opengarages.org ha publicado un libro titulado: Car Hacker’s Handbook. Éste trata de como podemos “atacar” a los sistemas de los coches modernos, que cada vez usan más tecnología moderna como: acceso a internet, Wifi, bluetooth, etc.

El libro contempla varios vectores de ataques con los que se podrían comprometer la seguridad de los vehículos. Simplemente echando un vistazo al índice da un poco de escalofrío:

• Intro
• Understanding Attack Surfaces
• Infotainment Systems
• Vehicle Communication Systems
• Engine Control Unit
• CAN Bus Reversing Methodology
• Breaking the Vehicle
• CAN Bus Tools
• Weaponizing CAN Findings
• Attacking TPMS
• Ethernet Attacks
• Attacking Keyfobs and Immobilizers
• FLASHBACK - Hotwiring
• Attacking ECUs and other Embedded Systems
• What does your hacker garage need?

El libro lo puedes comprar en papel o de forma electrónica desde Amazon o Barnes & Noble, pero también lo puedes descargar de forma totalmente gratuita en formato PDF o ePub y tienen una licencia Creative Commons Attribution-Noncommercial-ShareAlike.

PD: en el momento de publicar esta entrada, el sitio web está muy lento posiblemente por el volumen de tráfico que la divulgación del libro por muchos otros medios. Así que paciencia :)

Play es un framework que facilita el desarrollo rápido de aplicaciones web escritas en Java y/o Scala. Es una “copia” de Ruby on Rails, que tan famoso hizo a Ruby en el desarrollo web.

Play Session Injection es otro de los magníficos tutoriales prácticos creado por los chicos de PentesterLab. El ejercicio se basa en explotar la forma en que Play manejaba las sesiones web. Play, actualmente ya no es vulnerable a este tipo de ataques, al menos, no de la forma en el que es explotado en este ejercicio, pero como siempre, podemos descargarnos una máquina virtual con todo preparado para hacer nuestras pruebas incluyendo una versión vulnerable de Play, así como un PDF que nos sirve de guía.

Desde la web gametutorials.com han puesto a disposición del público y de forma totalmente gratuita todos los tutoriales del sitio. Son unos 350 tutoriales orientados a la creación de vídeo juegos.

Dichos tutoriales están organizados en las siguientes categorías:

• OpenGL
• DirectX
• Win32
• C
• C++
• C#
• Java

Estos nos enseñan desde lo más básico, a opciones más avanzadas como el manejo de objetos 3D, etc. Para acceder a todo este material todo lo que tienes que hacer es registrarte en el sitio.

El metasploit para analistas o investigadores de malware, es una de las formas en las que Viper se define a sí mismo, de acuerdo con la documentación oficial.

Viper es una framework o marco de trabajo que facilita la organización y análisis binario de malware y exploits. Está orientado al investigador y/o analista de estos. Está escrito en Python y su interfaz en esta versión 1.0 es muy similar a la de metasploit y ofrece la posibilidad de extenderlo a través de plugins.

Como ya Microsoft terminó de dar soporte a Windows XP y ya [sarcasmo]nadie lo usa[/sarcasmo], para aquellos curiosos que quieran saber como se pueden generar los números de licencia para dicho sistema operativo, aquí puedes encontrar la implementación de un algortimo en C++ capaz de ello. Si lo prefieres en javascript, desde este otro enlace, puedes incluso ejecutarlo y generar las claves desde el propio navegador.

Y si te interesa conocer como se pueden generar dichos números para Windows 2003, visita este enlace.

Spotify

SoundCloud

Aunque Intel provee de toda la documentación del conjunto de instrucciones de procesadores x86, 64 y 32 bits, los documentos pdfs son un poco grandes y quizás no la opción más versátil como fuente de consulta.

HTML es sin duda un formato mucho más flexible y ligero que PDF, por lo que una versión en HTML del conjunto de de instrucciones de los procesadores x86 de Intel, puede ser mucho más conveniente de tener a mano. Aunque hay varias webs que ofrecen este tipo de información (mi web favorita es ref.x86asm.net), exista otra página web que no conocía, dónde podemos consultar dicha documentación de una forma rápida. La información es presentada de una forma muy simple. Toda la lista de las instrucciones disponibles en una página, con un enlace a otra página más específica con toda la documentación referente a dicha instrucción.

Ya están disponibles los vídeos (aunque no todos) de la conferencia OWASP AppSecEU 2014, celebrada en Cambridge entre el 23 y 26 de junio.

• Hemil Shah - Smart Storage Scanning for Mobile Apps - Attacks and Exploit
• OrKatz - Getting New Actionable Insights by Analyzing Web Application Firewall Triggers
• Jacob West - Keynote - Fighting Next-Generation Adversaries with Shared Threat Intelligence
• Lorenzo Cavallaro - Keynote - Copper Droid On the Reconstruction of Android Malware Behaviors
• Matt Tesauro - Barbican Protect your Secrets at Scale
• Gergely Revay - Security Implications of Cross-Origin Resource Sharing
• Simon Bennetts - OWASP ZAP Advanced Features
• Maty Siman - Warning Ahead Security Stormsare Brewing in Your JavaScript
• Dan Cornell - Hybrid Analysis Mapping Making Security and Development Tools Play Nice Together
• StevenMurdoch - Keynote-Anonymous Communications and Tor History and Future Challenges
• Winston Bond - OWASP Mobile Top Ten 2014 - The New Lack of Binary Protection Category
• Jerry Hoff - Getting a Handle on Mobile Security
• AppSec EU 2014 Chapter Leaders Workshop
• OWASP AppSec Europe 2014 - Frameworks and Theories Track
• OWASP AppSec Europe 2014 - Builder and Breaker Track
• OWASP AppSec Europe 2014 - DevOps Track
• OWASP AppSec Europe 2014 - Security Management & Training Track
• OWASP AppSec Europe 2014 - Malware & Defence Track
• OWASP AppSec Europe 2014 - Mobile Track