La Comunidad DragonJAR

La siguiente es una extensión de la invitación realizada por Gonzalo Álvarez Marañón (La mejor presentación de Seguridad en Aplicaciones Web) a particpar en la convocatoria de becas predoctorales en Criptología y Seguridad de la información.

El Consejo Superior de Investigaciones Científicas convoca ayudas para el desarrollo de tesis doctorales en el marco del programa Junta para la Ampliación de Estudios (JAE).

Leer más…

Suena un poco sensacionalista el título de esta entrada, pero sin lugar a dudas te divertirás y aprenderás con esta presentación.

Gonzalo Álvares Marañon es el responsable de esta genial exposición sobre diferentes aspectos y amenzas en las aplicaciones Web. La presentación va en modo “historia”, y nos cuenta de esta manera, distintas técnicas empleadas para llevar a cabo ataques sobre aplicaciones Web. (XSS, SQL, Envenenamiento de cookies, Phishing, etc.)

La presentación hizo parte de la II Jornada STIC CCN-CERT y pretendía entonces concientizar sobre los problemas de la inseguridad en aplicaciones web.

Seguridad en Aplicaciones Web (1 de 8): Introducción

Leer más…

CAINE (Computer Aided INvestigative Environment), es una distribución GNU/Linux en modo LiveCD creada por Giancarlo Giustini como un proyecto de Informática Forense (Forense Digital) para el Centro de Investigación en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia.

El proyecto CAINE (Computer Aided INvestigative Environment) no pretende ser una nueva herramienta forense o framework de recopilación de ellas, pues este tipo de distribuciones ya existen (ej. Felix FCCU, Deft, entre otras). CAINE propone como novedad un nuevo entorno de fácil uso para todo este tipo de herramientas. Además introduce nuevas características importantes, que aspiran a llenar el vacio de interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y  generación de informes  y resultados.

Leer más…

El proyecto Metasploit Framework hace el anuncio oficial sobre la disponibilidad de su versión 3.2 de este framework de desarrollo y explotación de vulnerabilidades.

Metasploit Framework se encuentra disponible bajo licencia BSD y respaladado por una amplia comunidad de desarrolladores que hacen posible que este completa herramienta pueda ser ejecutada en todos los sistemas operativos modernos (Linux, Windows, Mac OS X y BSD). Además de esto Metasploit Framework ha sido portado a otros dispositivos en los cuales nunca se imagino que pudieran usarlo (ej. Iphone, Ipod Touch).

Leer más…

=========================================================
Iphone/Ipod Touch como herramienta de Test de Penetración (I de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (II de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (III de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (Bonus)
=========================================================

Continúa desde “Iphone/Ipod Touch como herramienta de Test de Penetración II de III“

Luego de haber visto algunas herramientas y utilidades un poco más “comunes” para la administración de redes y los Test de Penetración es hora de ver algunas más específicas.

Nmap en nuestro Iphone/Ipod Touch

Nmap ya ha sido objeto de estudio en Labs.DragonJAR y en la Web de la Comunidad. Tan solo dejaré una corta definición de la herramienta y los enlaces a dichas publicaciones:

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.

Leer más…

El objetivo de este ejercicio es situarle en el papel de un administrador de sistemas que ha de ocuparse de múltiples problemas. En su pantalla, gracias a modernas técnicas de monitorización, aparecerán diversos ataques y su descripción.

Su misión es neutralizarlos de la forma más rápida y efectiva posible. Tenga en cuenta que cada intento fracasado le restará credibilidad ante sus superiores; esta credibilidad aparece en la esquina inferior izquierda.
Reflexione en cada uno de sus movimientos y actúe con decisión.

Leer más…

=========================================================
Iphone/Ipod Touch como herramienta de Test de Penetración (I de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (II de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (III de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (Bonus)
=========================================================

Continúa desde “Iphone/Ipod Touch como herramienta de Test de Penetración I de III“

Quiero aclarar que el tutorial o guía que vengo publicando no pretende ser una guía de cómo realizar un Test de Penetración, tan solo trata de ofrecer distintos recursos y herramientas necesarias para llevarlo a cabo, pues el tema de Test de penetración y metodologías para realizarlos ya han sido publicadas en la Web, Labs y el Foro.

Definición de Test de Penetración

Guía de pruebas OWASP 2007 v2.0 traducida al español

Preguntas frecuentes sobre seguridad en aplicaciones Web (OWASP FAQ)

Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM) de ISECOM

Test de penetración con BackTrack, Introducción

Veamos ahora entonces como podemos adecuar ciertos recursos muy necesarios para cualquier Test de Penetración en Seguridad.

Leer más…

=========================================================
Iphone/Ipod Touch como herramienta de Test de Penetración (I de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (II de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (III de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (Bonus)
=========================================================

Hace poco DragoN publicó una noticia sobre la disponibilidad de NeoPwn (BackTrack para celulares) y muchos de nosotros quedamos más que enamorados de dicha herramienta, a falta entonces de $$$ trataremos de implementar algunas de las prestaciones (herramientas) de NeoPwn en nuestro Ipod Touch .

Todos los procesos aquí descritos serán llevados a cabo sobre un Ipod Touch 1G, pero en teoría deberían funcionar sobre los Iphone.

El Ipod Touch es un reproductor portátil de fotos, sonidos y videos digitales diseñado y distribuido por Apple (más información), y que puede ser “modificado” para realizar otras tareas adicionales para las que fue creado, incluso para labores de Test de Penetración como será en este caso.

Leer más…

Beholder se presenta como una solución de libre uso y libre distribución para monitorear y administrar nuestras conexiones WiFi frente a las diferentes amenazas a la que están expuestas (accesos no autorizados, Access Points falsos, etc.)

Beholder llega proponiendo una alternativa libre frente a las diferentes soluciones mayormente comerciales y/o propietarias. Beholder es una herramienta escrita en lenguaje C y basada en IWLIST, disponible para plataformas linux, puede usarse con cualquier tecnología 802.11 que la placa de red soporte y no es dependiente del driver, corre con todos los drivers wifi de linux. entre sus bondades se destacan:
Cambio de canales, essid, Mac, Modos.

Leer más…