Curso de pentesting sobre aplicaciones Android

DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android. Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps - DIVA, el cual usa como base la aplicación anteriormente mencionada. El curso esta compuesto por 13 vídeos disponibles de forma gratuita:
Leer más

Seguridad informática para adolescentes

Institute for Security and Open Methodologies (ISECOM) es una organización sin ánimo de lucro con sedes en Barcelona y Nueva York. Ésta se inició como un movimiento para mejorar la verificación e implementación de la seguridad informática. Anteriormente hemos hablado del Open Source Security Testing Methodology Manual, quizás el proyecto más conocido de dicha organización. Pero estos también trabajan en otros proyectos, entre ellos uno cuyo objetivo es concienciar a la juventud sobre seguridad informática y hacking: Hacker Highschool (Security Awareness for teens).
Leer más

Vídeos de USENIX Enigma 2016

Otra de las grandes conferencias USENIX que tuvo lugar a finales de enero Enigma 2016, enfocada a ataques emergentes, tiene publicado los vídeos de las presentaciones. La lista no es muy amplia, pero la mayoría muy interesantes: ToStaticHTML for Everyone! About DOMPurify, ... Building a Competitive Hacking Team Verification, Auditing, and Evidence: If We Didn’t Notice Anything Wrong... Keys Under Doormats: Mandating Insecurity... Trust Beyond the First Hop–What Really Happens to Data Sent to HTTPS Websites Drops for Stuff: An Analysis of Reshipping Mule Scams Sanitize, Fuzz, and Harden Your C++ Code Dolla Dolla Bill Y'all: Cybercrime Cashouts Usable Security–The Source Awakens Defending, Detecting, and Responding to Hardware and Firmware Attacks Timeless Debugging Modern Automotive Security: History, Disclosure, and Consequences Protecting High Risk Users Opening Video PKI at Scale Using Short-lived Certificates We Need Something Better—Building STAR Vote Bullet-Proof Credit Card Processing Why Is Usable Security Hard, and What Should We Do about it?
Leer más

Cadenas de texto "comprometedoras"

Filtra los datos de entrada y sanea la salida (filter input, sanitize output) esto es de Seguridad 101, posiblemente las premisas más básicas en cuanto a temas de seguridad informática. Aunque como bien decía estos son dos conceptos muy básicos, eso no quiere decir que sean fáciles de implementar. Sobre todo el filtrado de la entrada de datos. Para cada lenguaje (con los que yo he trabajado) existen librerías que te ayudan con esta ardua tarea e incluso algunos soportan al menos de forma parcial este tipo de funcionalidad en el propio lenguaje.
Leer más

Vídeos de Shmoocon 2016

Ya tenemos disponibles los vídeos de la última edición de Shmoocon, conferencia de seguridad que se celebra en Washington DC. 0wn The Con Ask the EFF Attack On Titans AVLeak: Turning Antivirus Emulators Inside Out Be Free Little Guardbunny Breaking Bulbs Briskly By Bogus Broadcasts 1 Building an Encyclopedia of Malware Configs (to punch miscreants) Closing Plenary: Information Security Programs in Academia Compressed Context Analytical Results For Computer Vision Containing an Attack with Linux Containers and AppArmor/SELinux Crypto and Quantum and Post Quantum Exploiting Memory Corruption Gatekeeper Exposed Hacking The Wireless World Hiding From The Investigator Keynote Address LostPass: Pixel-perfect LastPass Phishing LTE Security & Protocol Exploits Making Milware My Hash Is My Passport No Easy Breach Online No One Knows You're Dead Opening Remarks Rumblings Ruminatons Rants OSX Vulnerability Research and Why We Wrote Our Own Debugger P G Ohst Exploitation Penetration Testing Custom Tls Stacks Resistance Is Futile Reverse Engineering Wireless Scada Systems Software Security By The Numbers Speak Security And Enter Static Malware & Smtp Fail Analysis The Road to SYSTEM: Recycling Old Vulnerabilities for Unpatched Privilege Escalation and A New Network Attack #thingswikfound #omarax What Is It, And Why You May Care This Message Will Self Destruct In 10 Seconds Users Are People Too: How to Make Your Tools Not Suck for Humans Using The Algebraic Eraser To Secure Low Power Devices Where Do The Phishers Live You Ain't Seen Nothing Yet
Leer más

Crea tu propio condón USB

¿Qué es un condón USB? Algun@ se preguntará. La idea del condón USB viene después de que algún investigador de seguridad demostró como un teléfono móvil se podía comprometer conectándolo a una estación de carga maliciosa. Esta técnica fue bautiza como Juice Jacking y fue demostrada en la DefCon 19 (año 2011) y en la que ya hablamos aquí. A partir de ahí alguien se inventó el termino USB Condom, o condón USB.
Leer más

Vídeos de la HOPE X

La conferencia sobre hacking HOPE (Hackers On Planet Earth) X se celebró en julio del 2014. Esta conferencia se celebra cada 2 años y es una de las más antiguas, su primera celebración fue en 1994. Este año se celebrará en julio la HOPE XI. Con motivo de ello, hace unos días que se publicaron todos los vídeos de la última celebrada. Hace algún tiempo pusieron disponible el audio de las charlas.
Leer más

Plataforma de pen testing móvil

De la mano de Offensive Security, creadores de la archi conocida plataforma de pen testing Kali Linux, nos llega la tercera versión de NetHunter, una plataforma de pen testing para dispositivos móviles. NetHunter es una ROM basada en Android con un kernel personalizado y una aplicación que provee de herramientas sobre seguridad ofensiva principalmente. Además del acceso a todo el arsenal de herramientas de Kali, NetHunter también ofrece ataques a teclados HID, BadUSB, puntos de accesos hostiles, etc.
Leer más

Vídeos de Chaos Computer Club edición 32

Como cada año, del 27 al 30 de diciembre (establecido desde el año 2005) se celebra en Alemania una de las mejores conferencias sobre seguridad/hacking del mundo. Este año el Chaos Computer Club celebra su 32 edición “Gated Communities”. Cómo siempre el panel de charlas es bastante amplio e impresionante. Aunque aún no están todos los vídeos disponibles, ya podemos ir disfrutando de los que se han publicado: Plunge into Proxy Politics "
Leer más

BlessR2, nueva interfaz para Radare2

[embed]https://flic.kr/p/CkkWkW%5D%5Bimg%5Dhttps://cyberhades.ams3.cdn.digitaloceanspaces.com/imagenes/blessr2_23847747012_o_opt.png[/embed] Ya hemos hablado anteriormente sobre alguna interfaz gráfica para radare2. En esta ocasión, hablaremos de una nueva interfaz, aunque no gráfica. Según su web, éÉsta está basada en node.js, r2pipe y módulos blessed, lo que provee una interacción muy amigable y dinámica con radare2, responsiva y asíncrona. Su nombre BlessR2. Dicha interfaz está en versión beta y funciona bajo sistemas Linux, Mac OS y Windows. Ésta también puede ser usada para depuraración de código, permite crear marcos, interactuar con estos usando el ratón y aplicar estilos de colores, entre otras cosas.
Leer más