Hace tiempo estaba pensando en retomar el blog.
Después de unos años acelerados con mucho trabajo, además de acabar el máster y comenzar el Doctorado, quería poder ponerme a ello, siempre me ha gustado escribir pero no estaba siendo precisamente constante.
Quería volver a escribir pero, por alguna razón, no me encajaba en este blog por lo que he decidido mudarme.
Este es el último post que pongo aquí, un blog que comencé hace ya muchos años (estaba acabando la universidad cuando escribí el primer post), que ha estado conmigo pero siempre pero en segundo plano.
Ahora he decidido ponerme en serio, un nuevo reto; Escribir como mínimo un post a la semana, no es gran cosa pero es mi objetivo hasta acabar este año.
He escrito ya tres posts son mucha ilusión y que deseo os gusten por lo que espero veros en el nuevo blog.
Fin de la ensalada, larga vida a la Seguridad Insegura!!!
Ensalada de Bits
viernes, 18 de agosto de 2017
martes, 19 de julio de 2016
SecManario 5 - Julio 2016 Semana 3
Esta semana ha venido bastante cargada
de buenos artículos, horas de videos de buenos eventos y algunas preguntas que
a mí me dan siempre ideas para cosas malas J
Este es el último SecManario en unas
semanitas y, como cualquier mortal más, ¡!me voy de vacaciones¡¡¡ Y sí, tengo
prohibido llevarme el ordenador de vacaciones así que ya pensaré estos días
como compensarlo a la vuelta.
Por el momento disfrutad de este
SecManario que viene con mucho contenido. Nos vemos a la vuelta más morenos y descansados.
Reverse
engineering Dungeon Siege
Lo interesante de este tipo de artículos no es tanto que
haga reversing de un juego sino la calidad y el detalle con que explica todo lo
que hace y las conclusiones que saca de cada paso.
The
Scriptless Scriptlet
Buen artículo resumiendo las formas de
ejecutar el MSIE11 Javascript a través de CSS. Con ejemplos y bien explicado.
Code
of destruction – malware analysis
Otro gran artículo donde explica paso a
paso como hace un reversing y analiza un malware. Me encantan este tipo de
artículos ¿se nota?
WinAFL
Os dejo con su propia descripción:
“AFL is a popular fuzzing tool for
coverage-guided fuzzing. The tool combines fast target execution with clever
heuristics to find new execution paths in the target binary. It has been
successfully used to find a large number of vulnerabilities in real products.”
Malware in the browser: how you
might get hacked by a Chrome extensión
El post analiza una extensión del
Chrome la cual conoce que contiene/es malware. Excelentemente explicado.
The Value of a Hacked Company
Es tremendamente complicado explicar a
las empresas y las personas que forman las mismas, el valor de la información
que tienen dentro. Muchas veces las empresas buscan seguridad pero no saben muy
bien ni porqué o no ven claro hasta qué punto su información tiene valor como
para que alguien quiera robarlo.
Este artículo es muy interesante a la
hora de poder medir qué valor tiene una compañía, que datos son los que buscan
los cibercriminales.
La próxima vez que tengamos que
explicar porque necesitan seguridad y donde hay que poner el foco en especial
este artículo puede darnos algunas ideas.
Crypto-Gram July 15, 2016 by Bruce Schneier
https://www.schneier.com/crypto-gram/archives/2016/0715.html
Videos y más videos para esta semana
Videos
del OWASP AppSec EU 2016
BSides Detroit 2016 Videos
Converge
2016 Videos
9
charlas TED sobre ciberseguridad y privacidad que no te puedes perder
Preguntas y respuestas
Siempre tienen algo curioso o alguna idea malévola que puede surgir.
Does anybody not store salts?
Is there any reason I shouldn't make a GPG-encrypted file publicly-accessible?
Voice Biometrics for financial authentication
martes, 12 de julio de 2016
SecManario 4 - Julio 2016 Semana 2
Esta semana el SecManario ha salido el Martes porque, aunque
suelo tener los links prepararos durante la semana, suelo organizarlos el
Domingo por la noche/Lunes para escribir el post.
No pudo ser posible hacerlo antes porque ayer tenía la
defensa de mi Proyecto Fin de Máster. El cual he sacado Sobresaliente (yujuuuuuu)
y recomiendo encarecidamente a quienes quieran hacer estudios superiores
totalmente orientados a cyber seguridad. Os dejo el link del Máster para quien
quiera más información.
Y ya no os suelto más publicidad subliminal para pasar con
el SecManario.
CSRF Worm
Este blog lleva muy poco pero me gusta todo lo que escribe, en
este Post no habla como hacer un Cross con la cadena de following de Twitter. ¿Posible
técnica de Black SEO?
Cookie Shadow
Path Injection
Otro buen post donde nos explica cómo jugar con las cookies
de un mismo dominio.
https://c0nradsc0rner.wordpress.com/2016/07/06/cookie-shadow-path-injection/Decentralizing IoT networks through blockchain
Interesantísimo artículo sobre una propuesta para usar la tecnología de Blockchain que hizo famosos a los Bitcoins en el mundo IoT.
¿Útil? ¿Practico para IoT? Alguien con tiempo y ganas que quiera darle una vuelta a esto podría sacar un modelo más que interesante para aplicarlo en el nuevo mundo de las cosas.
https://techcrunch.com/2016/06/28/decentralizing-iot-networks-through-blockchain/
Para quienes no sepan que es Blockchain y cómo funciona os recomiendo este artículo donde los explica para mortales.
http://blog.bit2me.com/es/que-es-cadena-de-bloques-blockchain/
Understanding The Protocols Behind The Internet Of Things
Un artículo de lectura ligera sobre cómo funcionan las diferentes propuestas de protocolos de comunicación en el internet de las cosas.
http://electronicdesign.com/iot/understanding-protocols-behind-internet-things
Todo sobre Hummingbad
Fue la noticia de la semana pasada, el descubrimiento de este malware para dispositivos Android, la complejidad del mismo crecerá al mismo ritmo que crecerán las funcionalidades y complejidad del propio sistema. Es más sencillo y rentable hacer malware para móviles (sobretodo Android que es quien lidera el mercado) que para cualquier otro medio.
Ya se han descubierto varios malware que son muy efectivos, pero detrás de este existe toda una empresa y un negocio.
Os dejo un par de artículos sobre el tema:
http://globbsecurity.com/hummingbad-malware-android-38940/
http://blog.checkpoint.com/2016/07/01/from-hummingbad-to-worse-new-in-depth-details-and-analysis-of-the-hummingbad-andriod-malware-campaign/
El report oficial donde empezó todo:
http://blog.checkpoint.com/wp-content/uploads/2016/07/HummingBad-Research-report_FINAL-62916.pdf
Y, lo más importante, donde bajaros la muestra para que podáis analizar el bicho vosotros mismos:
http://contagiominidump.blogspot.com.es/2016/07/hummingbad-android-fraudulent-ad.html
Inspeckage - Android Package Inspector
Os dejo con su propia descripción, tiene buena pinta.
“Inspeckage is a tool developed to offer dynamic analysis of Android applications. By applying hooks to functions of the Android API, Inspeckage will help you understand what an Android application is doing at runtime.”
https://github.com/ac-pm/Inspeckage
Deobfuscation tools
¿Quién no ha tenido alguna vez un horrible código fuente obfuscado para analizar? Pues este artículo hace un listado de herramientas donde puede que encontremos la solución para esos horribles momentos donde todas las variales se llaman “a”, “b” o “c”… y siendo generosos xD
https://hackerlists.com/deobfuscation-tools/
Reverse engineering tools review
Genial artículo donde se pueden ver herramientas de ingeniería inversa más allá de los conocidos de siempre, algunas me han parecido geniales como la que detecta automáticamente los sistemas de defensa de los videojuegos ;)
https://www.pelock.com/articles/reverse-engineering-tools-review
martes, 5 de julio de 2016
SecManario 3 - Julio 2016 Semana 1
Erase una que dejó el post preparado y luego no lo publicó :P
Aquí os dejo un nuevo SeCManario que, según las estadísticas, parece que va
gustado.
Solving
Google's ReCaptcha service with ~70% accuracy
Paper que muestra técnicas para poder saltarnos el Nuevo captcha
de Google con el check de “I’m not a robot”
Mobile
Security: Practical attacks using cheap equipment
Una de las asignaturas que más me gustó del Máster fue la de
telefonía móvil, quien me conoce sabe que llevo ya bastante tiempo metida en
seguridad móvil y me faltaba ese aspecto de seguridad en las redes de telefonía.
Aprendí mucho en esa asignatura pero si es cierto que poder practicar con el
hardware de los ataques es caro. Este paper quiere explicar las arquitecturas y
ataques que se pueden hacer de forma “barata”.
A Case Study in Attacking KeePass
¿Quién no usa o conoce alguien que use KeePass? Seguro que
alguna vez habéis ido a dar con este programa para poder guardar contraseñas y
datos. Es realmente practico, poder guardar los nombres de maquinas, notas
sobre cada una de ellas y sus contraseñas…. ¿Qué la copias al portapapeles?
Pues el programita la borra en unos segundos para que no se quede ahí siempre.
Una vez metes tu password en este gestor de contraseñas ya no necesitas volver
a recordarlas. Muy práctico pero… ¿es tan seguro como parece? No te pierdas
este PoC donde tratan de responder esa pregunta.
Reverse
engineer this quadcopter’s radio protocol
Una serie de posts donde hacen un estudio de ingeniería
inversa en quadcopteros. Artículos y videos, muy bueno para aficionados y
curiosos del futuro y presente en el aire.
Katoolin
¿No te gusta Kali Linux? Hay gente que opina que la
distribución está muy “sobrecargada”, igual que existen amantes hay detractores
que prefieren sus propias distribuciones con las herramientas.
Katoolin te lo pone fácil, instala en tu Linux todas las
herramientas que vienen con Kali Linux por defecto.
5 Anti-Drone Products on the Rise
Más por curiosidad y por entender cómo serán los productos
del futuro contralas amenazas de los Drones. Un post que enumera los cinco
productos principales contra los Drones.
Why Ransomware Works: Arrival Tactics
¿Por qué funciona el Ransonware? TrendMicro ha publicado un
post extenso sobre cómo funcionan las principales herramientas de ransonware.
Un buen artículo para entender cómo funcionan por dentro y mutan con sus
diferentes versiones.
Security insanity: how we keep failing at the basics
A quien le gusta el desarrollo seguro este artículo puede
resultarle hasta cómico parece un compendio de todo lo que te encuentras día a
día en auditorías de seguridad en código.
Ya solo el título dice una gran verdad: Seguimos fallado
desde lo más básico.
Excelente artículo de Troy Hunt, uno más para su colección.
Preguntas y respuestas:
En esta sección pondré post de diferentes sitios con
preguntas y respuestas que puedan ser de interés.
- Why is it more secure to use intermediate CA certificates? http://security.stackexchange.com/questions/128779/why-is-it-more-secure-to-use-intermediate-ca-certificates
- what information does PayPal provide to vendors? http://webapps.stackexchange.com/questions/95172/what-information-does-paypal-provide-to-vendors
- Programa un virus en C sin ser detectado por nada "Source" https://underc0de.org/foro/c-c/programa-un-virus-en-c-sin-ser-detectado-por-nada-'source'
Suscribirse a:
Entradas (Atom)