Apple Krackers Guide

• November 25, 2017
• tuxotron

*Broken Apple* Datada el 6 de marzo de 1985, Apple Krackers Guide (PDF) es un documento histórico el que recoge diferentes formas de crackear o romper la protección en programas de Apple, o como se menciona en dicho documento “art of kraking”. El documento contiene un total 134 páginas divididos en 8 capítulos y 23 apéndices. El documento tiene el siguiente índice: Chapter 1. Introduction to kraking. Chapter 2. Where to Begin.
Leer más

HackSpace, Tu Revista Gratuita Sobre Hackerspaces

• November 25, 2017
• tuxotron

*HackSpace Número 1* [HackSpace](https://hackspace.raspberrypi.org), una nueva revista gratuita en formato electrónico o de pago (en papel) que pretende promover la culura de los espacios para *"hackers"*, o más conocidos como *hackerspaces*. Más allá de la revista en sí, HackSpace quiere formar una comunidad a nivel mundial entorno a este concepto, donde se compartan ideas, proyectos, creación de hackerspaces, etc. El dinero que se recaude a través de HackSpace, será donado a la Fundación Raspberry Pi.
Leer más

OWASP Top 10 - 2017

• November 20, 2017
• tuxotron

*OWASP Top 10* Después de versiones previas, ya ha sido publicada la versión final del OWASP Top 10 de este año 2017. Un documento que recopila las 10 vulnerabilidades más críticas en aplicaciones web. Este año se han colado tres tipos nuevos de amenazas: XXE, Deserialización insegura y falta de monitorización y registros. La primera basado en datos reales, y las dos últimas por votación de la comunidad. La lista es la siguiente:
Leer más

Introducción a la Organización del Ordenador Usando Ensamblador con un Raspberry Pi

• November 16, 2017
• tuxotron

*Subsistema del Ordenador* [Introduction to Computer OrganizationARM Assembly Language Using the Raspberry Pi] (http://bob.cs.sonoma.edu/IntroCompOrg-RPi/frontmatter-1.html) es un libro electrónico y gratuito que nos enseña cómo funciona el hardware, a bajo nivel, de un ordenador desde el punto de vista del programador. Para ello, se basa en uno de nuestros “juguetes” favoritos: Raspberry Pi, con Raspbian y usando lenguaje ensamblador para la arquitectura de la CPU de dicho dispositivo: ARM. El objetivo del libro es que el lector llegue a entender como funciona un ordenador desde el nivel más bajo.
Leer más

Vídeos DEF CON 25

• November 4, 2017
• tuxotron

*DEF CON 25* Aunque no son todos los vídeos de la DEF CON 25, ya hay bastantes disponibles. Aquí tenéis una lista organizada en varias secciones: Main Track 1 Cheng - The spear to break the security wall of S7CommPlus Christopher Domas - Breaking the x86 Instruction Set Damien Cauquil - Weaponizing the BBC Micro Bit Dennis Maldonado - Real time RFID Cloning in the Field Daniel Bohannon, Lee Holmes - Revoke Obfuscation: PowerShell Obfuscation Duncan Woodbury, Nicholas Haltmeyer - Linux Stack Based V2X Framework Dor Azouri - BITSInject Dimitry Snezhkov - Abusing Webhooks for Command and Control Gerald Steere, Sean Metcalf - Hacking the Cloud Gabriel Ryan - The Black Art of Wireless Post Exploitation Hanno Bõck - Abusing Certificate Transparency Logs Gil Cohen - Call the plumber: You have a leak in your named pipe Hyrum Anderson - Evading next gen AV using AI Itzik Kotler, Amit Klein - The Adventures of AV and the Leaky Sandbox Ilja van Sprundel - Are all BSDs are created equally?
Leer más

Ni Apple ni IBM, el primer ordenador personal se fabricó en Texas y se llamaba Datapoint 2200

• September 22, 2017
• tuxotron

*Datapoint 2200* En 1968, mientras Steve Jobs y Steve Wozniak aún estaban en el instituto, dos tejanos llamados Phil Ray y Gus Roche estaban decidiendo si montar un restaurante Tex-Mex o una empresa de ordenadores. Afortunadamente se decidieron por la segunda opción, ya que ambos eran ingenieros electrónicos que habían trabajado para la NASA, y la electrónica se les daba un poco mejor que la comida mejicana. Entonces el 6 de Julio de 1968 nació CTC, Computer Terminal Corp.
Leer más

Vídeos De Usenix 17

• September 19, 2017
• tuxotron

*USENIX 17* Además del material de USENIX 17, ya están disponibles también los vídeos de las charlas. Aquí tenéis la lista completa: Opening Remarks and Awards When Your Threat Model Is “Everything”: Defensive Security in Modern Newsrooms How Double-Fetch Situations turn into Double-Fetch Vulnerabilities… Postmortem Program Analysis with Hardware-Enhanced Post-Crash Artifacts Ninja: Towards Transparent Tracing and Debugging on ARM Prime+Abort: A Timer-Free High-Precision L3 Cache Attack using Intel TSX On the effectiveness of mitigations against floating-point timing channels Constant-Time Callees with Variable-Time Callers Neural Nets Can Learn Function Type Signatures From Binaries CAn’t Touch This… Efficient Protection of Path-Sensitive Control Security Digtool: A Virtualization-Based Framework for Detecting Kernel Vulnerabilities kAFL: Hardware-Assisted Feedback Fuzzing for OS Kernels Venerable Variadic Vulnerabilities Vanquished Towards Practical Tools for Side Channel Aware Software Engineering… Strong and Efficient Cache Side-Channel Protection… CacheD: Identifying Cache-Based Timing Channels in Production Software An Ant in a World of Grasshoppers From Problems to Patterns to Practice… BinSim: Trace-based Semantic Binary Diffing… PlatPal: Detecting Malicious Documents with Platform Diversity Malton: Towards On-Device Non-Invasive Mobile Malware Analysis for ART Global Measurement of DNS Manipulation Characterizing the Nature and Dynamics of Tor Exit Blocking DeTor: Provably Avoiding Geographic Regions in Tor SmartAuth: User-Centered Authorization for the Internet of Things AWare: Preventing Abuse of Privacy-Sensitive Sensors via Operation Bindings 6thSense: A Context-aware Sensor-based Attack Detector for Smart Devices Identifier Binding Attacks and Defenses in Software-Defined Networks HELP: Helper-Enabled In-Band Device Pairing… Attacking the Brain: Races in the SDN Control Plane Detecting Credential Spearphishing in Enterprise Settings SLEUTH: Real-time Attack Scenario Reconstruction from COTS Audit Data When the Weakest Link is Strong… Hacking in Darkness: Return-oriented Programming against Secure Enclaves vTZ: Virtualizing ARM TrustZone Inferring Fine-grained Control Flow Inside SGX Enclaves with Branch Shadowing AuthentiCall: Efficient Identity and Content Authentication for Phone Calls Picking Up My Tab… TrustBase: An Architecture to Repair and Strengthen… Transcend: Detecting Concept Drift in Malware Classification Models Syntia: Synthesizing the Semantics of Obfuscated Code Predicting the Resilience of Obfuscated Code… Differential Privacy: From Theory to Deployment OSS-Fuzz - Google’s continuous fuzzing service for open source software Extension Breakdown… CCSP: Controlled Relaxation of Content Security Policies… Same-Origin Policy: Evaluation in Modern Browsers Locally Differentially Private Protocols for Frequency Estimation BLENDER: Enabling Local Search with a Hybrid Differential Privacy Model Computer Security, Privacy, and DNA Sequencing… BootStomp: On the Security of Bootloaders in Mobile Devices Seeing Through The Same Lens… Oscar: A Practical Page-Permissions-Based Scheme… PDF Mirage: Content Masking Attack Against Information-Based Online Services Loophole: Timing Attacks on Shared Event Loops in Chrome Game of Registrars… Speeding up detection of SHA-1 collision attacks… Phoenix: Rebirth of a Cryptographic Password-Hardening Service Vale: Verifying High-Performance Cryptographic Assembly Code Exploring User Perceptions of Discrimination in Online Targeted Advertising Measuring the Insecurity of Mobile Deep Links of Android How the Web Tangled Itself Towards Efficient Heap Overflow Discovery DR.
Leer más

Laboratorio De Explotación De Apache Struts S2-052

• September 18, 2017
• tuxotron

*Equifax - Apache Struts S2-052* Seguro que la mayoría, sino tod@s, habéis oído la noticia sobre la que hasta la fecha parace ser la mayor filtración de datos. Me refiero a Equifax, una de las tres empresas en EEUU que se encargan de monitorizar el crédito o la solvencia de los habitantes de dicho país. El problema incluso ha ido más haya de EEUU, y también se han visto comprometidos datos de argentinos (por distintos motivos), canadienses y del Reino Unido.
Leer más

Máquina Virtual Vulnerable Con Docker

• September 9, 2017
• tuxotron

*Vulnerable Docker VM* Si no has vivido bajo una roca en los últimos años, además de que Donald Trump es presidente de los EEUU, también habrás oído sobre Docker. De hecho, aquí en el blog ya hemos hablado varias veces sobre éste. Docker ha recibido muchas críticas desde la comunidad de seguridad. Además de correr como root, Docker también permite que los contenedores interactúen con el host, y esto supone un gran riesgo.
Leer más

Under The Wire

• September 8, 2017
• tuxotron

*Under the wire* Over The Wire es un sitio web muy popular el cual hospeda varios wargames para practicar conceptos de seguridad, y sean desde una consola en sistemas Linux, web, explotación. etc. Basado en este mismo concepto, pero enfocado específicamente a Powershell, existe otro sitio web llamado Under The Wire. En éste puedes actualmente econtrar cuatro wargames, cada uno con 15 fases: Century Cyborg Oracle Trebek Un sitio ideal para practicar tus habilidades de seguridad con Powershell.
Leer más