Vídeo.- Usando GPS para controlar el tiempo

Hoy voy a recomendaros una charla muy divertida que hizo David Robinson en la DEFCON 25. El cual se dio cuenta que manipulando la señal GPS podía hacer que el viaje de uber le saliera a un precio muy asequible. Así que empezó a trabajar en ello y este es es el resultado. 

Sed Buenos ;)

Vídeo.- Whatsapp y El abusón de las features

Ya he recomendado por aquí alguna charla de [Daniel Martinez] pero hoy me ha asustado y tengo algunas preguntas que espero que me respondáis en los comentarios. La charla que dio Daniel en la ROOTED CON 2016 sobre Whatsapp donde demostraba que las fotos y los vídeos que compartimos son subidos a sus servidores y se nos muestran a través de una URL. 

Una vez visto el vídeo, aquí ve mi pregunta. Entendiendo que el el cifrado End to End llego sobre el día 6 de Abril del año pasado y que la charla se dio en los días 3, 4 y 5 de Marzo de 2016  ¿Alguien sabe si ahora estas imágenes o vídeos van cifrados?  Entiendo que si, al igual que hará telegram. Pero si lo confirmáis me quedo mas tranquilo y reinstalo el Whatsapp. 

Sed Buenos ;) 

Vídeo.- Operaciones Militares en el Ciberespacio

Se ayer me acordaba de la ponencia del ministerio de defensa hoy os quiero recomendar la ponencia que dio Manuel Saz Baselga: Teniente Coronel del Ejército de Tierra destinado en el Mando Conjunto de Ciberdefensa en la CiberCamp 2016, sobre las operaciones militares en el ciberespacio. Pero con lo que quiero que os quedéis con la definición de ciberguerra y el porque no deberíamos enmarcarla de esta manera. 

Sed Buenos ;)

[Vídeo].- Por si no puedes seguir la 33c3 en directo

Si estos días estáis tan liados como yo, quizá no hayáis tenido tiempo de seguir el Chaos Communication Congres en directo. Así que 33c3 el nombre en clave del congreso, dispone  de una página donde podemos ver las retransmisiones y que a mi me irá genial esta tarde. 

Para los que no sepáis nada del Chaos Communication Congres solo os diré que allí fue donde geohot hizo su [ponencia sobre como hackear la PS3] por lo que ya os podéis imaginar el nivel de las charlas.

A día de hoy aun quedan algunas charlas en vivo y las podéis encontrar aquí, junto al calendario: 

• http://streaming.media.ccc.de/33c3/

Pero si sois un desastre como yo aquí podréis encontrarlas todas resubidas: 

• https://streaming.media.ccc.de/33c3/relive

Sed Buenos ;) 

[Vídeo].- Hackers y globulos blancos

Últimamente son mas los Hackers que son contratados por empresas pera protegerse y/o ver el riesgo que tienen sus activos expuesto a la red de redes (o a la interna que he visto de todo xD) y nunca me lo había parado a pensar así pero todos ellos mas todos los que trabajan de forma ética, estamos contribuyendo a un ecosistema para hacer que Internet, paso a paso sea un lugar mas seguro para todos. La verdad es que es una forma muy romántica de verlo. 

Eso un resumen muy rapido de lo que Keren Elazari nos cuenta en su ponencia  Los hackers, el sistema inmunológico de Internet en las Charla TED.

Espero que si estáis trabajando en esto como yo, os haya llegado a la patata.

Sed Buenos ;)

[Vídeo].- PSBot Dame PowerShell y Moveré el mundo

Y seguimos con PowerShell pero ahora es para hablar de la ponencia que dio Pablo González (que últimamente se le ve mas que al maligno xD) en Qurtuba sobre PowerShell. Recomendada +

Si, se que la entrada es corta pero es que lo mejora para ver un viernes a la a tarde antes de irte de fiesta es un vídeo mientras te tomas algo fresquito y lo disfrutas de manera relajada.

Sed Buenos ;)

[Vídeos] 14a Festibity - Fibersecurity

Hace mucho que no os recomiendo unos vídeos y que mejore que el Jueves que tengo el tiempo mas justo para dedicarle a la entrada y así de paso recomiendo cosas que a mi me gustan mucho. 

Por ejemplo el Festibity, en el que se dieron varias charlas sobre tecnología y seguridad. Ademas, estaba nuestra querida Merçe Molist demostrado que los hackers éticos existen junto con Sergi Álvarez. Así que por esto y muchas mas charlas cortas y chulas os recomiendo su lista de reproducción. Ojo los vídeos están en Catalán. 

Enlace del evento:

• http://festibity.cat/

Sed Buenos ;)

Eleven Paths y OSINT

Ya sabéis lo que me encantan las técnicas OSINT y el aprecio que le tengo a la gente de Eleven Paths, así que juntad los dos y le añadimos una charla, yo ya tengo la tarde hecha.

Bueno antes de recomendaros el vídeo solo deciros que es una sesión impartida por Diego Espitia y que si no os gusta el teme de OSINT Eleven Paths tienen todas estas charlas publicadas en el blog del maligno:

•  http://www.elladodelmal.com/2016/03/eleven-paths-talks-una-serie-de.html

 

Sed Buenos ;) 

Linux On PS4

Hace unas semanas hablamos de [una vulnerabilidad en PS4] que permitía no solo hacer un dump de la memoria RAM sino que también podíamos instalar nuestro propio firmware y nuestro propio homebrew. 

Pues hace unos dias uno cracs presentaron en el FaiOverflow como ejecutar un Linux en esta consola de SONY y como no, la micro ponencia esta grabada en vídeo y la podemos ver. Os la dejo por aquí abajo: 

Fuente:

• http://fossbytes.com/playstation-4-hacked-to-run-linux/

Sed Buenos ;)

Video.- Un Poco de Historia Sobre Hacking

Siempre he tenido curiosidad por la historia de lo hackers que habían antes de la etapa del Maligno y la verdad es que me sorprendí al ver la cantidad de grupos y de lo fuertes que eran en esa época donde los congresos de seguridad informática se hacían en la habitación de un hotel o en la casa  de uno de los organizadores.

Nunca esta mal echar un poco la historia atrás y aprender de las vivencias que otros como tu amaban la seguridad informática. Además, como no, si hablamos de Historia de los Hackers españoles tenemos que halar de Mercé Molist y su Hackstory. Así que, como hoy me he estado viendo su ponencia en el Hackmeeting Ca la Vila, os la recomiendo encarecidamente. 

Sed Buenos ;)

Hardening de Humanos Contra Rubber-hose Cryptanalysis

Hoy estaba preparando el examen de CEH cuando en una de las 878 preguntas que me animaba a responder cuales de las siguientes técnicas no hacia falta el uso de un ordenador. Así que al echar un vistazo  a las respuestas y al encontrarme con Rubber-hose Cryptanalysis me ha entrado la curiosidad y lo he buscado. 

Para los que no sepáis lo que es un ataque Rubber-hose Cryptanalysis (Vamos, como yo esta mañana) solo decir que es un eufemismo para la extracción de secretos mediante la coacción o la tortura. Supongo que muy ético no puede ser, pero se recoge como una técnica al igual que la ingeniería social y como no esto ha dado pié a algunas tiras cómicas. 

La verdad es que es buena xD

Pero como toda vulnerabilidad (dentro de lo que cabe es una vulnerabilidad en el funcionamiento de la criptografía) hay gente que ha tratado de secularizarla o parcherla. De esta manera, en 2012 en el simposio de seguridad de USENIX, Hristo Bojinov de la universidad de Stanford presento la ponencia Neuroscience Meets Cryptography: Designing Crypto Primitives Secure Against Rubber Hose Attacks. 

En esta ponencia y en el paper que viene con ella si describe como enseñar a una persona una clave criptografia a través de un videojuego si que ella sea consciente del código en cuestión. Para resumirlo, si habéis jugado a juegos de lucha (con combos largos) o al Guitar Hero y os abreis fijado que al final acabas memorizando los movimientos por pura mecánica y si en cualquier momento te preguntaran por una parte intermedia de la canción no sabría decir en que posición estaba la "nota" o que botón tenias que apretar.  Pues partiendo de esta base y haciendo lo mismo con mas de un sujeto haciendo le aprender a cada uno un pedazo del código, se consigue que aunque torturen a esa persona ella no sepa el código que tendría que decir aunque lo quisiera.

Os dejo el enlace a la ponencia:

• https://2459d6dc103cb5933875-c0245c5c937c5dedcca3f1764ecc9b2f.ssl.cf2.rackcdn.com/sec12/bojinov.mp4

Y aquí tenéis el paper: 

• https://www.usenix.org/system/files/conference/usenixsecurity12/sec12-final25.pdf

La verdad es que es un tema curioso para tratarse de seguridad informática y no veremos a mucha gente hablar de estas cosas tan abiertamente. Bueno, ahora ya si que tenemos entera la novela de Tom Clancy xD

Para mas información os recomiendo que entreis en la fuente:

• https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/bojinov

Sed Buenos ;) 

Técnicas OSINT & Python Slides

Como algunos no podréis venir a mi ponencia en PyBCN y otros acabáis de descubrir este blog, es de menester de que os ofrezca las diapositivas de la charla. 

Espero que os gusten y ya sabéis, si alguno de vosotros a venido al Evento por este blog saludadme y dadme feedback de la charla que me ayudará. Bueno y si acabáis de leer esto también.

Sed Buenos ;)

Como Destruir Un Portatil de Categoria Top Secret

Muchos veces pensamos que para destruir 100% la información solo es necesario extraer el disco duro y espachurrarlo bien espachurrado para que no se pueda extraer ni un bit de información. Pero nada mas lejos de la realidad como se aprende en cursos de forensica informática, hay mas de un sitio de donde un experto podría rescatar información que le fuera útil.

De esta manera y basando se en informes del GCHQ (Government Communications Headquarters) dos investigadores presentaron en el [Cccamp del 2015] una ponencia relacionada con este tema.

La verdad es que entre esto, los espionajes rusos y los papers para el hackeo de drones y satélites daría para una novela diga de Tom Clancy. Pero para mi ya esta bien, esta información es hecha por gente civil para gente civil así que ya esta bien que sea difundida por nosotros.

Ahora ya no veis tan raro cuando Elliot de Mr. Robot mete la RAM y demás circuitería en el microondas, ¿no?

Sed Buenos ;)

Vídeos.- Bsides Las Vegas 2014

Hace mucho que no os recomiendo una conferencia al uso, así que hoy voy a redimirme. Aquí tenéis todos los vídeos de la Bsides Las Vegas de 2014. Espero que os guste y así, esta entrada, también me sirve para acordarme de darle una ojeada e estos vídeos. Me los he mirado por encima pero creo que merecen sentarse y verlos con papel y bolígrafo al lado.

Breaking Ground

• Opening Keynote -- Beyond Good and Evil: Towards Effective Security - Adam Shostack 
• USB write blocking with USBProxy - Dominic Spill
• Allow myself to encrypt...myself! - Evan Davison
• What reaction to packet loss reveals about a VPN - Anna Shubina • Sergey Bratus
• Untwisting the Mersenne Twister: How I killed the PRNG - moloch
• Anatomy of memory scraping, credit card stealing POS malware - Amol Sarwate
• Cluck Cluck: On Intel's Broken Promises - Jacob Torrey
• A Better Way to Get Intelligent About Threats - Adam Vincent
• Bring your own Risky Apps - Michael Raggo • Kevin Watkins
• Invasive Roots of Anti-Cheat Software - Alissa Torres
• Vaccinating Android - Milan Gabor • Danijel Grah
• Security testing for Smart Metering Infrastructure - Steve Vandenberg • Robert Hawk
• The Savage Curtain - Tony Trummer • Tushar Dalvi
• We Hacked the Gibson! Now what? - Philip Young

Proving Ground

• #edsec: Hacking for Education - Jessy Irwin
• Securing Sensitive Data: A Strange Game - Jeff Elliot
• Brick in the Wall vs Hole in the Wall - Caroline D Hardin
• Cut the sh**: How to reign in your IDS. - Tony Robinson/da_667
• Geek Welfare -- Confessions of a Convention Swag Hoarder - Rachel Keslensky
• No InfoSec Staff? No Problem. - Anthony Czarnik
• Can I Code Against an API to Learn a Product? - Adrienne Merrick-Tagore
• Bridging the Air Gap: Cross Domain Solutions - Patrick Orzechowski
• Back Dooring the Digital Home - David Lister
• iOS URL Schemes: omg:// - Guillaume K. Ross
• Oops, That Wasn't Suppossed To Happen: Bypassing Internet Explorer's Cross Site Scripting Filter - Carlos Munoz
• What I've Learned As A Con-Man - MasterChen
• Training with Raspberry Pi - Nathaniel Davis
• Black Magic and Secrets: How Certificates Influence You! - Robert Lucero
• Attacking Drupal -Greg Foss
• Hackers vs Auditors - Dan Anderson
• Third-Party Service Provider Diligence: Why are we doing it all wrong? - Patrice Coles
• Pwning the hapless or How to Make Your Security Program Not Suck - Casey Dunham • Emily Pience
• Teach a man to Phish... - Vinny Lariza
• The Lore shows the Way - Eric Rand

Common Ground

• SHA-1 backdooring and exploitation - Jean-Philippe Aumasson
• Evading code emulation: Writing ridiculously obvious malware that bypasses AV - Kyle Adams
• Security Management Without the Suck - Tony Turner • Tim Krabec

Vulnerability Assessments on SCADA: How i 'owned' the Power Grid. - Fadli B. Sidek (not posted)

• Malware Analysis 101 - N00b to Ninja in 60 Minutes - grecs
• Travel Hacking With The Telecom Informer - TProphet
• The untold story about ATM Malware - Daniel Regalado
• Using Superpowers for Hardware Reverse Engineering - Joe Grand
• Why am I surrounded by friggin' idiots?!? (Because you hired them!) - Stephen Heath
• Demystiphying and Fingerprinting the 802.15.4/ZigBee PHY - Ira Ray Jenkins • Sergey Bratus
• Insider Threat Kill Chain: Human Indicators of Compromise - Ken Westin
• A Place to Hang Our Hats: Security Community and Culture - Domenic Rizzolo
• Booze, Devil's Advocate, and Hugs: the Best Debates Panel You'll See at BSidesLV 2014 - David Mortman • Joshua Corman • Jay Radcliffe • Zach Lanier • David Kennedy
• Pwning the Pawns with WiHawk - Santhosh Kumar • Anamika Singh 

Ground Truth

• The Power Law of Information - Michael Roytman
• Measuring the IQ of your Threat Intelligence feeds - Alex Pinto • Kyle Maxwell
• Strategies Without Frontiers - Meredith L. Patterson
• ClusterF*ck - Actionable Intelligence from Machine Learning - Mike Sconzo
• Know thy operator - Misty Blowers
• Improving security by avoiding traffic and still get what you want in data transfers - Art Conklin
• The Semantic Age - or - A Young Ontologist's Primer 
• I Am The Cavalry Q&As

Fuente:

• http://www.irongeek.com/i.php?page=videos/bsideslasvegas2014/mainlist

Sed Buenos y estudiad mucho este verano. ;) 

Vídeo.- Huellas En La Memoria Para Analisis De Malware

Seguimos con la tradición de una entrada rápida los domingos ya sabéis que hoy toca un vídeo o una infografia. Así que y dado que la gente de UPM TASSI aún no han subido todas las ponencias,  Os recomiendo un vídeo que vi hace unos días y que tenia guardado en la carpeta de "por si acasos". 

De esta manera os dejo con la ponencia de Mateo Martinez en la  DragonJAR Security Conference 2014 sobre las huellas en la memoria para análisis de malware:

Espero que os guste y que aprendais mucho.

Sed Buenos ;)

Video,- eCrime Evolution UPM TASSI 2015

De vídeos va esta semana, es que si salen vídeos chulos de ponencias y ademas son de calidad, uno no es de piedra. Además hoy no puedo recomendaros que os miréis el vídeo ya que no me ha dado tiempo de y este post es una especie de mensaje al futuro para el Albert (StateX) del futuro. (¡Acuérdate de verlo malandrín!) 

Ya he visto a [Marc Rivero López] en alguna que otra ponencia hablando sobre el eCrime y la verdad es que lo encuentro interesantisimo. De esta manera os dejo con el vídeo y yo me voy coger una libreta un bolígrafo y una refresco a base de extractos para disfrutarla. 

Espero que nos guste mucho.

Sed Buenos ;) 

Videos.- ¡Todas Las ponencias NOCONNAME 2k14!

Revisando el twitter esta tarde, en plena celebración de la RootedCon, me he encontrado de cara con todos los [videos de las ponencias] de la  NOCONNAME 2k14, ya os había adelantado parte, pero les había perdido la pista.

Os dejo el enlace al canal de vimeo de la NcN donde estan todas las ponencias:

• https://vimeo.com/noconname/videos

Yo ya tengo materia para bastante tiempo, ademas hay algunas de ellas que me gustaría volver a verlas con libreta en mano. Espero que a vosotros también os gusten y siento que la entrada de hoy sea corta, pero el tiempo es el tiempo. 

Sed Buenos ;) 

Video.- Tu iPhone Es Tan (In)Seguro Como Tu Windows

Para hoy tenia pensado hablaros sobre CPE (Common Platform Enumeration) pero, hoy ha sido un día duro y la verdad es que en cuanto he llegado a casa esta ponencia me ha alegrado el días. Así que aparte de decir verdades como puños, Chema Alonso hace un buen repaso a la problemas de seguridad de los IPhone.

Espero que os guste y yo me largo a dormir. 

Sed Buenos ;) 

Video.- Aprendiendo Sobre La Evolución Del #Ransomware.

Hace ya unas semanas que acabo la CyberCamp, un evento enfocado a reunir jóvenes talentos en materia de Cibereguridad. En este evento se han dado un montón de ponencias buenísimas pero como en hace una semana en el trabajo estuve tocando temas relacionado con el Ransomware, así que he visto apropiado compartiros esta ponencia de Josep Albors sobre la historia de esta amenaza. 

Sed Buenos ;) 

BlackHat y Youtube.- Aprende De Los Mejores

Ayer por la noche salio el tema de Ruben Santamarta y los números artículos que han sido publicados en España después de conocer que un Hacker aseguraba poder secuestrar aviones. La verdad es que había oído de su ponencia en la BackHat pero no tenia ni idea de que hubiera sido tan viral. 

Estuve un rato buscando información a ver si podía ver el paper o al menos el vídeo de la ponencia para enseñar un poco y di con el canal oficial de Youtube de las Conferencias BlackHat. Pero, mi gozo en un pozo,  habían acabado de subir la BlackHat Asia 2014 hacía unas horas y pude ver la ponencia. Aunque el karma siempre es agradecido y la ponencia de Ruben Santamarta ha sido subida esta noche.

Os dejo el enlace al canal de Youtube: 

• https://www.youtube.com/user/BlackHatOfficialYT

Yo voy, en cuanto acabe de escribir, voy a coger papel y boli para ver a Ruben y su Hackeo de aviones. Os dejo aquí por si tenéis interés. 

• https://www.youtube.com/watch?v=YeKswEamOl4

Sed Buenos con estoy aprender mucho de estos grandes.