Vídeos de la Louisville Metro InfoSec

• October 8, 2013
• tuxotron

De nuevo, desde la web Irongeek podemos encontrar más vídeos interesantes, esta vez de la conferencia Louisville Metro InfoSec, celebrada el pasado 3 de octubre. Mobile Security and the Changing Workforce - Matthew Witten Weaponized Security - Kellman Meghu Information Security in University Campus and Open Environments - Adrian Crenshaw Past Due: Practical Web Service Vulnerability Assessment for Pen-Testers, Developers, and QA - Jeremy Druin STRC: The Security Training and Research Cloud - Jimmy Murphy Assessing Mobile Applications with the MobiSec Live Environment - Nathan Sweeney Attacking iOS Applications - Karl Fosaaen Can cloud and security be used in the same sentence?
Leer más

Vídeos de la DerbyCon 3.0

• October 1, 2013
• tuxotron

A través de la magnífica web de Irongeek, podemos ver todos los vídeos de las charlas dadas (tracks 1 y 2 y algunas de la 3) en la DerbyCon 3.0. La lista de los vídeos publicados es: Scanning Darkly – HD Moore (keynote) Kinetic Pwnage: Obliterating the Line Between Computers and the Physical World – Ed Skoudis (keynote) Look Ma – No Exploits! – The Recon-ng Framework – Tim “LaNMaSteR53?
Leer más

Vídeos de la Ruxcon 2012

• September 24, 2013
• tuxotron

Ya están disponibles los vídeos de la pasada Ruxcon 2012. Recuerda que las presentaciones también están disponibles. Reverse Engineering a Mass Transit Ticketing System - TrainHack Hardware Backdooring is Practical - Jonathan Brossard Injecting PHY-Layer Packets without a Bug or your Radio - Travis Goodspeed How To Catch a Chameleon: Its All In Your Heap - Steven Seeley Tracking vulnerable JARs - David Jorm A Tale of Two Firefox Bugs - Fionnbharr Davies Bluetooth Packet Sniffing Using Project Ubertooth - Dominic Spill Thar' be Vuln.
Leer más

Google conoce casi todas las contraseñas WiFi del mundo

• September 13, 2013
• cybercaronte

Y si Google las conoce, por defecto la NSA y la CIA también. ¿Y cómo puede ser esto?, pues muy sencillo. Si un dispositivo Android (ya os podéis imaginar los que hay por el mundo), ya sea teléfono o tablet, se conecta con una WiFi esta queda almacenada en el aparato y por lo tanto, se almacena también en Google (desde la versión 2.2) cuando se hace una copia de seguridad de la configuración (ver la imagen del post).
Leer más

Diapositivas de Intro to Computer & Network Security & Applied Cryptography

• September 1, 2013
• tuxotron

David Brumley Intro to Computer & Network Security & Applied Cryptography es otra de las clases impartidas por la Universidad de Carniege Mellon en las que han publicado las diapositivas de la misma. Esta clase se impartió el otoño pasado. Ésta fue impartida por David Brumley, mentor facultativo del equipo PPP. Las diapositivas son: 01_introduction.pdf 02_compilation.pdf 03-controlflow-attack.pdf 05-controlflow-defense.pdf 06-CFI.pdf 07-08-web-security.pdf 09-typesafety-theory.pdf 10-information-flow-overview.pdf 11-malware.pdf 12-crypto-intro.pdf 13-crypto-block-ciphers.pdf 14-crypto-mac-hashes.pdf 15-crypto-public-key.pdf 16-crypto-authenticated-encryption-protocols.pdf 17-netsec-intro.pdf 18-netsec-firewall-ids.
Leer más

Vídeos de la OWASP AppSec Europe 2013

• August 28, 2013
• tuxotron

Ya tenemos disponibles los vídeos de otra magnífica conferencia sobre seguridad informática: OWASP AppSec Europe 2013. Ésta se celebró en Hamburgo durante el pasado 20-23 de agosto. La lista de los vídeos es la siguiente: AbrahamAranguren-IntroducingOWASPOWTF5x5_720p.mp4 AchimHoffmannOferShezaf-WAFEC-contentandhistoryofanunbiasedprojectchallenge_720p.mp4 BastianBraunJoachimPoseggaChristianV.Pollak-ADoormanforYourHome-Control-FlowIntegrityMeansinWebFrameworks_720p.mp4 ColinWatsonDennisGroves-OWASPAppSensorInTheoryInPracticeandInPrint_720p.mp4 DanCornell-DoYouHaveaScanneroraScanningProgram_720p.mp4 DieterGollmann-ClosingNoteAccessControloftheWeb-TheWebofAccessControl_720p.mp4 DirkWetter-ClosingCeremony_720p.mp4 EduardoVela-Matryoshka_720p.mp4 ErlendOftedal-RESTfulsecurity_720p.mp4 FredDonovan-Q-BoxandH-BoxRaspberryPIfortheInfrastructureandHacker_720p.mp4 JrgSchwenk-KeynoteCryptographyinWebSecurityStupidBrokenandmaybeWorking_720p.mp4 KonstantinosPapapanagiotouSpyrosGasteratos-OWASPHackademicapracticalenvironmentforteachingapplicationsecurity_720p.mp4 LucaViganLucaCompagna-TheSPaCIoSToolproperty-drivenandvulnerability-drivensecuritytestingforWeb-basedapplicationscenarios_720p.mp4 MarcoBalduzziVincenzoCiangagliniRobertMcArdle-HTTPS-BasedClusteringforAssistedCybercrimeInvestigations_720p.mp4 MarioHeiderich-TheinnerHTMLApocalypse-HowmXSSattackschangeeverythingwebelievedtoknowsofar_720p.mp4 MicheleOrr-RootingyourinternalsInter-ProtocolExploitationcustomshellcodeandBeEF_720p.mp4 MiltonSmith-MakingtheFutureSecurewithJava_720p.mp4 NickNikiforakis-WebFingerprintingHowWhoandWhy_720p.mp4 NicolasGrgoire-BurpPro-Real-lifetipsandtricks_720p.mp4 PaulStone-PrecisionTiming-AttackingbrowserprivacywithSVGandCSS_720p.mp4 PhilippeDeRyckLievenDesmetFrankPiessensWouterJoosen-ImprovingtheSecurityofSessionManagementinWebApplications_720p.mp4 RetoIschi-AnAlternativeApproachforReal-LifeSQLiDetection_720p.mp4 RobertoSuggiLiverani-AugmentedRealityinyourWebProxy_720p.mp4 SahbaKazerooni-NewOWASPASVS2013_720p.mp4 SaschaFahlMarianHarbachMatthewSmith-MalloDroidHuntingDownBrokenSSLinAndroidApps_720p.mp4 SaschaFahlMatthewSmithHenningPerlMichaelBrenner-QualitativeComparisonofSSLValidationAlternatives_720p.mp4 SimonBennetts-OWASPZAPInnovations_720p.mp4 TalBeEry-APerfectCRIMEOnlytimewilltell_720p.mp4 ThomasHerleaNelisBouckJohanPeeters-RecipesforenablingHTTPS_720p.mp4 YvanBoilyMinion-MakingSecurityToolsaccessibleforDevelopers_720p.mp4 AngelaSasse-KeynoteBustingTheMythofDancingPigsAngelasTop10listofreasonswhyusersbypasssecuritymeasures_720p.mp4 BenStock-EradicatingDNSRebindingwiththeExtendedSame-OriginPolicy_720p.mp4 DavidRoss-InsaneintheIFRAME--Thecaseforclient-sideHTMLsanitization_720p.mp4 DirkWetter-Welcomenoteandamanualfortheconferenceandeverythingelse_720p.mp4 ErlendOftedal-SecuringamodernJavaScriptbasedsinglepagewebapplication_720p.
Leer más

La CMU publica el material de su clase Secure Software Systems

• August 28, 2013
• tuxotron

La facultad de Ingeniería Eléctrica e Informática de la Universidad Carnegie Mellon, ha publicado el material de una de sus clases, llamada Secure Software Systems. Las diapositivas de la clase son las siguientes: Introduction [pdf] System model: Source code to execution [pdf] Attacks: Buffer overflows, format-string vulnerabilities, and other attacks [pdf] Basic building blocks: separation, memory protection [pdf] Basic building blocks: VMs, Java sandboxing [pdf] Isolation and confinement in Android [pdf] Control-flow integrity [pdf] Run-time enforcement: enforceable properties [pdf] Web attacks [pdf] Web defenses: Native client, app isolation [pdf] Crypto overview [pdf]; software security architectures: Trusted Computing Software security architectures: Trusted Computing + policy Static analysis: C programs Static analysis: web applications Static analysis: malware Dynamic analysis Software model checking Software model checking Software model checking Building verifiable systems: seL4, browsers Language-based security: type systems Language-based security: typed assembly language Language-based security: noninterference Dynamic taint analysis Language-based security: security-typed languages Usability in software security Usable Security: Passwords (Part 1) Usable Security: Passwords (Part 2) Wrap-up Con cada clase, se recomienda algún tipo de lectura que podréis encontrar en el enlace del curso.
Leer más

Presentaciones de DEF CON 21

• August 28, 2013
• tuxotron

Ya estás disponibles las presentaciones (diapositivas y algún material extra) de la DEF CON 21. Todavía no están todas, pero aquí tenéis la lista de las disponibles en estos momentos: Business logic flaws in mobile operators services - PDF White Paper Fear the Evil FOCA: IPv6 attacks in Internet connections - PDF Suicide Risk Assessment and Intervention Tactics - PDF Extras Combatting Mac OSX/iOS Malware with Data Visualization - PDF White Paper MITM All The IPv6 Things - PDF PowerPwning: Post-Exploiting By Overpowering PowerShell - PDF Extras Transcending Cloud Limitations by Obtaining Inner Piece - PDF Extras Data Evaporation from SSDs - PDF Evil DoS Attacks and Strong Defenses - PDF RFID Hacking: Live Free or RFID Hard - PDF Extras OTP, It won't save you from free rides!
Leer más

Er docu der finde: Echelon, la máquina espía

• August 23, 2013
• tuxotron

Leer más

Atacando Servicios Web Axis2 y Tomcat Manager, otro tutorial de PentesterLab

• August 23, 2013
• tuxotron

PentesterLab acaba de lanzar otro de sus maravillosos cursos/tutoriales sobre penetración en aplicaciones web: Axis2 and Tocat Manager. En este caso nuestro objetivo es conseguir subir una shell web en el archi-conocido contenedor web Tomcat, atacando servicios web implementados con Axis2. Aprenderás a interactuar con servicios web, escribir shell webs en JSP y a atacar Tomcat Manager. Como de costumbre los requisitos son: Ganas de aprender Conocimientos básicos sobre el protocolo HTTP En este caso, conocimientos básicos sobre Java Software de virtualización Y como siempre tenemos máquinas virtuales de 32 y 64 bits, más el PDF de guía.
Leer más