"Ciberestafas: La historia de nunca acabar" (2ª Edición) en @0xWord

En 0xWord anunciamos hace unos meses la publicación del libro de Juan Carlos Galindo dedicado al mundo de las "Ciberestafas: La historia de nunca acabar", y la acogida ha sido enorme, haciendo que se acabe la primera edición, y hayamos hecho una segunda edición, con actualización de temas, ampliación de ciberestafas y corrección de tipos. Así que, por "aclamación" de ventas, tenemos ya disponible el libro para que lo puedas comprar en la tienda online.

Figura 1: "Ciberestafas: La historia de nunca acabar" (2ª Edición).

de Juan Carlos Galindo. Nuevo libro de 0xWord Brain

Juan Carlos Galindo escribió un libro que facilita la lectura en cualquier café, transporte o rincón. Un libro que tiene un poco más de páginas, porque esta segunda edición tiene más de 290 páginas, y que se puede leer disfrutando de un poco de relax en una cafetería o de un rato de relajación en cualquier lugar en el que tengas quince minutos o una hora. Sin necesidad de tener el ordenador delante. Un compendio de una de las temáticas que más nos interesan: "Las Ciberestafas", para dar difusión al enorme abanico de estafas y fraudes con las que puedes encontrarte en la web.

Figura 2: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Este libro de "Ciberestafas: La historia de nunca acabar (2ª Edición)" no solo recoge cómo se realizan las ciberestafas más modernas cometidas por los estafadores, sino que también deambula por el pasado del fenómeno para entender su calado social y psicológico. Describe con precisión las decenas de tipologías de fraudes y estafas reales, para poder identificarlas en la vida cotidiana. También nos cuenta con claridad, cuáles son las medidas más eficaces para su mitigación, tanto en el entorno de la empresa como el particular, así como los sistemas de prevención más eficaces.

Figura 3: Contactar con Juan Carlos Galindo

El autor del mismo, como ya sabemos, es Juan Carlos Galindo, experto en prevención de blanqueo de capitales y financiación del terrorismo, además de haberse formado en las áreas de seguridad informática que tiene que ver con el cumplimiento regulativo y la protección de datos. Ha ejercido y ejerce como perito judicial en investigaciones de delincuencia económica, y está especializado en blanqueo de capitales y ciberdelincuencia, haciendo también labores de investigación.

Figura 4: Índice del libro "Ciberestafas: La historia de nunca acabar (2ª Edición)" por Juan Carlos Galindo en 0xWord.

El contenido del texto es de lo más divulgativo y entretenido, ya que no solo explica las ciberestafas que se utilizan sino, gracias a su amplia experiencia en primera persona Juan Carlos Galindo lo narra con excepcional precision. Os dejo el índice del libro, en el que yo me he animado a hacer un pequeño prólogo y el Sr. D. Eloy Velasco Magistrado-Juez de la Audiencia Nacional, ha hecho el epílogo. 

Figura 5: Contactar con Eloy Velasco en MyPublicInbox

Por último, hemos abierto esta línea editorial a todos los Perfiles Públicos de MyPublicInbox, así que si eres uno de ellos, y tienes interés en publicar un libro en 0xWord Brain, puedes solicitar a través de MyPublicInbox, en la zona de "Servicios par ti" de "Mi Perfil", más información del proceso y los compañeros se pondrán en contacto contigo para evaluar tu propuesta.

Figura 6: Publicar tu libro en 0xWord para Perfiles Públicos de MyPublicInbox

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

4, 5 y 6 de Octubre: Navaja Negra, II Forum Europeo de IA & Horizonte

Comienza la primera semana de Octubre, y yo tengo una agenda más que interesante por delante de actividades que complementaré con algunas actividades públicas que os paso a contar, ya que voy a estar en Alicante, Albacete y en la televisión en abierto en Cuatro con Iker Jiménez y Carmen Porter. Por si alguna de las citas os encajan en vuestra agenda y os apetece venir.

Figura 1: 4, 5 y 6 de Octubre - Navaja Negra,

II Forum Europeo de IA de IA & Horizonte 

Te dejo a continuación la lista con los detalles de las actividades, pero ten en cuenta que tienes más información y detalles en las webs de los eventos, así que échales un ojo a cada uno de ellos.

4 de Octubre: II Forum Europeo de IA  [Alicante]

Me llegó esta invitación por Andrei Manuel, Founder de Bit2Me, y no pude decirle que no, así que he metido un poco con "calzador" en mi agenda un viaje exprés a Alicante el 4 de Octubre, para participar en este evento. Daré una charla de 30 minutos en el foro, que es para hablar de todas las posibilidades y retos de la Inteligencia Artificial, así que como yo estaré al final de la mañana, hablaré de mis cosas. Ya sabéis, si seguís lo que voy publicando por aquí.

Figura 2: II Forum Europeo de IA en Alicante. 4 de Octubre

El evento es de día entero, y tiene un elenco de ponentes espectacular, así que si tienes posibilidad ese día de pasarte por allí, merece la pena que le eches un ojo a la agenda del II Forum Europeo de IA.

5 de Octubre: Navaja Negra [Albacete]

El día siguiente, jueves,  toca Albacete para dar la charla en la Navaja Negra, donde me toca dar la primera charla nada más acabar la inauguración, y justo antes del gran Miguel Ángel de Castro, así que emoción a tope. Y la charla será para hablar de una PoC que hemos construido jugando con juguetes. Así que hablaré de "Advanced Persistent Thre...Toys", para contaros un proyecto con el que Pablo González, Fran Ramírez, Alvaro Núñez-Romero y yo llevamos tiempo jugueteando. Ya sabéis, de esas cosas que hacemos en el equipo de Ideas Locas.

Figura 3: Agenda de charlas para Navaja Negra.

De la Navaja Negra poco más que contaros, ya sabéis que es una pedazo de CON de tres días de duración, donde tendréis también un taller de Pablo González y Alvaro Núñez-Romero para aprender, jugar, y practicar con Web3, Hacking & Pentesting de BlockChain, SmartContracts & Tokenomicss usando Level_UP!

Figura 4: Taller sobre Seguridad en Web3 en Navaja Negra

impartido por Álvaro Núñez-Romero.

Y luego, la lista de ponentes, pues espectacular, como siempre. Amador Aparicio, Fernando Rubio Román, Manuel S. Lemos, Marc Rivero, Ruth Sala Ordoñez, Raúl Siles, Miguel Ángel de Castro, Pablo González, Alvaro Núñez-Romero, Joel Gámez Molina, Ivan Portillo, Emilio Rico Ruiz, Abraham Pasamar o Ricardo Narvaja entre otros.

Figura 5: Habrá stand y sesión de firmas de 0xWord

También habrá un stand de 0xWord allí, y podrás usar tus Tempos de MyPublicInbox para conseguir libros, chapas, pegatinas, etcétera, así que ven listo si quieres algo de material. Y haremos unos horarios de firmas de libros con algunos autores. Yo estaré el día 5 de Noviembre firmando nada más terminar mi charla, así que si quieres comprar un libro y llevártelo firmado, yo estaré por allí una hora o así para ello. Y si los llevas comprados online por anticipado, para recoger allí, tendrás prioridad para recogerlos.

Del 05 al 06 de Octubre: Horizonte [Televisión en abierto - Cuatro]

 

Y para terminar la semana, nada más regresar de Navaja Negra iré directo al plató de televisión de Horizonte de mis queridos Iker Jiménez y Carmen Porter, para hablar de tecnología, actualidad, y esas cosas que tanto nos gustan a los dos. Os encantaría ver cómo Iker deja volar su imaginación y le saca partido a la GenAI en su día a día.

Figura : En Horizonte con Iker Jiménez y Carmen Porter

Será como siempre, unos minutos, probablemente después de las 12:00, pero realmente el programa comienza el Jueves 05 a las 23:00 horas, así que si eres de los que disfrutan la noche de la televisión, por allí estaré.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cursos Online de Seguridad Informática & hacking durante Octubre en HackBySecurity

Un mes más os traigo la lista de formaciones y cursos online, que dan comienzo este mes, OCTUBRE, y que puedes hacer a tu ritmo desde en la Academia de HackBySecurity. Están diseñadas para los que queréis formaros  en Seguridad informática & Hacking, como complemento a vuestra jornada diaria y a vuestro ritmo, con acompañamiento de tutores. Ésta es la lista de Cursos Online de Ciberseguridad de HackBySecurity, para que luego, si te parece bien, te vengas a trabajar a nuestras ofertas de empleo  en Telefónica después.

Figura 1: Cursos Online de Seguridad Informática & hacking

 durante Octubre en HackBySecurity

Además, si quieres tener un descuento en ellos, puedes utilizar tus Tempos de MyPublicInbox para comprar un código descuento de 10%, 20% y  30% de descuento por 50, 100 y 200 Tempos en la sección de Canjea tus Tempos. Solo hay 10 códigos de cada.

Figura 2: Descuentos de Cursos de HBS en MyPublicInbox

Y ahora, la lista de cursos online que tienes en HackBySecurity para este mes de OCTUBRE. Aquí tienes a los que puedes apuntarte para formarte online a tu ritmo en cibeseguridad, hacking y seguridad informática.

- Curso Online de Hacking con Buscadores (CHB): Como novedad, tenemos este mes esta nueva formación estructurada en 8 horas de vídeos para un trabajo de 25 horas individuales que comienza el próximo 4 de OCTUBRE, y que se basa. en el libro de Hacking con Buscadores de Enrique Rando y el libro de Open Source INTelligence (OSINT): Investigar personas e identidades en Internet (2ª Edición) de Vicente Aguilera y Carlos Seisdedos, y que explica cómo sacarle partido a los buscadores para hacer hacking, para encontrar bugs, para hacer ciberinteligencia, etcétera. 

Figura 3: Curso Online de Hacking con Buscadores

La formación la imparten Rafael García Lázaro y Miguel Ángel Martín, y es uno de los básicos para cualquiera que que comience en el mundo de la ciberintelencia, el pentesting o el hacking en general, ya que para explorar la seguridad de una web, saber sacar el máximo de la información que Bing, Google, DuckDuckGo, Robtext, Shodan, y un largo etcétera han generado de esos dominios es fundamental. 

- Master en Ciberseguridad MIOTI: A partir del 9 de OCTUBRE se abre el registro para el nuevo Máster en Ciberseguridad de 240 horas de duración, con clases en streaming directo y presencial. En él se toca un amplio recorrido de temáticas que van desde la ciberinteligencia hasta la seguridad ofensiva.

Figura 4: Master en Ciberseguridad MIOTI

El curso lleva además 6 libros de 0xWord, y 2.000 Tempos de MyPublicInbox para completar la formación, así que si te interesa meterte de lleno en este campo profesional dedicando un año de tus estudios a ello, pide información en la web del curso.

- CSIO (Curso de Seguridad Informática Ofensiva): En este curso online de seguridad informática ofensiva que comienza el 11 de Octubre el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de penetración y auditorías de seguridad informática pudiendo llegar a desempeñar puesto como el de hacker ético, pentester o auditor de ciberseguridad. Se le introducirán desde los conceptos de hacking básicos hasta la creación de sus propios exploits, pasando por las técnicas de ataque y herramientas más avanzadas y efectivas.  

Figura 5: Curso Online de Seguridad Informática Ofensiva

Además, el alumno tendrá como complemento del mismo una de las dos opciones siguientes, que puede elegir. Podrá tener el libro de Metasploit para Pentesters Gold Edition o el VBOOK de Ethical Hacking de 0xWord. 

Figura 6: Metasploit para Pentesters Gold Edition  

Este Curso Online de Seguridad Informática Ofensiva en HackBySecurity es una de las mejores opciones si lo que estás es buscando formarte profesionalmente para trabajar de pentester, y además quieres un modelo flexible de formación, y tiene como docentes a Rafael García  y a Pablo González, con los módulos de Python y Bash, que además puedes conocer mejor en la entrevista que le han hecho donde habla de muchas cosas de este mundo. 

Figura 7: VBook Ethical Hacking de Pablo González en 0xWord  

Y para completar la formación, además esta edición cuenta esta edición cuenta con MásterClass en Directo de Pablo González sobre Escalada de Privilegios en GNU/LINIX y otra masterclass de Rafael García Lázaro así como con 200 Tempos de MyPublicInbox que recibirán todos los asistentes y habrá una sala de Chat en MyPublicInbox para contactar con los docentes.

- CAIFOR (Curso Online de Análisis Informático Forense: Esta formación, que da comienzo el próximo 16 de Octubre está diseñada para que, durante 100 horas de trabajo, los asistentes aprendas a realizar ejercicios forenses, tanto en sistemas encendidos, donde aprenderás a extraer información volatil, como sobre sistemas apagados. Realiza correctamente las copias sobre las que hacer la forensia, trabaja con sistemas WIndows, Linux y MacOS, todo desde un enfoque práctico y apoyado constantemente por un docente experto en la materia. 

 

Figura 8: CAIFOR (Curso Online de Análisis Forense)

Además, el curso tiene como complemento a la formación el libro de 0xWord escrito por Pilar Vila, llamado "Técnicas de Análisis Forense para Peritos Judiciales profesionales".  

Figura 9: "Técnicas de Análisis Forense Informático para
Peritos Judiciales Profesionales"
Libro de Pilar Vila en 0xWord para todos los alumnos.  

Esta formación cuenta con 200 Tempos de MyPublicInbox que recibirán todos los asistentes y habrá una sala de chat en MyPublicInbox para contactar con los docentes.

- TAM (Taller Online de Análisis de Malware): El día 18 de Octubre tendrás una formación muy especial, ya que se trata de un taller con Rafael García Lázaro para comenzar en el mundo del análisis de malware. 

Figura 10: Taller Online de Análisis de Malware 

Esta formación cuenta con 200 Tempos de MyPublicInbox que recibirán todos los asistentes y habrá una sala de Chat en MyPublicInbox para contactar con los docentes.   

- CTEC (Curso Técnico Especialista en Ciberinteligencia): Pasado mañana 23 de Octubre comienza la formación para aquellos que quieran empezar a trabajar en labores de ciberinteligencia en el mundo de la empresa. Con el objetivo de aprender cuáles son las fuentes de información pública, las técnicas de captura de información y cómo realizar una investigación en Internet y en la Deep Web, este curso enseña metodologías y procedimientos de análisis de información.  El curso tiene por docentes a Rafael García Lázaro y Miguel Ángel Martín, con los que puedes consultar en sus buzones públicos para resolver dudas.

Figura 11: CTEC (Curso Técnico Especialista en Ciberinteligencia)

Además, como complemento a esta formación se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación. 

Figura 12: Libro Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet  

En esta edición, además, se cuenta con 200 Tempos de MyPublicInbox que recibirán todos los asistentes.

- CHSW (Curso Online en Hardening de Servidores Windows), que ha creado y tutoriza Ángel A. Núñez, MVP de Microsoft desde el año 2016 en Tecnologías Cloud & DataCenter, y escritor del libro de 0xWord "Windows Server 2016: Configuración, Administración y Seguridad" y del "VBOOK de Windows Server 2016" tendrá lugar el próximo 25 de Octubre.

Figura 13: Contactar con Ángel A. Nuñez en MyPublicInbox 

Esta formación, que esta creada para enseñar a los equipos de seguridad de sistemas, los equipos Blue Team, y a los arquitectos de sistemas que trabajan con los DevSecOps cómo dejar fortificado al máximo los servidores de la infraestructura. En ella se entregará el libro de "Windows Server 2016: Configuración, Administración y Seguridad".     

- Máster ONLINE en Ethical Hacking y Ciberseguridad Legal: El día 30 de Octubre da comienzo este Máster, acreditado por la Universidad Católica de Ávila, que incluye, además los libros de Metasploit para Pentesters Gold Edition,  Linux Exploiting, Técnicas de Análisis Forense Informático para Peritos Judiciales Profesionales, Open Source INTelligence (OSINT):Investigar personas e Identidades en Internet, Hacking iOS (iPhone & iPad) 2ª Edición, y Cómo protegerse de los Peligros en Internet, así como de 500 Tempos de MyPublicInbox y un Test de Singularity Hackers que recibirán todos los asistentes.

Figura 14: Máster ONLINE en Ethical Hacking y Ciberseguridad Legal

Y esto es todo lo que tienes para este mes de Ocubre que comienza hoy, así que si quieres aprovechar el tiempo y formarte en Ciberseguridad & Hacking a tu ritmo, tienes una buena y variada oferta de cursos online y másters que realizar.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

De Hacker a Hacker: Pablo González entrevista a Fernando Rubio Román de @MicrosoftES

Para hoy domingo os voy a dejar la última de las entrevistas entre hackers que ha hecho nuestro nuestro compañero a Pablo González a otro "hacker"  en este caso dedicado a ayudar a los profesionales a hacer una migración a la nube y un uso de la misma de manera segura. El gran Fernando Rubio Román, que es Azure Technical Specialist Manager en Microsoft, además de estar certificado como CISSP.

Figura 1: De Hacker a Hacker. Pablo González entrevista a  Fernando Rubio Román

La charla dura 37 minutos, y os la he subido a mi canal de Youtube para que la podáis disfrutar mientras estáis relajados este domingo, que ambas personas son también grandes divulgadores de tecnología como ya sabéis.

Figura 2: Contactar con Pablo González

Como es habitual en estas sesiones de "De Hacker a Hacker", en la charla, hablan de muchas cosas que tienen que ver también con formarse, con el impacto de la la seguridad en las soluciones profesionales para las empresas, en el nuevo mundo tecnológico de las compañías, etcétera.

Figura 3: Riesgos para la ciberseguridad con la Inteligencia Artificial

Pero como puedes ver en la imagen superior, también se tocan temas de mucha actualidad, como el impacto de la Inteligencia Artificial en Ciberseguridad, o el uso de las tecnologías de Cloud Computing de forma segura, que tiene que responder Fernando Rubio Román en la entrevista. Aquí tienes el vídeo completo.

Figura 4: De Hacker a Hacker. Pablo González entrevista a  Fernando Rubio Román

Y sobre todo, como sentirse atraído por esta pasión que es para nosotros la ciberseguridad. Si te apetece, puedes ver todas las sesiones que hemos tenido hasta el momento en la lista de reproducción de "De Hacker a Hacker".

Figura 5: Lista de reproducción "De Hacker a Hacker"

Además contactar con ellos de forma privada utilizando sus buzones públicos en la plataforma de MyPublicInbox. Sus cuentas son las que ves en la Figura 2 y la Figura 6 para que contactes con Pablo González y Fernando Rubio Román .

Figura 6: Contactar con Fernando Rubio Román

Y nada más por hoy sábado, disfrutad del fin de semana, aprended lo que podáis, recargad pilas para la próxima semana, y quiero listo a todo el mundo para hackear el futuro de cada uno el lunes a las 08:00.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WriteUp del Reto Hacking Web3 Overworld & Nuevo Reto DEX Knowledge en Level_Up!

Apunto de finalizar el mes de septiembre lanzamos el WriteUp del reto Overworld y publicamos el mes de septiembre, en este caso un reto para entender conceptualmente el funcionamiento de un DEX o un Exchange Descentralizado. Seguimos avanzando en el aprendizaje de la Web3 y de la seguridad que rodea a ésta. 

Figura 1: WriteUp del Reto Hacking Web3 Overworld

& Nuevo Reto DEX Knowledge en Level_UP!

Cada vez son más los usuarios que juegan con Level_UP! y que quieren conocer la seguridad sobre este campo. Es más, si estás por Albacete la semana que viene pásate por Navaja Negra para ver el taller sobre Seguridad en Web3 dónde Level_UP! es protagonista, y lo impartiré con nuestro compañero Álvaro Núñez-Romero.

Figura 2: Taller sobre Seguridad en Web3 en Navaja Negra

impartido por Álvaro Núñez-Romero.

Además, pronto tendremos novedades para que podamos disfrutar de Level_UP! en una testnet y seguir el aprendizaje sin necesidad de desplegarlo en local. Si quieres montar tu CTF sobre Web3, Level_UP! es tu entorno Open Source con el que poder hacerlo. Queremos facilitar el aprendizaje, sin necesidad de desplegarlo en local, por lo que utilizaremos alguna testnet y pronto daremos noticias.

Figura 3: Level_Up! en GitHub

Dicho todo esto, vamos con el artículo de hoy. Vamos a dar solución al Reto Overworld. La dificultad de Overworld es de tipo 3, aunque puede resultar sencillo para muchos players, ya que dependerá cómo todo de la intuición y conocimiento de cada uno. Los puntos en juego son 100.

Reto: Overworld

Leyendo la página del reto podemos entender que el objetivo es conseguir la flag, como siempre, y que para ello debemos trabajar con el concepto de Token. Podremos crear y quemar tokens. El acertijo que hay que resolver es si podemos conseguir llegar a los 255 tokens. Si leemos las funciones faucet y burning encontramos que no podemos o no deberíamos poder llegar a los 255 tokens que son necesarios para conseguir la flag. Vamos a ver cómo podemos jugarlo. 

Tras desplegar el reto nos fijamos en que la variable balances almacena un mapping entre direcciones y números enteros sin signo de 8 bit. Este detalle es importante. En otras palabras, el contrato almacena la cantidad de tokens que tiene cada usuario, pero no podrá almacenar más de 255, ya que el tipo de dato es un entero sin signo. Al ser un entero sin signo, el rango de valores va de 0 a 255. Para conseguir la flag, el requisito es conseguir tener 255 tokens.

Figura 4: Función getFlah()

El problema viene cuando vemos que usando la función faucet para mintear tokens y la función burning para quemar tokens pues se controla que no se pueda llegar a 255. Si revisamos bien la función burning comprueba la suma, pero no la resta. Al final, quemar tokens es una resta de enteros, por lo que si se valida la suma no tendrá validez.

¿Qué ocurre si tengo 0 tokens y pido quemar 1? Se produce un Underflow y consigo el valor máximo, es decir, 255. Si intento mintear tokens y llegar a 255 no voy a poder, porque el require de la función faucet no me lo va a permitir. En el caso de burning se comprobaría que 1 + 0 no es 255, pero realizaríamos la operación inversa, quemar tokens y daríamos “la vuelta” al marcador, pero por el límite inferior. Es decir, hacemos un underflow.

Figura 5: Función burning()

¿Esto no lo controla Solidity? La respuesta es sí y no. Hasta la versión 0.8 del compilador no y si nos fijamos la versión de compilación del código es la 0.6.2, por lo que el lenguaje no controla los límites inferiores, ni superiores de las variables de tipo entero. Esto puede ser un gran problema, como se ve en el reto. Debe ser el programador quién lo controle. ¿Cómo avanzamos? 

Figura 6: Función burn()

La solución más rápida y sencilla sería si tengo 0 tokens en un inicio y lo puedo ver invocando al objeto contract.mytokens() desde la consola de Javascript del navegador y quiero llegar a 255, puedo solicitar quemar una unidad a mis tokens. Debería comprobarse que no tengo tokens y que no puedo quemar, pero la comprobación no se hace correctamente, como se puede ver en el fragmento de código de la Figura 6.

Figura 7: Resultado obtenido 255 tokens tras quemar 1 token con 0 token de saldo

 
Ahora, si invocamos un contract.burning(1) se restaría una unidad a nuestros 0 tokens provocando el desbordamiento (underflow) y pasaríamos a tener el valor máximo que sería 255. Justo lo que necesitsamos tener para lograr la flag.

Figura 8: Conseguimos la flag y validamos la flag.

Ahora toca validar la flag para conseguir los puntos. Podemos visualizar la flag con contract.getFlag() y, posteriormente, validarlo contra el contrato base con la instrucción base.validateFlag(contract.address, contract.getFlag()).

Nuevo reto: DEX Knowledge

Publicamos el nuevo reto del mes de septiembre en Level_UP! Es el reto número 16 y tiene una dificultad de 3 sobre 5. Habrá 150 puntos en juego y permite conocer el concepto de DEX o Exchange Descentralizado. La idea del reto consiste en que el player pueda conocer los conceptos básicos de un DEX para intercambiar tokens y delegarlos para que un DEX pueda intercambiarme los valores.

Figura 9: Nuevo reto "DEX Knowledge"

No será tan sencillo el reto, por lo que tendremos que estudiar las condiciones que debemos cumplir para conseguir el acceso a la flag y poder superar el reto y sumar los puntos. Os animamos a jugar con DEX Knowledge en Level_UP! que pronto tendréis novedades para jugar en una testnet. Nos vemos en el Taller  de Seguridad Web3 de Navaja Negra y seguiremos aprendiendo sobre la seguridad de los SmartContract.

Figura 10: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

Seguiremos resolviendo retos y creando nuevos retos para el aprendizaje en seguridad en Web3 y recuerda que si quieres aprender de estas tecnologías, tienes Bit2Me Academy, que es una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos además del libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación" de Yaiza Rubio y Félix Brezo que seguro que te ayudan a ponerte las pilas.

Más artículos de Web3, Blockchain & SmartContracts

• Blockchain & SmartContracts: Una serie para aprender
• BlockChain & SmartContrats: Primer SmartContract con Solidity
• Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
• WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
• Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
• Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
• Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
• Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
• BitCoin: Blockchain y su investigación
• BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
• Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
• BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
• Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
• Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts
• BlockChain & SmartContracts: Ataque de phishing a tx.origin y robo de criptomonedas
• BlockChain & SmartContracts: Ataques de Ice Phishing
• Blockchain & SmartContracts: Herramientas de análisis dinámico
• ZIION: Una distribución Linux para auditar SmartContracts (& BlockChain)
• Dominios Web3 en Etherenum Name Service y la trazabilizad de las transacciones Blockchain
• BlockChain & SmartContracts: Actualizar SmartContracts como los grandes protocolos
• Jumping level up (from) web2 (to) web3: Vulnerabilities & SCAMs - SmartContracts
• 20 millones (Euros) en Tokens de Optimism perdidos por no saber cómo funcionan los Wallets Multifirma
• BlockChain & SmartContracts: Cómo crear una DApp de la Web3 con Python (y Flask)
• Pentesting SmartContracts: From Web2.0 to Web3
• Tokenomics 101: Una explicación con gráficos
• Read-Only Reentrancy Attack: $220k robados y otros +$100M en riesgo
• Como utilizar ChatGPT para encontrar bugs en SmartContracts
• BlockChain & SmartContracts: Nuevas áreas profesionales relacionadas con la Web3
• Las voces de Satoshi: Un canal para estar al día en Web3, Blockchain, Criptos & IA
• BlockChain & SmartContracts: Nuevas áreas profesionales relacionadas con la Web3
• Bit2Me Academy: Una plataforma online para aprender de Web3, BitCoin, Tokenomics o Ethereum con cursos gratuitos
• Level_Up!: Una plataforma para aprender a hacer pentesting en Web3 (SmartContracts & BlockChain ) a través de retos hacking
• Level_Up!: Web3 Security WarGames para los amantes del Challenge Based Learning
• Level_up!: WriteUp del Reto Questions para comenzar el pentesting en la Web3
• Level_Up! Deny_to_me Challenge activado en la plataforma Level_up! de retos hacking Web3
• Level_Up!: WriteUp del Ownership Challenge para hacer pentesting en Web3
• Nuevo reto Hacking Web3 de Level_UP! -> Forensic Ouch! 
• Level_Up!: WriteUp del reto "Safeguarding" para hacer pentesting en Web3
• Reto Web3 en Level_Up! "Replay_me": La importancia de una correcta validación de firmas
• Level_Up! Configuración paso a paso de la plataforma de pentesting en Web3
• Level_Up! Consigue tus NFTs mientras cuando supera retos Web3
• Telefónica validará nodos de la cadena BlockChain de Celo
• Latch Web3: Un pestillo de seguridad para SmartContract
• Level_Up!: El WriteUp del reto "Origin" y un nuevo reto "Guess my number"
• CrazyToolBox: Una herramienta multifunción de utilidades Web3
• Level_Up!: El WriteUp del reto "ReLottery" y un nuevo reto de agosto llamado “Pay Me!”
• WriteUp: Reto Overworld y nuevo reto DEX Knowledge disponible en Level_Up!

Saludos,

Autor: Pablo González Pérez, escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

App de MyPublicInbox para dispositivos Android: Descárgala desde Google Play

Este verano el equipo de MyPubublicInbox ha estado trabajando en una primera versión de una App de MyPublicInbox para dispositivos Android, tanto SmartPhones como tablets, lo que permitirá a los usuarios de la plataforma tener un acceso más cómodo a la plataforma, poder leer los mensajes y contestar de manera más cómoda, pero también a todo el resto de las funciones.

Figura 1: App de MyPublicInbox para dispositivos Android.

¡Descárgala desde Google Play!

Esta es la primera versión, y aún estamos en el proceso de discusión y verificación de la versión para dispositivos Apple, pero si eres usuario de Android ya puedes descargarla desde Google Play e instalarla en tu terminal para que sea más cómodo entrar en MyPublicInbox desde tu dispositivo móvil.

Figura 2: App de MyPublicInbox para Android en Google Play

Como os he dicho, la app está basada en una experiencia webview responsive, pero el equipo está trabajando en mejorar en las siguientes versiones la experiencia, y en tener una estrategia Mobile-First para la evolución de la plataforma, así que veréis como va mejorando de forma rápida en nuevas versiones.

Figura 3: App de MyPublicInbox para Android en Google Play

Pantallas de terminales smartphone Android

Desde la app podéis acceder no solo al envío y recepción de mensajes, sino a la configuración de vídeo conferencias, el acceso a los servicios de la plataforma, etcétera, ya que no habrá nada que esté en la versión web que no esté en la versión Mobile.

Figura 4: App de MyPublicInbox para Android en Google Play

Pantallas de terminales tablets Android

Personalmente, ver crecer un proyecto como MyPublicInbox, poquito a poco, es una pasada, y ver la cantidad de usuarios que se comunican a través de la plataforma que nació aún no hace cuatro años, nos encanta. Es una pasada ver cómo una idea pequeña va creciendo hasta convertirse en una plataforma con usuarios de tantos paises.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)