Uno de los temas mas apasionantes que pueden existir dentro de mi concepto, es el Hacking Hardware, definitivamente las posibilidades son infinitas y más aun si lo enfocamos en un tema especifico, que mejor que hacerlo con las redes inalámbricas también conocidas como redes Wi-fi o Redes 802.11, pero que clase de Hardware podríamos hacer?, sería demasiado complejo tratar de construir nuestro propio Router, o un Access Point, pero no es para nada difícil o por lo menos poco complejo, poder construir nuestra propia Antena para estas redes.
Después de mucho tiempo y trabajo podemos presentar una nueva edición de la revista electrónica de La Comunidad DragonJAR como regalo de cumpleaños para todos nuestros miembros y visitantes. Leer más…
Para nadie es un secreto que a menudo las distribuciones GNU/Linux sean preferidas por los pentesters para llevar acabo auditorías. Y no es que desde otros sistemas operativos no sea posible, sino que generalmente las distros vienen mejor equipadas debido a que se puede, usando una ya creada, personalizarla hasta el punto que nosotros queramos permitiendo añadirle/quitarle las aplicaciones que queramos, modificar la configuración, añadirle módulos y mucho más. Además si le agregamos el hecho de poder ejecutar todo desde un CD sin necesidad de instalar nada en el disco, la balanza se inclinaría aún más hacia el lado Linux. De cualquier manera, como resalté antes también hay muchísimas herramientas disponibles por ejemplo para Windows que facilitan el trabajo a la hora de una auditoría.
Después de mucho tiempo y trabajo podemos presentar una nueva edición de la revista electrónica de La Comunidad DragonJAR como regalo de navidad para todos nuestros miembros y visitantes.
En esta edición de la revista encontraras artículos en los que aprenderás desde envenenamiento de arp creando manualmente los paquetes con scapy, pasando por artículos de informatica forense, hacking ético, entornos virtualizados y nuevas secciones que se incorporan en este nuevo numero, todo esto enmarcado en el estupendo diseño creado por blue_reckiem para esta edición. Leer más…
Hace algunos días estaba realizando una instalación del sistema Linux Mint en mi Laptop, como de costumbre en cada reinstalación, incluyo las herramientas del proyectos OWASP (WebGoat, Pantera, WebScarab, etc.). Esta vez he sabido encontrarme con una agradable noticia, pues la mayoría de los proyetos OWASP contaba con su enlace correspondiente a la definición del mismo en idioma español.
Antes de continuar debo aclarar el concepto de OWASP para las personas que no estén familiarizadas con este espectacular proyecto (aunque ya he publicado varios recursos en la Web y el foro, ej. Guía de pruebas OWASPy F.A.Q de seguridad en aplicaciones Web -OWASP-), veamos entonces la descripción del proyecto desde la Wikipedia:
OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto de seguridad de aplicaciones web abiertas’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.
Los siguientes son algunos de los proyectos que se encuentran traducidos al español:
OWASP AntiSamy
El proyecto OWASP AntiSamy es unas cuantas cosas. Técnicamente, es una API para asegurarse que las entradas HTML/CSS del usuario estén en cumplimiento con las reglas de la aplicación. Otra forma de decirlo podría ser: es una API que le ayuda a asegurarse que los clientes no provean código malicioso en el HTML que proveen para su perfil, comentarios, etc. Que se quedan almacenados en el servidor. El termino código malicioso en términos de aplicaciones Web es generalmente relacionado solo con JavaScript. Hojas de estilo en cascada (CSS) son solo consideradas maliciosas cuando invocan a JavaScript. Sin embargo, hay muchas situaciones donde HTML y CSS “normales” pueden ser usados de una forma maliciosa.
Filosóficamente, AntiSamy es una desviación de todos los mecanismos contemporáneos de seguridad. Generalmente, los mecanismos de seguridad y los usuarios tienen una comunicación que es virtualmente de una vía, por una buena razón. Dejar al atacante potencial saber detalles acerca de la validación no se considera prudente, ya que permite que al atacante “aprenda” y “reconstruya” el mecanismo para debilidad. Estos tipos de fuga de información pueden también dañar en formas que usted no espera. Un mecanismo de ingreso que le dice al usuario, “Usuario invalido” revela el hecho de que un usuario con ese nombre no existe. Un usuario podría usar un diccionario o directorio telefónico o ambos para obtener remotamente una lista de usuarios validos. Usando esta información, un atacante podría lanzar un ataque de fuerza bruta o negación de servicio masivo de bloqueo de cuentas.
Desde hace largo tiempo algunos usuarios trabajamos muy duro y de forma constante para que este proyecto, el cual en muchas ocasiones, se quedo solo en palabras, saliera adelante.
Allí fue cuando salió La Ezine DragonJAR #1, esta, tuvo mucha acogida en toda la red, y fue descargada más de 3300 veces, obviamente tenía errores por que era nuestro primer paso en el mundo de las revistas electrónicas.
Despues de este “éxito” por decirlo así, muchos usuarios de la comunidad, e incluso los admin, se unieron a este bonito proyecto, y como había tanto material se hizo un concurso para que personas expertas calificaran los artículos más valiosos y estos serían premiados con una USB. Después de esto sale este número de la revista, con un poco más de seriedad, y con contenidos filtrados por personas expertas, que se podía decir de forma clara que eran los mejores artículos de nuestra comunidad. Este número también se ha bajado mas de 1000 veces, en muy poco tiempo.
Calidad antes que cantidad; así podría ser definida esta segunda publicación de la E-zine Comunidad DragonJAR. Y es que apesar de los inconvenientes que retrasaron su publicación, hoy es posible mostrar a toda la Comunidad la Ezine #2 DragonJAR.
La E-zine Comunidad DragonJAR es un proyecto que cada vez toma más fuerza y forma, donde se reunen varios entusiastas de compartir conocimientos y experiencias. Ya dejó de ser una simple propuesta en un post, ahora es una realidad yel verdadero trabajo es mantenerla viva.
No queda más que agradecer a todas las personas que participaron en esta publicación, especialmente a epsilon77 y ZyruS, pues han sido las personas más colaboradoras en el proyecto. También agradecemos a todas las personas que participaron en la convocatoria para escribir un artículo para la E-zine Comunidad DragonJAR (los cuales ya recibieron su premio).
Esperamos cumplir con la metas propuestas para esta segunda publicación, ya que nuestro objetivo principal es plasmar en una revista un poco de la filosofía, experiencias y conocimientos de nuestra comunidad.
Contenido de esta segunda publicación:
Administración y seguridad en WordPress. Unknownmind
Blind SQL Injection, un enemigo oculto de los desarrolladores Web. epsilon77
17 enero 2011 
3 Comentarios 
