Vídeos de BSides Nashville 2015

• April 16, 2015
• tuxotron

Cortesía de Irongeek, podemos ver los vídeos de las charlas de BSides Nashville 2015. La list es la siguiente: BSides Nashville Intro and Pondering the False Economy of Secrets Applied Detection and Analysis Using Flow Data Using devops monitoring tools to increase security visibility The Great Trojan Demo Nobody Understands Me: Better Executive Metrics We Built This & So Can You! That's NOT my RJ45 Jack!: IRL Networking for Humans Finding Low Hanging Fruit with Kali What do infosec practitioners actually do From Parking Lot to Server Room N4P Wireless Pentesting: So easy even a caveman can do it hashcat Skiddiemonkeys: Fling "
Leer más

"Hackéate" tú primero

• April 15, 2015
• tuxotron

Hack yourself first (PDF) es un libro disponible de forma totalmente gratuita en el nos enseñan técnicas de pen testing básicas. A pesar de que dichas técnicas sean comunes en un ejercicio de penetración, el propósito del libro es la defensa, es decir, nos enseña a encontrar vulnerabilidades comunes (más comunes de lo que muchas veces creemos) en nuestra propia red o sistemas antes de que la encuentre algún pen tester o en el peor de los casos, algún criminal.
Leer más

Play XML Entities, ejercicio de explotación

• April 9, 2015
• tuxotron

Una vez más la fantástica web pentesterlab ha creado otro laboratorio práctico dónde podemos pasar un buen rato aprediendo/mejorando nuestras habilidad sobre seguridad en aplicaciones web. Una vez más la aplicación vulnerable está construida sobre el framework Play. En este caso exponen una vulnarabilidad (que ya ha sido corregida) que se aprovecha de un error en el procesado de documentos XML. El ejercicio se basa en el robo de ficheros del sistema aprovechando la vulnerabilidad mencionada anteriormente.
Leer más

Presentaciones de SyScan 2015

• April 8, 2015
• tuxotron

También están disponibles las presentaciones de SyScan 2015: Finding and exploiting novel flaws in Java software Attacks on telecom operators and mobile subscribers using SS7: from DoS to call interception got root? Compromising OS X HARES: Hardened Anti-Reverse Engineering System A Link to the Past: Abusing Symbolic Links on Windows Cryptographic backdooring Caring Less - De-humanizing Human Vulnerability Assessment How to own any windows network via group policy hijacking attacks Shooting Elephants BadXNU, a rotten apple!
Leer más

Presentaciones CanSecWest Vancouver 2015

• April 8, 2015
• tuxotron

Ya están disponible para descarga las presentaciones de CanSecWest Vancouver 2015. La lista es la siguiente: Project Zero: Making 0days Hard - Ben Hawkes, Chris Evans Google Taming wild copies: from hopeless crash to working exploit - Chris Evans @scarybeasts of Google's Project Zero I see therefore I am.... You - Jan "starbug" Krissler, T-Labs/CCC Smart COM fuzzing tool - Explore More Sandbox Bypassing Surface in COM objects - Xiaoning Li & Haifei Li, Intel A new class of vulnerability in SMI Handlers of BIOS/UEFI Firmware - John Loucaides & Andrew Furtak, Intel Sexrets in LoadLibrary - Yang Yu @tombkeeper, Tencent Attacking WebKit Applications by exploiting memory corruption bugs - Liang Chen of KeenTeam Userland Exploits of Pangu 8 - Team Pangu @PanguTeam Attacks on UEFI Security - Rafal Wojtczuk & Corey Kallenberg FreeSentry: Protecting against use-after-free vulnerabilities due to dangling pointers - Yves Younan, Cisco (Sourcefire/VRT) DLL Hijacking' on OS X?
Leer más

Decompiladores de Java online

• April 6, 2015
• tuxotron

Si te encuentras en la necesidad, por el motivo que sea, de tener que acceder al código fuente de una aplicación Java y obviamente no tienes acceso al mismo, la mejor opción en la mayoría de los casos es usar un decompilador. Por la naturaleza de la arquitectura del lenguaje Java, a menos que la aplicación que tenemos entre manos haya sido ofuscada, el resultado de la decompilación suele ser bastante precisa, con quizás algunas excepciones.
Leer más

Modern Binary Exploitation

• April 4, 2015
• tuxotron

Desde el Instituto Politécnico de Renssselaer en Troy, Nueva York, nos nos podemos descargar el material de la asignatura titulada Explotación Moderna de Binarios (Modern Binary Expoitation). La asignatura contiene el siguiente contenido: Temario (PDF), diapositivas (PDF). Herramientas e Ingeniería Inversa Básica PDF - PPTX. Práctica Ingeniería Inversa (continucación) PDF. Práctica Ingeniería Inversa Taller Introducción a la corrupción de la memoria PDF VM Material Extra Práctica corrupción de memoria (no disponible) Shellcoding PDF Shellcoding PDF de la práctica (La práctica en sí no está disponible) Formato de cadenas (Format Strings) PDF Formato de cadenas PDF de la Práctica (Práctica no disponible) DEP y ROP PDF ROP práctica PDF de la práctica (Práctica no disponible) Sistemas Seguros y explotación de consolas de juegos PDF PPTX Proyecto uno PDF ASLR PDF
Leer más

ISIS Lab's Hack Night, Introducción a la seguridad ofensiva

• March 1, 2015
• tuxotron

ISIS Lab’s Hack Night es un evento que ocurre cada miércoles a las 6 de la tarde en Brooklyn, Nueva York, dónde enseñan técnicas básicas sobre seguridad ofensiva. Si vives por allí fenomenal, puedes asistir en persona, pero si no vives cerca, ¿Qué me importa a mi? Te preguntarás… La razón de esta entrada no es sobre este evento en particular, sino porque el material que usan para la enseñanza están disponibles de forma gratuita.
Leer más

Siete herramientas que hicieron posible el rodaje de CITIZENFOUR

• February 28, 2015
• tuxotron

Antes de nada para aquellos que no los sepan, CITIZENFOUR es un documental que Laura Poitras creó basado en la historia detrás de Edward Snowden y la revelación de documentos sobre los programas secretos de la NSA y otras agencias de inteligencia. Dicho documental también fue ganador del Oscar al mejor documental 2014. Al final del documental, Laura Poitras menciona la lista de herramientas que ella considera fueron esenciales y sin éstas, dicho documental no hubiera sido posible.
Leer más

Vídeos de Shmoocon 2015

• January 29, 2015
• tuxotron

Ya están disponibles en archive.org los vídeos de recién terminada conferencia de seguridad informática celebrada en Washington DC, Shmoocon 2015. La lista es la siguiente: 0wn the Con 5 Usability Analyzing POS Malware Ask EFF Automated Binary Analysis with Pin and Python BIOS Bugs Closing Remarks Cockroach Analysis College Hacking Come to the Dark Side Crypto Dark Art of Data Visualization Deception for the Cyber Defender Eliminating Timing Side Channel Attacks Get off my lawn How Random Is Your RNG Infrastructure Tracking Keynote Knock Knock Malicious Image Spam Manually Searching Advisories and Blogs for Threat Data Micronesia NSA USB Playset NaCl Crypto Library No Budget Threat Intel Opening Rants Practical Machine Learning for Network Security Quantum Computing Rethinking Securitys Role in CompSci Edu SEWIFI Saturday Firetalks Tap On Tap Off The Joy of Intelligent Proactive Security Understanding a New Memory Corruption Defense Userland Persistance Where The Wild Things Are Wheres Waldo White is the New Black Whitelisting Evasion Windows Sandbox Paradox httpscreenshot
Leer más