Curso de pentesting sobre aplicaciones Android

diva_pentesting.png

DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android.

Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps - DIVA, el cual usa como base la aplicación anteriormente mencionada.

El curso esta compuesto por 13 vídeos disponibles de forma gratuita:

Feb 29, 2016
HackingSeguridadAndroid

Seguridad informática para adolescentes

hacker_highschool.png

Institute for Security and Open Methodologies (ISECOM) es una organización sin ánimo de lucro con sedes en Barcelona y Nueva York. Ésta se inició como un movimiento para mejorar la verificación e implementación de la seguridad informática.

Anteriormente hemos hablado del Open Source Security Testing Methodology Manual, quizás el proyecto más conocido de dicha organización. Pero estos también trabajan en otros proyectos, entre ellos uno cuyo objetivo es concienciar a la juventud sobre seguridad informática y hacking: Hacker Highschool (Security Awareness for teens).

Feb 26, 2016
HackingEbookClasesSeguridad

Imágenes de Linux Mint comprometidas

linux-702x336.jpg

La famosa distribución Linux Mint (el sitio está actualmente abajo), ha publicado una entrada dónde avisan que las imágenes ISO de la versión 17.3 con el escrito Cinnamon han sido modificadas e incluyen una puerta trasera (backdoor).

Aunque no se han dado detalles de lo ocurrido, parece que la intrusión se produjo a través de Wordpress, desde donde los atacantes fueron capaces de conseguir una shell en el sistema con permisos www-data (normalmente el usuario propietario del contenido de dicha plataforma).

Feb 21, 2016
LinuxSeguridadHacking

Repositorio público con malware real

malware-analysis-category1-1024x682.jpg

theZoo, también conocido como Malware DB, es una base de datos / repositorio con ejemplos de malware real. Entre estos, también puedes acceder a su código fuente. El objetivo de esta base de datos es la poner a disposición del público de una forma fácil, software malicioso para su estudio. Normalmente acceder a ejemplares de malware real no se fácil.

Dicho proyecto se encuentra alojado en Github, éste contiene un directorio llamado malwares que a su vez contiene dos subdirectorios: Binaries y Source. Dentro de Binaries tenéis los ejemplos que se incluyen en este proyecto. Estos están organizados en directorios igualmente y dentro de cada uno tenéis un fichero (.pass) que contiene el password (infected) para descomprimir el fichero .zip en el mismo directorio, que contiene el malware real. Ojo, que ¡ES MALWARE REAL! El resto de ficheros no son más que el hash (md5 y sha256) del fichero malicioso para comprobar su integridad.

Feb 15, 2016
SeguridadvirusProgramación

Vídeos de USENIX Enigma 2016

enigma_logo_700x253.png

Otra de las grandes conferencias USENIX que tuvo lugar a finales de enero Enigma 2016, enfocada a ataques emergentes, tiene publicado los vídeos de las presentaciones. La lista no es muy amplia, pero la mayoría muy interesantes:

Feb 15, 2016
ConferenciaHackingvideosSeguridad

Vídeos de linux.conf.au 2016

lca2016_logo.jpeg

Ya están publicadas todas las charlas de linux.conf.au 2016. Aquí os dejo como de costumbre la lista completa:

Feb 13, 2016
LinuxvideosConferencia

Cadenas de texto "comprometedoras"

sqlinjection.png

Filtra los datos de entrada y sanea la salida (filter input, sanitize output) esto es de Seguridad 101, posiblemente las premisas más básicas en cuanto a temas de seguridad informática.

Aunque como bien decía estos son dos conceptos muy básicos, eso no quiere decir que sean fáciles de implementar. Sobre todo el filtrado de la entrada de datos.

Para cada lenguaje (con los que yo he trabajado) existen librerías que te ayudan con esta ardua tarea e incluso algunos soportan al menos de forma parcial este tipo de funcionalidad en el propio lenguaje.

Feb 12, 2016
ProgramaciónSeguridadHackingRecursos Informática

Conoce tus enemigos

know_your_enemies.png

A finales del año pasado el Instituto para tecnología de infraestructuras críticas (Institute for critical infrastructure technology ) publicó un documento dónde recogían información sobre los grupos activos detrás de ataques, malware, amenazas, etc. En estos incluyen desde gobiernos a hacktivistas.

Este mes de febrero se ha publicado la segunda versión de dicho documento llamado Know your enemies 2.0 (PDF). El documento está organizado por países, consta de 81 páginas y contiene información general de cada grupo. No es nada técnico aunque requiere tener conocimiento de la jerga “hacker”. Al final del documento tienes dos apéndices, uno con un pequeño vocabulario y el segundo con algunas de las técnicas más comunes usadas como vector de ataque.

Feb 10, 2016
SeguridadvirusHackingLibros

Libro de texto (gratuito) de Princeton sobre Bitcoin

bitcoin.png

Si te interesa saber como funciona Bitcoin, este libro te interesa.

La prestigiosa universidad de Princeton está trabajando en la publicación de un libro sobre la famosa divisa digital: Bitcoin. El libro está aún en fase de revisión y se espera que se publique allá por junio, pero el primer borrador completo está disponible para su descarga (PDF).

El libro que se titula Bitcoin and Cryptocurrency Technologies, y está escrito en forma de diálogo, lo que hace su lectura muy amena. Si tienes conocimientos sobre ciencias de computación y programación, y quieres saber como funciona Bitcoin desde el punto de vista técnico, este libro es para ti.

Feb 10, 2016
LibrosEbookSeguridad