Diplomado de Seguridad Informática Ofensiva
Jul08

Diplomado de Seguridad Informática Ofensiva

Después de realizarse para entidades gubernamentales y empresas privadas nuestro Diplomado de Seguridad Informática Ofensiva por fin se hace público, una capacitación de 100 horas (100% practica y sin rellenos) que diseñamos para algunos de nuestros clientes más preparados y que hoy puedes disfrutar tu también. Esta capacitación está enfocada para que entusiastas y profesionales adquieran los conocimientos que deben tener como pentester para hacer de forma profesional una auditoría de seguridad de tipo black, white o grey box en aplicativos o infraestructura de cualquier tipo. La información del diplomado es la siguiente: Duración y modalidad Este diplomado tiene una duración de 100 horas en total, 40 horas presenciales y 60 horas virtuales. En las 40 horas presenciales verás todo el contenido descrito en el temario a continuación. Y en las 60 horas virtuales tendrás acceso a nuestra plataforma de educación por un año, donde podrás profundizar en los contenidos de tu mayor interés a tu propio ritmo y desde cualquier lugar o dispositivo. Tenemos fechas programadas para: Mexico: Del 28 de Agosto al 1 de Septiembre 2016 Colombia: Del 12 al 16 de Septiembre 2016 Panamá: Del 28 de Noviembre al 2 de Diciembre 2016 Ecuador: Del 4 al 10 de Diciembre 2016 Valor de la inversión El valor de tu inversión es de SOLO 1000 USD Y recibirás: 40 horas de contenido presencial (valoradas en 2000 USD) Acceso a más de 60 horas de contenido online actualizable por un año (valorado en 1200 USD) Un mes de acceso VPN a Laboratorios de prácticas simulando entorno real. (valorado en 600 USD) Libro guía en formato físico con todo el contenido de la certificación y los ejercicios propuestos (valorado en 500 USD). Tarjeta Wireless ideal para auditoría inalámbrica (valorada en 30 USD). T-Shirt del Diplomado (Valorada en 10 USD). Más de 4000 dólares en contenido y tu solo pagarás 1000 dólares. Qué vas a aprender Introducción al Ethical Hacking Conceptos básicos de seguridad informática Verdades y mentiras sobre el Hacking Ético Cómo ofrecer servicios de Hacking Ético Metodología usada por DragonJAR para realizar un Pentesting Comandos básicos de GNU/Linux Recolección de información y reconocimiento Reconociendo nuestro objetivo Técnicas de enumeración pasiva Hacking con buscadores Inteligencia de fuentes abiertas (OSINT) Registro de DNS, Whois, Hosting, etc… Búsqueda inversa de imágenes Extracción y análisis de metadatos Técnicas de Ingeniería Social para recolección Enumeración Técnicas de enumeración activa Escaneo de puertos, servicios, SO Identificación de usuarios Escaneo de vulnerabilidades Análisis Modelado de infraestructura y objetivos Identificación de fallos conocidos Cómo determinar la ruta más rápida para conseguir objetivos Explotación y Post-explotación Ataques a recursos de red Explotando fallos conocidos Fuerza bruta a servicios encontrados Atacando servicios y aplicaciones...

Leer Más
¿Qué tan vulnerable estamos los Colombianos ante el Ataque DROWN?
Mar10

¿Qué tan vulnerable estamos los Colombianos ante el Ataque DROWN?

Los fallos que afectan los sistemas de cifrado que soportan HTTPS han estado a la orden del día los últimos años, ya conocemos BEAST, POODLE, Heartbleed, FREAK, Logjam y todos estos problemas de seguridad que buscan apoderarse de nuestras comunicaciones “cifradas”, pero es del ultimo ataque de este tipo del que vamos a hablar en esta entrada, ya ha conseguido grandes titulares en la prensa especializada y no es para menos, ya que el DROWN Attack, como se le conoce, ha logrado afectar a grandes sitios en la red sin que apenas los usuarios nos demos cuenta. Y ustedes se preguntarán… ¿Qué es el DROWN Attack?, empecemos por el nombre, DROWN viene del acrónimo de Decrypting RSA withObsolete and Weakened eNcryption (descifrado de RSA con un cifrado obsoleto y debilitado), es un problema que afecta HTTPS y otros servicios que utilizan SSL / TLS que todavía soportan el viejo SSLv2 y permiten a un atacante forzar al servidor a utilizar esta versión vulnerable de SSL aunque el usuario este realizando una conexión TLS correctamente verificada, de esta forma puede suplantar fácilmente la pagina y capturar la información que supuestamente estaba cifrada sin que el usuario se de cuenta de ello. A nivel de usuario no podemos hacer nada, ya que el problema se encuentra en los servidores a los que accedemos, la solución general es desactivar de base el soporte a SSLv2 en los servicios que lo tengan soportado y actualizar las versiones de todos nuestros servidores (ya hay parches para casi todos los sistemas operativos, pero es mejor eliminar SSLv2 de base). Ya que sabemos a grandes rasgos que es el Ataque DROWN y como puede afectarnos, me puse en la tarea de saber como nos encontrábamos en Colombia respecto a este fallo, para ello utilizando SHODAN como base lo primero que hice fue buscar cuantos servidores indexados por este motor, tienen soporte todavía al viejo y vulnerable SSLv2 usando el siguiente filtro: country:co ssl.version:sslv2 El resultado de esta búsqueda me arrojó datos bastante interesantes, ya que de todos los servidores que tiene indexado SHODAN en Colombia (3.057.158): country:co El 2,03% es decir 62.352 aun contaban con soporte para SSLv2: country:co ssl.version:sslv2 Generando el reporte que permite realizar SHODAN, tenemos aún más información interesante, como las ciudades donde más servidores con versiones viejas de SSL están expuestos a internet: Los proveedores que utilizan la mayoría de servidores con versiones viejas de SSL: Los servicios que mas usan estas versiones viejas: Y las otras versiones activas de SSL que estaban corriendo junto a SSLv2: En la ultima gráfica se puede observar como la mayoría de estos servidores expuestos a Internet con versiones viejas y vulnerables de SSL, tienen...

Leer Más
Crypt4you – Aprende criptografía y seguridad informática de otra forma y GRATIS
Mar07

Crypt4you – Aprende criptografía y seguridad informática de otra forma y GRATIS

Crypt4you es un nuevo proyecto de Cryptored (Creadores también de la IntyPedia – Enciclopedia visual de la Seguridad Informática) que pretende con un nuevo formato de enseñanza ayudar a la difusión masiva en temas de Criptográfica y seguridad informática en general. El proyecto nació en marzo de 2012 y tenia el post en el tintero, incluso Jorge Ramió me mandó un correo sobre el proyecto para ayudar en su difusión, pero con todo el tema del ACK Security Conference y los proyectos que tenia pendientes, solo hasta ahora puedo dedicarle un poco de tiempo a escribir sobre esta gran iniciativa de la Red Temática de Criptografía y Seguridad de la Información Criptored. La iniciativa Crypt4you ofrece una lección nueva cada 15 días, las cuales serán generadas por investigadores y profesores miembros de Criptored y tiene como meta convertirse en el Aula Virtual de referencia de seguridad de la información de habla hispana con miras capacitar gratuitamente muchos profesionales en Latinoamérica, les dejo el vídeo de presentación del proyecto realizado por el Dr. Jorge Ramió: Hasta el momento se han generado las siguientes lecciones, con un excelente material audiovisual, escrito y practico. Curso de RSA Lección 0. Introducción al curso: Breve introducción al curso de Cypt4you y la utilización del aula virtual. Lección 1. Los principios del algoritmo RSA: Historia, antecedentes y fundamentos matemáticos del algoritmo RSA. Lección 2. Valores de diseño de las claves: Todos los factores que intervienen en la generación de las claves en RSA. Lección 3. Cifrado de números y mensajes: Se le da un vistazo al protocolo de intercambio seguro de clave de Diffie y Hellman. Lección 4. Claves privadas y públicas parejas: Dedicado a explicar los conceptos de claves privadas parejas y claves públicas parejas en RSA Lección 5. Mensajes no cifrables: Dedicado a explicar por que algunos mensajes aunque se cifren con RSA usando una clave pública o una clave privada, se transmiten en claro. Lección 6. RSA y el teorema chino del resto: Lección dedicada a analizar la importancia de utilizar un teorema de las matemáticas discretas, el teorema chino del resto, también conocido como teorema del resto chino TRC. Lección 7. Generación de claves con OpenSSL: Lección dedicada al estándar OpenSSL, realizando practicas y generando claves RSA desde línea de comandos. Lección 8: Ataque por factorización: Lección dedicada al problema de la factorización de números grandes y su utilidad dentro del sistema de cifra RSA. Lección 9: Ataque por cifrado cíclico: Lección dedicada al Ataque por cifrado cíclico. Lección 10. Ataque por paradoja del cumpleaños: Lección dedicada al ataque por paradoja de cumpleaños que puede ser aplicara al algoritmo RSA. Curso...

Leer Más
Hackeando Carros en Latinoamérica
Ene06

Hackeando Carros en Latinoamérica

Por estas mismas fechas en enero de 2014, estaba sorprendido por un correo electrónico que había recibido en mi casilla de correo, donde evidenciaba la cantidad de información que conocía de mi comportamiento al volante, el fabricante del vehículo que había comprado unos meses antes, este correo generó en mi mucha curiosidad y escribí el artículo “Sé lo que hicieron el diciembre pasado“, pero este articulo seria apenas la punta del iceberg lo que nadie sabía hasta que decidí anunciarlo con una charla titulada Hackeando Carros en Latinoamérica, es que lo que empezó con un simple correo se convirtió en un descubrimiento mucho más grande de los problemas de seguridad que tenía mi vehículo Chevrolet con el sistema Chevystar. El año pasado viajé por toda Latinoamérica exponiendo esta investigación y denunciando los problemas encontrados, incluso en la ekoparty 2015 fue catalogada por los asistentes, como la mejor charla de esa edición, lo que me motivó entre otras cosas a subir el video de esta charla a nuestro Canal de YouTube y si les parece bien, seguiré subiendo algunas de mis charlas con un poco de historia de cómo surgió cada...

Leer Más
Canal de Videos sobre Seguridad Informática / DragonJAR.tv migra a YouTube
Nov24

Canal de Videos sobre Seguridad Informática / DragonJAR.tv migra a YouTube

DragonJAR.tv era el espacio diseñado para compartir contenidos multimedia con toda la comunidad, originalmente estaba diseñado como un blog en wordpress con una serie de videos en categorías, pero por solicitud de varios usuarios y por comodidad de todos lo hemos migrado a YouTube. Este nuevo canal contará con diferentes espacios para que podamos disfrutar todos: DragonJAR TV: En este espacio publicaremos cada capítulo de DragonJAR TV, con invitados especiales del ámbito de la seguridad informática en español, hablando de sus últimas investigaciones. Entrevistas: Espacio reservado para colgar algunas de las entrevistas que encontremos disponibles realizadas a los integrantes de DragonJAR o el cubrimiento a eventos realizados. DragonJAR Security Conference: Espacio para publicar las charlas, notas y comentarios de los asistentes a nuestro congreso de seguridad informática. Buenas Charlas: En este lugar pondremos las charlas en cualquier idioma que nos llamen la atención y nos parezcan atractivas para nuestros usuarios. Charlas DragonJAR: Algunas de las charlas que hemos realizado por todo Latinoamérica y que han sido grabadas en video. Manuales: Espacio para los manuales, tutoriales o videos prácticos enfocados en seguridad informática y tecnología. Unboxing: Somos adictos a los dispositivos de seguridad por hardware, aquí publicaremos los Unboxing´s que realicemos a estos productos. Listas de reproducción creadas: Diferentes listas de videos sobre seguridad que hemos creado para temas específicos. Como puedes ver el contenido es abundante, diverso y siempre enfocado en seguridad informática, si aún no eres suscriptor nuestro en Youtube, no dejes de hacerlo clickeando en el siguiente...

Leer Más
Curso en Video de Python para Hackers
Nov18

Curso en Video de Python para Hackers

Nadie puede negar que a la hora de realizar un pequeño script para automatizar una tarea, o escribir una herramienta rápidamente, Python es uno de los lenguajes de programación que llaman más la atención, ya sea por su corta curva de aprendizaje, por ser tan estricto con que el código se pueda ver y leer bien, o por la excelente comunidad y librerías disponibles casi para todo, la serpiente verde siempre destaca como una de las primeras opciones a elegir para emprender un proyecto rápido. Por las bondades descritas anteriormente Python ha sido adoptado ampliamente en la comunidad hacker para la realización de numerosas herramientas de seguridad, desde simples recolectores de información como theHarvester a completos frameworks para la ingeniería social como el SET The Social-Engineer Toolkit. Uno de los profesionales que mejor han documentado este lenguaje de scripting, con un enfoque orientado a la seguridad Informática, es Daniel Echeverry, más conocido por su nick Adastra y su blog TheHackerWay, a quien tuvimos el gusto de traer para el DragonJAR Security Conference 2015 y quien ha escrito ya 2 libros sobre el tema (Hacking con Python y Python para Pentesters), además de publicar una gran cantidad de documentación en video de forma gratuita para toda la comunidad. En los videos publicados por Daniel es él lo que nos centraremos en esta entrada, ya que su contenido es genial, pero decidió subirlos a su blog con un reproductor de flash… si, flash… en una época donde todos queremos acceder a los contenidos multimedia desde televisores, teléfonos, tabletas, consolas de video juegos, forzar el uso de flash es casi limitar el acceso a través de un equipo de computo. Para solucionar esta necesidad que tenia, le escribí a daniel para pedirle permiso de subir de nuevo sus videos pero en una plataforma más amigable como YouTube, y aportando todos los enlaces complementarios a cada video para poder hacer un seguimiento adecuado a cada clase, a lo cual no puso ningún problema, por eso les dejo este gran contenido para que puedan disfrutarlo desde donde...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES