domingo, junio 30, 2013
sábado, junio 29, 2013
Buscando ataques DOS
1.- Permiten búsquedas que devuelven más datos de los que tienen sentido que se proporcionen a un usuario: Hasta los buscadores como Google o Bing ponen límites de resultados ofreciendo como mucho 1.000 por cada consulta - lo que nos obligó por ejemplo en FOCA a tener un tratamiento especial en los huge domains - . Una sitio web que permite consultas de búsqueda que devuelvan 444.000 resultados está cargando innecesariamente de trabajo al sitio web porque ningún usuario va a revisar todos esos resultados.
Figura 4: Buscador de web devulve 444.882 resultados en cada búsqueda |
2.- Permiten lanzar consultas de grandes resultados con una única petición: Muchos sitios web permiten que la consulta se haga con una simple petición GET, lo que facilita sobre manera cualquier automatismo, e incluso el uso de los buscadores como arma de destrucción masiva, utilizando sistemas de amplificación de peticiones como los que mostramos allí.
3.- No limitan el número de consultas por dirección IP y tiempo: Lo que ayuda a que el ataque sea sostenible el tiempo suficiente como para cargar el sitio web.
Publicado por Chema Alonso a las 9:59 a. m. 2 comentarios
Etiquetas: auditoría, Blind SQL Injection, D.O.S., DDOS, pentesting, pentesting by desing, pentesting continuo, SQL Injection
viernes, junio 28, 2013
(XML) Forms Data Format
Figura 1: Fichero XFDF que apunta al doc PDF que se usa como plantilla |
Figura 2: Bing no reconoce FDF como un tipo PDF |
Figura 3: Metadatos en formato FPF |
Publicado por Chema Alonso a las 7:52 a. m. 8 comentarios
Etiquetas: BING, Fingerprinting, FOCA, footprinting, Google, Hacking, metadata, Metadatos, PDF
jueves, junio 27, 2013
En OS X también hay errores en los errores
Figura 1: ¿Que vas a borrar qué? |
Publicado por Chema Alonso a las 8:31 a. m. 5 comentarios
Etiquetas: AFP, Apple, Curiosidades, Mac OS X, Windows
miércoles, junio 26, 2013
Distribuidor de libros 0xWord en México
Figura 1: Logo de Nala Systems |
Publicado por Chema Alonso a las 8:11 a. m. 18 comentarios
Etiquetas: 0xWord, Hacking, Libros, Seguridad Informática
martes, junio 25, 2013
¿Cada cuánto tiempo se debe realizar un pentesting?
Figura 1: XSS de Mr. Bean en la Web de la presidencia de EU 2010 |
Si eres lector de este blog ya sabes qué es lo que opino yo, pero dejadme que lo argumente de una manera más extensa para poder explicar cómo lo veo yo de forma más pausada.
¿Por qué hacer una auditoría de seguridad informática?
Tal vez parezca una perogrullada esta pregunta, pero seguro que la has escuchado alguna vez si has presentado un presupuesto al comité de la empresa. Tal vez incluso te pregunten si no vale con la auditoría que se hizo la última vez o la que se hizo cuando se puso en producción el servicio:
“¿No hicimos una auditoría y nos dijeron que estaba con una seguridad aceptable?”Los motivos por los que se hace una auditoría informática suelen ser varios, pero se pueden reducir a dos: Para cumplir con los procedimientos o para evitar fallos de seguridad.
Al lector no experimentado puede parecer que el primero implica al segundo, pero no es así. El primero implica cumplir las normas, y no tener un objetivo que persiga la seguridad del proceso. Para ello se buscan auditorías que se contratan a precio de saldo, con cientos de direcciones IP por jornadas, automatizadas al máximo y aprovechando hasta el último día para cumplir con los procedimientos.
Estas auditorías se pueden hacer por cualquier normativa interna de la empresa, pero generalmente suele ser por cumplir con alguna auditoría externa, tipo ISO 27.001 o PCI-DSS, y los plazos que se aplican tienden a ser, habitualmente, de seis meses a un año, quedándose fuera de la auditoría todo aquello que no se considera “core” dentro de la certificación.
Cuando se suele contratar una de estas auditorías se busca un informe, lo más gordo y rápido posible, que se adjuntará a la documentación del servicio y que suele ser lo más automatizado posible, utilizando escaners de vulnerabilidades y herramientas certificadas para tal tarea. Un tramite automatizado.
Las segundas auditorías, las que se realizan para estar seguro, son de otra forma. Suelen estar impulsadas por los equipos de seguridad y buscan descubrir de verdad cuál es el estado real de la seguridad. Suelen ser incómodas para negocio, ya que si sale algo severo obliga a trabajar a toda la empresa. En ellas se buscan equipos serios, se hacen a veces con equipos en paralelo que buscan a la vez los fallos de seguridad y presentan resultados que permiten a los responsables buscar no solo las deficiencias, sino una garantía de que el resultado al final de la auditoría será bueno.
¿Cada cuánto tiempo se debe hacer una auditoría de seguridad?
Si lo que buscas es una auditoría del primer tipo, como ya he dicho, las normas suelen ser laxas y permiten periodos de un año. Tener un sistema expuesto a Internet durante un año sin realizar auditorías de seguridad – por mucho mantenimiento de sistemas y actualización de parches que se haga – es una temeridad.
Figura 2: Recomendaciones de frecuencia de auditorías según PCI-DSS |
Hoy en día, los cambios del software base son constantes, y el entorno sobre el que correo una aplicación web en un instante de tiempo T1 no se parecerá al entorno de software en el que correrá en un instante de tiempo T1+1 año. Durante ese periodo el sistema operativo habrá actualizado cientos de parches, cambiado componentes internos y modificado pequeñas funciones en componentes que habrán sido modificados. Habrá cambiado el software que utiliza el cliente y el software de toda la electrónica de red que conecta desde el usuario final, hasta el almacén de datos.
No solo habrá cambiado el software base, sino que se habrán producido decenas o cientos de cambios pequeños en la web que sumados generarán un cambio sustancial en el código de la aplicación. Se habrán añadido nuevos interfaces de usuario para soportar los últimos gadgets, se habrá cambiado la plantilla de la web para adaptarse a los cambios de diseño y se habrán tocado pequeñas o grandes funcionalidades en la web, que sumados todos harán que el código de todo el sistema se parezca poco al que había en el T1 original.
Pero lo más importante es que durante todo ese periodo habrán sido publicadas tropecientas conferencias de seguridad ofensiva que mostrarán nuevas técnicas de hacking, nuevas herramientas o nuevo conocimiento sobre la tecnología existente, se habrán publicado miles de artículos en blogs, congresos académicos y revistas técnicas y habrán aparecido cientos de vulnerabilidades en el software publicadas en foros, listas de correo o bases de datos de expedientes de seguridad.
La suma de estos tres factores, es decir, el software base de la aplicación web sobre la que corre el servicio, los cambios en el código de la aplicación y el avance del conocimiento en técnicas de ataque, hacen que en un año el resultado de una auditoría web en T1 y en T1+1 año pueda resultar “inseguramente” distinto.
La ventana de tiempo importa
Este periodo de tiempo es lo que permite que cuando se hace una auditoría de seguridad, por regla general, siempre aparezcan cosas de nivel crítico. Es común auditar un sistema y acabar encontrando cosas de alta criticidad. Si has hecho auditorías de seguridad ofensiva, estarás acostumbrado a que en el 90 % de los casos acabes entrando hasta la cocina usando las últimas herramientas que traiga para pentesting Kali, los últimos exploits de Metasploit o buscando fallos de SQL Injection en las últimas páginas web añadidas.
Esta ventana de tiempo es también uno de los elementos que permite que, como decía en la presentación, los ciberespías siempre ganen, ya que si el malo descubre un fallo antes que lo descubra el pentester o el auditor de seguridad, entonces ya habrá ganado.
Pentesting Continuo, Pentesting by Desing
Es por esto por lo que para que un sistema esté “razonablemente” seguro, decía yo que los auditores tienen que ser más rápidos encontrando los fallos de un sistema que los malos explotándolos. Para ello es necesario que cada vez que se cambia el software de base o se realiza un cambio en una aplicación un pentester pruebe todas las técnicas conocidas, además de que cada vez que se descubre un nuevo bug, una nueva técnica de hacking o un nuevo fallo de una tecnología, esta se revise sobre todo el sistema.
Con estas ideas es con lo que en Eleven Paths estamos trabajando en hacer de la FOCA una solución “FOCA as a Service”, para revisar la seguridad de una aplicación web constantemente, revisando todos los días todos los fallos conocidos sobre el sistema. Evolucionando el Pentesting Driven by FOCA a un Pentesting Done by FOCA añadiendo día a día nuevas pruebas de auditoría. Es decir, revisando una base de conocimiento K1 sobre un sistema en los instantes de tiempo T1, T2,T3, … Tn, pero al mismo tiempo que se realiza ese análisis constante en tiempo, la base de datos de conocimiento irá creciendo día a día, pasando a ser K2, K3, … Kn a lo largo del tiempo.
Figura 3: Arquitectura versión "alpha" de FOCA as a Service |
Esto nos dejaría que un sistema informático deberá soportar el pentesting by desing, permitiendo que se revise el conocimiento de seguridad Kn en un instante de tiempo Tn. Es decir, la auditoría de seguridad de un sistema debe ser algo lineal y constante, que mantenga el nivel de intensidad a lo largo del tiempo.
¿Es sostenible esta revisión continua de la seguridad?
A día de hoy muchos sistemas no están preparados para esta intensidad de auditoría. Ya muchos administradores se ponen nerviosos con pensar sólo en que llega “la semana de la auditoría” o “la noche de la prueba de DDOS”, como para escuchar que se van a estar realizando estas pruebas de forma continuada. Lo sé. Pero es a donde creo que debemos llegar, a que realizar un proceso de auditoría de seguridad continuado sea algo habitual que se realiza antes de publicar el servicio en Internet.
Saludos Malignos!
Publicado por Chema Alonso a las 6:33 a. m. 8 comentarios
Etiquetas: auditoría, Eleven Paths, FOCA, pentesting, pentesting by desing, pentesting continuo
lunes, junio 24, 2013
DEF CON 21
Figura 1: Banner de conferencias DEF CON 21 |
Figura 2: El Hotel Rio en el No Lusers 89 dedicado a las WiFi de la DEF CON |
Publicado por Chema Alonso a las 8:34 a. m. 3 comentarios
domingo, junio 23, 2013
¿Qué podría capturar la operación Tempora del GCHQ?
En primer lugar, hay que hacer entender a la gente dónde está exactamente la situación del Reino Unido en Internet. Aunque Internet es una red global, la distribución de las conexiones no es ni mucho menos tan distribuida como la ubicación de los servidores. Si echamos un ojo a este mapa del año 2011 de Anson Alex se puede ver cómo los cables que conectan Europa y America por debajo del mal, principalmente están entre Inglaterra y Estados Unidos, siendo casi residuales el resto.
Figura 1: Mapa de conexiones submarinas de Internet |
Esto le confiere a ambos una posición de supremacía para controlar las comunicaciones que se enrutan entre ambos continentes, por lo que podrían acceder a mucho tráfico que por ellos circulan, especialmente si hablamos de los servicios de las principales empresas tecnológicas americanas.
Lo primero que se viene a la mente es el acceso a los mensajes de correo electrónico que no vayan cifrados extremo a extremo con S/MIME o PGP, ya que los mensajes se envían normalmente cifrados entre el cliente y el servidor saliente, y entre el servidor entrante y el destinatario, pero la comunicación entre servidores de correo electrónico aún sigue haciéndose por el puerto 25 sin utilizar SMTP-S o el famoso Mutual-TLS de los servidores Microsoft que permite el cifrado entre ellos.
Figura 2: Opción de Mutual-TLS en MS Exchange Server 2010 |
Esto permitiría obtener el contenido, los archivos adjuntos y un registro de comunicaciones entre cuentas que podría ser analizado para conocer las personas con las que te relacionas.
Si el servicio no cifra el envío de credenciales, por supuesto que estas quedarían al descubierto ante cualquier inspección de tráfico que se produjera. A día de hoy este tipo de cuentas son muy pocas, pero aún quedan muchos servicios que reciben los tokens de autentificación sin utilizar ningún tipo de criptografía.
Una de las peores cosas que pueden hacerse es robar las cookies de las sesiones de los servicios online. Aún hay un montón de servicios online que utilizan tokens en parámetros GET o cookies no cifradas para el mantenimiento de las sesiones, lo que conferiría a alguien con la capacidad de capturar el tráfico la posibilidad de entrar en las cuentas de todos esos cientes con un ataque de hijacking.
Si alguien se conecta a través de la red TOR a un nodo de Internet, la última conexión y el contenido que se envía entre el nodo de salida de la red TOR y el servidor en la red Internet estaría desprotegida por el cifrado y podría ser interceptado por un sniffer que estuviera escuchando en ese cable.
Figura 3: La conexión de salida va sin cifrar |
Si se monitorizan las salidas, se puede saber mucho de lo que se está haciendo desde la red TOR.
Si es posible identificar la huella digital de una conexión, se podría conocer la actividad de una determinada cuenta en todo momento, sabiendo a qué se conecta, qué busca en las resoluciones DNS o qué envía a cada servidor.
Al igual que el resto de servicios de Internet, las llamadas de Voz sobre IP puede utilizar protocolos cifrados y sin cifrar. Si se usa SIP y RTP sin utilizar ninguna capa de cifrado, todas esas llamadas podrían ser reconstruidas. Esto se explica de maravilla en el libro de hacking y seguridad VoIP de Pepelux.
Figura 4: Arquitectura VoIP común de SIP & RTP sin cifrado |
Cracking de conexiones VPN
Por supuesto, si están realizando interceptación de tráfico, podrían capturar todas las conexiones VPN, registrando el proceso de handshake de conexiones PPTP que utilizasen MSCHAPv2, y crackearlo después con ataques de diccionario o con con el servicio de cracking online que se presentó en DefCON20 de CloudCracker.com, para reconstruir todo el tráfico de una conexión VPN, lo que te dejaría totalmente desprotegido aun con una conexión VPN.
Publicado por Chema Alonso a las 9:54 a. m. 3 comentarios
Etiquetas: ciberespionaje, Cifrado, e-mail, Hijacking, Internet, Privacidad, TOR, Voip, VPN
sábado, junio 22, 2013
Mastering the Internet y la operación Tempora del GCHQ
"It's not just a US problem. The UK has a huge dog in this fight.
They [GCHQ] are worse than the US."
Figura 1: Mastering the Internet del GCHQ |
Figura 2: ¿Por qué no interceptamos todas las señales todo el tiempo? |
Figura 3: Conclusiones de la operación Tempora |
Figura 4: Noticia de 2012 en la que se anuncia el asesinato de un codebreaker del MI6 |
Publicado por Chema Alonso a las 10:02 a. m. 3 comentarios
Etiquetas: ciberespionaje, ciberguerra, Internet, Privacidad
viernes, junio 21, 2013
Documental: Acoso en la sombra
Publicado por Chema Alonso a las 8:14 a. m. 8 comentarios
jueves, junio 20, 2013
Why Ciberspies always win
Publicado por Chema Alonso a las 12:26 a. m. 6 comentarios
Etiquetas: ciberespionaje, Eventos, FOCA, Hacking, metadata, MetaShield Protector, pentesting
miércoles, junio 19, 2013
Tapa la webcam o ponte sexy si usas Adobe Flash Player
Figura 2: Cara con la que he salido cuando he probado la PoC |
Publicado por Chema Alonso a las 12:02 a. m. 10 comentarios
Etiquetas: Adobe, bug, Clickjacking, Privacidad, webcam
martes, junio 18, 2013
Políticos del G8 y G20 espiados por ingleses y americanos
Figura 2: Documento que explica los hackeos de las BlackBerry |
"In a live situation such as this, intelligence received may be used to influence events on the ground taking place just minutes or hours later. This means that it is not sufficient to mine call records afterwards – real-time tip-off is essential."
Publicado por Chema Alonso a las 6:33 a. m. 7 comentarios
Etiquetas: 3G, BlackBerry, ciberespionaje, GSM, Hacking, UMTS
lunes, junio 17, 2013
Saltar el passcode de un terminal iOS (iPhone & iPad)
- Exploit Limera1n: Si el terminal tiene un chip A4, es decir, si es un iPhone 4 o iPad 1 entonces se puede utilizar Gecko, una herramienta que permite - haciendo un tethering jailbreak temporal - lanzar un ataque de fuerza bruta en el mismo terminal y obtener el passcode. Se basa en iPhone-DataProtection y tiene el inconveniente de que si el terminal tiene un passcode complejo puede ser un proceso lento. Si has leído la novela Hacker Épico recordarás bien cómo se usa.
- Bug del teclado virtual en iPad utilizando Teensy 3.0: En iPad, al poner un teclado externo, cuando se fallan varias veces sólo se deshabilita el teclado virtual, pero no el físico. Con un Teensy 3.0 se puede hacer una emulación de un teclado y hacer un fuerza bruta para sacar el passcode. De nuevo, hay que tener en cuenta que si tiene un passcode complejo puede ser largo, y que además, aunque no se deshabilite el teclado virtual, sí que se podrían borrar los datos del terminal después de los 10 intentos. Afecta a todas las versiones de iOS hasta iOS 6.1.3 y todas las versiones de iPad.
- Marcas en la pantalla o Shoulder Surfing: Aunque parezca mentira, no hay muchas más opciones de averiguar el valor del passcode que no sea revisar las marcas de dedos en la pantalla - que se puede hacer en valores de passcode simples - , o hacer un poco de cotilleo por encima del hombro. De hecho hay trabajos donde visión artificial como iSpy creado para reconocer las pulsaciones de teclado en iPhone que podrían valer para passcodes complejos. Una forma curiosa de hacerlo ha sido con las Google Glass, que a grandes distancias son capaces de capturar las pulsaciones del passcode.
- Bug en iOS 7.1.2 que permite saltar el passcode: Este bug, aprovechando de Siri, permite sacar la aplicación de llamar y ver contactos.
- Bug en iOS 7.1.1 con Siri que permite acceder a los contactos: Utilizando Siri se puede acceder a todos los contactos con solo utilizar la opción "Otros".
- Bug con Siri, Voice Control y FaceTime en iOS 7.0.2: Por medio de una combinación de llamada de teléfono hecha con Siri, apertura de FaceTime, suspensión y finalización de la llamada, es posible acceder a la app de Phone y llegar a datos de contactos, fotografías, etcétera.
- Falsificación de huellas dactilares en Touch ID: El terminal iPhone 5S permite liberar el passcode y la contraseña de Apple ID haciendo uso de un sensor biométrico de huellas dactilares. Miembros del Chaos Computer Club han demostrado que se puede saltar con una huella dactilar falsa copiada de la víctima.
- Bug de llamada de emergencia en iOS 7: No permite acceder a los datos del terminal, pero si a hacer llamadas. Basta con poner el número en el panel de llamada de emergencia y darle a llamar hasta que iOS 7 falla, sale el logo de Apple y marca el número solicitado.
- Bug en el Control Center de iOS 7.0: En menos de 24 horas tras la publicación de iOS 7 se publicó cómo saltar el passcode accediendo al Control Center con el dispositivo bloqueado. Pulsando para apagar el terminal y después cancelando la operación al tiempo que se pulsa dos veces en el Home Button. Record Time.
- Bug en la beta de iOS 7: En esta nueva versión se permite acceder a la calculadora con el terminal bloqueado con passcode. Una prueba de concepto demostró que se podía acceder al carrete de fotos y borrarlas o compartirlas en Internet.
- Bug de NO SIM en iOS 6.1.3 en iPhone 4: Este fallo se produce a través de las opciones de Voice Control para llamar por FaceTime. Se debe comenzar una llamada y cuando vaya a comenzar sacar la tarjeta SIM. Provocará que se acceda a la aplicación de llamar y contactos, pudiendo accederse al carrete de fotos, pero no a todo el sistema. Tienes un vídeo demostración en el artículo enlazado.
- Bug CVE-2013-0908 en iPhone 5 con iOS 6.1 a 6.1.2: El fallo se produce forzando un apagado del terminal desde el panel de llamadas de emergencia que se cancela. Luego hay que volver a hacer un intento de llamada de emergencia para saltarse el passcode. Son 7 pasos que tienes descritos en el artículo enlazado junto con varios vídeos demostrativos. En ningún caso se consigue acceder a todo el sistema, y sólo se permite acceder a la app de llamar, accediendo a contactos y fotos del carrete.
- Bug de NO SIM en iOS 5.0.1 [CVE-2012-0644]: Este fallo se produce en iPhone 3GS, iPhone 4 y también en iPhone 4S con iOS 5.0.1 y permite acceder sólo a la agenda de contactos y el carrete fotográfico. Para ello es necesario que esté la opción "desplazar para responder" activada. Esta opción permite que cuando se previsualiza una llamada perdida se pueda devolver la llamada solo con desplazar el mensaje hacia la derecha. El bug se produce si justo en ese momento se extrae la tarjeta SIM, ya que se produce otro evento que interrumpe el flujo del programa y permite acceder a los contactos. Tienes un vídeo demostración en el artículo enlazado.
- Bug de SmartCover en iPad en iOS 5.0: Un fallo gordo que permitía con un sencillo truco que consiste en dar a apagar el terminal iPad con el botón, pero antes de aceptar el apagado cerrar la SmartCover, volver a abrirla, y dar al botón de cancelar el apagado. Esto permite abrir la app que estuviera en primer plano - no permite ver todas las apps -. Tienes un vídeo demostración en el artículo enlazado.
- Bug de Acceso al carrete en iOS 5 por estación base falsa: Una de las características de iOS 5 es la posibilidad de utilizar el terminal como una cámara de fotos sin poner el passcode. En el carrete sólo se mostrarán las fotos hechas con fecha posterior a la última vez que se bloqueo con passcode el terminal. Utilizando una estación base de telefónica falsa es posible configurar una hora en el pasado, con lo que aunque se bloquee el terminal se podrá acceder a todas las fotos del carrete. En los terminales iPad sin 3G se hace mediante conexiones a Internet.
- Bug de Activator (Jailbreak) en iOS 4.3.3: Este fallo es similar al que hubo en iOS 4.1, pero en este caso el culpable fue una herramienta que solo puede utilizarse en terminales con jailbreak, que hacía un hooking de las teclas de control por debajo del bloqueo de passcode. Tienes un vídeo demostrativo en el artículo enlazado.
- Bug de llamada de emergencia en iOS 4.1: El bug permite acceder a la app de contactos, y por tanto realizar llamadas y ver las fotos del carrete de fotos. Basta con hacer una llamada de emergencia y cortarla apagando el terminal. Tienes un vídeo demostrativo en el artículo enlazado.Trucos para usar iPhone o iPad sin conocer el passcode
- Bug de FaceTime en iOS: Por defecto los terminales iPhone 4, iPhone 4S e iPhone 5 con iOS 5 o superior - también en iOS 7 - permiten hacer llamadas por FaceTime e inspeccionar la agenda de contactos. Esto puede hacerse con el servicio de Voice Control desde el menú de llamadas de emergencias o utilizando Siri.
- Uso de Siri para acceder a datos: El asistente personal Siri en iPhone 4S o iPhone 5 permite acceder a contactos, hacer llamadas por Facetime, acceder al calendario de eventos, las notas o las alarmas. Usando Siri se puede establecer una alerta a las 4 de la mañana, jugar a robar una cuenta de Hotmail o Gmail con estilo y salero o consultar las notas de un OSX sincronizadas con Apple iCloud. Y por defecto se puede usar sin passcode.
- Deshabilitar Siri pero no Voice Control: Los usuarios de iPhone 4S, iPhone 5 o iPhone 5S que desactiven Siri tienen que tener en cuenta que tras deshabilitarlo aparece Voice Control, que también permite acceder a contactos y hacer llamadas. Es necesario deshabilitar los dos o solo deshabilitar Siri con la pantalla bloqueada.
- Mensajes de pantalla: Un terminal iOS puede mostrar por pantalla previsualización de mensajes de texto SMS - utilizables para el robo de cuentas Gmail/Hotmail -, mensajes de WhatsApp o de cualquier otra aplicación. Además puede ser utilizado para contestar llamadas, saber cómo se almacena un número en la agenda de contactos o ver qué reproducía el reproductor multimedia. Se pueden hacer ciertas acciones desde el terminal bloqueado aunque no demasiadas.
- Acceso al carrete de fotos de iPad: Por defecto los terminales iPad vienen pensados para poder ser también un marco de fotos, y en la pantalla de inicio hay un icono que permite acceder al carrete sin conocer el passcode.Este tema, así como el de cómo instalar troyanos y espiar terminales iPhone, cómo usar Siri para robar cuentas de usuarios, como recuperar mensajes borrados de WhatsApp, controlar y espiar un WhatsApp en iPhone o cómo hacer un forense de iOS localizar el malware son solo algunos pasajes de las más de 300 páginas que conforman el libro de Hacking iOS: iPhone & iPad.
Saludos Malignos!
Publicado por Chema Alonso a las 6:33 a. m. 0 comentarios
Etiquetas: Hacking, iOS, ipad, Iphone, pentesting
domingo, junio 16, 2013
Los Vengadores más o menos
Figura 1: Avengers Informática64 con Perchita, Cálico Electronico, La FOCA y Josemaricariño |
Publicado por Chema Alonso a las 9:05 a. m. 6 comentarios
Etiquetas: Curiosidades, dibujos
sábado, junio 15, 2013
Mea Culpa, Penny
No tiene sentido.
Publicado por Chema Alonso a las 8:20 a. m. 29 comentarios
Etiquetas: Curiosidades, Facebook, Seguridad Informática, WiFi
Entrada destacada
Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox
Pues este año tenemos el BlackFriday durante 7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....
Entradas populares
-
Ayer publiqué un post que tiene ver con las opciones de privacidad de Facebook asociadas a los correos electrónicos , y mañana sacaré la se...
-
Hoy lunes os voy a traer una curiosidad de esas que se me pasa por la cabeza cuando menos lo busco. Y en este caso tiene que ver con Star Wa...
-
La app de mensajería instantánea Telegram tiene muchos fans por el atributo de seguridad que ha querido potenciar desde el principio, per...
-
Como tú eres hacker , y cómo eres de informático, pues te cae lidiar con todos los problemas que tenga cualquier persona con cualquier dispo...
-
Conseguir la contraseña de Facebook de una cuenta es una de las peticiones más usuales que se suele recibir de la gente que busca solucion...
-
Que el mundo del Tokenomics , las Criptomonedas , y los Tokens para desarrollar plataformas digitales Web3 con arquitecturas DApps basada...
-
Ya hace tiempo que dediqué un artículo a los problemas que Facebook estaba teniendo con la indexación en Google . Uno de los lectores (grac...
-
Un día, durante la ejecución de un ejercicio de Red Team , se intentó utilizar ChatGPT con el fin de buscar un exploit que no resultaba fá...
-
Mi paso por la Ekoparty 2024 fue corto pero intenso para mí. Viajé el lunes por la noche, llegué el martes para preparar la charla, me fui ...
-
En los últimos meses, han proliferado multitud de soluciones para crear aplicaciones haciendo uso de la Inteligencia Artificial Generativa (...