Desde la Universidad de Carnegie Mellon, podemos acceder a un curso audiovisual totalmente gratuito sobre una introducción al desarrollo de aplicaciones para iPad y está formado por tres clases.
El curso está alojado en iTunes y este es el índice:
En esta prueba nos daban un enlace ( http://www.nullcon.net//challenge/data/shhhkoinahihai) . Cuando abrías dicho enlace no se veía nada, todo blanco y lo mismo si miramos el código fuente de la página.
Nos bajamos el fichero, lo abrimos con un editor de textos y nada, todo blanco, pero sí que te podías mover por el contenido del fichero. Pero si lo abrimos con un editor hexadecimal:
Vemos que lo que contiene son el carácter 20h (espacio) y el 09h (tabulador). Mi primera idea fue convertir los tabuladores en guiones y los espacios en puntos, para así tener algún tipo de código morse, pero no me llevó a ningún sitio.
En la primera prueba sobre criptografía nos dan una cadena de texto cifrada, cuyo texto en claro en nuestro flag.
El texto era el siguiente:
Oexjwok -333 lauiljt bwxylexk hilyruik krbf lk yfi frzlx jekbeqaexi bwzqwxixy. ofiui yfi QB blx kixj lx iaibyueb kfwbs yfuwrgf yfi sitcwluj eh yfi frzlx jwik kwziyfexg yfly jwik xwy qailki Oexjwok, 2 Ceaa Glyik
Para esta prueba, al menos cuando yo empecé a hacerla, teníamos una pista: poiuy y además si miramos el código de la página, vemos:
Esta prueba consistía pues en lo típico, nos dan un binario y busca el flag. :/
Voy a intentar explicar lo que hice, pero como no estoy seguro si se va a entender muy bien, ya verás porque lo digo, también he grabado un pequeño vídeo de demostración.
El binario que nos dan después de ejecutar el prólogo (file y strings :) ), vemos que es un binario de Windows. Cuando lo ejecutamos, vemos que abre al menú de inicio, run (ejecutar) y escribe: wmplayer.exe y lo ejecuta, es decir, que también manda la tecla intro (enter).
Estreno el 1 de Abril.
La adicción a WoW es un hecho como ya habréis leído en nuestro blog. Este documental de sólo 7 minutos habla de Anthony Rosner, un jugador de WoW que decidió que ya era momento de volver a vivir en el mundo real. Nos cuenta su vida y amores dentro del juego y como cada vez que casi estaba a punto de dejarlo, aparecía una nueva expansión que te volvía a enganchar.
En la quinta y última prueba de esta categoría nos encontramos con:
Do You Have What IT Takes to Break into the World’s Most Secure Login System?
El sistema más seguro del Login del mundo. Cuando vamos a la página de Login nos encontramos con:
Y aunque en esta prueba no nos dan ninguna pista en el código de la página, si que nos la dan en el nombre de la “empresa” que creó esta pantalla de Login: MERASEQUEL. Automáticamente asumí de que se trataba de una inyección de SQL.
En esta prueba hice el primo por un buen rato. La pregunta que nos hacían:
Can You Get Me all the Data?
Y nos daban un par de enlaces 2007 ( http://www.nullcon.net//challenge/wlevel-4-data.asp?input=2007 ) y 2002 ( http://www.nullcon.net//challenge/wlevel-4-data.asp?input=2002) .
Si pulsamos sobre el 2007 nos aparece:
DR. A.P.J. Abdul Kalam 25 July 2002 TO 25 July 2007
Volvemos atrás y pulsamos sobre 2002
Shri K. R. Narayanan 25 July 1997 TO 25 July 2002
Me lo entregó en mano el Maligno el jueves pasado y ya me lo leído enterito, aunque este es uno de esos libros que no puedes leer una sola vez (hay demasiada información que asimilar en una sola lectura).
Cuando vimos a Mikel Gastesi y Dani Creus (de S21sec) en su charla en el pasado Asegúr@IT Camp (aquí puedes ver las diapositivas) ya teníamos fichado el libro "Fraude online. Abierto 24 horas". La charla nos abrió los ojos y nos "acojonó" un poco a medida que iban explicando la infraestructura global que existe alrededor del malware y sus herramientas. Eso sin hablar de lo sencillo que resulta alquilar servicios, para entre otras cosas, realizar ataques DoS a diestro y siniestro por una mísera cantidad de dinero o del tremendo negocio que existe con las tarjetas de créditos y como fluyen esos números por todas las cuentas de todas las mafias detrás del malware o el fraude online.
En este nivel, además de una página para introducir el flag, se nos presentan otras dos páginas más: un para hacer login y la otra para registrarte.
En la página de login, se nos pide lo típico un nombre de usuario y una contraseña. Como no tenemos ninguna cuenta, vayamos a crearnos una.
Una vez introducimos la información y nos registramos, como de costumbre (esto lo hacía cada vez que ejecutaba alguna acción) miramos el código de la página web y nos encontramos con esto: