Reaccionando contra ACTA

NOTA: este excelente artículo es obra de nuestro amigo Newlog , que como ya sabéis, forma parte de la comunidad OverFlowed Minds donde puedes encontrar todo tipo de material sobre seguridad informática. Cuando me disponía a escribir esta entrada, pensaba dar una explicación clara y concisa de lo que es o puede llegar ser el pacto internacional llamado ACTA. Sin embargo, navegando por Internet me he topado con un vídeo muy representativo que en dos minutos describe exactamente lo que podría ser nuestro futuro.
Leer más

CTF #nullcon 2012: Análisis de logs 5

En el quinto y último nivel de esta categoría de análisis de logs, nos encontramos con un fichero (http://www.nullcon.net//challenge/data/dump.rar) PcapNg (una vez descomprimido). Uno de los problemas con los que me encontré era que el fichero es un poco grande y después de filtrar varias veces, Wireshark se comía la máquina y tenía que cerrar dicha aplicación y volverla a abrir ¿fuga de memoria en Wireshark? Supongo que la próxima vez debería de aprender a usar los filtros con tshark :)
Leer más

CTF #nullcon 2012: Análisis de logs 4

En este cuarto nivel, el fichero que se nos da es de Burp y se nos pregunta por el CVE del exploit usado. Esta vez y aprendiendo del nivel anterior me basé en buscar por las urls en vez de códigos de respuesta. Rápidamente me di cuenta que la mayoría de las peticiones se hacían una IP/página sin que, en principio, se nos diera alguna pista de la aplicación web a la que se accedía y viendo que nos preguntan por un CVE, empecé a descartar dichas urls.
Leer más

CTF #nullcon 2012: Análisis de logs 3

Buena en esta tercera prueba de análisis de logs, nos proveen un fichero de logs (http://www.nullcon.net//challenge/data/access.rar) de acceso de apache. Lo primero que tenemos que saber interpretar es dicho fichero, para ello, podemos visitar esta página, dónde nos explican el significado de cada columna. En este reto se nos pregunta por tres cosas para conseguir el flag: página vulnerable, puerto abierto e IP del atacante. El fichero es bastante grande para analizar así manualmente, así que lo primero que hice fue filtrar todas las líneas cuyo código de respuesta era 2xx.
Leer más

Open Security Training, material de clases sobre seguridad informática

(Ruta a seguir en los tutoriales para clases sobre aprendizaje de "Exploits") Todo el material en Open Security Training es licencia CreativeCommons y está orientado sobre todo a instructores en temas de seguridad informática. Pero claro, también te sirven para aprender tu mismo. En el apartado “Training”, puedes encontrar este material: Beginner Classes: Introductory Intel x86: Architecture, Assembly, Applications, & Alliteration The Life of Binaries Introduction to Network Forensics CTF Forensics Intermediate Classes: Intermediate Intel x86: Architecture, Assembly, Applications, & Alliteration Introduction to Software Exploits Advanced Classes: Rootkits: What they are, and how to find them Introduction to Reverse Engineering Software No dudes en ver cada uno de ellos porque la información que contiene es realmente espectacular.
Leer más

CTF #nullcon 2012: Análisis de logs 2

En este caso lo que nos dan es un fichero pcap y nos preguntan por la contraseña del usuario suppadmin. Pues nada, nos bajamos el fichero (http://www.nullcon.net//challenge/data/log3.pcap) en cuestión abrimos nuestro Wireshark y vemos que el tráfico corresponde a MySQL y al final del fichero vemos algo como: .... ..."......select * from tb1_admin.....6....def myaccounts.tb1_admin.tb1_admin.id.id.?.......B...B....def myaccounts.tb1_admin.tb1_admin.username.username...d.........>....def myaccounts.tb1_admin.tb1_admin.passwd.passwd...d.........>....def myaccounts.tb1_admin.tb1_admin.access.access... [email protected].............. Se lanza una consulta select que devuelve un registro con las columnas id, username, passwd y access.
Leer más

Curso audiovisual basado en el libro Understanding Cryptography

En http://wiki.crypto.rub.de han tienen publicado una clase sobre criptografía usando como libro base Understanding Cryptography. El curso está dividido en 13 apartados: 1 - Introduction to Cryptography 2 - Streamciphers 3 - DES and Alternatives 4 - AES 5 - More about Block Ciphers 6 - Intro to Public-Key Crypto 7 - RSA 8 - Discrete Logarithm Based Crypto 9 - Elliptic Curve Cryptos 10 - Digital Signatures 11 - Hash Functions 12 - Message Authentication Codes (MACs) 13 - Key Establishment En cada apartado puedes ver el/los vídeos del mismo.
Leer más

Cómo elegir una buena clave (Infografía)

Fuente
Leer más

Vídeos de la conferencia SOURCE de Barcelona

Ya se pueden acceder a los vídeos y algunas de las presentaciones de las charlas dadas en la conferencia de seguridad SOURCE celebrada en Barcelona los pasados 16 y 17 de noviembre. Adapting to the Age of Anonymous Vídeo Presentación Wfuzz para Penetration Testers Vídeo Presentación Advanced (Persistent) Binary Planting Vídeo Presentación All Your Crimeware Are Belong To Us! Vídeo Are Agile and Secure Development Mutually Exclusive? Vídeo Presentación Canales Cubiertos en Redes Sociales Vídeo Metasploit: Hacker's Swiss Army Knife Vídeo Show Me Your Kung-Fu Vídeo RESTful Services, the Web Security Blind Spot Vídeo Presentación Steganography Vídeo Presentación Men in the server meets the Man In The Browser Vídeo Presentación Security Goodness with Ruby on Rails Presentación Security Convergence - Goldmines & Pitfalls Vídeo La calificación y su aplicación al cloud computing Vídeo How NOT to do a Penetration Test Vídeo There’s an App for That: Evolving Mobile Security into a Business Advantage Vídeo Data Exfiltration - the way Q would have done it Vídeo Presentación Legal/technical strategies addressing data risks as perimeter shifts to Cloud Vídeo Gaining Acceptance for a New Approach to Software Development Vídeo Web de las charlas
Leer más

ClubHack Mag número 24

En el número de este mes de enero de 2012, podemos encontrar el siguiente contenido: 0x00 Tech Gyan - One Line Facebook 0x01 Tool Gyan - SQLMAP – Automated Sql Injection Testing Tool 0x02 Mom's Guide - Social Networking and its Application Security 0x03 Legal Gyan - Powers of Government under the Information Technology Act, 2000 0x04 Matriux Vibhag - Setting up and Getting started with Matriux Krypton 0x05 Poster - "
Leer más
Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces