Si te interesaron las charlas de la SyScan+360 de este año 2014, ya las puedes descargar desde su web. No están todas, pero las que están tienen buena pinta (parece que sólo faltan 3).

Esta es la lista de las que están disponibles:

• CloudBots: Harvesting Crypto Coins like a Botnet Farmer
• Hack Your Car and I’ll Drive You Crazy: the Design of Hack-proof CAN-based Automotive System
• Program Analysis and Constraint Solvers 
• Advanced Bootkit Techniques on Android
• Using and Abusing Microsoft’s Fix It Patches
• Browser fuzzing in 2014 - David vs Goliath (a.k.a. learn where to throw your stones)
• Mobile Browsers Security: iOS
• Click and Dagger: Denial and Deception on Android Smartphones
• Breaking Antivirus Software
• F**k you Hacking Team! From Portugal, with Love

x64_dbg es un depurador o debugger para arquitecturas Intel de 32 y 64 bits para sistemas Windows. La interfaz es muy parecida a la del archiconocido OllyDbg, por lo que si estás familiarizado con éste, te resultará muy fácil usar x64_dbg. También provee de varias características que podemos encontrar en IDA Pro, buque insignia en este campo.

En resumidas cuentas, las características que x64_dbg nos ofrece en este momento son:

El domingo pasado geohot, también conocido en los CTFs como tomcr00se, decidió hacer streaming en vivo de él mismo jugando al wargame vortex alojado en overthewire.org. Según geohot, las razones por las que decidió grabarse en directo, es para atraer a más empresas y corporaciones, y así intentar hacer de este tipo de competiciones un “e-sport”. Si quieres ver el vídeo del evento, aquí lo tienes.

Watch live video from tomcr00s3 on Twitch

opengarages.org ha publicado un libro titulado: Car Hacker’s Handbook. Éste trata de como podemos “atacar” a los sistemas de los coches modernos, que cada vez usan más tecnología moderna como: acceso a internet, Wifi, bluetooth, etc.

El libro contempla varios vectores de ataques con los que se podrían comprometer la seguridad de los vehículos. Simplemente echando un vistazo al índice da un poco de escalofrío:

• Intro
• Understanding Attack Surfaces
• Infotainment Systems
• Vehicle Communication Systems
• Engine Control Unit
• CAN Bus Reversing Methodology
• Breaking the Vehicle
• CAN Bus Tools
• Weaponizing CAN Findings
• Attacking TPMS
• Ethernet Attacks
• Attacking Keyfobs and Immobilizers
• FLASHBACK - Hotwiring
• Attacking ECUs and other Embedded Systems
• What does your hacker garage need?

El libro lo puedes comprar en papel o de forma electrónica desde Amazon o Barnes & Noble, pero también lo puedes descargar de forma totalmente gratuita en formato PDF o ePub y tienen una licencia Creative Commons Attribution-Noncommercial-ShareAlike.

PD: en el momento de publicar esta entrada, el sitio web está muy lento posiblemente por el volumen de tráfico que la divulgación del libro por muchos otros medios. Así que paciencia :)

Play es un framework que facilita el desarrollo rápido de aplicaciones web escritas en Java y/o Scala. Es una “copia” de Ruby on Rails, que tan famoso hizo a Ruby en el desarrollo web.

Play Session Injection es otro de los magníficos tutoriales prácticos creado por los chicos de PentesterLab. El ejercicio se basa en explotar la forma en que Play manejaba las sesiones web. Play, actualmente ya no es vulnerable a este tipo de ataques, al menos, no de la forma en el que es explotado en este ejercicio, pero como siempre, podemos descargarnos una máquina virtual con todo preparado para hacer nuestras pruebas incluyendo una versión vulnerable de Play, así como un PDF que nos sirve de guía.

Desde la web gametutorials.com han puesto a disposición del público y de forma totalmente gratuita todos los tutoriales del sitio. Son unos 350 tutoriales orientados a la creación de vídeo juegos.

Dichos tutoriales están organizados en las siguientes categorías:

• OpenGL
• DirectX
• Win32
• C
• C++
• C#
• Java

Estos nos enseñan desde lo más básico, a opciones más avanzadas como el manejo de objetos 3D, etc. Para acceder a todo este material todo lo que tienes que hacer es registrarte en el sitio.

El metasploit para analistas o investigadores de malware, es una de las formas en las que Viper se define a sí mismo, de acuerdo con la documentación oficial.

Viper es una framework o marco de trabajo que facilita la organización y análisis binario de malware y exploits. Está orientado al investigador y/o analista de estos. Está escrito en Python y su interfaz en esta versión 1.0 es muy similar a la de metasploit y ofrece la posibilidad de extenderlo a través de plugins.