PentesterLab acaba de lanzar otro de sus maravillosos cursos/tutoriales sobre penetración en aplicaciones web: Axis2 and Tocat Manager. En este caso nuestro objetivo es conseguir subir una shell web en el archi-conocido contenedor web Tomcat, atacando servicios web implementados con Axis2.

Aprenderás a interactuar con servicios web, escribir shell webs en JSP y a atacar Tomcat Manager.

Como de costumbre los requisitos son:

• Ganas de aprender
• Conocimientos básicos sobre el protocolo HTTP
• En este caso, conocimientos básicos sobre Java
• Software de virtualización

Y como siempre tenemos máquinas virtuales de 32 y 64 bits, más el PDF de guía.

Crypto Rump es un evento de un sólo día donde se presentan temas sobre cifrado. Las presentaciones son cortas y el evento dura sobre unas 3 horas y media. Crypto Rump 2013 se celebró el pasado 20 de agosto. Aquí tenéis el listado de las diapositivas:

• Chairs' report for Crypto 2013
• EyeDecrypt -- Private Interactions in Plain Sight
• How to make 400+ cryptographers appreciate your creativity
• The FEAL Cipher Prize Problem -Winner Announcement-
• Solving the FEAL 25 Years Prize Problems
• Factoring as a service
• Cryptanalysis of MDS-POTI
• NIST Update
• Spyin' NSA
• On the Security of RC4 in TLS
• Weakness of GF$(3^{6 \cdot 509})$ for Discrete Logarithm Cryptography
• Candidate Indistinguishability Obfuscation, Or Sell Apple, Buy Samsung
• How to Use Indistinguishability Obfuscation: Deniable Encryption, and More
• How to keep a secret: Leakage Deterring Public-Key Cryptosystems
• Random Number Generation, Revisited
• Naturally Rehearsing Passwords
• Computational Fuzzy Extractors
• Factoring RSA keys from certified smart cards: Coppersmith in the wild
• Warsaw is cool
• Under Surveillance
• An Improved Attack on 4-Round Even-Mansour with 2 Alternating Keys
• Quantum Time Capsules & Unknown Recipient Encryption
• Delegatable Pseudorandom Functions and Applications
• Fully-Anonymous Functional Proxy-Re-Encryption
• Shorter Quasi-Adaptive NIZKs for Linear Subspaces
• Communication complexity of the forge-and-lose technique
• The million-entry ORAM on MPC
• Announcing SCAPI: the Secure Computation API

Los más viejos del lugar y los aficionados a la informática retro seguro que conocen Galaga, un videojuego que aunque tuvo mucho éxito, no lo tuvo tanto como su predecesor Galaxian. Fue creado por la empresa Namco en 1981.

Como suele pasar, con prácticamente cualquier tipo de software, Galaga también tuvo sus fallos de programación, que los jugadores más audaces eran capaz de descubrir y aprovecharse de ellos para conseguir llegar hasta el final del juego, aunque en esto caso al igual que en el caso pantalla partida del PacMan el final sea un poco impredecible y depende del nivel de dificultad con el que estemos jugando.

No, en esta entrada no vamos a hablar del lenguaje de programación ensamblador, sino de en evento que se celebra cada año y reúne a un número importante de geeks, entusiastas, jugadores, programadores, etc.

Este evento llamado Assembly se lleva celebrando desde el año 1992. En este evento se celebran varios tipos de competiciones y actividades. Por ejemplo tenemos competiciones de juegos (eSports), a nivel profesional y amateur:

Bueno, en este momento hay 3 proyectos completos, el cuarto está en desarrollo y el quinto estará listo en el futuro.

Como decía en el título, son proyectos pequeños divididos en varias fases cuyo objetivo es el de enseñar a los no iniciados o programadores con poca experiencia el lenguaje de programación Python. El sitio en cuestión es http://newcoder.io/ . Y está creado por una ingeniera de Red Hat y fundadore de PyLadies San Francisco.

En el ya conocido por muchos OpenSecurityTraining acaban de subir los vídeos de la clase: Técnicas ofensivas, defensivas y forenses para determinar la identidad del usuario web (Offensive, Defensive, and Forensic Techniques for Determining Web User Identity).

Son un total de 12 vídeos con una duración total de algo más de 3 horas. Los vídeos son los siguientes:

• Part 1 (4:16, 37 MB) - Introduction
• Part 2 (10:02, 92 MB) - Characteristics of Internet Connections
• Part 3 (17:49, 156 MB) - Offensive - IP Geolocation
• Part 4 (31:20, 254 MB) - Offensive - Browser Identification
• Part 5 (5:51, 52 MB) - Defensive - Borrowing Wifi Connections
• Part 6 (19:39, 146 MB) - Defensive - Shell & Cloud Accounts
• Part 7 (24:07, 177 MB) - Defensive - Anonymizers
• Part 8 (5:16, 46 MB) - Defensive - Web Browser Privacy Modes
• Part 9 (11:54, 101 MB) - Defensive - Email Origin Obfuscation
• Part 10 (16:13,129 MB) - Offensive/Defensive - Other Web Browser Attacks/Defenses
• Part 11 (33:24, 257 MB) - Forensic: Database Analysis
• Part 12 (15:01, 107 MB) - Forensic: Log Analysis

También están disponibles en youtube con calidad HD. También tienes acceso a las diapositivas (pptx, odp o pdf) del mismo.

Todo lo que necesitas para el curso es conexión a internet, un navegador y una seria de herramientas escrita por el profesor.

Grooveshark y Spotify

Mother Falcon

Según parece un experto de seguridad palestino cuyo nombre en Facebook es Khalil, después de reportar una vulnerabilidad en Facebook, que permitiría escribir en el muro de cualquier usuario incluso no siendo amigo de éste y no ser reconocida como tal por parte del equipo de seguridad de Facebook, decidió publicar en el muro de Mark Zuckerberg el siguiente mensaje:

Después de dicho acto, el equipo de seguridad le pidió a Khalil todos los detalles y después de que éste le proporcionará los mismos, Facebook reconoció la vulnerabilidad, pero no le pagarán nada por violar los términos de seguridad, aunque no le especifican que términos violó, además de bloquearle la cuenta.

Bletchley es un proyecto compuesto por varias herramientas y librerías que nos ayudan con la ardua tarea del criptoanálisis.

En estos momentos contiene cinco utilidades (línea de comandos):

• bletchley-analyze
• bletchley-encode
• bletchley-decode
• bletchley-http2py
• bletchley-nextrand

Y tres librerías:

• blobtools
• buffertools
• CBC

Haz click en los enlaces para obtener más información sobre cada una.

Aunque dicho proyecto está escrito en Python, actualmente sólo funcionan en distribuciones Linux, *BSD and MacOS. Windows no está soportado en estos momentos, pero puede que en un futuro lo esté.