2012-11-23

DVWA training para nuevos ninjas


Yo siempre dije que para realmente entender algo y sumar conocimiento siempre hay que practicarlo, resulta que si no puede vivir esa experiencia me cuesta mucho comprender  las cosas, lo mismo me pasa con el hacking, solo que dar práctica a algunas técnicas y explotación de vulnerabilidades puede ser tomado con un acto ilícito y nos podríamos estar metiendo en grandes problemas.

Si la idea es practicar y vivir la experiencia de utilizar herramientas y avanzar en los conocimientos hacking, yo le recomiendo que instalen el entorno controlado llamado DVWA Damn Vulnerable Web App, basta con tener un entorno LAMP, un navegador web para accederlo y ganas de aprender a explotar fallos de seguridad.

2012-11-22

Google Hack: Descubriendo archivos en ownCloud

Retomando la búsqueda de nuevos dorks en Google me encontré con algunos archivos y directorios interesantes que la gente suele subir a ownCloud.


ownCloud es un software para montar servidores Cloud privados, al buen estilo Dropbox, ya hace un tiempo largo estaba jugando con esta aplicación, en donde su instalación y puesta a producción es tan simple como instalar un CMS convencional.

La particularidad de ownCloud es que nos permite montar en Lan o Wan un servicio muy útil y bastante rápido para lograr sincronizar nuestros archivos, directorios, agenda y calendario.

La verdad es que podríamos hablar y escribir unos cuantos párramos más sobre las bondades y beneficios que nos provee no solo tener una nube privada bajo nuestro control sino también la utilización de ownCloud, pero la realidad es que por Internet está toda la información.

La idea de este dork es ver que ya se están publicando información sensible de las cosas que se suben a ownCloud, tan simple como realizar esta pequeña búsqueda.

inurl:"/?app=(files | media | calendar | contacts | gallery)" intitle:"ownCloud"



Saludos!

2012-11-21

Comprendiendo un ataque CSRF


No es muy alentador saber que este tipo de ataques web existe hace más de 20 años, pero lo increíble de esto es que hasta el día de hoy es posible explotar muchas aplicaciones con estos fallos.

CSRF del acrónimo Cross Site Request Forgery, muchas veces mencionado como XSRF y es realmente una de esas vulnerabilidades que nos permiten modificar información de un usuario autenticado en un sistema web por ejemplo, desde otro punto o formulario de la aplicación.

Sin importar si las peticiones son de tipo POST o GET, este tipo de vulnerabilidades se ha cobrado muchas víctimas y entre los fallos más populares encontramos a los CMS como Joomla! WordPress o Drupal que constantemente son vulnerando, teniendo la posibilidad de crear usuarios y privilegios de Administrador como es el caso del fallo publicado en WordPress 3.3.1

2012-11-20

Engaños por email


Que bueno que este tipo de email por lo menos lo analizó outlook.com y lo almacenó en correo no deseado, pero pese a eso no es suficiente para detener y combatir este tipo de engaño tan frecuentes en los correos electrónicos.

Por otro lado es oportuno aclarar que esto no tiene nada que ver con los hackers ni con el espíritu y la ética hacker, este email que les voy a transcribir corresponde a verdaderos delincuentes que intentan sacar partido haciendo uso de engaños e ilusión a las personas.


CLASSIFIED INFORMATION

Hello,

I am Mr. Richard L. Duncan the Assistant General Manager for Public Safety and Security at City of Atlanta, Hartsfield-Jackson Atlanta Intl Airport Georgia USA. During my recent withheld package routine check at the Airport Storage Vault, I discovered an abandoned shipment from a Diplomat from London and when scanned it revealed an undisclosed sum of money in a metal trunk box. The consignment was abandoned because the Contents of the consignment was not properly declared by the consignee as “MONEY” rather it was declared as personal effect to avoid interrogation and also the inability of the diplomat to pay for the United States Non Inspection Charges which is $3,700USD. On my assumption, the box will contain about $2.5 Million to $3 Million and the consignment is still left in our Storage House here at the Hartsfield Atlanta International Airport Georgia till date. The details of the consignment including your name, your email address and the official document from the United Nations office in Geneva are t

2012-11-19

Introducción al robo de identidad



Ya se encuentra disponible para descargar el primer libro electrónico "Introducción al robo de identidad" escrito por los abogados Daniel Monastersky y Matias Salimbeni, miembros del sitio identidad robada.

El gran desarrollo que ha tenido Internet a nivel global en los últimos años ha permitido que se extienda ampliamente el denominado "Robo de Identidad".

Más allá que este tipo de modalidad delictiva se ha visto incrementada significativamente desde el uso masivo de la red de redes, la misma ya existía aunque a un nivel muy inferior.

Al respecto, puede afirmarse que no existe un único y homogéneo concepto de Robo de Identidad; sin embargo, de todas las conceptualizaciones existentes, pueden observarse determinados elementos comunes. En términos generales el robo de identidad tiene lugar cuando una persona utiliza la información personal de otro individuo para realizar compras, solicitar préstamos, obtener un trabajo; en definitiva: hacerse pasar por alguien que realmente no es.

2012-11-16

2 charlas TEDx que seguro te van a gustar

La primera charla fue en el TEDxUTN por Claudio Caracciolo @holesec llamada "De las emociones a las experiencias" donde de forma muy simple nos comenta cuestiones de la Ingeniería Social.


2012-11-15

Los 50 Hackers en Twitter que deberías seguir

La idea de este post es dejarle una lista de gente que realmente se dedica a Seguridad Informática y sus temas relacionados, gente apasionada por la tecnología, verdaderos investigadores de esta era.


Si utilizas Twitter deberías seguirlos para aprender a diario sobre sus trabajos, por otro lado es posible que me falten muchísimos "heroes" en esta lista, es por eso que los invito a dejar sus recomendados en los comentarios.

@holesec Claudio Caracciolo, Director I+D en Root-Secure Presidente de ISSA Arg Autor Libro Ethical Hacking -Un enfoque Metodologico para Profesionales

@HackHispano HackHispano.com, Twitter oficial de http://HackHispano.com

@unaaldia Hispasec Sistemas, Servicio oficial de una-al-día ofrecido por Hispasec Sistemas

@IntecoCert INTECO-CERT, Centro de Respuesta a Incidentes Informáticos para PYMES y Profesionales de TI

@ldelgadoj Luis Delgado

@microluciano Luciano Bello, Nerd, geek, Debian developer, security researcher, PhD student and a curious guy

@DragonJAR Jaime Andrés R. Cuenta oficial de Jaime Andrés Restrepo, fundador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de Habla Hispana

@kinomakino kinomakino, Murcia.Spain. Seguridad informática. INSEGUROS blog... http://kinomakino.blogspot.com.es/

@fluproject Flu, http://flu-project.com

@jantonioCalles Juan Antonio Calles, Consultor Seguridad y Hacking Ético. CHFI, CISA, ITIL, MTISI, MISD, ITIS, DLINK, FTSAI. Doctorando en Seguridad Informática. Fundador http://www.flu-project.com

@chemaalonso Chema Alonso, trabajador de Informática64 y escritor del blog Un informático en el lado del mal. http://www.elladodelmal.com Saludos Malignos!

@secbydefault Security By Default, Twitter del blog de seguridad informática SecurityByDefault

@r00tH4ck r00tH4ck, El Hacking no es delito.. Es Arte!! / Developer / Apasionado por la Seguridad Informática

@_hkm hkm, Investigador, pentester, conferencista. Aseguro la web -rompiendola!

@maxisoler Maximiliano Soler, Security Researcher & Enthusiast. FireCAT | OWASP Mantra | #ToolsWatch | #EKOParty Fan

@MagiCsito MagiCs, Security auditor and researcher

@nicowaisman Nico Waisman, I would prefer not to.

@YJesus Yago Jesus, Focus on: PKI, Intrusion Detection, Hardening, Reversing

@Seguridad_info Cryptex Seguridad In, Dedicado al estudio de la Seguridad de la Información - Seguridad y Auditoria Informática (Recopilación de principales noticias, Tools, Buenas Practicas ...)

@r0bertmart1nez Roberto Martinez, Security Professional | Malware Researcher at Global Research & Analysis Team - Kaspersky Lab | Mexico. Tweets are my own.

@NataSHell666 NataS, Rocker, Geek, Freak, Paranoiac, a lover of computer (In)security and OpenSource... A reward If someone finds my patience...

@seguridadxato2 Seguridad para Todos, Seguridad para Todos es una revista/blog online en Español, Seguridad de la Información contada para todos los públicos.

@InForenses Informatica Forense, 1er Laboratorio de Informática Forense fundado en Latinoamérica (2001). Investigacion de delitos informaticos. Equipo Forense y legal.

@lawwait Lorenzo Martínez, de SecurityByDefault

@_tty0 Facundo de la Cruz, Hacker of the Lost RAID.

@Hack_Sec Hack Security S.A, Consultores en Seguridad Informática, trabajo para Hack Security Organizador de e-security Conference y parte del equipo http://www.thehackingday.com/ Ecuador

@portantier Fabian Portantier, Consultor en Seguridad Informática, instructor y escritor. Experto en sistemas GNU/Linux.

@o_a_h_e OAHE, Organización Argentina de Hackers Eticos.

@Hack_x_Crack Hack x Crack, Foro de seguridad informática donde encontrarás tutoriales, wargames, software y mucho más!

@JoseSelvi Jose Selvi, http://www.pentester.es

@Securityartwork Security Art Work, Twitter del blog sobre Seguridad Informática Security Art Work

@roman_soft ʇɟosuɐɯoɹ, I'm a Spanish security researcher, author of well-known exploits (IIS WebDAV) and winner in contests (like Pre-CTF Ekoparty 5th or Panda Challenge). #int3pids

@Seguridadjabali Seguridadalojabali, Informatico,Tecnico en Seguridad de Redes y Sistemas, Microsoft MCITP, MCSA, MCTS.

@e_hacking Ethical Hacking, learn Hacking but be Ethical with Us, yes we will tell you how to become a Ethical Hacker/penetration tester.

@identidadrobada Daniel Monastersky, Socio de @TechLawBiz | Abogado especializado en Delitos Informaticos y Proteccion de Datos Personales | Director de www.identidadrobada.com

@seguridaddelmal Juan Carlos, Admin del Blog http://www.seguridaddelmal.com/ y Colaborador de http://www.hackplayers.com/ | Todo por la #SeguridadInformática | Yo no pirateo, yo comparto.

@hecky hecky, Fanatico de la #Esteganografia, #BASH, Informática Forense, Seguridad Informática y GNU/Linux. Autodidacta, 20 años y apasionado.Creador de Neobits.org

@InfoSpyware InfoSpyware, InfoSpyware es la mayor comunidad de lucha e información sobre Virus, Spywares, Ransomware, Phishing, FakeAV, Spam, Malwares y otras amenazas en idioma español

@p0is0nseginf p0is0n-123, Traigo el blog www.seginformatica.net dedicado a la seguridad/inseguridad informática y al estudio de nuevas vulnerabilidades.

@MatiasKatz Matias Katz, Arquitecto IT enfocado a seguridad, desarrollador amateur, profe, fotógrafo, cineasta, actor, músico, cocinero, 120, 140, 160, LO QUE DE!

@InfiernoHacker Foro Infierno Hacker, El mejor foro hacker hispanohablante! Noticias, hacking, programación, linux, seguridad, bugs & exploits y los mejores usuarios..

@exploitdb Exploit Database

@kfs Leonardo Pigñer, Director de Servicios Profesionales en BASE4 Security @base4sec / Fundador y Organizador de @ekoparty

@ssantosv Sergio de los Santos, Responsable de @unaaldia. También coordino algún que otro servicio en Hispasec...

@bSecuremagazine bSecure, b:Secure es una revista especializada en seguridad IT de México. Un tema que debería ser del interés de todos

@cibercrimen Andres Velazquez, Un examinador forense digital en Latinoamérica - Como un CSI pero de las Computadoras... Podstar de @crimendigital

@kevinmitnick Kevin Mitnick, Security Consultant, Public Speaker, & Author Whistling ICBM launch codes since 1988

@0xcharlie Charlie Miller, I'm that Apple 0day guy St. Louis, MO

@Jordisk Jordi Vázquez, Webmaster y asesor informático en mi tiempo libre. Apasionado de la seguridad, redes, diseño web & Social networking. Colaboro en http://www.Flu-project.com

@cesarcer Cesar Cerrudo, Leading IOActive Labs team in producing ongoing cutting edge research in the areas of SCADA, mobile device, software security and more. CEO of Argeniss Software

2012-11-14

DEF CON 20: Owning Bad Guys And Mafia With Javascript Botnets

Ya se encuentran disponibles las presentaciones y videos del último DEF CON 20, el congreso de Seguridad Informática más grande, realizado en las Vegas hace unos cuantos meses.

Por otro lado encontré la presentación de Chema Alonso hablando sobre las Botnets y todo el trabajo de investigación que se llevó al rededor de éste.


Además podes ver la presentación en español realizada en la Rooted CON 2012

Saludos!

2012-11-12

Actualización crítica de seguridad, Joomla! 3.0.1 y 2.5.8


Por estos últimos días, se hizo público 2 actualizaciones importantes para el sistema de gestión de contenido Joomla! en sus últimas versión liberadas 3.0.1 y 2.5.8

Estos nuevos parches de seguridad solucionan vulnerabilidades de clickjacking y de ejecución y explotación de ataques XSS.

Definitivamente este tipo de ataques van a seguir apareciendo conforme pase el tiempo, es por ello que todos los que utilicen estos sistemas, toda la recomendación y la prudencia de actualización paulatina tanto del motor en esta caso Joomla! Como así también de todos y cada uno de sus componentes utilizados. De lo contrario teniendo esta información va a ser posible saltearse estos fallos conocidos por cualquier posible atacante.

Enlace | Joomla! 3.0.2 released y Joomal! 2.5.8 released

2012-11-07

Andrés Velázquez en B:Secure Conference 2012

Conferencia de Andrés Velázquez en B:Secure Conference 2012 sobre forensia digital – en donde explica cómo a veces la prevención no es suficiente y cómo trabajar en la búsqueda de evidencia y extracción de imágenes forenses de equipos móviles.


Enlace | MaTTica

2012-11-06

En regreso de RetroNet

Este es uno de los blog más emblemáticos para todos los Programadores, Administradores de sistemas y entusiastas de la informática. http://www.retronet.com.ar


Es bueno saber que mi amigo y colega Luis Wayar @lwayar se está recuperando de apoco y para no perder más tiempo, comenzó a publicar nuevos desafíos de matemáticas y programación, solo cultura Geek.

Ahora es una visita obligatoria cada día aprender más de él, por eso te recomiendo que le des un +1, un Like o un RT para difundir a todos tus amigos y sumarte a su red de este Hacker y activista del Software Libre.

Saludos!

Entradas populares