STACK

Seguridad de sistemas y análisis de código malicioso



La Universidad de Dallas, Texas, uno de los muchos cursos que ofrece es llamado: System Security and Malicious Code Analysis (Seguridad de sistemas y análisis de código malicioso). Éste no es uno de esos cursos que se han puesto de moda últimamente que puedes tomar online. Aunque no hay disponibles ni vídeo ni audio, sí que están disponibles las diapositivas usadas en el mismo. Después de un echar un vistazo rápido, me han parecido muy completas en interesantes. Además en la web de dicho curso también podemos encontrar una muy buena lista de enlaces a información externa, muchos de ellos son literatura propia sobre el tema.

Ejercicios prácticos sobre hacking



Ya sea por motivos profesionales, porque te estés preparando para un wargame o porque simplemente sea uno de tus hobbies, en exploit-excercises.com han creado 3 proyectos que a través de ejercicios prácticos tocaremos distintos temas sobre hacking/seguridad como: escalada de privilegios, explotación por desbordamiento de pila, format string, ASLR, mecanismos de protección de pila y mucho más.

Todo ello en tres proyectos diferentes:

• Nebula: enfocado a la escalada de privilegios en sistemas Linux. Los temas que toca son:
• SUID files
• Permissions
• Race conditions
• Shell meta-variables
• $PATH weaknesses
• Scripting language weaknesses
• Binary compilation failures
•  Protostar: corrupción de memoria en sistemas Linux x86.
• Network programming
  • Byte order
  • Handling sockets
• Stack overflows
• Format strings
• Heap overflows
• Fusion: es un poco más avanzado que Protostar y trata técnicas de explotación más avanzadas y de mecanismos anti explotación:
• Address Space Layout Randomisation
• Position Independent Executables
• Non-executable Memory
• Source Code Fortification (_DFORTIFY_SOURCE=)
• Stack Smashing Protection (ProPolice / SSP)
• Cryptographic issues
• Timing attacks
• Variety of network protocols (such as Protocol Buffers and Sun RPC)

Happy hacking!