"Hackean" un cajero automático para jugar al Doom

Aussie50, un popular usuario de Youtube, ha publicado un vídeo en el que destripa un cajeto automático y lo adapta para jugar al famoso videojuego Doom.
El modelo del cajero es NCR Personas que combina con un PC y pantalla OEM, con un controlador i-Pac para el mapeo y configuración de botones, además del típico PIN pad. ¡Curioso cuanto menos!

¡Borré mis chats de WhatsApp sin querer! ¿Los puedo recuperar?

Suele ser bastante común que nos pidan recuperar algunos chats de WhatsApp que han sido borrados anteriormente de forma no intencionada. Veamos primero algunas consideraciones iniciales:

- Por defecto WhatsApp realiza una copia diaria en la tarjeta SD a las 04:00 am y almacena los últimos 7 días en  /sdcard/WhatsApp/Databases/msgstore.db.crypt7. 

 
- Es posible forzar la copia del historial actual (los mensajes más recientes) de forma manual:
 WhatsApp > Botón de menú > Ajustes > Ajustes de chat > Guardar conversaciones


El fichero será guardado en /sdcard/WhatsApp/Databases/msgstore-AAAA-MM-DD.1.db.crypt7.

Es decir, no podremos recuperar los mensajes con más de 7 días de antigüedad y aquellos posteriores a las 4:00 al menos que hayamos hecho previamente una copia de seguridad manual.

Confirman un 0-day en el componente I2P de Tails OS

Si anteriormente hablábamos de que la privacidad de Tor estaba en entredicho, ahora le toca el turno al sistema operativo favorito de Snowden: Tails.
Exodus Intelligence anunció hace unos días las existencia de varios 0-days que afectan hasta las versiones más recientes (1.1 del 22 de julio de 2014).

Concretamente la vulnerabildad se encuentra en la configuración por defecto de I2P. Para quien no la conozca, I2P (Proyecto de Internet Invisible) es una red similar a Tor pero conmutada por paquetes en lugar de por circuitos. En ella la comunicación es cifrada punto a punto con cuatro niveles de cifrado de forma totalmente distribuida y actualmente la forman unos 30.000 peers.

La vulnerabilidad que encontró Exodus permite la ejecución remota de código con una payload especialmente diseñado. Este payload se puede personalizar para desenmascarar a un usuario y mostrar su dirección IP pública en "un par de segundos", en una alusión clara a la técnica de Volynkin-McCor que por contrapartida parece que necesita más tiempo para desenmascarar usuarios de Tor.

En la primera parte del post de Exodus (Silver Bullets and Fairy Tails) muestran un vídeo con el exploit en funcionamiento, si bien prometen una siguiente entrada en la que mostrarán el detalle técnico una vez que las vulnerabilidades de i2P hayan sido parcheadas e incorporadas a Tails.

Sea como fuere, lo que comentábamos antes: cuando utilizamos soluciones estándar para mantener nuestro anonimato estamos más expuestos. 


No obstante recordar que siempre es mejor usarlas que nada. Es como si instalamos una alarma en casa, no nos asegurará al 100% nuestra seguridad pero al menos pondrá las cosas difíciles a los "ladrones".

Fuentes:
- Silver Bullets and Fairy Tails
- Exodus Intelligence Details Zero-Day Vulnerabilities In Tails OS
- Firm says vulnerability in Tails contained in I2P component
- Tails-hacking Exodus: Here's video proof of our code-injection attack 

Cancelan una charla de Black Hat sobre cómo identificar usuarios en Tor

En los últimos meses y después de las revelaciones de Snowden se empezó a investigar la posibilidad de que la NSA, y no sólo la NSA, hayan encontrado la forma de comprometer la popular red Tor. De hecho ya se ha confirmado que se usó la herramienta XKeyscore para comprometer dos servidores de Autoridad de Directorio alemanes y la posibilidad de ubicar usuarios específicos mediante una técnica de ataque de correlación de tráfico.

Además, siguiendo el hilo de estas investigaciones había previsto una presentación muy interesante para la próxima Black Hat 2014 llamada “YOU DON’T HAVE TO BE THE NSA TO BREAK TOR: DEANONYMIZING USERS ON A BUDGET“ (traducido “TU NO TIENES QUE SER DE LA NSA PARA ROMPER TOR: DESANONIMIZANDO USUARIOS SIN SALIRSE DEL PRESUPUESTO“) en la que Alexander Volynkin y Michael McCord, dos investigadores de la Universidad Carnegie Mellon, iban a demostrar cómo identificar usuarios de Tor con un presupuesto de unos 3.000 dólares.



Los lenguajes de programación más populares del 2014

CodeEval es una exclusiva comunidad de más de 24.000 desarrolladores. Sus miembros pueden competir entre sí, retar a sus amigos y mostrar sus habilidades de programación en su perfil.

Cada año CodeEval publica la lista de los "lenguajes de programación más populares", basándose en miles de datos recogidos al procesar más de 100.000 pruebas de programación y distintos retos realizados a más de 2.000 empleados.

Esto nos da una idea bastante clara de cuáles son las tendencias para el próximo año en términos de lo que las empresas están buscando: 


Como véis, por tercer año consecutivo, Python conserva el primer puesto seguido de Java, C++ y Ruby.

Los cambios más notables de este año fueron un incremento del 300% en la popularidad de Objective-C, un aumento del 100% en C#, así como un aumento del 33% de Javascript; mientras PHP perdió un 55%, Perl cayó un 16% y Java se redujo un 14%.

Fuente: http://blog.codeeval.com/2014

En marcha el IV Congreso de Seguridad Navaja Negra

Un año más se celebran en Albacete las jornadas de seguridad Navaja Negra, en esta edición, la organización ha apostado por un modelo más participativo y complementará las charlas con una serie de talleres que serán elegidos, al igual que las primeras, por los propios participantes de las jornadas en un sistema de votaciones al que se tiene acceso una vez realizado y verificado el pago de la inscripción. Un aspecto interesante de este método de selección es que al realizar la elección, sólo se conoce el contenido de la charla o taller y no su autor, fomentando así la participación de nuevos ponentes.
 
El congreso tendrá lugar durante los días 2, 3 y 4 de octubre y se trata de una gran oportunidad académica y profesional puesto que se habilitará un área de reclutamiento en la que las empresas colaboradoras aceptarán currículums de los participantes.
 
Gracias a patrocinadores y colaboradores, el precio de las jornadas sigue siendo más que asequible, 30€ (20 si acreditas que eres estudiante y/o estás desempleado) los 3 días incluyendo charlas, catering, la participación de hasta en 4 talleres, y ese trato familiar y ambiente distendido que caracteriza a las Navaja Negra.
 
Para ampliar información, consultar las propuestas presentadas al CFP y adquirir tu acreditación, no dudes en acceder a http://navajanegra.com ¡Te esperamos!

Explotar Heartbleed en redes WiFi con Cupido (2ª parte)

Como ya vimos en entradas anteriores, Cupido es el nombre del nuevo método de ataque recientemente propuesto por el investigador de seguridad portugués Luis Grangeia, que puede afectar a Android, redes inalámbricas 
empresariales y algun que otro dispositivo ;D.
 

 A diferencia de la versión original del ataque Heartbleed, que tiene lugar en las conexiones TLS a través de TCP, el ataque de Cupido sucede en las conexiones TLS a través del protocolo de autenticación extensible (EAP), popular marco de autenticación que se utiliza normalmente en las redes inalámbricas y conexiones peer-to-peer.

Vulnerabilidades en Android que pueden arruinarte (CVE-2013-6272 & com.android.phone)

Se han anunciado dos nuevas vulnerabilidades en sistemas Android (anteriores a la versión 4.4.4) que podrían permitir a una aplicación maliciosa realizar llamadas a números de tarificación especial sin que
el usuario se percate de ello y aún sin permisos para ello.
Las dos vulnerabilidades, muy similares entre sí, han sido anunciadas por Curesec.  El primero de los problemas, con CVE-2013-6272, aparece en Android 4.1.1 Jelly Bean y se presenta en todas las versiones hasta Android 4.4.2 KitKat.

Reside en com.android.phone y todo parece indicar que se ha corregido en la última versión 4.4.4.
  
Por otra parte, una segunda vulnerabilidad (sin CVE asignado todavía) en com.android.contacts solo está presente en las versiones Android 2.3.3 y 2.3.6. Ambas vulnerabilidades son explotables de la misma forma con idénticos resultados.

Versiones afectadas







Explotar Heartbleed en redes WiFi con Cupido (1ª parte)

Buenas de nuevo, ante todo pediros un perdón muy grande por este tiempo AFK (sobre todo a Vicente) pero me ha sido totalmente imposible mantener relación con el mundillo.

Para ir poniéndome al día y engrasando máquinas vamos a dar un repasillo práctico a uno de los fallos más escandalosos que ha habido en mi ausencia: Heartbleed.

Como ya mencionamos en el blog es posible dirigir un ataque hacia redes wifi (EAP TLS)...utilizando CUPIDO.

¿Qué es cupido?

Cupido es el nombre que Luis Grangeia, de SysValue, le dio a sus dos parches que se pueden aplicar a los programas "hostapd" y "wpa_supplicant" en Linux. Estos parches modifican el comportamiento de los programas para explotar el fallo de heartbleed en conexiones TLS que suceden en ciertos tipos de contraseñas protegidas en redes inalámbricas.

Como ya mencionamos, el ataque puede utilizarse de dos formas: atacar directamente a un Punto de Acceso (wpa_supplicant-cupid) o crear una red inalámbrica falsa a la espera de que se conecte un terminal vulnerable (hostapd-cupid).

En esta entrada veremos como aprovechar cupido sumado a nuestro cliente hostapd (attack vector 2).


Las mejores fotos aéreas de drones del 2014

Dronestagram es una comunidad que nació en Francia y en cuyo portal se publican y comparten miles de fotos de drones. Si no la conocíais os recomiendo que echéis un vistazo a su web porque allí podréis encontrar un montón de fotos espectaculares (si no la mayoría)

Del 15 de marzo al 30 de junio llevaron a cabo junto con National Geographic el primer consurso internacional de fotografías aéreas de drones.
Las reglas eran bastante simples: básicamente los participantes tenían que enviar las fotos aéreas tomadas por una cámara instalada en un drone; y ellos tenían que ser los titulares de derechos de autor para las fotos.

Los premios incluían drones, cámaras y dinero para impresiones en lienzo, aluminio o plexiglás. La foto ganadora además se publicará en el sitio web de National Geographic y en la edición francesa de la revista. Estos son los ganadores:

Premios de Dronestagram y National Geographic:


Primer premio: Capungaero