El Parche Universal

  • December 28, 2017
  • tuxotron

    • NIST - NSA

    *NIST - NSA*
    [NIST](https://www.nist.gov/), el Instiuto Nacional de Estándares y Tecnología de los EEUU ha anunciado el resultado de una investigación llevada a cabo en conjunción con [Telefónica](https://www.telefonica.com). Dicha investigación liderada por Chema Alonso, Pablo González y Fran Ramírez, ha desembocado en uno de los descubrumientos más importantes en ciber seguridad de los últimos tiempos: El Parche Universal.

    El Parche Universal encajaría dentro de lo que conocemos como hardening o fortificación de sistemas. Éste, una vez aplicado en tu sistema lo vuelve infalible, impenetrable y los exploits son inútiles.

    Para aplicacar El Parche Universal en sistemas Windows, sólo tienes que ejecutar:

    ren C:\Windows\System32\calc.exe C:\Windows\System32\__calc.exe

    Para sistemas basados en Ubuntu Linux:

    mv /usr/share/applications/gnome-calculator /usr/share/applications/__gnome-calculator

    Para sistemas Mac OS:

    mv /Applications/Calculator.app /Applications/__Calculator.app

    Una vez aplicado el parche, cualquier exploit contra tu sistema fallará miserablemente.

    Todos los detalles de la investigción están todavía por ser públicos, ya que están siendo estudiados por la NSA e Incibe.

    Ya sabes, aplica el parche y empieza el año nuevo de forma segura.

El Libro Maravilla De Steve Wozniak

  • December 16, 2017
  • tuxotron

    • The Woz Wonderbook

    *The Woz Wonderbook*

    Con la popularización del Apple ][ y su incremento en ventas, una de las cosas que la preocupaba a Steve Job era la pobre calidad de la documentación de dicho ordenador. Durante el verano y otoño de 1977, se recolectaron de los archivos de Steve Wozniak todos sus apuntes para crear un “libro” de documentación interna usado por los ingenieros de Apple. A esta colección de notas, diagramas, código, etc se le bautizó como The Woz Wonderbook. Este cubría el vacío que existía en la documentación oficial del Apple ][.

    The Woz Wonderbook sirvió como fuente principal para el primer manual real del Apple ][, el famoso Libro Rojo o Red Book (PDF), publicado en enero de 1978.

    En 2004 Digibarn Computer Museum, gracias a Bill Goldberg (empleado de Apple), se hizo con una de las copias del original y se encargó de digitalizar y ponerlo a disposición pública en formato PDF.

    El libro contiene un total de 213 páginas, cuyo contenido es el siguiente:

    • Auto Repeat for Apple-II Monitor Commands.
    • Use of the Apple-II Mini-Assembler.
    • Apple-II Pointers and Mailboxes.
    • Apple-II 2716 EPROM Adaptation (‘D0’ and ‘D8’ Sockets).
    • Using Apple-II Color Graphics.
    • Adding Colors to Apple-II Hi-Res.
    • Apple-II Disassembler Article (Apple-II MONITOR ROM).
    • Apple-II Cassette Article.
    • Apple-II Floating Point Package.
    • Apple-II Sweet-16 – The 6502 Dream Machine.
    • Apple-II 6502 Code Relocation Program.
    • Apple-II Renumbering and Appending BASIC Programs.
    • References (03/11/2004).
    • Bill Goldberg Interview (19/04/2004). Audio de la entrevista (MP3)

    Las dos últimas entradas (Referencias y Entrevista) son adiciones de 2004 cuando se digitalizó el libro, por lo tanto no son parte del libro original.

    Esta es otra de las joyas de la historia de Apple, un elemento de colección para cualquier amante de las curiosidades de la historia de la informática.

Tiredful, Una API Vulnerable

  • December 3, 2017
  • tuxotron

    • Tiredful API

    *Tiredful API*

    Cómo hemos dicho muchas veces, sin hacer no se aprende. Leer es un hábito que todos debemos desarrollar y cultivar, pero cuando hablamos de tecnología, si sólo lees y no pruebas, practicas, rompes, etc, no aprenderás mucho.

    Ya hemos publicado algunas entradas (vulnerable, pentesting, etc) con aplicaciones vulnerables de forma intencionada para el beneficio del que desea practicar y aprender. En este caso os hablamos sobre otra de estas aplicaciones, aunque esta vez es una REST API.

    Conocer como funcionan las APIs REST es fundamental, sobre todo para desarrolladores y auditores de seguridad, cualquiera que sea el color de tu equipo. Hay quien dice que las APIs son los nuevos blogs para las empresas, y que prácticamente cualquier empresa debería tener su propia API.

    Tiredful-API es una REST API intencionadamente vulnerable. Está escrita en Python con Django y actualmente contiene las siguientes vulnerabilidades:

    • Information Disclosure.
    • Insecure Direct Object Reference.
    • Access Control.
    • Throttling.
    • SQL Injection (SQLite).
    • Cross Site Scripting.

    El código está disponible en Github, junto con las instrucciones de cómo ejecutarla.

    Pero si no te encuentras cómodo con Python y Django, o simplemente no quieres instalar ninguna de las dependencias que necesitas, puedes usar una imagen Docker que he creado y que puedes ejecutar con un simple comando:

    docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api

    Evidentemente necesitas tener Docker instalado. Si tu usuario no es parte del grupo de Docker o no tienes privilegios elevados, necesitarás prefijar el comando anterior con sudo.

    sudo docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api

    Una vez hayas ejecutado dicho comando, puedes acceder a la aplicación yendo a http://localhost:8000.

    Si te atascas y necesitas un poco de ayuda, puedes acceder a las soluciones, pero inténtalo y no te des por vencido muy rápido.

Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces