Metaphor, prueba de concepto de explotación de Stagefright

Seguro que muchos os acordáis de la noticia que salió a la luz el año pasado sobre Stagefright (PDF). El enlace es de la presentación de dicha vulnerabilidad en Black Hat. Dicha noticia levantó bastante revuelo, porque anunciaba que cualquier teléfono móvil con Android (versiones entre 2.2 - 4.0, 5.0 y 5.1) era vulnerable y podría ser comprometido con un simple mensaje multimedia (realmente con cualquier fichero multimedia) sin intervención del usuario.
Leer más

Curso de pentesting sobre aplicaciones Android

DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android. Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps - DIVA, el cual usa como base la aplicación anteriormente mencionada. El curso esta compuesto por 13 vídeos disponibles de forma gratuita:
Leer más

Seguridad informática para adolescentes

Institute for Security and Open Methodologies (ISECOM) es una organización sin ánimo de lucro con sedes en Barcelona y Nueva York. Ésta se inició como un movimiento para mejorar la verificación e implementación de la seguridad informática. Anteriormente hemos hablado del Open Source Security Testing Methodology Manual, quizás el proyecto más conocido de dicha organización. Pero estos también trabajan en otros proyectos, entre ellos uno cuyo objetivo es concienciar a la juventud sobre seguridad informática y hacking: Hacker Highschool (Security Awareness for teens).
Leer más

Imágenes de Linux Mint comprometidas

La famosa distribución Linux Mint (el sitio está actualmente abajo), ha publicado una entrada dónde avisan que las imágenes ISO de la versión 17.3 con el escrito Cinnamon han sido modificadas e incluyen una puerta trasera (backdoor). Aunque no se han dado detalles de lo ocurrido, parece que la intrusión se produjo a través de Wordpress, desde donde los atacantes fueron capaces de conseguir una shell en el sistema con permisos www-data (normalmente el usuario propietario del contenido de dicha plataforma).
Leer más

Repositorio público con malware real

theZoo, también conocido como Malware DB, es una base de datos / repositorio con ejemplos de malware real. Entre estos, también puedes acceder a su código fuente. El objetivo de esta base de datos es la poner a disposición del público de una forma fácil, software malicioso para su estudio. Normalmente acceder a ejemplares de malware real no se fácil. Dicho proyecto se encuentra alojado en Github, éste contiene un directorio llamado malwares que a su vez contiene dos subdirectorios: Binaries y Source.
Leer más

Vídeos de USENIX Enigma 2016

Otra de las grandes conferencias USENIX que tuvo lugar a finales de enero Enigma 2016, enfocada a ataques emergentes, tiene publicado los vídeos de las presentaciones. La lista no es muy amplia, pero la mayoría muy interesantes: ToStaticHTML for Everyone! About DOMPurify, ... Building a Competitive Hacking Team Verification, Auditing, and Evidence: If We Didn’t Notice Anything Wrong... Keys Under Doormats: Mandating Insecurity... Trust Beyond the First Hop–What Really Happens to Data Sent to HTTPS Websites Drops for Stuff: An Analysis of Reshipping Mule Scams Sanitize, Fuzz, and Harden Your C++ Code Dolla Dolla Bill Y'all: Cybercrime Cashouts Usable Security–The Source Awakens Defending, Detecting, and Responding to Hardware and Firmware Attacks Timeless Debugging Modern Automotive Security: History, Disclosure, and Consequences Protecting High Risk Users Opening Video PKI at Scale Using Short-lived Certificates We Need Something Better—Building STAR Vote Bullet-Proof Credit Card Processing Why Is Usable Security Hard, and What Should We Do about it?
Leer más

Cadenas de texto "comprometedoras"

Filtra los datos de entrada y sanea la salida (filter input, sanitize output) esto es de Seguridad 101, posiblemente las premisas más básicas en cuanto a temas de seguridad informática. Aunque como bien decía estos son dos conceptos muy básicos, eso no quiere decir que sean fáciles de implementar. Sobre todo el filtrado de la entrada de datos. Para cada lenguaje (con los que yo he trabajado) existen librerías que te ayudan con esta ardua tarea e incluso algunos soportan al menos de forma parcial este tipo de funcionalidad en el propio lenguaje.
Leer más

Conoce tus enemigos

A finales del año pasado el Instituto para tecnología de infraestructuras críticas (Institute for critical infrastructure technology ) publicó un documento dónde recogían información sobre los grupos activos detrás de ataques, malware, amenazas, etc. En estos incluyen desde gobiernos a hacktivistas. Este mes de febrero se ha publicado la segunda versión de dicho documento llamado Know your enemies 2.0 (PDF). El documento está organizado por países, consta de 81 páginas y contiene información general de cada grupo.
Leer más

Libro de texto (gratuito) de Princeton sobre Bitcoin

Si te interesa saber como funciona Bitcoin, este libro te interesa. La prestigiosa universidad de Princeton está trabajando en la publicación de un libro sobre la famosa divisa digital: Bitcoin. El libro está aún en fase de revisión y se espera que se publique allá por junio, pero el primer borrador completo está disponible para su descarga (PDF). El libro que se titula Bitcoin and Cryptocurrency Technologies, y está escrito en forma de diálogo, lo que hace su lectura muy amena.
Leer más

Vídeos de Shmoocon 2016

Ya tenemos disponibles los vídeos de la última edición de Shmoocon, conferencia de seguridad que se celebra en Washington DC. 0wn The Con Ask the EFF Attack On Titans AVLeak: Turning Antivirus Emulators Inside Out Be Free Little Guardbunny Breaking Bulbs Briskly By Bogus Broadcasts 1 Building an Encyclopedia of Malware Configs (to punch miscreants) Closing Plenary: Information Security Programs in Academia Compressed Context Analytical Results For Computer Vision Containing an Attack with Linux Containers and AppArmor/SELinux Crypto and Quantum and Post Quantum Exploiting Memory Corruption Gatekeeper Exposed Hacking The Wireless World Hiding From The Investigator Keynote Address LostPass: Pixel-perfect LastPass Phishing LTE Security & Protocol Exploits Making Milware My Hash Is My Passport No Easy Breach Online No One Knows You're Dead Opening Remarks Rumblings Ruminatons Rants OSX Vulnerability Research and Why We Wrote Our Own Debugger P G Ohst Exploitation Penetration Testing Custom Tls Stacks Resistance Is Futile Reverse Engineering Wireless Scada Systems Software Security By The Numbers Speak Security And Enter Static Malware & Smtp Fail Analysis The Road to SYSTEM: Recycling Old Vulnerabilities for Unpatched Privilege Escalation and A New Network Attack #thingswikfound #omarax What Is It, And Why You May Care This Message Will Self Destruct In 10 Seconds Users Are People Too: How to Make Your Tools Not Suck for Humans Using The Algebraic Eraser To Secure Low Power Devices Where Do The Phishers Live You Ain't Seen Nothing Yet
Leer más
Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces