• Facebook
• Twitter
• Reddit
• LinkedIn

Ha sido publicado el material de la Hack In The Box de Singapur de este año 2015:

• CLOSING NOTE - Dhillon Kannabhiran.pdf
• D1 - Alfonso De Gregorio - Extortion and Cooperation in the Zero%c2%ad-Day Market.pdf
• D1 - Chris Rouland - Understanding the IoT from DC to 10Ghz.pdf
• D1 - Dawid Czagan - Hacking Cookies in Modern Web Applications and Browsers.pdf
• D1 - Julien Lenoir - Implementing Your Own Generic Unpacker.pdf
• D1 - Lyon Yang - Advanced SOHO Router Exploitation.pdf
• D1 - Marina Krotofil - Hacking Chemical Plants for Competition and Extortion.pdf
• D2 - Eleanor Saitta - Security Design and High Risk Users.pdf
• D2 - Fatih Ozavci - VoIP Wars - Destroying Jar Jar Lync.pdf
• D2 - Marco Balduzzi and Vincenzo Ciancaglini - Cybercrime in the Deep Web.pdf
• D2 - Ryan Welton and Marco Grassi - Current State of Android Privilege Escalation.pdf
• D2 - Valerie Thomas - Attacking Physical Access Systems.pdf
• D2 - Xeno Kovah - Thunderstrike 2 - Sith Strike.pdf
• D3 - Dmitry Chastuhin - SAP Afaria - One SMS to Hack a Company.pdf
• D3 - Felix Wilhelm - Attacking the FireEye MPS.pdf
• D3 - Katie Kleemola and Anthony Lai - Case Study of Targeted Attacks in Asia.pdf
• D3 - Marc Heuse - Hiding in Complexity.pdf
• D3 - Wen Xu - Root Hundreds and Thousands of Android Devices with One Generic Exploit.pdf
• KEYNOTE 1 - Kristin Lovejoy - Our Daily Struggle to Balance National Security Interests and Civil Liberties at the Ground Level .pdf
• KEYNOTE 2 - Ofir Arkin - Security in a World Out of Our Control - NO SLIDES.pdf
• KEYNOTE 3 - Winn Schwartau - Analogue Network Security.pdf
• KEYNOTE 4 (CLOSING) - Barry Greene - Can Vendors Ever Provide Secure Solutions%3f.pdf

• Alfonso De Gregorio - Extortion and Cooperation in the Zero%c2%ad-Day Market.pdf
• Dawid Czagan - Hacking Cookies in Modern Web Applications and Browsers.pdf
• Marco Balduzzi and Vincenzo Ciancaglini - Cybercrime In The DeepWeb.pdf
• Wen Xu - Root Hundreds and Thousands of Android Devices with One Generic Exploit.pdf
• Xeno Kovah - Thunderstrike 2 - Sith Strike.pdf

• Facebook
• Twitter
• Reddit
• LinkedIn

Como la mayoría ya sabréis, .dex es el formato de fichero ejecutable que la máquina virtual Dalvik. Y cómo muchos ya también sabéis, aunque las aplicaciones Android las escribamos en Java (a menos que uses NDK, o algún framework de terceros que te permita codificar en algún otro lenguaje), pero no es el código Java o más bien el bytecode de Java lo que se ejecuta en el sistema, sino que hay un paso intermedio que convierte el bytecode de Java (.class) a bytecode de Dalvik (.dex) y esto es lo que se ejecuta.

Como también sabemos, el bytecode de Java o de prácticamente cualquier otro lenguaje que corra sobre una máquina virtual, es “fácilmente” reversible, es decir, a partir del bytecode, podemos generar el código fuente original con bastante precisión, a menos que éste haya sido ofuscado.

Hay muchas herramientas que nos permite recuperar el código fuente de un fichero .dex o de una aplicación completa de Android (.apk), de hecho normalmente tienes que usar varias herramientas para conseguir dicho objetivo.

Existe un proyecto llamado jadx que lo tiene todo. Es capaz de decompilar una aplicación .apk a código Java y además dispone de un editor visual que nos muestra y nos permite navegar a través de los distintos ficheros de la aplicación, incluso tiene opciones de de-ofuscación.

Jadx además está integrado en una web llamada www.javadecompilers.com de la que ya hablamos aquí en su día (por aquel entonces no tenía integrado Jadx).

• Facebook
• Twitter
• Reddit
• LinkedIn

Apple ha liberado las librerías que manejan toda la criptografía implementada en OS X e iOS, para que cualquier programador que así lo desee pueda usarlas en sus proyectos.

Dichas librerías están separadas en tres componentes:

Security Framework: éste provee interfaces para el manejo de claves privadas y públicas, certificados y políticas de confianza. También provee la generación de números pseudo aleatorios y el almacenamiento seguro de certificados y claves criptográficas.

• iOS Security Framework Reference
• OS X Security Framework Reference
• Security Framework on Apple Open Source
• Apple Developer Forums: Security

• Cryptographic Services Guide
• Common Crypto on Apple Open Source