Juega a Tron por SSH

sshtron.png

SSH Tron es el típico juego de Tron, jugable desde la consola a través de SSH. Sólo tienes que conectarte a:

ssh sshtron.zachlatta.com

Para moverte tienes que usar las teclas HJKL (típicas en Vim) o WASD. No uses los cursores.

Mar 9, 2016
JuegosRetrocomputer

Metaphor, prueba de concepto de explotación de Stagefright

stagefright.jpg

Seguro que muchos os acordáis de la noticia que salió a la luz el año pasado sobre Stagefright (PDF). El enlace es de la presentación de dicha vulnerabilidad en Black Hat.

Dicha noticia levantó bastante revuelo, porque anunciaba que cualquier teléfono móvil con Android (versiones entre 2.2 - 4.0, 5.0 y 5.1) era vulnerable y podría ser comprometido con un simple mensaje multimedia (realmente con cualquier fichero multimedia) sin intervención del usuario. El culpable, una librería (libstagefright) encargada del procesamiento multimedia. La recomendación, mientras no hubiera parche era la de deshabilitar la opción de descarga automática cuando se recibiera un mensaje multimedia (para no ser comprometido de forma automática) y la de no abrir un mensaje de fuente desconocida (sentido común).

Mar 7, 2016
AndroidHackingSeguridad

Curso de pentesting sobre aplicaciones Android

diva_pentesting.png

DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android.

Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps - DIVA, el cual usa como base la aplicación anteriormente mencionada.

El curso esta compuesto por 13 vídeos disponibles de forma gratuita:

Feb 29, 2016
HackingSeguridadAndroid

Seguridad informática para adolescentes

hacker_highschool.png

Institute for Security and Open Methodologies (ISECOM) es una organización sin ánimo de lucro con sedes en Barcelona y Nueva York. Ésta se inició como un movimiento para mejorar la verificación e implementación de la seguridad informática.

Anteriormente hemos hablado del Open Source Security Testing Methodology Manual, quizás el proyecto más conocido de dicha organización. Pero estos también trabajan en otros proyectos, entre ellos uno cuyo objetivo es concienciar a la juventud sobre seguridad informática y hacking: Hacker Highschool (Security Awareness for teens).

Feb 26, 2016
HackingEbookClasesSeguridad

Imágenes de Linux Mint comprometidas

linux-702x336.jpg

La famosa distribución Linux Mint (el sitio está actualmente abajo), ha publicado una entrada dónde avisan que las imágenes ISO de la versión 17.3 con el escrito Cinnamon han sido modificadas e incluyen una puerta trasera (backdoor).

Aunque no se han dado detalles de lo ocurrido, parece que la intrusión se produjo a través de Wordpress, desde donde los atacantes fueron capaces de conseguir una shell en el sistema con permisos www-data (normalmente el usuario propietario del contenido de dicha plataforma).

Feb 21, 2016
LinuxSeguridadHacking

Repositorio público con malware real

malware-analysis-category1-1024x682.jpg

theZoo, también conocido como Malware DB, es una base de datos / repositorio con ejemplos de malware real. Entre estos, también puedes acceder a su código fuente. El objetivo de esta base de datos es la poner a disposición del público de una forma fácil, software malicioso para su estudio. Normalmente acceder a ejemplares de malware real no se fácil.

Dicho proyecto se encuentra alojado en Github, éste contiene un directorio llamado malwares que a su vez contiene dos subdirectorios: Binaries y Source. Dentro de Binaries tenéis los ejemplos que se incluyen en este proyecto. Estos están organizados en directorios igualmente y dentro de cada uno tenéis un fichero (.pass) que contiene el password (infected) para descomprimir el fichero .zip en el mismo directorio, que contiene el malware real. Ojo, que ¡ES MALWARE REAL! El resto de ficheros no son más que el hash (md5 y sha256) del fichero malicioso para comprobar su integridad.

Feb 15, 2016
SeguridadvirusProgramación

Vídeos de USENIX Enigma 2016

enigma_logo_700x253.png

Otra de las grandes conferencias USENIX que tuvo lugar a finales de enero Enigma 2016, enfocada a ataques emergentes, tiene publicado los vídeos de las presentaciones. La lista no es muy amplia, pero la mayoría muy interesantes:

Feb 15, 2016
ConferenciaHackingvideosSeguridad

Vídeos de linux.conf.au 2016

lca2016_logo.jpeg

Ya están publicadas todas las charlas de linux.conf.au 2016. Aquí os dejo como de costumbre la lista completa:

Feb 13, 2016
LinuxvideosConferencia

Cadenas de texto "comprometedoras"

sqlinjection.png

Filtra los datos de entrada y sanea la salida (filter input, sanitize output) esto es de Seguridad 101, posiblemente las premisas más básicas en cuanto a temas de seguridad informática.

Aunque como bien decía estos son dos conceptos muy básicos, eso no quiere decir que sean fáciles de implementar. Sobre todo el filtrado de la entrada de datos.

Para cada lenguaje (con los que yo he trabajado) existen librerías que te ayudan con esta ardua tarea e incluso algunos soportan al menos de forma parcial este tipo de funcionalidad en el propio lenguaje.

Feb 12, 2016
ProgramaciónSeguridadHackingRecursos Informática