Las presentaciones de la Hack In The Box Security Conference (HITBSECCONF) 2013 celebrada en Malasia han sido publicadas.

Las lista de las diapositivas es la siguiente:

• D1 KEYNOTE - Andy Ellis - Cognitive Injection.pdf
• D1T1 - Collin Mulliner - Android DDI - Dynamic Dalvik Instrumentation of Android Applications.pdf
• D1T1 - Dominic Chell and Shaun Colley - Practical Attacks Against Encrypted VoIP Communications.pdf
• D1T1 - Gianni Gnesa - Hacking Corporations Using Unconventional Chained Exploits.pdf
• D1T1 - Kallenberg, Kovah, Butterworth - Defeating Signed BIOS Enforcement.pdf
• D1T1 - Marco Balduzzi, Kyle Wilhoit Alessandro Pasta - Attacking Vessel Tracking Systems for Fun and Profit.pdf
• D1T1 - Peter 'bl4sty' Geissler - Demystifying Game Console Security.pdf
• D1T2 - Adam Laurie - RFIDler - Software Defined RFID Reader Writer Emulator.pdf
• D1T2 - Andy Davis - Deriving Intelligence from USB Stack Interactions.pdf
• D1T2 - Francisco - Owning a Cisco VoIP Environment.pdf
• D1T2 - Joaquim Espinhara and Ulisses Alburquerque - Using Online Activity as Digital DNA.pdf
• D1T2 - Mariano Graziano and Andrea Lanzi - How Actaeon Unveils Your Hypervisor.pdf
• D1T2 - Mathias Morbitzer - TCP Idle Scans in IPv6.pdf
• D1T3 - Cem Gurkok - Hunting for OS X Rootkits in Memory.pdf
• D1T3 - Mike Shema - CSRF Lab.pdf
• D1T3 - Wes Brown - Malware Analysis Using Visualization.pdf
• D1T3 BONUS TALK - Marc Rogers - Why I Hacked TouchID and Still Think It's Awesome.pdf
• D2 KEYNOTE - Joe Sullivan - Bringing Social to Security - NO SLIDES.pdf
• D2T1 - Cyril 'pod2g' Cattiaux and GG - How Apple Can Read Your iMessages.pdf
• D2T1 - Hugo Teso - Digging Deeper Into Aviation Security.pdf
• D2T1 - James Forshaw - Exploiting XML Digital Signature Implementations.pdf
• D2T1 - Joshua 'p0sixninja' Hill - SHAttered Dreams.pdf
• D2T1 - Mark Vincent Yason - Diving Into IE10's Enhanced Protected Mode Sandbox.pdf
• D2T2 - Rahul Sasi - Static Analysis and Dynamic Instrumentation for Intelligent Exploit Analysis.pdf
• D2T2 - Stefan Esser - Tales from iOS 6 Exploitation and iOS 7 Security Changes.pdf
• D2T2 - Stefano Zanero - Tracking and Characterizing Botnets Using Automatically Generated Domains.pdf
• D2T2 - Victor van der Veen - A Fast and Complete Android Method Tracer.pdf
• D2T2 - Vladimir Katalov - Cracking and Analyzing Apple's iCloud Protocol.pdf
• D2T3 - Ashar Javad - Trusted Friend Attack.pdf
• D2T3 - Eric Michaud and Ryan Lackey - Thwarting Evil Maid Attacks.pdf
• D2T3 - Job de Haas - 20 Ways Past Secure Boot.pdf
• D2T3 - Keith Lee and Jonathan Werrett - Facebook OSINT.pdf
• D2T3 - Luiz Eduardo and Joaquim Espinhara - Lost in Translation.pdf

Aquí os dejo una serie de vídeo tutoriales cortos y concisos para aquellos que queráis aprender git:

• Learn Git 01 - What is Git?
• Learn Git 02 - Installing Git
• Learn Git 03 - Settings
• Learn Git 04: Initialize the Repository
• Learn Git 05: Understanding Git
• Learn Git 06: Your First Commit
• Learn Git 07: Commit Messages
• Learn Git 08: The Head Pointer and Commit Chain
• Learn Git 09: Visualize Git
• Learn Git 10: Your First Real Commit
• Learn Git 11: Adding Multiple Files
• Learn Git 12: Using Git Diff
• Learn Git 13: Deleting Files
• Learn Git 14: Renaming Files
• Learn Git 15: Undo Changes
• Learn Git 16: Unstaging Files
• Learn Git 17: Ammending a Commit
• Learn Git 18: Reverting a Commit
• Learn Git 19: The Reset
• Learn Git 20: The Mixed Reset
• Learn Git 21: The Hard Reset
• Learn Git 22: Post-Reset Debreif
• Learn Git 23: .gitignore
• Learn Git 24: Git Log
• Learn Git 25: Intro to Branches
• Learn Git 26: Creating Branches
• Learn Git 27: Switching Branches
• Learn Git 28: Deleting Branches
• Learn Git 29: The Merge
• Learn Git 30: Merge Example
• Learn Git 31: Merge Conflicts

Ya os hablamos de Voltron, un servicio que usando la flexibilidad de GDB nos permitía crear a través de varios terminales una interfaz un poco más amena que la nos ofrece el propio GDB.

Usando la misma idea y necesidad (depuración de binarios bajo Linux), SchemDBG es una interfaz gráfica escrita en CoffeeScript y enfocada con un único navegador en mente: Chromium, la versión open source de Google Chrome. Aunque dicho interfaz podría funcionar en otros navegadores, los creadores de la misma, en principio, no piensan dar soporte al resto y el desarrollo seguirá enfocado a Chromium.

Raphael Mudge, creador de Armitage ha creado un curso llamado Tradecraft - Red Team Operations en el que durante unas 4 horas en total divididas en 9 vídeos, nos muestra como llevar a cabo un ataque dirigido como un actor externo usando Cobalt Strike.

Los vídeos están disponible en Youtube de forma totalmente gratuita. La lista de los mismos es la siguiente:

• Introduction
• Basic Exploitation (aka Hacking circa 2003)
• Getting a Foothold
• Social Engineering
• Post Exploitation with Beacon
• Post Exploitation with Meterpreter
• Lateral Movement
• Offense in Depth
• Operations

Si usas los productos de VMWare: Fusion, Workstation, Player o vSphere y se te apetece echar una partidita al Pong, esto es lo que tienes que hacer:

1. Crea un fichero vacío (touch disco.img)
2. Arranca una máquina virtual asignando dicho fichero al dispositivo disquetera (floppy)

Una vez hecho eso tenemos un bonito Pong:

Si quieres añadirle un poco de colorido escribe la palabra pride

Yo sólo lo he probado con la versión Player 6.0.0 y funciona perfectamente.

Encontrar vulnerabilidades XSS o Cross-site Scripting es una tarea esencial para un auditor de seguridad de aplicaciones web.

Con escape.alf.nu nunca ha sido más fácil aprender a saltarnos filtros de escape en aplicaciones web. Y digo nunca ha sido más fácil, porque la interfaz de este sitio nos muestra el código javascript que tenemos que atacar, un campo de texto donde escribimos nuestra inyección y en tiempo real, a medida que vamos escribiendo, nos va mostrando en otro campo de texto lo que el servidor recibe y la interpretación o ejecución del mismo. Esto nos ayuda muchísimo a la hora de conseguir una inyección exitosa, porque nos permite corregir rápidamente nuestra entrada y por lo tanto creo que es una idea genial para aprender y/o mejorar nuestros ataques XSS.

Elon Musk y un coche Tesla (click en la foto para ver la charla en TED)

Fantástica charla en TED de Elon Musk (quizás el único emprendedor que se podría realmente comparar con el éxito y las ambiciones de Google ) . También posiblemente sea la persona más cercana a la realidad de Iron Man ;) (Anthony "Tony" Edward Stark)

No os la perdáis, cuando he profundizado un poco más en la vida de este genio me he quedado realmente alucinado.

Maravilla de canción y de grupo, al cual tuvimos el placer de ver este martes en directo en Madrid. Espectacular concierto.

Spotify y GrooveShark.

God is an Astronaut.

Foto CyberHades