Este blog ya no está activo, sigue informándote aquí:

miércoles, 31 de enero de 2018

Guía.- Windows Privilege Escalation

Hace unos días que estoy un poco enfermo y no puedo pararme a escribir tanto como me gustaría o al menos como os tengo acostumbrados. Así que hoy solo os voy a recomendar la siguiente guía sobre todo lo que debemos mirar cuando ejecutamos una elevación de privilegios y me piro a la cama. 


Sed Buenos ;) 

martes, 30 de enero de 2018

BlockShell.- Para aprender Blockchain

Pues, como el blockchain es el futuro, no he podido evitar darle un me gusta muy fuerte a esta masterclass practica para entender blockchain en 20 minutos.

Blockshell funciona en conceptos de blockchain y crea una pequeña cadena de bloques en el sistema local. Por lo tanto, podemos aprender conceptos como bloques, minería, hash y (PoW) prueba de trabajo.

Para mas información tienen hasta una Wiki para que lo entendamos todo paso por paso: 
Aquí tenéis el enlace a la MasterClass:
Sed Buenos ;)

lunes, 29 de enero de 2018

Hacker101.- Todo lo que necesitas saber.

Esta entrada va dedicada a todos aquellos que os gustaría empezar en el mundo de la seguridad informática y para aquellos que como yo, necesitan prepararse bien las cosas para estar seguro. 


Hacker101 es una genial página donde encontrareis un curso genial, explicado a través de videos de Youtube, ejercicios y ademas utiliza la metodología OWASP para que veamos que lo que nos están contando tiene una base técnica real. 

Yo, a partir de hoy me he marcado esta página en favoritos para consultar si lo que estoy explicando es cierto o no. Os la recomiendo. 

Sed Buenos ;)

domingo, 28 de enero de 2018

Root Me.- HTML Flag

Siempre estamos a la caza y captura de nuevas páginas de retos así que, hasta que no encontremos alguna página que nos motive, iremos dando saltos entre diferentes web para ofreceros vídeos curiosos.

Hoy Kazukun nos va a enseñar a como obtener el Password o Flag alojado en una página web oculta al público.  Ya os decimos que nada de harcodear.  



Aquí tenéis el enlace del reto por si lo queréis hacer con nosotros:

Sed Buenos ;)

viernes, 26 de enero de 2018

Penetration Testing/Security Cheatsheets .- El recopilatorio de recopilatorios

Normalmente en este blog nos hacemos eco de todas aquellas chuletas que puedan servirnos en nuestro día a a día. Así que un recopilatorio de chuletas orientadas a realizar test de penetración, no podría pasar por alto. 


Echadle un ojo por que con un poco de teoría y estos "apuntes" tenéis un test de penetración casi hecho. 

Muchas gracias,

Un saludo.

jueves, 25 de enero de 2018

Infografía.- Los tres tipos de "Hackers".

Esta Infografía siempre me ha hecho mucha gracia, pero creo que hay que hacer un ajuste y entrecomillar la palabra "Hacker". La infografía habla sobre tres tipos de expertos en la tecnología que usan sus habilidades para artes muy poco éticas y eso es necesario que los tengamos localizados. 


Sed Buenos ;)

miércoles, 24 de enero de 2018

Como explicar la Neutralidad en la Red con una Hamburguesa

Hoy la verdad es que pensaba hablaros de ese hombre que buscaba frikis para su ciberreserva, pero la verdad es que cuanta menos credibilidad le demos a eso todos ganaremos, solo pido que se nos trate bien.

Así que, he tenido suerte y una famosa marca de hamburguesas ha sabido hacer muy bien su trabajo explicando a un cliente como puede afectarle la Neutralidad en la Red que quieren destrozar algunos empresarios y algún que otro presidente. 


Yo almeno ya no mirare al chic@ que me sirve las hamburguesas de la misma manera el día que vaya a ese tipo de tiendas.

Sed Buenos ;)

martes, 23 de enero de 2018

Vídeo.- Unpacking Pykspa Malware With Python and IDA Pro

Pykspa o también llamado Pykse, Skyper o SkypeBot es un gusano para Skype muy chulo que ademas tiene un sistema Anti-VM de esos que tanto me gustan a mi. 

Más información acerca de Pykspa: 
 Pues si os gusta trastear con malware en el vídeo que os recomiendo hoy, nos enseñan a destripar este malware y que tenemos que mirar si usamos Python e IDA PRO. 

Sed Buenos ;)  

lunes, 22 de enero de 2018

¿Cómo funciona el Skimming?

Por si no os lo habéis preguntado nunca, el Skimming es el "noble" arte del clonado de tarjetas y es una practica que los malos llevan haciendo desde antes de que existiera este blog y empezáramos a regañar. Pero, ¿Alguna vez os habéis para do a pensar como funciona eso técnicamente? o a desentrañar como es capaz la máquina para saber el numero de tu tarjeta de crédito con una sola pasada. 


Pues yo si y por eso os recomiendo esta entrada de Xataka (¿yo?¿recomendando algo de Xataka? hasta donde he llegado...) que he visto por Seguinfo donde lo explica todo para cortitos como yo. 
Sed Buenos ;) 

domingo, 21 de enero de 2018

Root Me.- Javascript Authentication

Siempre estamos a la caza y captura de nuevas páginas de retos así que, hasta que no encontremos alguna página que nos motive, iremos dando saltos entre diferentes web para ofreceros vídeos curiosos.

Hoy Kazukun nos va a enseñar a como obtener el Password o Flag alojado en una javascript de una página web.  Ya os decimos que nada de harcodear. 




Aquí tenéis el enlace del reto por si lo queréis hacer con nosotros:

Sed Buenos ;)

viernes, 19 de enero de 2018

Vídeo.- TROOPERS 17 Badge ft. BadgeWizard

Siempre me han hecho gracia las CTF en forma de Badge que veo en congresos de mas allá del muro. Siempre he tenido ganas de trastear con ellas y aunque algunas las puedes comprar no debe ser lo mismo que obtenerlas en el sitio en concreto. 

Por eso hoy os recomiendo este "Write-up" en forma de vídeo. donde se ve todo lo que puede contener estas acreditaciones tan chulas. 


Sed Buenos ;) 

jueves, 18 de enero de 2018

Infografía.- Los Algoritmos y nuestra realidad

Todos aquellos que hayáis visto BlackMirror ya sabéis por donde pueden ir los tiros y la verdad es que es algo que llevo pensando desde hace tiempo sobre el uso de las cookies y las recomendaciones.  En resumen si cada uno hacemos caso a las recomendaciones y seguimos y aceptamos aquello que a nosotros nos gusta. Al final, estas construyendo tu forma de ver Internet y bloqueando la posibilidad de ver toda la verdad. 

Me explico, si yo acepto a todos los amigos que conozco en Facebook pero, como son muy pesados los bloqueo por que están compartiendo información que no me gusta o va en contra de mis creencias, al final solo estaré creo una red social a mi media si no que estaré viendo una parte sesgada de la realidad y por eso la dichosa frase de "Lo he visto en Facebook" no es valida ya que no lo has podido contrastar ni has podido formarte una opinión clara. 

Mejor que os lo explique una imagen, que yo me lio. 


Sed Buenos ;)

miércoles, 17 de enero de 2018

Otra vulnerabilidad en Intel ATM

Hace unos días que me sorprendió un nuevo ataque a Intel la cual permite a un atacante acceder a nuestros equipos de manera remota. Aunque, hay bastantes vulnerabilidades que permiten esto, pero lo mas curioso es la forma de explotar. ¡Es como un tutorial!

  • Rebootear el el sistema de la víctima,
  • presionar CTRL-P para iniciar la BIOS de Intel Management Engine (MEBx),
  • Ingresa la contraseña predeterminada que es... "admin",
  • Una vez iniciado el proceso, el atacante puede cambiar la contraseña predeterminada y habilitar el acceso remoto.
  • Ahora, el atacante puede acceder al sistema de forma remota mediante la conexión a la misma red inalámbrica o cableada. 
Intel seguir las indicaciones de seguridad de tus cientos de ingenieros debería bastar para no usar admin como pass por defecto.

Para mucha mas información por favor, consultad la fuente:
Sed Buenos ;) 

martes, 16 de enero de 2018

Reto.- Misiones Una Al Mes

Hace unas cuantas semanas que desde StateX que estábamos pidiendo retos para los vídeos que subimos cada domingo, pues hace ya 3 meses que la buena gente de Hispasec (Los de una-al-día) publican un reto mensual donde el crack [Daniel Diez] está on fire. 


Os dejo el enlace al reto de este mes y si os gusta, desde este blog subiremos los retos antiguos y nos haremos eco de los nuevos. Vosotros decidís. 

Enlace al reto: 
Retos anteriores:
Sed Buenos ;) 

lunes, 15 de enero de 2018

Vídeo.- Todas las soluciones que hemos sacado de HackThis

Ayer por causa de fuerza mayor, ejem ejem, no pudimos hacer entrada así que esta es la que tendría que haber ido el domingo y os debemos una que no se cuando llegará.

Pero ya que Kazukun le ha dado fuerte y flojo a todos los retos de HackThis es hora de que os pongáis a ello y a tratar de superarlo. 

Aquí tenéis la página para registraros en estos retos:
Creo que aun no os habíamos pasado la página y por si os quedáis atacados en alguno, aquí tenéis la lista de reproducción con todos los retos que ha podido ir sacando Kazukun.


Sed Buenos ;)

viernes, 12 de enero de 2018

Podcast.- Smashing Security

Hoy a sido un viernes un poco largo así que una de las cosas que hace que se me pase rápido el día sin los podcast y si, ademas, están relacionados con la seguridad informática, mejor que mejor. 


Hoy os recomiendo Smashing Security un podcast en ingles donde hablan de las novedades y rizan un poco el rizo que es lo que me gusta a mi.

Sed Buenos ;)

jueves, 11 de enero de 2018

Infografía.- ¿Está en riesgo tu empresa?

Aunque os parezca mentida, a día de hoy una empresa es mas susceptible de sufrir un robo digital a uno físico, (Claro que a todo depende a lo que se dedique tu empresa) pero ahora que abrimos el año y estamos con los ánimos reanimados, no esta mal que pensemos este tanto por ciento. 


Sed Buenos ;)

miércoles, 10 de enero de 2018

Vídeo.- Resumen WPA3 y Una Pregunta

Ayer saltó a la palestra la noticias [la incorporación a nuestras vidas de protocolo WPA3] que pasa de un cifrado de 128 a 192 bits. Pero, por si no lo habéis visto aquí tenéis un vídeo muy chulo donde os lo explican perfectamente. 


Con lo que, ayer por la noche me asaltó la siguiente pregunta en Twitter. ¡Así os invoco, a vosotras también, grandes mentes lectoras de este blog delante de este supuesto que me tiene en ascuas!
Sed Buenos ;)

martes, 9 de enero de 2018

¿Qué mas se puede decir sobre Meltdown y Spectre?

Pues la verdad es que no lo se, es posiblemente la vulnerabilidad mas sonada del 2017 (lo digo porqué los CVEs son de 2017) y de lo que llevamos de año.


Ademas, los amigos de fwhibbit ya han publicado una extensa entrada explicando las tres vulnerabilidades de una manera que todo el mundo lo entienda: 
En el blog de Hacking 4 Bad Pentesters (Si no conocéis este blog ya es hora de que lo hagáis malandrines) han subido una entrada recopilando paper, artículos en Español y en Ingles, PoC, Chekers e información de todo tipo: 
Y puede que esta noche tengamos un Podcast en el canal de Youtube de Aprendiz de Sysadmin, el cual no pienso perderme aunque tenga que escucharlo en diferido:

Pues si, poco mas se puede contar. Aunque,  cierta parte de mi se alegra de que haya salido a la luz y por fin puedan llegar soluciones a estas vulnerabilidades que a saber quien las estaba explotando antes y con que fines. 

Sed Buenos ;)

lunes, 8 de enero de 2018

Vídeo.- An Introduction to HTTPS

Hoy volvemos todos al curro y es hora de repasar ciertos aspectos de la seguridad que seguro que tienes muy asumidos pero que, como yo, necesitas que alguien te de una colleja y te ponga a repasar. Esta entrada también viene a colación a un amigo que me dijo que un día tenia que ponerse a repasar temas de Http, Https y certificados y creo que con este vídeo ya no tiene escusa. 



Sed Buenos ;)

domingo, 7 de enero de 2018

PoC.- USE BITCOIN - Jugando con otras cripto-monedas.

Últimamente no paramos de escuchar referencias a Bitcoin como si fuera la única cripto-moneda que existe. Por eso Kazukun sin invertir ningún euro ha sido capaz, mediante trading obtener beneficio de trastear pura y unicamente.

En este vídeo os mostramos como hacer los diferentes cambios para pasar de la cripto-moneda que queráis a bitcoins y luego sacar esa cantidad en cualquier cajero. 



Sed Buenos ;)

viernes, 5 de enero de 2018

Imagen.- El humor de Meltdown

Hoy es la noche especial que es y creo que a quien y a quien menos [Meltdown y su exploit Spectre] le esta haciendo pasar una velada muy larga desde antes de ayer, que mejor que reirnos un poco de ello. 


Sed Buenos ;)

jueves, 4 de enero de 2018

Infografía.- Ciber-Heroes

Supongo que papá Noel  les trajo su primer PC a muchos Jovenzuelos. Así que, no es mal momento para refrescar mas nociones básicas aunque hagan un mal uso de la palabra Hacker.  La verdad es que son buenos Tips. 

miércoles, 3 de enero de 2018

StateX.- NetBook Busca SO

Ya sabéis que en esta blog nos encanta trastear con distribuciones Linux y mas si son distros orientadas a la seguridad informática. Pues, ha dado la casualidad de que hemos encontrado un NetBook tirado de precio (cuando vais las características veréis porqué) que viene con Android y tenemos dudas sobre la distribución Linux que le vamos a instalar. Así que lo vamos a proponer a las bases de este blog para que lo votéis alguna de las siguiente tres opciones.

Las características del Netbook: 
  • Procesador 1.50 GHz
  • RAM 512 MB
  • Disco Duro 4 GB

Whonix

Usado por estos lares como tunel para nuestros Kali Linux pero, esta dristribución también funciona muy bien en su versión de escritorio ya que como la mayoría de versiones está basada en Debian y tuneada para que funcione como el primer relay de tor que vamos a usar. 

La verdad es que esta distribución tiene todas mis recomendaciones ya que nos ha ido genial para trastear en mas de una ocasión. 

Mas información: 
Qubes

Esta es la que mas nos ha llamado la atención últimamente,  Qubes es un sistema operativo Liunx el cual tiene configuradas diferentes mini- máquinas virtuales que se encarga de gestionar privilegios y dar una capa mas de seguridad y confidencialidad.  

Vamos, que podemos abrir un mismo navegador según la seguridad que requiera el trabajo que estamos realizando. 

Lo único malo que veo de esta distribución es que al tirar de máquinas virtuales para hacer esta labor, el Netbook no pueda con ellas. Ademas que no he visto ningún bug roll donde publiquen las vulnerabilidades que se van encontrado en este SO y las vulnerabilidades que corrige cada versión.

Más información: 
Tails

Nuestro querido SO destinado a la privacidad donde si que hay mucha "transparencia" por así decirlo donde si que existe una actualización, está basada en Debian, envía todo por Tor y la verdad es que mas de lo que hemos hablado en este blog sobre esta distribución no podemos decir. 

Más información: 

Así que como bases de este blog os hacemos extensa la pregunta ¿Qué SO me recomendáis?


Sed Buenos ;)

martes, 2 de enero de 2018

Vídeo.- Electromagnetic Threats for Information Security

Viendo vuestras opiniones de [la entrada de ayer] ya empiezo a saber lo que queréis, pero mientras dejamos esta semana para que nos pongamos las pilas con la información, las noticias y el procedimiento, os recomiendo una ponencia sobre las amenazas que puede comportar el electromagnetismo. 

Ademas, está enfocada para aquellos que creemos que un arma de pulsos electromagnéticos es cosa del futuro y nos callan la boca cuando nos demuestran que fueron inventadas en 1990.



Sed Buenos ;)

lunes, 1 de enero de 2018

Idea.- StateX News

Empieza el 2018 y como sabéis, los sábados no subimos ningún tipo de entrada. Pues, llevamos tiempo pensando en hacer un "noticiario" comentando las noticias mas sonada de esa semana. 


Ya sabemos que no podremos estar al nivel técnico que gasta el canal de [liveoverflow] pero creemos que si podríamos llegar a una versión cutre y en español de la sección ThreatWire del canal [Hak5]. Eso si, con nuestro carisma e intentando no pisar el contenido de los podcast de nuestro amigo Snifer "Dame una shell" que sube en [Snifer L4bs]. 

El vídeo será de carácter mensual, pero vosotros decidís cuantas noticias queréis que abarque a través de la siguiente encuesta.

Sed Buenos ;)