Buenas prácticas sobre el desarrollo de aplicaciones seguras para móviles
Via Forensics ha liberado un extenso artículo con un conjunto de buenas prácticas que deberíamos seguir cuando desarrollamos una aplicación móvil. Aunque el documento está enfocado en Android y iOS, muchas de las prácticas que se describen son comunes a cualquier plataforma.
El documento se titula en su versión original: 42+ Best Practices Secure mobile development for iOS and Android (PDF). En total contiene 49 prácticas a tener en cuenta. Por cada una de ellas nos explica brevemente el por qué de tenerla en cuenta.
(IN)SECURE #34
Nuevo número de esta, ya veterana, revista sobre seguridad. El índice de este número es:
- Fitness as a model for security
- Security and migrating to the cloud: Is it all doom and gloom?
- Solid state drives: Forensic preservation issues
- Introduction to Android malware analysis
- Hack in The Box Conference 2012 Amsterdam
- ISO 27001 standard: Breaking the documentation myth with Dejan Kosutic
- Preparing a breach response plan
- Security beyond the operating system: Into the cloud and beyond
- Amphion Forum 2012 Munich
- The challenges of data recovery from modern storage systems
- Two-factor authentication for the cloud: Does it have to be hard?
Vídeo tutoriales sobre como crear tu propia ROM para Android
En el foro por excelencia sobre Android y Windows Mobile xdadeveopers han creado un hilo sobre como crear tu propia ROM para Android en forma de vídeo tutoriales. Hasta ahora estos son los tutoriales disponibles:
- Introduction
- Settings Up Cygwin And Kitchen
- Setting Up Remaining Tools (ftf extractor,flashtool,fastboot etc)
- Extracting .FTF File
- Getting Started - Android Kitchen
- Finalizing ROM
- Editing .APK Files
- Editing .JAR Files
- Dealing With .9.png Files
- Editing Build.prop
- Make custom ROM
- Unpack .ftf packages
- Use Cygwin
- Setup Android Kitchen
- Edit .apk files
- Edit .jar files
- Edit .9.png files
- Rooting System
- Writing scripts
- Making flashable zips
- Porting apk software
- A2SD Techs
- Editing build.prop
- Editing init.d tweaks
- Information of every customizable file
- Making Hosts
- Apn configs
- Editing boot.img
- Converting png to rle or vice versa
- Writing updater-script
- Making Aroma Installer
- How to set default Settings after ROM installations
Este es el hilo del foro, dónde además de econtrar los vídeos que os hemos enlazado aquí, enontrarás mucha más información.
Un poco de lectura técnica nunca viene mal
Aquí os dejo una lista variada de libros técnicos. Happy reading!
<li><a href="http://www.wolframscience.com/nksonline/toc.html">A New Kind of Science (Stephen Wolfram)</a></li>
<li><a href="http://opendatastructures.org/">Open Data Structures</a></li>
<li>The Debian Administrator's Handbook (<a href="http://static.debian-handbook.info/browse/stable/">PDF, ePub y Mob</a> y <a href="http://debian-handbook.info/get/now/">html</a>)</li>
<li><a href="http://coolthingoftheday.blogspot.in/2012/05/jquery-succinctly-free-ebook-reg-ware.html">jQuery Succinctly</a></li>
<li><a href="http://www.aosabook.org/en/index.html">The Architecture of Open Source Applications</a></li>
<li><a href="http://www.cs.ucl.ac.uk/staff/d.barber/brml/">Bayesian Reasoning and Machine Learning</a></li>
<li><a href="http://openglbook.com/the-book/">OpenGL Book</a></li>
<li><a href="http://m.h-online.com/open/news/item/Introductory-ebook-for-new-LPI-exam-released-1580981.html?mrw_channel=open;mrw_channel=open;from-classic=1">Introductory ebook for new LPI exam released</a></li>
<li><a href="http://gettingreal.37signals.com/3705222012-getting_real.pdf">Getting Real (PDF)</a></li>
Distribución de Pen Testing para Raspberry Pi
Ya hemos visto muchas distribuciones o frameworks cargadas de herramientas de seguridad y prepardas para ser usadas desde dispositivos móviles o pequeños. Ya aquí hemos escrito varias entradas relacionadas con el tema:
- Plataforma de pentesting sobre 3G
- Ubuntu Laika, distribución de pen testing para Android
- Convierte tu teléfono Android en una plataforma de pentesting
- etc
Las herramientas que incluye son:
MicroHistorias: Galyn Susman, la heroína de Toy Story 2 que no conocías
Esta es una pequeña anécdota contada en uno de los vídeos extras de la película de Pixar Toy Story 2.
Según nos cuenta el vídeo esto fue un hecho 99% real. En la creación de dicha película entre otros sistemas usaron sistemas Linux y Unix. Aunque el vídeo no da detalles de la forma de trabajo, deduzco que todos los archivos de la película se guardaban en un único servidor central cuyo sistema era Unix o Linux. Lo que sí nos cuenta el vídeo es que alguien del equipo le dio por ejecutar: rm * (este comando borra todos los ficheros del directorio actual), en el sistema dónde se almacenaba el proyecto de Toy Story 2. Cuando dicha persona (no dan detalles de la identidad de la misma) se dio cuenta de lo que había hecho, inmediatamente le dijeron que tirara del cable de alimentación, para cortar la operación.
Bon Iver, Perth, una canción perfecta para un domingo por la mañana
Bon Iver
Me habló de este grupo mi colega JRT ;) en un viaje que compartimos en tren.
Presentaciones de la Hack in the box 2012 celebrada en Amsterdam
Ya podemos descargarnos las presentaciones de otra gran conferencia de seguridad en la que ha habido participación hispana. La HITB (Hack in the box) 2012 Amsterdam:
- CLOSING KEYNOTE - Ms Jaya Baloo - Identity Privacy and Security.pdf
- D1 SIGINT - Marinus Kuivenhoven - Hack to the Future.pdf
- D1 SIGINT - Ralf- Philip Weinmann - NO SLIDES.pdf
- D1 SIGINT - Xavier Mertens - Pastebinmon and Leakedin.pdf
- D1T1 - Arnauld Mascret - Whistling Over The Wire.zip
- D1T1 - Claudio Guarnieri - One Flew Over the Cuckoos Nest.pdf
- D1T1 - Ivo Pooters - Turning Android Inside Out.pdf
- D1T1 - Juan-Pablo Echtegoyen - Attacking the SAP Solution Manager.pdf
- D1T1 - Roberto Suggi and Scott Bell - Browser Bug Hunting in 2012.pdf
- D1T2 - Adam Gowdiak - Security Threats in Digital Sat Televisions.pdf
- D1T2 - Adam Gowdiak - Security Vulnerabilities of DVB Chipsets.pdf
- D1T2 - Itzhak Zuk Avraham and Nir Goldshlager - Killing a Bug Bounty Program - Twice.pdf
- D1T2 - MuscleNerd - Evolution of iPhone Baseband and Unlocks.pdf
- D1T2 - Sebastien Renaud and Kevin Szkudlapski - WinRT.pdf
- D1T3 - Didier Stevens - Whitehat Shellcode.zip
- D1T3 - Gal Diskin - Hacking Using Dynamic Binary Instrumentation.pdf
- D1T3 - Jurriaan Bremer - Binary Obfuscation the SSE Way.pdf
- D2 SIGINT - Elger Jonker - Close-Up of Three Technical Hackerspace Projects.pdf
- D2 SIGINT - Rory Breuk and Albert Spruyt - Integrating DMA Attacks in Metasploit.pdf
- D2T1 - Alex Bazhanyuk and Nikita Tarakanov - Automatically Searching for Vulnerabilities.pdf
- D2T1 - Andrei Costin - Postscript Dangers Ahead - Hacking MFPCs.pdf
- D2T1 - Georgia Weidman - Bypassing the Android Permission Model.pdf
- D2T1 - Kenneth White - A Deep Analysis of Amazon Web Services.pdf
- D2T1 - Marco Balduzzi - SatanCloud.pdf
- D2T2 - Jailbreak Dream Team - Absinthe Jailbreak for iOS 5.0.1.pdf
- D2T2 - Jailbreak Dream Team - Corona Jailbreak for iOS 5.0.1.pdf
- D2T2 - Nicolas Gregoire - Attacking XML Processing.pdf
- D2T2 - Rahul Sasi - CXML VXML Auditing for IVR Pentesters.zip
- D2T2 - Steven Seeley - Ghost In the Windows 7 Allocator.pdf
- D2T3 - Chema Alonso and Manu The Sur - Power of FOCA 3.pdf
- D2T3 - Enno Rey Daniel Mende Pascal Turbing Matthias Luft - Smashing VMDK Files for Fun and Profit.pdf
- D2T3 - Mario Vuksan and Tomislav Pericin - Titan Engine 3.pdf
- KEYNOTE 1 - Andy Ellis - Staying Ahead of the Security Poverty Line.pdf
- KEYNOTE 2 - Bruce Schneier - Trust, Security and Society - NO SLIDES.pdf
Er docu der finde: Relámpagos de fuego
Parte 1
Parte 2