Entradas

Día Internacional "Mata un Zombie"
Hace un par de años Sophos propuso que el 31 de Octubre , día de Halloween , fuera también el Día Internacional Mata-un-Zombie ó " International Kill-A-Zombie Day ". Pa…

Recomendaciones: Maztor [In]-Security
Las seis y media de la tarde en la abarrotada central de recogidas de Servientrega. Tras esperar su turno, Alfonso afloja el nudo de su corbata y muestra los datos para obtener el…

Un fallo en Facebook permite adjuntar ejecutables
En Facebook podemos enviar un mensaje a cualquier usuario (aunque no sea nuestro amigo) y tenemos la la posibilidad de adjuntar ficheros. Sin embargo, no está permitido subir ejec…

Por qué todos deberíamos usar (al menos) una contraseña maestra en el Password Manager de Firefox
Muchas veces pulsamos el botón 'Recordar contraseña' en nuestro navegador para mayor comodidad cuando visitamos un sitio web al que accedemos regularmente. Pero, ¿es segur…

Diferencias y similitudes entre Duqu y Stuxnet
Seguro que ya habéis leído acerca de Duqu , un malware descubierto recientemente sobre el que se se dice que es una nueva versión de Stuxnet o que fue escrito por sus mismos autor…

IDG afectada por ataque masivo de inyección SQL en ASP.NET
Parece que IDG Communications , compañía líder mundial en publicaciones, investigación y eventos sobre Tecnologías de la Información, también ha sucumbido al ataque masivo de inye…

OSSAMS: correlación y normalización de datos de tests intrusión
Cuando realizamos una auditoría de seguridad o un test de intrusión en un cliente normalmente utilizamos una gran variedad de herramientas, ya sean comerciales o de código abierto…

El Rap de la Auditoría Wifi
Esta semana nos ha llegado vía Twitter un vídeo tan curioso como su autor, Daniel Pajuelo , un hacker marianista loco por los cubos de Rubik y la música rap. Aquí les dejamos el v…

Un fallo en Flash permite controlar remotamente webcams
Adobe ha anunciado que está en proceso de corregir una vulnerabilidad de seguridad en flash que podría permitir a sitios web maliciosos operar remotamente las cámaras y micrófono…

Solución al reto 13: ¡examen sorpresa!
A continuación os presentamos el ranking de calificaciones de nue stro examen sorpresa, así como las respuestas correctas (marcadas en verde) y el número de aciertos y el porcenta…

Número 7 de la revista Hack In The Box
Ya podemos descargar el magazine número 7 de HITB , cuyos contenidos son los siguientes: Cover Story - What Would We Do Without Enemies Database Security - Extending…

Script para comprobar si una aplicación es vulnerable al ataque de Padding Oracle
Hoy os dejamos un sencillo pero efectivo script en Python para comprobar si una aplicación en ASP.NET es vulnerable al ataque Padding Oracle (ataque al cifrado simétrico por blo…

Suben porno al canal YouTube de Barrio Sésamo
Ayer, los niños que estuvieran conectados al canal YouTube de Barrio Sésamo , pudieron haber aprendido algo más que las didácticas enseñanzas de la rana Gustavo, Coco, Epi, Blas…

Cifrar/descifrar ficheros en Linux
Una forma fácil y rápida para para cifrar y descifrar archivos con contraseña en Linux/Unix es utilizar el comando gpg . GnuPG es sinónimo de GNU Privacy Guard, es una impleme…

¿Cuál es la táctica de propagación de malware más popular?
De acuerdo a un informe de Microsoft Security Intelligence , la táctica más popular de propagación de malware es mediante ingeniería social : mensajes emergentes con scareware , S…

R2D2: el troyano federal del gobierno alemán
Ayer el grupo CCC (Chaos Computer Club) publicó una ingeniería inversa sobre un troyano supuestamente creado por el gobierno alemán. A pesar de los desmentidos oficiales de la Bun…

Recomendaciones: UnderSecurity
Si recordáis, teníamos una sección llamada ' blog amigo ' a través de la cual os animábamos a dar a conocer vuestros blogs de seguridad informática y hacking ético. Recien…

fbpwn: ingeniería social en Facebook
fbpwn es una herramienta multi-plataforma echa en java que construye un framework de ingeniería social para Facebook (en adelante FB), capaz de enviar solicitudes de amistad a un…

I Reto Forense Digital Sudamericano – Perú Chavín de Huantar
La agrupación ISSA Lima, Perú Chapter , ha publicado el Primer Reto Forense Digital Sudamericano con el objetivo de incentivar y fomentar el análisis forense digital. Los partici…

Reto 13: ¡examen sorpresa!
Llegamos a nuestro reto número 13 y, como el 13 es considerado comúnmente como el número de la mala suerte, vamos a celebrarlo con una de las cosas que más me reventaba cuando est…

Entrena en el Web Security Dojo
Web Security Dojo es un entorno de entrenamiento de Maven Security Consulting Inc. para realizar pruebas de intrusión en aplicaciones web. La versión 1.2 de este proyecto de cód…

Clickjacking para obtención de shells
Andrew Horton (urbanadventurer) presentó 'Clickjacking for Shells' el 20 de septiembre en la conferencia OWASP Wellington en Nueva Zelanda . Dos años después de que el mu…