Hace un par de fin de semanas que quedé con un amigo para ahumar unas costillas y solomillos. El proceso de ahumar, para mi sorpresa es más laborioso y delicado de lo que pensaba. Una de las claves de dicho proceso es la temperatura.
El ahumador de este amigo mío, por supuesto tenía un termómetro, pero dejó de funcionar aquel día, así que tuvimos que estimar la potencia del mismo, y así salíó la carne :p
Cada vez que juego con un Raspberry Pi, el resultado final suele ser conectar algún sensor y exponer los datos del mismo a través de algún servicio REST. Esto implica que el RPi es instalado en mi red en modo servidor, al cual le mando peticiones y recibo respuestas.
Por defecto, cuando instalas el sistema operativo (Raspbian en mi caso), la configuración del adaptador inalámbrico es trivial, pero se configura en modo DHCP, es decir, el router asigna la IP de forma dinámica. Normalmente, te asigna la misma IP siempre, pero no se garantiza.
Esa batería del final sólo es comparable a Mogwai y su magnífico “Mogwai fear Satan” …
La ezine sobre hacking/seguridad por excelencia, Phrack, acaba de publicar un nuevo documento titulado Modern Objective-C Exploitation Techniques.
El documento trata sobre la explotación de aplicaciones escritas en Objective-C basada en la corrupción de la memoria. El autor de dicho trabajo, ya publicó en su día otro artículo en el número 66 de Phrack sobre cómo entender y abusar Objective-C en tiempo de ejecución The Objective-C Runtime: Understanding and Abusing, cuya lectura es recomendada previo a ésta.
¿Intersado en el análisis de malware para Mac OS X?
Aquí puedes encontrar un archivo .zip con ocho muestrar de malware para Mac OS X:
Recalco que esto no son muestras de ensayo, es malware real, así que ándate con cuidado.
Cortesía de Irongeek, podemos ver los vídeos de las charlas de BSides Nashville 2015.
La list es la siguiente:
Hack yourself first (PDF) es un libro disponible de forma totalmente gratuita en el nos enseñan técnicas de pen testing básicas. A pesar de que dichas técnicas sean comunes en un ejercicio de penetración, el propósito del libro es la defensa, es decir, nos enseña a encontrar vulnerabilidades comunes (más comunes de lo que muchas veces creemos) en nuestra propia red o sistemas antes de que la encuentre algún pen tester o en el peor de los casos, algún criminal.
Esta frase con la que abrimos este post la dice literalmente Howard Scott Warshaw, más conocido como el programador de E.T. para Atari (para muchos considerado el peor videojuego de la Historia) en el documental "Atari: Game Over" que podéis ver en YouTube (sobre el minuto 12:30 del primer vídeo le escucharéis decir la frase):
Al principio del documental Howard nos cuenta cómo fue su primer día de trabajo en la compañía Atari el 11 de Enero de 1981.
Una vez más la fantástica web pentesterlab ha creado otro laboratorio práctico dónde podemos pasar un buen rato aprediendo/mejorando nuestras habilidad sobre seguridad en aplicaciones web.
Una vez más la aplicación vulnerable está construida sobre el framework Play. En este caso exponen una vulnarabilidad (que ya ha sido corregida) que se aprovecha de un error en el procesado de documentos XML.
El ejercicio se basa en el robo de ficheros del sistema aprovechando la vulnerabilidad mencionada anteriormente.
También están disponibles las presentaciones de SyScan 2015: