miércoles, 26 de noviembre de 2014

Andsec Security Conference 2014


Este Sábado 29 de Noviembre, bajan a la tierra por tercera vez los ángeles y demonios para la nueva edición de Andsec Security Conference 2014 – Buenos Aires, Argentina.

La entrada es totalmente libre y gratuita y se va a realizar en la Escuela Davinci, ubicada en Av. Corrientes 2037, Buenos Aires – Argentina.

Gracias a la invitación de los organizadores, Matias Katz, Maxi Soler y Chino Ogawa, este año voy a estar compartiendo toda la experiencia de haber creado WPHardening y explicando algunos aspectos de seguridad en WordPress.

El cronograma para la jornada es el siguiente:

09:00 Registration
09:45 Welcome
10:00 Joan Cwaik: Hackeando las estructuras
10:20 Facundo de la Cruz: ./a.out
11:00 Break
11:20 Daniel Maldonado: WP Hardening Tool
12:00 Osiris Gomez: Análisis de logs usando Orgmode Convertir un pcap a un grafo
12:30 Lunch
14:00 Matias Katz: Backdooring X11 with class
14:30 Alejandro Pernin: Nobody Killed The Radio Star
15:10 Break
15:30 Mateo Martinez: Huellas en la memoria para analisis de malware
16:10 Claudio Caracciolo: Vamos mal contra la Ingeniería Social
16:50 Break
17:10 Julian Zarate: HTTP Break-header on GSM Networks
17:50 Diego Gutierrez & Alexis Sarghel: Hacking Android Tv
18:30 Closing
19:30 Fin Andsec

Classroom A
14:00 - 14:30 Carlos Pantelides: Workshop - Juegos de Seguridad
14:30 - 15:10 Claudio Caracciolo: Workshop - Configurando Latch
15:30 - 16:10 Alejandro Pernin: Workshop - Radio fun

Classroom B
All Day Open Talks

Además vas a encontrar otras actividades y desafíos, por otro lado no dejen de reservar su remera de las conferencias y su lugar para el After Party donde vamos a estar charlando un buen rato.

No dejen de ir a la tercer edición de Andsec y compartir información.

Saludos!

Enlace | Andsec Security Conference

martes, 25 de noviembre de 2014

Jornada de Seguridad Informática 2014 - UNJu

Muchas gracias a la comisión organizadora de las Jornadas de Seguridad Informática 2014 en la Universidad Nacional de Jujuy por la invitación para dar un Taller de Seguridad en WordPress este Viernes 28 de Noviembre.

El evento se va a realizar el Viernes 28 de 09:00hs a 13:00hs y el Sábado 29 de 10:00hs a 13:00hs y 15:00hs a 18:00hs en las instalaciones de la Facultad de Ingeniería de la Universidad Nacional de Jujuy – Argentina.

El cronograma es el siguiente.


Los espero a todos para vivir una excelente jornada de seguridad.

Saludos!

viernes, 21 de noviembre de 2014

Actualización de Seguridad WordPress 4.0.1


Ya se encuentra disponible para su descarga una nueva actualización del CMS WordPress para la nueva rama 4.0.1 junto a la corrección de importantes fallos de seguridad.

Esta nueva versión corrige 23 bugs de la versión 4.0 y algunas mejoras como la validación EXIF de las imágenes subidas.

En tanto que a los problemas de seguridad se reportaron y corrigieron tres XSS que podrían comprometer seriamente una instancia de WordPress provocando engaño al usuario, cambio de contraseña y Denegación de Servicio.

Por esta razón, lo más recomendable es actualizar el Core de WordPress para esta nueva versión, de esa forma mitigar de forma activa cualquier posible problema.

Por otro lado quería mencionar que WPHardening 1.3 es totalmente compatible con esta nueva versión de WordPress, así que es posible utilizarlo para acotar y realizar el hardening de su sistema.

Saludos!

Enlace | WordPress 4.0.1 Security Release

miércoles, 12 de noviembre de 2014

Google Hacking: Fuga de información en archivos accounts.xml

Muchos servicios, generalmente de mensajería o incluso sistemas, almacenan los perfiles de usuarios con toda su información asociada en archivos con formatos XML y en muchas ocasiones con el nombre accounts.xml que por alguna razón terminan indexados en Google, GitHub o algún motor de búsqueda donde es posible acceder y verlos.

En muchos casos además de encontrar información de las cuentas publicadas vamos a poder encontrar una bonita etiqueta password, teléfonos, dominios, ip o prácticamente lo que se nos ocurra.

filetype:xml inurl:"/accounts.xml" "<password>"


Esa es una cadena de búsqueda, sin embargo podemos mejorar para verificar que nuestros dominios no se encuentren comprometido revelando información.

Hoy esta muy latente los términos como fuga de información y es por ello que tenemos que estar atento en nuestros lugares de trabajos y en la vida digital en general de no publicar este tipo de información.

Saludos!

Entradas populares