Vídeos de USENIX Enigma 2016

Otra de las grandes conferencias USENIX que tuvo lugar a finales de enero Enigma 2016, enfocada a ataques emergentes, tiene publicado los vídeos de las presentaciones. La lista no es muy amplia, pero la mayoría muy interesantes: ToStaticHTML for Everyone! About DOMPurify, ... Building a Competitive Hacking Team Verification, Auditing, and Evidence: If We Didn’t Notice Anything Wrong... Keys Under Doormats: Mandating Insecurity... Trust Beyond the First Hop–What Really Happens to Data Sent to HTTPS Websites Drops for Stuff: An Analysis of Reshipping Mule Scams Sanitize, Fuzz, and Harden Your C++ Code Dolla Dolla Bill Y'all: Cybercrime Cashouts Usable Security–The Source Awakens Defending, Detecting, and Responding to Hardware and Firmware Attacks Timeless Debugging Modern Automotive Security: History, Disclosure, and Consequences Protecting High Risk Users Opening Video PKI at Scale Using Short-lived Certificates We Need Something Better—Building STAR Vote Bullet-Proof Credit Card Processing Why Is Usable Security Hard, and What Should We Do about it?
Leer más

Encuentran torres sospechosas de telefonía móvil en Estados Unidos

Según un artículo publicado recientemente en la web de Popular Science, ESD America, una empresa que comercializa un teléfono móvil de alta seguridad llamado CryptoPhone 500, ha encontrado alrededor de los Estados Unidos unas 17 torres de telefonía móvil sospechosas. Como podemos ver en el siguiente mapa de Agosto de este año, dichas torres conocidas como interceptores están repartidas alrededor de los Estados Unidos. El mapa fue creado en colaboración entre ESD America y sus clientes.
Leer más

Manual del coche para hackers

opengarages.org ha publicado un libro titulado: Car Hacker’s Handbook. Éste trata de como podemos “atacar” a los sistemas de los coches modernos, que cada vez usan más tecnología moderna como: acceso a internet, Wifi, bluetooth, etc. El libro contempla varios vectores de ataques con los que se podrían comprometer la seguridad de los vehículos. Simplemente echando un vistazo al índice da un poco de escalofrío: Intro Understanding Attack Surfaces Infotainment Systems Vehicle Communication Systems Engine Control Unit CAN Bus Reversing Methodology Breaking the Vehicle CAN Bus Tools Weaponizing CAN Findings Attacking TPMS Ethernet Attacks Attacking Keyfobs and Immobilizers FLASHBACK - Hotwiring Attacking ECUs and other Embedded Systems What does your hacker garage need?
Leer más

Hacking Techniques and Intrusion Detection

Hacking Techniques and Intrusion Detection es una nueva clase disponible en Open Security Training. La clase cubre los métodos más usados en ataques informáticos con la intención de aprender a defendernos y protegernos de ellos. En comparación con otras clases ofrecidas en Open Security Training, ésta es bastante extensa. El tiempo recomendado de la misma es de 5 a 6 días de clase intensos o entre 10-15 días, si prefieres un horario más relajado.
Leer más

Ataques Man-In-The-Middle y otras pruebas pentesting usando hardware barato

Foto: Penturalabs Este proyecto utiliza un router modelo TP-LINK TL-WR703N (21€, que entre otras características es portátil y puede funcionar como punto de acceso WiFi) ó el TP-LINK TL-MR3020 (27€, es un poco más grande que el anterior) para crear un sistema de ataques tipo Man-In-The-Middle desde hardware que puedes llevarte a cualquier parte. El sistema que se instala en el dispositivo es un viejo amigo que ya conocemos, OpenWrt.
Leer más

Lista de ataques Cross Site Scripting

Cross Site Scripting o XSS es una de las vulnerabilidades más devaluadas por parte de desarrolladores y administradores de sistemas. Quizás sea porque la típica prueba de concepto sea mostrar un mensajito en la pantalla (alert), pero herramientas como BeEF convierten este tipo de vulnarabilidades en muy peligrosas. De hecho en el Top 10 de vulnerabilidades del OWASP, ésta se encuentra en el número dos de la lista. Quizás la web más conocida sobre ejemplos de ataques XSS sea la de ha.
Leer más

Seguridad Web ¿eres parte del problema?

La empresa Cenzic ha elaborado un completo informe detallando las amenazas y los números relacionados con la seguridad Web en 2009. Puedes descargar todo el documento en PDF desde aquí. Voy a intentar hacer un pequeño resúmen con lo más interesante de este fantástico artículo de Smashing Magazine. Voy a mantener en inglés el nombre de los ataques para evitar confusiones, ya que es su terminología habitual. Lo primero es saber que significa URI: Uniform Resource Identifier.
Leer más