Hola:

En este número del mes de Mayo encontraréis dos artículos de Death_Master y un artículo mio.

Sobre los artículos de Death hago un copy&paste de su blog:

El primer artículo lleva por nombre “Windows Mobile… sin Windows“, y es una reflexión sobre cómo puede sacarse el máximo provecho a un dispositivo Pocket PC basado en Windows Mobile… cuando no utilizamos el sistema operativo Windows en ninguno de nuestros ordenadores. Hablaremos de temas que van desde la sincronización del calendario y los contactos hasta la gestión de copias de seguridad, pasando por el envío de ficheros mediante WiFi, o ciertas aplicaciones de seguridad imprescindibles.

El segundo artículo, por supuesto, es la entrega pertinente del Curso de Java Útil (undécima entrega, y cuarta dedicada a jWadalSubs). En esta entrega terminaremos de codificar el algoritmo de lectura y proceso de un fichero de subtítulos en formato SubRip, añadiendo una nueva clase a nuestro proyecto. Además, y como siempre, veremos ciertos aspectos interesantes del lenguaje Java, como la sentencia de control for-each introducida en la versión 1.5 del JDK.

También encontraréis un artículo mio correspondiente al Taller de redes inalámbricas Hack Wi-Fi. Donde seguiremos estudiando la inyección de tráfico inalámbrico para la ruptura del protocolo de cifrado WEP.

Un saludo.

Hola:

Como siempre, gracias al compañero Death_Master ya tenémos disponible la portada del número #139 de la revista @rroba.

En este número encontraréis dos artículos de Death_Master: Entre ellos, la portada del mes.

- Tecnologias AJAX. (Tema Principal)

- Curso de Java Útil.

Con mi firma encontraréis otros dos:

- Password: La importancia de escoger y almacenar nuestras contraseñas.

- Y el correspondiente artículo al Taller Hack Wi-Fi.

Un saludo.

Hola:

Gracias a Death_Master podemos disponer de la portada de la revista @rroba del número #138.

En este número encontraréis dos artículos de Death y dos artículos mios.

El correspondiente a Hack Wi-Fi, donde seguimos estudiando la inyección de tráfico inalámbrico para la ruptura del protocolo de cifrado WEP.

También, como artículo independiente, encontrareis un artículo dedicado a la seguridad en teléfonos móviles, que habla sobre el ataque Curse of Silence, desde como llevarlo a cabo hasta como evitarlo.

Un saludo.

Hola:

Ya está disponible la última versión BETA de esta Live-CD dedicada a la seguridad informática.

Podemos descargarla de dos formas:

- En formato ISO.

- Y fiero de imagen para máquina virtual en VMWare.

Aquí os dejo los links de descarga:

Descargar BackTrack 4 Beta (.iso – 874Mb)
Descargar BackTrack 4 Beta (Imágen VMWare)
Blog Oficial

Fuente: http://backtrack4.blogspot.com/2009/02/backtrack-4-beta-public-released.html

Hola:

El equipo de desarrollo Remote Exploit esta trabajando en el desarrollo y publicación de la nueva versión de Black | Track 4 BETA.

El cambio más significativo e importante es la utilización de DEBIAN como sistema base de la Live-CD y utilizará los paquetes de software contenidos en los repositorios de ubuntu. Conservará la finalidad de poder ejecutarse en modo live CD y la posibilidad de instalarse como sistema operativo base en el Disco Duro.

Algunas otras mejoras:

• Soporte para tarjetas pico e10 y e12 (para UMPCs)

• Posibilidad de arrancar por red mediante PXE

• Versión limitada de la herramienta SAINT Exploit

• Versión libre de Maltego

• Actualizaciones en los drivers de tarjetas wireless, necesarios para auditorías

• Soporte RFID

• Nuevas herramientas de seguridad.

Fuente: http://www.securitybydefault.com/2009/02/backtrack-4-beta.html

Más información: blog oficial de Backtrack

Hola:

@rroba #137

Como de costumbre, gracias al compañero Death_Master disponemos de la portada de la revista @rroba #137.

Como curiosidad, algo la verdad que yo no me había fijado, me he enterado por el blog de Death, desde hace 5 meses mi buen compañero y amigo Death y yo nos venimos “repartiendo” de manera alternada las portadas de la revista @rroba, siendo los temas principales de cada número. Creo que esto se va a prolongar un mes más por lo menos… jejeje… Espero que así sea!

Hago un copy&paste del blog de Death para referirme a sus artículos. El tema principal de este mes, como no podía ser de otra forma, pertece a Death.

El primer artículo, y tema principal en portada, lleva por título “Los secretos de la virtualización”. En este texto analizaremos, de la forma más clara posible, todos los términos que giran en torno a esta tecnología tan de moda en la actualidad: emulación, virtualización, paravirtualización, hipervisor, virtualización hardware, etc. Veremos cómo surge la tecnología, qué necesidades impulsan su desarrollo, en qué estado se encuentra actualmente, y cómo podemos beneficiarnos de las bondades que nos ofrece a los usuarios, tanto desde el punto de vista personal como el profesional.

El segundo artículo es la obligada entrega del Curso de Java Útil (octava), donde también hay sorpresa, pues aparcaremos momentáneamente el desarrollo de jWadalHash para comenzar a desarrollar una nueva aplicación: jWadalSubs. Usando como excusa el tratamiento de subtítulos en formato subrip, nos adentraremos en el sempiterno problema en programación del tratamiento de cadenas de texto; a la vez que reforzamos las habilidades de algoritmia desarrollando nuestras propias librerías. También introduciremos ciertas nociones importantes, como las decisiones de diseño y los constructores de clase, y nos familiarizaremos con la clase StringTokenizer de la API de Java.

En este número también encontraréis el correspondiente artículo del Taller de redes inalámbricas Hack Wi-Fi desarrollado por mi.

(PENDIENTE DE DESCRIPCION)

Un saludo.

Hola:

Como de costumbre, gracias a mi buen amigo Death_Master ya disponemos de la portada de la revista @rroba #136.

En este número encontraréis, como de costumbre, dos artículos de Death y dos artículos míos.

Empecemos por Death_Master, como siempre hago copy & paste de su blog.

En primer lugar encontraréis la entrega de rigor del Curso de Java Útil (séptima), en la cual continuaremos hablando de las interfaces gráficas en Java, a la par que desarrollamos nuestro programa jWadalHash. Al igual que el mes pasado, profundizaremos en nuevos elementos de la API Swing para interactuar con el usuario, como JCheckBox, JRadioButton, ButtonGroup, JOptionPane o JFileChooser. Además, veremos cómo podemos crear nuestras propias excepciones personalizadas usando la herencia, y cómo utilizarlas para tratar cualquier eventualidad en nuestro código.

Por otro lado, encontraréis un artículo titulado “Personalizando Joomla!” que, utilizando como base un entorno Joomla! operativo como el que desplegamos el mes pasado, explora las posibilidades de expansión que este CMS nos ofrece. Centrándonos especialmente en la gestión y la seguridad del sitio, veremos algunos ejemplos de extensiones para personalizar Joomla! y adaptarlo a nuestras propias necesidades.

Con respecto a mi, encontaréis un artículo independiente, la portada de este número, titulado:

Ingeniería Social: El usuario ¡¡El eslabón más debil!!

Os dejo aquí la descripción del artículo:

Siempre que he desarrollado un artículo he querido demostrar que no existe ningún sistema TOTALMENTE seguro. Siempre existe algo que lo hace vulnerable, ya sea el propio sistema operativo, el lenguaje de programación utilizado, el software de seguridad o protección, una mala configuración por parte del administrador, o como demostraremos en este artículo, los propios usuarios del sistema. Queridos lectores, bienvenidos a la realidad, ¡¡la seguridad TOTAL NO EXISTE!!

Por otra parte, también os dejo la descripción del artículo correspondiente al Taller de redes inalámbricas Hack Wi-Fi.

Estamos llegando al final de la parte teórica de la inyección de tráfico inalámbrico para la ruptura del protocolo de cifrado WEP. Con este artículo obtendremos los últimos conocimientos teóricos para comprender perfectamente todo el funcionamiento de la suite de herramientas aircrack-ng, más concretamente el uso de aireplay-ng, para la inyección de tráfico inalámbrico. También, en este artículo hablaremos de los pasos a seguir para llevar a cabo un ataque contra el protocolo de cifrado WEP. Seguro que el mapa conceptual os resulta de gran ayuda en próximas entregas.

Un saludo.

PD: Gracias, Death! un abrazo tio!

Hola:

Desde hace bastante tiempo me encanta la mágia y el ilusionismo. Recuero que siendo niño siempre me llamó muchísimo la atención la mágia… Fueron pasando los años y, aun sin saber como, me fui introduciendo en este fantástico mundo de ilusiones.

Desde hace aproximadamente un año estoy mucho más activo con la mágia, suelo prácticar varios dias a la semana algunos juegos de cartomagia y buscar nuevos juegos para realizar.

Este domingo hice mi tercera actuación, en este caso mágia para niños.

Es un hobby que realmente me encanta. No podría escoger entre Magia e Informática.

Me encanta la Magia del fallecido Pepe Carroll, El maestro René Lavand, el gran Lennart green… Pero sin olvidarme de grandes Magos gallegos como, Luis Piedrahita y Román Garcia, entre otros muchos.

La verdad es que hay verdaderos especialistas en la materia.

Un saludo.

Se han encontrado dos vulnerabilidades en los dispositivos Linksys WVC54GC que podrían ser aprovechadas por un atacante remoto para acceder a información sensible, causar una denegación de servicio o ejecutar código arbitrario, pudiendo comprometer por completo el dispositivo.

El dispositivo �WVC54GC Compact Wireless-G Internet Video� se trata de una videocámara inalámbrica con servidor web incorporado que se puede conectar a la red local o directamente a Internet. El producto pertenece a la compañía Linksys, que se trata de una filial de la estadounidense Cisco Systems dedicada a las PyMEs.

Los problemas de seguridad encontrados serían los siguientes:

* La primera vulnerabilidad está causada porque el dispositivo enviaría la información de su configuración inicial en texto claro a través de la red. Esto podría ser aprovechado por un atacante remoto para al interceptar el flujo de vídeo enviado, acceder a la configuración de la red (ssid, usuarios y claves WPA o WEP, servidores DNS, etc.) o causar una denegación de servicio accediendo al firmware del dispositivo. El atacante podría aprovecharse de la vulnerabilidad por medio de un paquete especialmente manipulado enviado al puerto UDP 916, utilizado para la administración del dispositivo.

* El segundo fallo está causado por un error de límites que provocaría un desbordamiento de búfer basado en pila en el método “SetSource” del control ActiveX de NetCamPlayerWeb11gv2 (NetCamPlayerWeb11gv2.ocx). Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario y hacerse con el control del dispositivo, por ejemplo si un usuario visita una página web especialmente manipulada.

Las vulnerabilidades afectarían a las versiones del firmware anteriores a la 1.25, por lo que se recomienda actualizar a la versión 1.25 o superior, disponible desde:

http://www.linksys.com/servlet/Satellite?c=L_Download_C2&childpagename=US%2FLayout&cid=1115417109974&packedargs=sku%3D1134691947479&pagename=Linksys%2FCommon%2FVisitorWrapper

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3698/comentar

Más Información:

USCERT Vulnerability Note VU#528993: Linksys WVC54GC wireless video camera vulnerable to information disclosure.
http://www.kb.cert.org/vuls/id/528993

Vulnerability Note VU#639345: Linksys WVC54GC NetCamPlayerWeb11gv2 ActiveX control stack buffer overflow.
http://www.kb.cert.org/vuls/id/639345

Fuente: hispsec.com

Hola:

A través de un boletín de noticias me he enterado de la existencia de un interesante portal que reune las mejores distribuciones Live-CD sobre seguridad informática.

Además el portal dispone de varias secciones muy interesantes, entre ellas:

- Video Tutoriales.

- Artículos.

- FAQs, Documentación, HowTos…

- Una galeria de imagenes.

- Y un foro.

No dudeis en visitarla.

http://www.securitydistro.com/

Un saludo.