Si hay un hacker que me impresiona sobre manera es George Hotz, conocido como GeoHot. Su historia, sus logros, y su trabajo técnico es impresionante. Con la tierna edad de 17 años se convirtió en el primer hacker que fue capaz de hacer un unlock a un iPhone original. Un unlock en terminología de teléfonos móviles hace referencia a liberar un teléfono del bloqueo del operador, y GeoHot fue el primero que lo hizo en iPhone para liberarlo del bloqueo con que lo distribuía AT&T.

Para nosotros es todo un orgullo presentar en sociedad la primera edición de DragonJAR Security Conference, un evento de seguridad informática que nace de La Comunidad DragonJAR para fomentar esta temática en Colombia e invitamos amablemente a quien que esté interesado en mostrar y compartir sus investigaciones y / o desarrollos en el campo de la Seguridad de la Información a que participe de nuestro llamado a artículos.

Boletin mensual de seguridad con lo mas destacado del mes de Marzo, incluye listado con los parches de seguridad liberados este mes, informacion sobre eventos de seguridad, recursos tecnicos, herramientas, etc.

La semana pasada, la gente de Rapid7 (www.rapid7.com) que se hicieron con los servicios de Metasploit a finales del año 2009, han publicado una nueva versión de este conocido framework para revisiones de seguridad y pentesting. Casi seis meses después de haber desarrollado la anterior release, actualizaciones menores aparte, esta nueva versión 4.9 incluye importantes cambios y novedades.

El mundo del Exploiting ha estado fuertemente marcado por el eterno juego del gato y el raton y que hasta ahora los Exploiters no han dejado de darle emocion a la carrera y se han mantenido en su sitio siempre desplazando la meta hacia adelante.

Después de un montón de intentos y comprobaciones, que requerían cada una de ellas un tedioso reinicio del sistema y un cambio de configuración, descubrí que el demonio PCSCD no arrancaba adecuadamente. Tras verificar con "service pcscd restart" el demonio arrancaba y funcionaba sin problemas de forma manual, pero fallaba al pararlo. Decidí reiniciar de nuevo el sistema, pero sin tocar ninguna configuración y procedí a comprobar el estado del demonio mediante "service pcscd status" a lo que el sistema respondió con un mensaje preocupante.

Ciberdelincuentes podrían obtener control de los televisores inteligentes de Philips y alterar la programación del aparato- e incluso hasta cambiar los canales en vivo- a través del adaptador Wi-Fi, ya que cuenta con una contraseña fija y no modificable por los usuarios. Además de cambiar los canales o la imagen en pantalla a su elección (algo útil para ataques de phishing, por ejemplo), los atacantes también podrían acceder al contenido de los dispositivos USB que estén conectados al televisor.

Hace algunos días y realizando un proceso de registro en un servicio Web me solicitaron un número de teléfono al que enviar un SMS para confirmar la cuenta que estaba creando, de modo que busqué algún servicio gratuito al estilo de 10minutemail pero aplicado a mensajería SMS y encontré un artículo de cómo obtener números SMS temporales. Una vez introducido el número de teléfono en el servicio que estaba registrando y como estaba tardando más de la cuenta la recepción del SMS, aproveché para dar una vuelta por estas Webs y curiosear.

Hacer un análisis de fuzzy hashing para encontrar similitudes entre muestras de códigos maliciosos puede arrojar una gran cantidad de números que evidencian las relaciones entre los archivos. Una forma de visualizar estos datos para obtener información valiosa es a través del uso de grafos. Vamos a detallar un poco en este post en qué consiste el análisis de grafos, a presentar Gephi una interesante herramienta para este tipo de análisis y el tipo de resultados que podríamos obtener.

Entra es este sitio: hackertyper.net/ pulsa F11 para poner el navegador en pantalla completa y pon cara de concentrado y escribe como un loco.

Ya tenemos en marcha el "IV Congreso de Seguridad Navaja Negra" en Albacete los días 2, 3 y 4 de Octubre de 2014. Abiertos los plazos hasta el 29 de Junio de 2014 para enviar los CFP (Call for Papers) / CFT (Call for Training) de las charlas y talleres.

La archiconocida y magnífica revista electrónica Phrack ha hecho público una nota en la que anuncian cambios en la política de publicación. Phrack se iba publicando tras varios meses y últimamente incluso años. A ese ritmo, el problema es que si alguien manda un artículo y éste se publica un año o dos más tarde, dicho artículo ya se esté obsoleto o no tenga relevancia alguna. Por ello, Phrack ha decidido crear una sección llamada Paper Feed, en la que se irán haciendo públicos los artículos que sean enviados.

Aplicación cuya función principal reside en proporcionar al usuario una herramienta para poder gestionar cambios de contraseñas de manera rápida y eficaz tanto en un servicio en concreto de manera individual como en varios servicios a la vez y de forma paralela.

Hace ya tiempo que publiqué un artículo sobre la desprotección que había en ciertos navegadores cuándo se pedía una URL en la que se envían el usuario y la contraseña. Esto es una forma de explotar ataques CSRF que abusen de dispositivos que cuenten con contraseñas por defecto. En aquel entonces os contaba que tanto Microsoft Internet Explorer, como Apple Safari tenían una protección basada en una alerta de seguridad que se muestra al usuario. En aquel entonces ni Google Chrome, ni Mozilla Firefox tenían esa protección.

En un proceso de fingerprinting se lleva a cabo una recolección de información que consiste en interactuar directamente con los sistemas para aprender más sobre su configuración y comportamiento. Estas técnicas llevarán a cabo un escaneo de puertos para el estudio de los posibles puertos abiertos que se encuentren y determinar qué servicios se están ejecutando, además de la versión del producto que se encuentra detrás del puerto.

Passbook es la aplicación que Apple puso en iOS para permiter almacenar “tarjetas virtuales”, tickets, tarjetas de embarque, entradas de cine o tarjetas regalo de cualquier sistema de e-commerce que quiera hacer uso de ellas. Así, no se hace necesario llevar encima un ejemplar del documento, ya que Passbook tiene total validez… en los sitios donde se hace uso. Al parecer ha sido hackeado por un estudiante de Informática de la Universidad de Creta y será contado en próximas fechas en uno de los eventos del año, la Hack In The Box 2014.

Passivedns es una herramienta de código abierto que se puede utilizar para investigar un incidente relacionado con un ataque DNS. La herramienta permite que el analista de seguridad pueda recoger el tráfico DNS pasivamente y leerlo en forma de archivo pcap o archivos de registro. Esto ayuda a identificar la respuesta del DNS y averiguar dónde está la redirección o el problema con el servidor.

Dumb0 es un script en perl que permite obtener un listado de los usuarios registrados en un gran número de foros y CMS (WordPress, Drupal, moodle, Xen Forums, PHPbb, Simple Machine Forums, vBulletin, IP Board, etc.) de tal forma que podremos obtener un diccionario. Y este diccionario siempre será correcto, únicamente necesitaremos averiguar las contraseñas.

Esta alerta es para proporcionarle una visión general de los nuevos boletines de seguridad que se publicó el 08 de abril de 2014. Los boletines de seguridad se publican mensualmente para resolver las vulnerabilidades de problemas críticos.

Las presentaciones de la SyScan 2014 celebrada en Singapur del 31 de marzo al 4 de abril ya están disponible para descarga.

El CCN-CERT, del Centro Criptológico Nacional, ha hecho público su Informe de Amenazas IA-03/14 "Ciberamenazas 2013 y Tendencias 2014" que contiene un análisis internacional y nacional de las ciberamenazas detectadas durante el pasado año y de su evolución prevista. A lo largo de sus más de cien páginas, el Informe contiene diferentes apartados como los ciberataques y los riesgos más significativos de 2013 o las amenazas detectadas.

En los últimos años y sobre todo después del caso Wikileaks y de las revelaciones de Edward Snowden se ha hecho evidente que los gobiernos de las principales potencias del mundo, y probablemente todos los demás en función de sus posibilidades, quieren controlar todo lo que pasa en Internet. Resulta obscena la cantidad de recursos , dinero, personal, leyes ad-hoc que se han implantado para conseguir tener ojos y oídos en todo lo que fluye por los cables y las ondas de telecomunicaciones.

Comprueba si tu servidor web está afectado por el fallo de seguridad HeartBleed en la libreria OpenSSL. Para comprobar si un determinado servicio está afectado, basta con realizar un test online. Sin embargo, si además de comprobar que vuestro servidor es vulnerable queréis ver qué información se podría filtrar a un usuario malicioso, podéis visitar este GitHub donde encontraréis un programa en python que se encarga de descargar esta información.

Desde que se publicó el bug de Heartbleed ha sido un día duro en Eleven Paths, como en muchas otras compañías de Internet para conseguir tener los sistemas actualizados sin sufrir interrupciones de servicio, para lo que hubo que tensar los procedimientos de emergencia y trabajar muchas horas y con intensidad. Si no te has enterado aún de qué este fallo, voy a intentar hacerte entender la magnitud del fallo para que tomes tus medidas de seguridad.