"Journey", el nuevo "Cosmos" (trailer)
Más información aquí.
¡Cálico Electrónico nos necesita!
Mensaje de Niko:
WE NEED YOU¿No os da penita cuando os mira con esa carita al final de vídeo? ;)Triste es pedir pero más triste es robar así que te pedimos que nos eches una mano para sacar adelante esta “pedacho” de 5ª Temporada (o Temporada 5 y ya, si eso, haces tú la rima…) y de este modo poder continuar con la leyenda del super “jirou” más grande de toda la internés, el más machote, el inconmensurable, el inigualable, el único!!!…CÁLICO ELECTRÓNICO!!!
Er docu der finde: Supercoches - Tesla
Mejora tus habilidades de penetración... ¡web!
Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc.
Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.
Análisis estático de código en scripts de Bash
Una de las opciones de las que dispone Bash es la opción -n, que hace un análisis sintáctico de un script y nos alerta de errores en nuestro script.
Muchas veces, cometemos errores que no son sintácticos, sino más bien por desconocimiento o despiste podemos escribir código que sintácticamente es correcto, pero la ejecución del mismo no es lo que realmente esperamos del mismo.
Una buena referencia sobre este tipo de errores, errores comunes que se cometen en la programación de scripts Bash es Bash Pitfalls. Dónde concretamente nos dan 44 ejemplos de errores comunes con su correspondiente explicación.
Guía de fortificación y seguridad de servidores web Apache
De acuerdo con Netcraft, a día de hoy Apache sigue siendo el rey en servidores web y por lo tanto el más usado a través de internet.
Es por ello, que también sea seguramente el más atacado por la cuota de mercado que ocupa. Por lo que tener un servidor Apache bien configurado es una tarea obligatoria para cualquier administrador.
Esta guía recientemente publicada nos ayuda con esta tarea. Trata desde el filtrado de información, hasta la configuración de los ficheros logs, pasando por la autorización, seguridad en aplicaciones web, configuración de SSL y Mod Security.
Domingo por la mañana, Múm, When Girls Collide
Presentaciones de la Virus Bulletin 2013
El pasado 2 - 4 de octubre se celebró en Berlín otra conferencia sobre seguridad informática enfocada más al tema del malware: VB2013 - Virus Bulletin 2013 (no, no es Visual Basic!). Esta es la 23 edición de esta conferencia.
Las presentaciones que se dieron ya están disponibles para descarga. La lista es la siguiente
Corporate stream
- Andreas Lindh ('Surviving 0-days - reducing the window of exposure')
- Sabina Datcu ('Targeted social engineering attacks. Sensitive information, from a theoretical concept to a culturally defined notion')
- Michael Johnson ('Make it tight, protect with might, and try not to hurt anyone')
- Randy Abrams & Ilya Rabinovich ('Windows 8 SmartScreen application control - what more could you ask for?')
- Axelle Apvrille ('Analysis of Android in-app advertisement kits')
- Vanja Svajcer ('Classifying PUAs in the mobile environment')
- Roman Unuchek ('Malicious redirection of mobile users')
- Craig Schmugar ('Real-world testing, the good, the bad, and the ugly')
- Ciprian Oprisa & George Cabau ('The ransomware strikes back')
- Jarno Niemela ('Statistically effective protection against APT attacks')
- Sergey Golovanov ('Hacking Team and Gamma International in "business-to-government malware"')
- Carsten Willems & Ralf Hund ('Hypervisor-based, hardware-assisted system monitoring')
- James Wyke ('Back channels and bitcoins: ZeroAccess' secret C&C communications')
- Xinran Wang ('An automatic analysis and detection tool for Java exploits')
- Rowland Yu ('GinMaster: a case study in Android malware')
- Samir Mody ('"I am not the D'r.0,1d you are looking for": an analysis of Android malware obfuscation')
- Farrukh Shazad ('The Droid Knight: a silent guardian for the Android kernel, hunting for rogue smartphone malware applications')
- Fabio Assolini ('PAC - the Problem Auto-Config (or "how to steal bank accounts with a 1KB file")')
- Samir Patil ('Deciphering and mitigating Blackhole spam from email-borne threats')
- Evgeny Sidorov ('Embedding malware on websites using executable webserver files')
- Amr Thabet ('Security research and development framework')
- Gabor Szappanos ('Hide and seek - how targeted attacks hide behind clean applications')
- Ross Gibb ('Lessons learned: sinkholing a peer-to-peer botnet')
- Dennis Batchelder & Hong Jia ('Working together to defeat attacks against AV automation')
Libros, libros y más libros
En Github se ha creado un repositorio nuevo, el cual no contiene ningún tipo de programa o aplicación sino cientos de enlaces a libros gratuitos principalmente sobre programación.
Una de las ventajas de usar Github (en realidad cualquier repositorio de control de versiones) es que es muy fácil bajarnos (clonar) el repositorio completo. Otra gran ventaja de este método es la colaboración. Se hace muy fácil el poder añadir nuestros propios enlaces y hacer una petición para que se incorporen al repositorio principal.