Para nosotros es todo un orgullo presentar en sociedad la primera edición de DragonJAR Security Conference, un evento de seguridad informática que nace de La Comunidad DragonJAR para fomentar esta temática en Colombia e invitamos amablemente a quien que esté interesado en mostrar y compartir sus investigaciones y / o desarrollos en el campo de la Seguridad de la Información a que participe de nuestro llamado a artículos.

La semana pasada, la gente de Rapid7 (www.rapid7.com) que se hicieron con los servicios de Metasploit a finales del año 2009, han publicado una nueva versión de este conocido framework para revisiones de seguridad y pentesting. Casi seis meses después de haber desarrollado la anterior release, actualizaciones menores aparte, esta nueva versión 4.9 incluye importantes cambios y novedades.

Después de un montón de intentos y comprobaciones, que requerían cada una de ellas un tedioso reinicio del sistema y un cambio de configuración, descubrí que el demonio PCSCD no arrancaba adecuadamente. Tras verificar con "service pcscd restart" el demonio arrancaba y funcionaba sin problemas de forma manual, pero fallaba al pararlo. Decidí reiniciar de nuevo el sistema, pero sin tocar ninguna configuración y procedí a comprobar el estado del demonio mediante "service pcscd status" a lo que el sistema respondió con un mensaje preocupante.

Ciberdelincuentes podrían obtener control de los televisores inteligentes de Philips y alterar la programación del aparato- e incluso hasta cambiar los canales en vivo- a través del adaptador Wi-Fi, ya que cuenta con una contraseña fija y no modificable por los usuarios. Además de cambiar los canales o la imagen en pantalla a su elección (algo útil para ataques de phishing, por ejemplo), los atacantes también podrían acceder al contenido de los dispositivos USB que estén conectados al televisor.

Hace algunos días y realizando un proceso de registro en un servicio Web me solicitaron un número de teléfono al que enviar un SMS para confirmar la cuenta que estaba creando, de modo que busqué algún servicio gratuito al estilo de 10minutemail pero aplicado a mensajería SMS y encontré un artículo de cómo obtener números SMS temporales. Una vez introducido el número de teléfono en el servicio que estaba registrando y como estaba tardando más de la cuenta la recepción del SMS, aproveché para dar una vuelta por estas Webs y curiosear.

Entra es este sitio: hackertyper.net/ pulsa F11 para poner el navegador en pantalla completa y pon cara de concentrado y escribe como un loco.

Ya tenemos en marcha el "IV Congreso de Seguridad Navaja Negra" en Albacete los días 2, 3 y 4 de Octubre de 2014. Abiertos los plazos hasta el 29 de Junio de 2014 para enviar los CFP (Call for Papers) / CFT (Call for Training) de las charlas y talleres.

La archiconocida y magnífica revista electrónica Phrack ha hecho público una nota en la que anuncian cambios en la política de publicación. Phrack se iba publicando tras varios meses y últimamente incluso años. A ese ritmo, el problema es que si alguien manda un artículo y éste se publica un año o dos más tarde, dicho artículo ya se esté obsoleto o no tenga relevancia alguna. Por ello, Phrack ha decidido crear una sección llamada Paper Feed, en la que se irán haciendo públicos los artículos que sean enviados.

Aplicación cuya función principal reside en proporcionar al usuario una herramienta para poder gestionar cambios de contraseñas de manera rápida y eficaz tanto en un servicio en concreto de manera individual como en varios servicios a la vez y de forma paralela.

Hace ya tiempo que publiqué un artículo sobre la desprotección que había en ciertos navegadores cuándo se pedía una URL en la que se envían el usuario y la contraseña. Esto es una forma de explotar ataques CSRF que abusen de dispositivos que cuenten con contraseñas por defecto. En aquel entonces os contaba que tanto Microsoft Internet Explorer, como Apple Safari tenían una protección basada en una alerta de seguridad que se muestra al usuario. En aquel entonces ni Google Chrome, ni Mozilla Firefox tenían esa protección.

En un proceso de fingerprinting se lleva a cabo una recolección de información que consiste en interactuar directamente con los sistemas para aprender más sobre su configuración y comportamiento. Estas técnicas llevarán a cabo un escaneo de puertos para el estudio de los posibles puertos abiertos que se encuentren y determinar qué servicios se están ejecutando, además de la versión del producto que se encuentra detrás del puerto.

Passbook es la aplicación que Apple puso en iOS para permiter almacenar “tarjetas virtuales”, tickets, tarjetas de embarque, entradas de cine o tarjetas regalo de cualquier sistema de e-commerce que quiera hacer uso de ellas. Así, no se hace necesario llevar encima un ejemplar del documento, ya que Passbook tiene total validez… en los sitios donde se hace uso. Al parecer ha sido hackeado por un estudiante de Informática de la Universidad de Creta y será contado en próximas fechas en uno de los eventos del año, la Hack In The Box 2014.

Passivedns es una herramienta de código abierto que se puede utilizar para investigar un incidente relacionado con un ataque DNS. La herramienta permite que el analista de seguridad pueda recoger el tráfico DNS pasivamente y leerlo en forma de archivo pcap o archivos de registro. Esto ayuda a identificar la respuesta del DNS y averiguar dónde está la redirección o el problema con el servidor.

Dumb0 es un script en perl que permite obtener un listado de los usuarios registrados en un gran número de foros y CMS (WordPress, Drupal, moodle, Xen Forums, PHPbb, Simple Machine Forums, vBulletin, IP Board, etc.) de tal forma que podremos obtener un diccionario. Y este diccionario siempre será correcto, únicamente necesitaremos averiguar las contraseñas.

Esta alerta es para proporcionarle una visión general de los nuevos boletines de seguridad que se publicó el 08 de abril de 2014. Los boletines de seguridad se publican mensualmente para resolver las vulnerabilidades de problemas críticos.

Las presentaciones de la SyScan 2014 celebrada en Singapur del 31 de marzo al 4 de abril ya están disponible para descarga.

El CCN-CERT, del Centro Criptológico Nacional, ha hecho público su Informe de Amenazas IA-03/14 "Ciberamenazas 2013 y Tendencias 2014" que contiene un análisis internacional y nacional de las ciberamenazas detectadas durante el pasado año y de su evolución prevista. A lo largo de sus más de cien páginas, el Informe contiene diferentes apartados como los ciberataques y los riesgos más significativos de 2013 o las amenazas detectadas.

En los últimos años y sobre todo después del caso Wikileaks y de las revelaciones de Edward Snowden se ha hecho evidente que los gobiernos de las principales potencias del mundo, y probablemente todos los demás en función de sus posibilidades, quieren controlar todo lo que pasa en Internet. Resulta obscena la cantidad de recursos , dinero, personal, leyes ad-hoc que se han implantado para conseguir tener ojos y oídos en todo lo que fluye por los cables y las ondas de telecomunicaciones.

Desde que se publicó el bug de Heartbleed ha sido un día duro en Eleven Paths, como en muchas otras compañías de Internet para conseguir tener los sistemas actualizados sin sufrir interrupciones de servicio, para lo que hubo que tensar los procedimientos de emergencia y trabajar muchas horas y con intensidad. Si no te has enterado aún de qué este fallo, voy a intentar hacerte entender la magnitud del fallo para que tomes tus medidas de seguridad.

La vulnerabilidad CVE-2014-0160 es ya considerada como uno de los mayores fallos de seguridad en Internet conocidos hasta la fecha y ya están apareciendo algunos PoC que facilitan su explotación de forma masiva.

Desde DragonJAR traemos una aplicación llamada Ethical Hacker Quiz, con esta herramienta para el móvil podremos poner en cualquier lugar a prueba nuestros conocimientos teóricos sobre seguridad informática, no te preparara para la certificación CEH, pero te servirá de entretenimiento. Así somos los que nos dedicamos a este mundo de la seguridad, en vez de esperar los tiempos muertos esperando el metro jugando un triviados..., nosotros preferimos seguir aprendiendo y reforzando los conocimientos ya adquiridos.

Adobe ha publicado una nueva actualización para Adobe Flash Player, en esta ocasión para evitar cuatro nuevas vulnerabilidades que afectan al popular reproductor. Dos de las vulnerabilidades podrían permitir a un atacante tomar el control de los sistemas afectados.

Uno de los ramsonware más conocidos es Cryptolocker, que además es uno de los más sofisticados. Al menos desde que un informe sugiere que en 2013 el número de Ramsonware creció un 300% respecto al año anterior; se detectaron un total de 861.000 infecciones hasta el mes de noviembre, según datos del Symantec Internet Security Report. La empresa de seguridad dice que aunque sólo el 0,2% de correspondían con Cryptolocker, pero es tan sofisticado que hace uso del cifrado de 2048-bit de RSA para impedir que los usuarios accedan a sus archivos.

Como ya sabéis, Mundo Hacker es una serie presentada por Antonio Ramos y Mónica Valle en el que semanalmente se debate sobre los distintos peligros en la red y cómo combatirlos. Ahora han organizado el evento MUNDO HACKER DAY 2014 que tendrá lugar el próximo 29 de abril en el Teatro Goya de Madrid y en el que destaca especialmente la participación de Kevin Mitnick.