Native client, app isolation [pdf] Crypto overview [pdf]; software security architectures: Trusted Computing Software security architectures: Trusted Computing + policy Static analysis: C programs Static analysis: web applications Static analysis: malware Dynamic analysis Software model checking Software model checking Software model checking Building verifiable systems: seL4, browsers Language-based security: type systems Language-based security: typed assembly language Language-based security: noninterference Dynamic taint analysis Language-based security: security-typed languages Usability in software security Usable Security: Passwords (Part 1) Usable Security: Passwords (Part 2) Wrap-up Con cada clase, se recomienda algún tipo de lectura que podréis encontrar en el enlace del curso.
Leer más