martes, 24 de octubre de 2017

Y ahora le toca al DNS

Llevamos años y años montando servicios sobre SSL, TLS y demás familia. Ahora parece ser que le toca al DNS.



De todas formas, tal vez sea el momento de ir pensando en un cambio radical en la forma de gestionar el tráfico y los protocolos en nuestras redes y, quien sabe, puede que las blockchain de las cibermonedas tengan algo que decir.

Inyección SQL en bWAPP (por J.M. Hermo)

Traemos a esta entrada el primer report del curso 2017-2018. Aunque la SQLi es una clásica en seguridad web, tratada en clase en referencia al OWASP, Hermo nos remite en este "report" un conjunto de experimentos muy didácticos y de fácil comprensión de SQLi sobre la aplicación bWAPP.

Report "Inyección SQL en bWAPP" disponible aquí.

Si quieres ver otras muchas posibilidades tienes, tanto en distintas páginas de la red como en YouTube, todo tipo de reports y videos de pruebas sobre bWAPP.

domingo, 22 de octubre de 2017

Pregunta-duda de un alumno de LSI

Hoy un alumno me remite una pregunta. Aunque este tipo de aspectos los daba por controlados, ante dicha pregunta tal vez no sea así. Indistintamente, gracias por la pregunta, es la única forma que tengo de poder detectar las cuestiones que debo plantearos.
----------------
Buenas noches,

He sniffeado una peticion GET a google.com usando netcat que ha hecho mi compañero. Analizando esta paquetería con wireshark, dicha petición GET me aparece como "TCP segment data" de un paquete TCP, mi duda es, ¿no debería ser un paquete HTTP?

Un saludo,
-----------------

Os recomiendo que reviséis lo que es y cómo funciona el modelo ISO-OSI de redes, o mejor aún el TCP-IP por capas, desde la física, enlace, red, transporte hasta aplicación.

Buff, que recuerdos de los años noventa, o mejor dicho pesadilla, estudiando el libro de Redes de Ordenadores de Tanenbaum en su segunda edición. Creo que en la actualidad va por la quinta o sexta. Espero que ahora sea algo más ameno.

jueves, 19 de octubre de 2017

Google Advanced Protection

En el contexto de los mecanismos de autenticación, señalar la incorporación en google de un mecanismo denominado "advanced protection" basado en dos dispositivos físicos.

Noticia disponible aquí.

martes, 17 de octubre de 2017

ROCA: Vulnerable RSA generation (CVE-2017-15361)

En el contexto de las herramientas expuestas en clase, en el ámbito de las auditorías wifi, y en paralelo a la reciente noticia KRACK attack a WPA2, traemos a esta entrada un primo-hermano de la primera, la ROCA, que no es la película de Sean Connery.

"A security vulnerability was found in the implementation of RSA keypair generation in a cryptographic library used in a wide range of cryptographic chips produced by Infineon Technologies AG.". Resto noticia disponible en ROCA: Vulnerable RSA generation (CVE-2017-15361)

[Gracias Jorge por el aporte]

lunes, 16 de octubre de 2017

Reunión-Charlas del Grupo de Usuarios VmWare de Galicia (VMUG) [Facultad de Informática de la UDC, 18 octubre de 9:45 a 2]

La agenda del evento será la siguiente:
  • 9:45 Bienvenida y presentación
  • 10:00 Seguridad en procesos y comunicaciones - VMware
  • 10:45 VSEC. La protección con mayúsculas en el Datacenter Virtual - CheckPoint
  • 11:30 Coffee Break
  • 12:00 Protección equilibrada y completa para entornos virtuales - Kaspersky
  • 12:45 Estrategias para las seguridad de un datacenter cloud - R
  • 13:30 Cocktail y sorteos

Toda la información e inscripción disponible aquí.


Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse

Como dice muy buen colega Alejo, al respecto de esta noticia, y no se puede ser más expresivo, "se va a liar parda".

Hacía tiempo que no nos topábamos con algo tan sustancial en el oscuro y triste mundo del WPA2.

Información disponible aquí.

[Gracias Víctor por el aporte]

domingo, 15 de octubre de 2017

Práctica 2

Se ha actualizado el contenido de la práctica 2 tal y como quedará para el curso 2017-2018. Recordaros que se tendrá que hacer durante 4 sesiones de prácticas (8 horas), empezando la semana del 16 al 20 de octubre.

A los que no han superado la P1, recomendable finalizarla lo antes posible y defenderla esta semana.

viernes, 13 de octubre de 2017

Up

Después de la defensa de la P1, todas las máquinas están UP.

martes, 10 de octubre de 2017

sábado, 7 de octubre de 2017

Defensa Práctica 1

Tal y como se ha informado y publicado en el blog, la próxima semana, del 9 al 13 de octubre, serán las defensas de la práctica 1.

Se informa que al botar las máquinas, aquellos alumnos que no tengan conectividad a la máquina, tendrán que defender fuera de plazo en las semanas siguientes,

miércoles, 4 de octubre de 2017

Sobre la P1

Algunos alumnos tienen problemas en conectar por 6to4 entre equipos. He cogido dos máquinas clonadas, configuradas, y sin problema hacer ping6 o ssh -6 entre máquinas por 6to4.

Sobre el rsyslog server indicaros que el fichero trae una línea workdirectory, no siendo necesario incluir una nueva.