Freddy Gray nos cuenta en su charla “Sostenibilidad de la Seguridad en el Espacio” la viabilidad de mantener politicas de seguridad en dispositivos que estan a miles de kilometros de nuestro planeta.
Nelson Boris Murillo nos cuenta en su charla “Pentest: Técnicas alternativas para un cliente experimentado” su experiencia en pentesting a empresas que ya han pasado por previas auditorias y que se sienten lo suficientemente seguras para afirmar que no tienen fallos de seguridad.
Gustavo Nicolas Ogawa, alias el Chino Ogawa, nos cuenta en su charla “FBTokens, cuando tu información queda expuesta” por que debemos tener cuidado al darle permisos a cualquier aplicación en Facebook.
Efrén A. Sanchez, alias el El Zorro, nos cuenta en su charla “Seguridad en SAP no es Solo SOD” los problemas de seguridad más frecuentes en las instalaciones de SAP de grandes empresas.
Mateo Martinez nos cuenta en su charla “Huellas en la memoria para analisis de malware” como seguir las huellas dejadas por el malware en la memoria de nuestro equipo.
Leonardo Huertas, tambien conocido como el SamuraiBlanco nos cuenta en su charla “Un interruptor de seguridad para tu vida digital” como poner un nivel extra de seguridad a nuestras cuentas para mantenerlas a salvo de posibles delincuentes.
Nelson Boris Murillo, parte del equipo DreamLab nos cuenta en su charla “Banca Movil un Análisis de Seguridad” como algunos bancos a nivel movil no se toman muy en serio su seguridad.
Victoria Pérez, mas conocida como la “mujer maravilla o WunderWoman” @vit0y4, nos cuenta en su charla “Ya están aquí!!”, un recorrido por conocidos incidentes de seguridad física que han sucedido en los últimos años.
Andrés Gómez habla en su charla "Seguridad en Grid Computing, el caso del CERN" del colisionador de hadrones y el proyecto A.L.I.C.E, tocando puntos sobre cómo funcionan los avances científicos de la industria y los retos existentes que afectan la seguridad de estos proyectos.
Camilo Galdos @SeguridadBlanca presenta su charla titulada "Exploiting Browsers DOM" sobre DOM Cross-Site Scripting (XSS), un vector de explotación poco conocido que utiliza el DOM . En la charla Camilo explica que es el DOM y como buscar y encontrar parámetros vulnerables en el.
Fuente original: http://www.dragonjar.org/asi-fue-el-dragonjar-security-conference-2014-dia-iii.xhtml
Mark Rivero habla en su charla sobre los diferentes virus que pasan desapercibidos a los usuarios o pasaron mucho tiempo desapercibidos como Stuxnet que fue descubierto escondido en los bancos de datos de las plantas de energía nuclear, tambien expone otras amenazas como Zeus, Duqu, Flame, diferentes malwares que pueden tener nuestros equipos y moviles. Marc también cuenta que las vías de infección ya no son los típicos sitios pornográficos maliciosos, sino que los delincuentes están comprometiendo sitios reconocidos y con gran cantidad de usuarios para realizar sus infecciones, otra de las técnicas usadas por los delincuentes es el envenenamiento de los DNS ya sea de pequeños proveedores hasta de servicios DNS usados por todo un país, para enviar a los usuarios a cualquier sitio de su preferencia.
Fuente: http://www.dragonjar.org/asi-fue-el-dragonjar-security-conference-2014-dia-iii.xhtml
Video de una de las charlas de la DragonJAR Security Conference 2014 en la que Carlos Mesa, director de la Fundación Bitcoin Colombia, muestra el bitcoin como moneda digital, su teoria y funcionamiento. Fuente: http://www.dragonjar.org/behind-the-bitcoin-carlos-mesa-dragonjar-security-conference-2014.xhtml
net-creds.py es un script escrito en python para obtener las contraseñas y hashes esnifando mediante un interfaz o analizando un archivo pcap. Concatena los paquetes fragmentados y no se basa en los puertos para la identificación del servicio.
Por resumir la lista de cosas que se pueden hacer en este entorno con el bot que hemos construido en la primera parte de este artículo, es fácil decir que podemos ejecutar cualquier código o cualquier aplicación a través de la PowerShell y de este bot, pero vamos a ilustrar algunas de las acciones más interesantes en un proceso de Ethical Hacking.
En su reciente presentación ante la Securities and Exchange Commission (SEC), el gigante minorista online eBay y el popular procesador de pagos PayPal, confirmaron sus planes para que los comerciantes puedan aceptar Bitcoin con una cuenta estándar a través del procesador de pagos Braintree (asociado a Coinbase y adquirido por eBay en septiembre de 2013). Ambas empresas anunciaron también la creación de una nueva compañía llamada “PayPal Holdings”, la cual se hará cargo de la sección de pagos de eBay.
Déjame contarte algo que me ocurrió durante mi día de trabajo como asesor financiero. Un cliente quería vender sus acciones y que los fondos fueran depositados directamente en una cuenta corriente que tiene en otro banco.
Los malos también han utilizado PowerShell en el pasado para hacer hasta ransomware, así que ¿por qué no iba a poder usarlo yo para hacer pentesting? Empecé a trabajar en un pequeño esqueleto de un bot con el fin de ver como evadir las políticas de ejecución de scripts que PowerShell trae consigo. Por cierto, a mi bot lo llamé… PSBot. Además, un bot escrito en PowerShell sería potentísimo sobre todo para entornos en los que nos encontramos con una máquina Citrix o Terminal Services en la que se consigue llegar a la PowerShell.
Si te encuentras en la necesidad, por el motivo que sea, de tener que acceder al código fuente de una aplicación Java y obviamente no tienes acceso al mismo, la mejor opción en la mayoría de los casos es usar un decompilador. Por la naturaleza de la arquitectura del lenguaje Java, a menos que la aplicación que tenemos entre manos haya sido ofuscada, el resultado de la decompilación suele ser bastante precisa, con quizás algunas excepciones.
Desde el colectivo que formamos todos y cada uno de los miembros de X1RedMasSegura y con motivo del Concurso de Infografias 2015, hemos lanzado una serie de videos muy interesantes para que podáis utilizarlos libre y gratuitamente en cursos y charlas, con el objetivo de facilitar la llegada del conocimiento sobre los peligros de la red a todos los públicos.
Las empresas Bitcoin que participan en el Desafío Innotribe para Emprendimientos de este año, un concurso organizado por la red de pagos internacionales SWIFT, tendrán la oportunidad de asociarse y tener como mentores a algunas de las instituciones financieras más prestigiosas del mundo.
El popular repositorio de códigos GitHub se está recuperando del ataque DDoS más intenso que ha sufrido en su historia, que lo tuvo inactivo o con servicios intermitentes durante una semana.
Yasca es un programa de código abierto que busca vulnerabilidades de seguridad, revisa la calidad de código, el rendimiento y la conformidad con las mejores prácticas existentes en el código fuente del programa. Básicamente se trata de un juego de herramientas multi-lenguaje de análisis estático.
Se da por finalizada la auditoría completa de código a TrueCrypt, se concluye que no existen graves fallos de seguridad y que es una aplicación segura.
Neteller, el gigante del procesamiento de pagos y proveedor de tarjetas prepagas MasterCard, ha agregado la opción de depósitos con Bitcoin a sus servicios.
En esta nueva edición del Desafío ESET queremos proponerles un capture the flag a partir del análisis de un archivo comprimido.