martes, 16 de octubre de 2012

Diving (nueva entrada en la brecha)

Hoy traemos otra referencia de "En la brecha", diving, con curiosidades generales en seguridad. Esperamos nuevas entradas sobre el tema.

Documentación (recordatorio)

Se ha actualizado la entrada de documentación de LSI con los temas del Prof. Vázquez- Naya sobre ocultación y sniffing. Además, se ha incluido una nueva referencia recomendada del tema de sniffing. Entrada aquí.

lunes, 15 de octubre de 2012

La seguridad y los permisos en las aplicaciones Android (por D. Hermida)

Siempre se ha dicho que mucho cuidado con lo que se instala en los sistemas y con su origen. Se adjunta un interesante "report" de David Hermida titulado "La seguridad y los permisos en las aplicaciones Android".

viernes, 12 de octubre de 2012

android-x86

Para los que gustan de "jugar" con los dispositivos android, tenéis la posibilidad de montar máquinas android virtualizadas, por ejemplo, bajo virtualbox.

Isos disponibles aquí.

domingo, 7 de octubre de 2012

Dropbox+symlinks=Privacidad(0) [por E. Pardo]

En algunas ocasiones, con las ideas más simples (pero que requieren de una buena cabeza), se consiguen los objetivos buscados. En este caso, un enlace simbólico se convierte en un enemigo de la privacidad. Podemos decir que estamos ante un cloud path traversal.

Se adjunta un interesante "report" de Esteban Pardo titulado Dropbox+symlinks=Privacidad(0)


jueves, 4 de octubre de 2012

Simulacro de fallo informático en los organismos de la UE

Noticia aquí.

[Fuente.: Alejo, gracias]

Tecera edición hacking ético Inteco

Inteco convoca la tercera edición del concurso de hacking ético

 
Como nota que no me gusta del concurso, las condiciones personales para participar (tener título universitario o ser estudiante de último curso). Me imagino que las condiciones estarán pensando en el premio, que incluye una beca en Inteco.

[Fuente noticia.: Jonathan A.]

miércoles, 3 de octubre de 2012

Túneles DNS

En clase vimos varios tipos de túneles para redireccionar puertos en el caso de filtros de puertos y, o, proxies. Hoy DSS me remite varias pruebas que ha hecho con otro tipo, los túneles DNS, en concreto con iodine. Estos túneles pueden ser una magnífica herramienta para saltar portáles cautivos, por ejemplo los típicos de algunas wifis. Si te interesa el tema en http://www.dabax.net/tunel_dns tienes una entrada muy didáctica sobre iodine y túneles DNS.

[Fuente.: DSS, gracias]

keccak será nuestro SHA-3

Ayer finalizó, por fin, la última ronda de la competición por el puesto de 3er Algoritmo Estándar de Hash (SHA-3 por sus siglas en inglés, resultando ganador KECCAK.

Ver noticia aquí. (gr kenkeiras por el aporte)

The Keccak sponge function family

lunes, 1 de octubre de 2012

HoneyMap

HoneyMap utiliza información obtenida por varios sensores 'honeypot' que simulan ser equipos vulnerables para poder registrar la actividad de ataques en este nuestro planeta. Algún día todos los equipos incorporarán, además del típico firewall, todo tipo de sensores y honeys para, de una forma coordinada, detectar ataques y, de ser el caso, responder de forma conjunta. En este punto volvemos a encontrarnos ante el problema de la ocultación.

http://map.honeycloud.net/

[Fuente.: Jonathan A.]
 

Y siguiendo con el vídeo anterior y con la temática de ocultación

Las dos últimas clases las hemos dedicado a ocultación, aspecto que también está vinculado al vídeo de la entrada anterior. Por cierto, para evitar lo que acontece en dicho vídeo, también se puede optar por utilizar un enlace remitido por David, S.S..: generador de perfiles de personas completamente falsos con datos completamente válidos (empresas, direcciones, países, números de VISA, números de la seguridad social, etc., etc.). En algunas ocasiones, no está mal disponer de unos cuantos perfiles.

David, S.S. me remite también un enlace que complementa perfectamente uno de los temas tratados en estas clases. En concreto, es una entrada que compara las ventajas y desventajas de las redes Tor, I2P y FreeNet. Notad la diferencia sustancial en cuanto a su esquema de funcionamiento, inproxy u outproxy.