Este blog ya no está activo, sigue informándote aquí:

lunes, 30 de abril de 2018

Vídeo.- CPU utilization is wrong

Si, de vídeo va la cosa últimamente y es que pierdo el tiempo entre reproducción y reproducción de Youtube. Pero, a veces aparecen vídeos que, como este, me hacen reflexionar sobre el buen uso que le estamos dando a nuestros equipos informáticos.

La verdad es que no se si Brendan Gregg estará en lo cierto pero aunque es lógico, me da que pensar.


Sed Buenos ;)

domingo, 29 de abril de 2018

Vídeo.- Writing FreeBSD Malware (by Shawn Webb)

Hoy es domingo y tendríamos que tener un vídeo listo pero si recordáis el domingo pasado os subimos 3 retos en 1 así que hoy toca un poco de descanso. Pero, como ya sabéis mi predilección o mis ganas de trabajar solo con FreeBSD, hoy os voy a compartir un vídeo sobre como escribir un malware para FreeBSD y esto me asusta un poco a la hora de empezar a migrarlo. 


Sed Buenos ;)

viernes, 27 de abril de 2018

Vídeo.- Gran promo: Todas tus compras Gratis

Hoy es viernes y apetece un vídeo un poco distendido sobre ciberseguridad y por qué no, hoy vamos a aprender como hackear un banco a través de sus promociones mal hechas. La charla es de Eduardo Riveros en la conferencia OWASP Latam Tour 2018. Muy recomendable. 


Muchas mas información y las slides, las podréis encontrar en la fuente de esta entrada: 
Sed Buenos ;)

jueves, 26 de abril de 2018

Infografía.- La evolución de Internet hasta 2018

Hoy buscando una infografía relacionada con algún concepto básico de la seguridad informática, me he encontrado con esta imagen tan molona donde se explica la historia de internet desde 1969 hasta 2018. Vale la pena aunque sea solo para fliparlo.



Sed Buenos ;)

miércoles, 25 de abril de 2018

La magia de SUDO

¿Sabéis esa sensación de sentirte tonto cuando descubres que una tecnología que llevabas usando años puede dar mucho mas de si, pero tu no te habías dado cuenta? Pues eso me ha pasado a mi con SUDO.


Touhid M.Shaikh nos enseña es posible que pueda escalar sus privilegio usando el comando sudo. Pero antes del Privilege Escalation se para en explicarnos la  sintaxis del archivo sudoer y que es el comando sudo.
Aquí tenéis la entrada: 

martes, 24 de abril de 2018

CVE-2018-1038 - Total Meltdown

¿Os acordáis de Meltdown? era una vulnerabilidad que iba a destruir el mundo de los computadores y al final se parcheo. Pero, ahora ahora ha resucitado con el nombre de Total Meltdown para Windows ya parcheados para la anterior vulnerabilidad. 


CVE-2018-1038: La verdad es que mola bastante, después del parche lanzado por Microsoft para mitigar la vulnerabilidad de Meltdown si quererlo se abrió un nuevo agujero en estas versiones de Windows, permitiendo que cualquier proceso acceda y modifique las entradas de la tabla de páginas al igual que hacia Meltdown. 
  • Aquí podéis encontrar mucha mas información: 
Pero, lo que me da mas miedo a mi es que ya hay varios exploit públicos para explotar esta vulnerabilidad y además están super bien explicados, aquí tenéis un ejemplo: 

Y Microsoft, a día de hoy, no ha sacado un parche para solucionarlo así que entro en modo paranoico ya que tampoco existe workaround. 

Sed Buenos ;) 

lunes, 23 de abril de 2018

Metodología de la respuesta ante incidentes

Últimamente ando muy interesado en el campo de la respuesta a incidentes y da gusto encontrarse con un metodología que haya salido de un caso practico como los múltiples incendios en california en el año 2017. Solo que en este caso lo extrapolan al campo de la seguridad informática por lo que es genial. 

Fases de la metodología: 
  1. Preparación / Preparación
  2. Detección
  3. Contaminación
  4. Erradicación
  5. Recuperación
  6. Secuelas
Hasta aquí todo seria normal, pero os obligo ha que le deis un vistazo a la fuente de esta entrada donde podréis encontrar mucha mas información: 

domingo, 22 de abril de 2018

The Enigma Group.- JAVASCRIPT retos del 5 al 8

Siempre estamos a la caza y captura de nuevas páginas de retos así que, hasta que no encontremos alguna página que nos motive, iremos dando saltos entre diferentes web para ofreceros vídeos curiosos. 

Hoy Kazukun nos va a enseñar a como obtener el Password o Flag ocultos en 3 tipos de retos diferentes en la página The Enigma Group.   


Aquí tenéis el enlace del reto por si lo queréis hacer con nosotros:

Sed Buenos ;)

viernes, 20 de abril de 2018

Historia.- Del Apple II+ al Iphone 6s

Hoy no tenia previsto hablar de esto, pero me ha parecido que esta imagen valía la pena compartirla y no es nada mas que una imagen donde se demuestra la capacidad que tenia un Apple II+ y como ha ido evolucionando este hasta lo que ahora conocemos como un Iphone 6s. 

Vamos, una pasada, aquí tenéis la imagen. 


Sed Buenos ;) 

jueves, 19 de abril de 2018

Infografía.- Un #hacker no es un #ciberdelincuente.

Mira que el tío del gorrito lo ha intentado explicar por activa y por pasiva, incluso ha hablado  con gente de la RAE para explicarles esta diferencia pero, parece, que ciertos medios de comunicación no lo entienden y eso que están fácil como ver esta imagen.


A ver si esto cambia con el paso del tiempo.

Sed Buenos ;)

martes, 17 de abril de 2018

Write a Shell in C

Si hace tiempo os compartí mis ansias por crear un sistema operativo desde 0 y hasta os compartí un "tutorial" sobre como crear un editor de texto en C, pues hoy me he encontrado por la red de redes otro "tutorial" para crear una shell en C también, La verdad es que no es difícil pero me temo que a la larga va a ser muy enrevesado.


A ver si algún día puedo llegar ha hacer algo interesante para este blog pero tendremos que esperar hasta que caiga algo de retro tecnología en mis manos o la pueda reciclar de alguna manera. 

Sed Buenos ;) 

lunes, 16 de abril de 2018

CVE-2018-9119 .- Robando tarjetas de crédito FUZE

FUZE es una tecnología de tarjetas múltiples donde se pueden gestionar múltiples tarjetas de crédito e información de pago a través de un chip EMV regrabable. De esta manera podremos sacar dinero sin tener que rebuscar en nuestras carteras la tarjeta del bank X con el que quieres pagar. 

Esto sería una buena idea si no fuera por que han encontrado una vulnerabilidad que permitiría este robo. La CVE-2018-9119 podría permitir a un atacante con acceso físico a la tarjeta robar las tarjetas de crédito alojadas en Fuze mediante BlueTooth. 


Mucha mas información sobre esta vulnerabilidad: 

domingo, 15 de abril de 2018

Moviestar Centre.- Una de Dragon Ball

Que en este blog nos gustan los videojuegos es algo que se sabe desde hace mucho pero lo que no os hemos dicho, solo [lo hemos dejado caer], que también competimos en ellos de vez en cuando y la verdad que esto de los e-sports cada vez se está haciendo mas grande. 

Todo esta entrada viene por que ayer sábado estuvimos en la primera ronda del Dragon Rush un torneo del videojuego Dragon Ball Fighters Z y la verdad es que fue mejor de lo que esperábamos y pese a que los juegos de lucha siguen siendo juegos casi minoritarios tienen su legión de fans incondicionales y gente que sigue sus torneos. Esta vez tocaba asistir al Moviestar Centre de Barcelona. 


Un local ubicado en Plaça Catalunya donde hay tecnología y se esta apostando muy fuerte por los e-sport. Donde, solo llegar ya nos lo encontramos todo montado para poder empezar a entrenar un rato mientras nos explicaban las normas del local y el funcionamiento del torneo.


La verdad es que esta serie de torneos es muy asequible y se realizarán una vez al mes en este magnifico local. Así que si el tío del gorrito puede hablaros de monopatines en su blog nosotros podemos hablaros de e-sports y fighting games en en mio. 

De esta manera y su puedo ir en cada evento tendréis una mini reseña o alguna foto del local de como ha ido y de lo que mola el Moviestar Centre.  La de este mes viene en cuanto me llegue de Amazon el nuevo Pad (mando) para poder entrenar un poco mejor.

PD: Si os animáis a venir, aquí tenéis el calendario. La inscripción vale 5€ y esta abierta a todo el mundo que quiera probar suerte.  


Sed Buenos ;)

viernes, 13 de abril de 2018

Construyendo un router por $ 50

Esta idea me ha encantado. En Tyblog han compartido una entrada donde crean un router desde 0 tanto de hardware como por la parte de software, es genial. 


En serio no os diré nada pero es leerlo y querer ponerse a trastear:
Sed Buenos ;)

jueves, 12 de abril de 2018

Infografía.- ¿Cómo funciona el algoritmo de Facebook?

Estos días están un poco raros para Facebook y hasta yo me estoy planteando borrar mi cuenta de Facebook. Bueno pero porqué,  que hace Facebook con cada post que publicamos y como es capaz de recopilar toda esta información. Eso y alguna cosa mas se explica en la siguiente infografía. 


Sed Buenos ;) 

miércoles, 11 de abril de 2018

Python.- ClickJackingAnalyzer

Hace unos días o comenté varios [Hobbytrucos] para poder detectar si una web es vulnerable a ClickJacking a través de la cabecera HTTP y no me he podido resistir, y he usado la librería requests de Python 3.X permite leer estas cabeceras. Mas fácil imposible, así que me he puesto a jugar con ella y he armado este sencillo script. Lo iba a subir a GitHub pero está tan verde que solo sirve de idea  antes de una versión mejor. 



import requests

def check(data):
    r = requests.get(data)    
    try:
        d = r.headers['X-Frame-Options']
        print ("THAT SITE ISN'T VULNERABLE TO CLICKJACKING")
        print ("HEADER: ", d)
    except:
        p = r.headers
        print ("THAT SITE IS VULNERABLE TO CLICKJACKING")
        print (" X-Frame-Options HEADER: ", p)

if __name__ == "__main__":
    print ("""\
     __________________________
    |                                                     |
    | CLICKJACKING ANLAYZER |
    |                              ver 0.0.1         |
    |__________________________|
     
    """)
    a = input("Web to Analyze: ")
    check(a)
    
Sed Buenos ;)

martes, 10 de abril de 2018

Repaso a los códigos de error HTTP

Como esta semana estamos dando lo todo con el repaso y no se si os habrá pasado a vosotros pero muchas veces al aparecer un error HTTP en el navegador de algún amigo no he sabido decirle rápidamente que le estaba pasando en su PC. Esto me ha picado un poco la moral y por eso al encontrarme con la siguiente explicación de estos, me ha dado la vida. 

Pues si, la explicación mediante el uso de imágenes mola un montón y queda mucho mas claro que cualquier otra explicación. 

Enlace a la explicación mediante cómic: 


Sed Buenos ;) 

lunes, 9 de abril de 2018

Paper.- How to code in Python 3

Como deberíais saber todos los que leéis este blog a diario, yo soy un gran fan de Python 2.7 pero entiendo que ya es hora de migrar a Python 3.X así que, la semana pasada empezó mi periplo para refrescar Python. 


Por eso hoy os recomiendo la "guía"/paper que me hizo reconsiderar el paso de Python 2.7 a Python 3.X. Aquí os la dejo:

domingo, 8 de abril de 2018

Cheat Sheet.- Unix Permissions

Otra chuleta mas para el blog hoy es domingo y que mas da si tocaba vídeo o no, hoy toca repasar la asignación de permiso en Unix que aunque no es muy divertido a mi me encanta como está dibujado este Cheat Sheet. Así que directo a la impresora que va. 


Sed Buenos ;)

viernes, 6 de abril de 2018

vmdkmount.- El periplo del formato VMDK

Última mente me estoy peleando muchísimo al tratar de montar un archivo en formato .vmdk (Virtual Machine Disk) y al final buscando mas información de la necesaria, he dado con la librería libymdk. Una librería que nos permite entender el formato vmdk en Linux, Windows y MacOS.


Esto quiere decir que podremos montar aquellos archivos .vmdk a lo que no podamos acceder mediante VMWare.

Eso si, la instalacion es un poco pesada pero si estais usando Kali os recomiendo es uso de apt-get para todo lo demás basta con seguir la siguiente guía paso a paso:


Y nada una vez instalado si no os falta ningún archivo de descripción de la máquina virtual, podréis montarlo fácilmente con el siguiente comando:

  • Linux/MacOS:
    • vmdkmount image.vmdk /mnt/vmdkimage/
  • Windows:
    • vmdkmount image.vmdk /mnt/vmdkimage/

Para mas información:


Sed Buenos ;) 

jueves, 5 de abril de 2018

Infografía.- La Ciberseguridad en España,

Hoy es jueves y toca infografía y he de decir que no tengo muy claro de si he repetido esta imagen o no, pero confío en que si así es, me lo pondréis en los comentarios. 

Aparte de lo citado en el mini-párrafo anterior, hoy vamos a repasar que esta pasando en nuestro país y el tanto por ciento de amenazas que se detectan. La verdad es que asusta mucho y falta mucha concienciación respecto a todas estas amenazas.  Realmente es una infografía  para reflexionar y ver que estamos haciendo mal. 


Sed Buenos ;) 

miércoles, 4 de abril de 2018

Vídeo.- Introduction to USB Detective

Hace mucho que no escribía nada sobre forense, pero la verdad es que lo tenia un poco olvidado. Así que, queriendo dar un repaso, me he encontrado con este Master class sobre USB Detective. Esta herramienta le da un identificador único a cada USB que se conecte al equipo y registra la fecha y la hora. Esto nos permite hacer un seguimiento de todos los USB que se han conectado en un equipo. 

Bueno, os dejo con el vídeo que seguramente se explique mejor que yo: 


Sed Buenos ;) 

martes, 3 de abril de 2018

Slides.- Building a 1-day Exploit for Google Chrome

Volvemos de vacaciones con las ideas un poco mas frescas, solo digo un poco ya que se me han pasado muy rápidas, pero me ha dado tiempo a verme todas las películas de Iron Man y vengo bastante motivado. 


Se que a muchos esta reflexión de tres lineas os las trae mas bien floja, pero últimamente y creo que se puede notar por mis entradas, estaba un poco desganado. Pero nada, a trabajar en nuevos proyectos e ideas locas. 

Así que, mientras trabajo para presentaros mis ideas, os comparto estas Slides tan molonas sobre como crear un exploit para una vulnerabilidad en Google Chrome. Muy didáctico todo. 

Sed Buenos ;)