Simon Roses Femerling – Blog | CyberSpace Insecurity 3.X

Entretenimiento Hacker para tiempos del COVID-19

Publicado el marzo 27, 2020 por Simon Roses

Estamos ante una situación extraordinaria y muy grave por lo que es necesario que todos nos quedemos en casa. Afortunadamente vivimos en la era de la información y muchos de nosotros, hackers, estamos acostumbrados a estar encerrados en casa desde adolescentes.

Actualización: Más enlaces y nuevas secciones que incluyen programación, lockpicking y seguridad web.

En este post quiero proponer algunas ideas de temática hacker para formarte y pasarlo bien durante el confinamiento y además todo gratis (o casi).

Makers

Revista MagPi: revista de culto para los fans de Raspberry PI (tienes que tener varios de estos dispositivos en tu arsenal) Muchas ideas para desarrollar https://magpi.raspberrypi.org/
Raspberry Pi Projects & Tutorials: repositorio de proyectos basados en Raspberry PI https://maker.pro/raspberry-pi

Desarrollo de Exploits e Ingeniería Inversa

Azeria Labs: genial recurso para entrar en el mundo de ARM, incluyendo programación, exploits, ensamblador y labs preparados en formato VM https://azeria-labs.com/writing-arm-assembly-part-1/
Fuzzy Security: desarrollo de exploits en Windows https://www.fuzzysecurity.com/index.html
CorelanTeam: el recurso top para desarrollo de exploits en Windows https://www.corelan.be/
Linux Kernel Exploitation https://github.com/xairy/linux-kernel-exploitation
Tutoriales de Ricardo Narvaja http://ricardonarvaja.info/

Radiofrecuencia (qué hacer aunque no tengas radios o SDR)

Aprende código morse (aunque ya no se pide en la licencia de radioaficionado): Android Morse Mania Morse Code | iPhone Learn Morse Morse-it
Quizás es un buen momento para estudiar la licencia de radioaficionado (el examen es presencial, pero puedes ir preparándote) Libro: Supera tu examen de radioaficionado Exámenes Exámenes

Retos Hacking: Capture The Flag (CTF)

Hack The Box: la plataforma de excelencia donde practicar pentesting https://www.hackthebox.eu/
vulnhub: portal web donde descargar multitud de VM vulnerables que explotar https://www.vulnhub.com/
OverTheWire: todo tipo de restos hacking https://overthewire.org/wargames/
CTFtime: portal para estar informado y encontrar https://ctftime.org/

Seguridad Web

Bugcrowd University https://www.bugcrowd.com/hackers/bugcrowd-university/
Portswigger (Burp proxy) Web Security Academy https://portswigger.net/web-security
PentesterLabs: diversos ejercicios para practicar hacking web https://pentesterlab.com/exercises

Lockpicking

MIT Guide to Lock Picking https://www.lysator.liu.se/mit-guide/MITLockGuide.pdf
LockPickingLawyer https://www.youtube.com/channel/UCm9K6rby98W8JigLoZOh6FQ
Deviant Ollam https://www.youtube.com/channel/UC4dxXZQq-ofAadUWbqhoceQ

Formación Online (muchísimas opciones, pero os pongo algunas interesantes)

Offensive Security Certified Professional (OSCP). Aunque este sí sea de pago, está considerada la certificación por excelencia para un pentester https://www.offensive-security.com/pwk-oscp/
ElasticSearch: formación sobre esta potente herramienta https://training.elastic.co/learn-from-home
Cybrary: plataforma de formación continua https://www.cybrary.it/

Programación

Code Academy https://www.codecademy.com/
w3schools https://www.w3schools.com/
Code.org https://code.org/

Vídeos

OPCDE – COVID-19 Edition – VIR(TU)AL SUMMIT – The Future of Cybersecurity
Advanced Persistent Talks (APTs) https://advancedpersistenttalks.com/
Charlas de DEF CON https://www.youtube.com/user/DEFCONConference/videos
Irongeek: repositorio de enlaces a gran cantidad de charlas http://www.irongeek.com/i.php?page=security/hackingillustrated
Mi canal yotube :) https://www.youtube.com/playlist?list=PLBuqvP4l-eNgflH37Wds0EuQxavCculU4

Libros & Zines

International Journal of Proof-of-Concept or Get The Fuck Out (PoC||GTFO or PoC or GTFO) https://www.alchemistowl.org/pocorgtfo/
Free Security Ebooks https://github.com/Hack-with-Github/Free-Security-eBooks
Red Team: How to Succeed By Thinking Like the Enemy https://www.amazon.com/Red-Team-Succeed-Thinking-Enemy/dp/1501274899
Tribe of Hackers Red Team: Tribal Knowledge from the Best in Offensive Cybersecurity https://www.amazon.com/Tribe-Hackers-Red-Team-Cybersecurity/dp/1119643325
The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities https://www.amazon.com/Art-Software-Security-Assessment-Vulnerabilities/dp/0321444426
IoT Hackers Handbook: An Ultimate Guide to Hacking the Internet of Things and Learning IoT Security https://www.amazon.com/-/es/Aditya-Gupta/dp/1974590127
Inside Radio: An Attack and Defense Guide https://www.amazon.com/-/es/Qing-Yang-ebook/dp/B07BKVKL87/
The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws https://www.amazon.es/dp/1118026470/
PoC || GTFO https://www.amazon.com/-/es/Manul-Laphroaig-ebook/dp/B074YMZF4P/
PoC || GTFO, Volume 2 https://www.amazon.com/-/es/Manul-Laphroaig/dp/1593279345/
Elon Musk: Tesla, SpaceX, and the Quest for a Fantastic Future https://www.amazon.com/Elon-Musk-SpaceX-Fantastic-Future/dp/006230125X
Zero to One: Notes on Start Ups, or How to Build the Future https://www.amazon.com/-/es/Zero-One-Notes-Start-Future-ebook/dp/B00KHX0II4/

Espero que te sea útil y te haga el confinamiento más agradable. Con todo este material tienes para semanas, ¡incluso meses!

#QuedateEnCasa / #QuedateEnTuCasa

Lector: ¿alguna propuesta que añadir a esta lista? ¡Gracias!

@simonroses

Publicado en Sin categorizar | Etiquetado Ciberseguridad, COVID-19, COVID19, hacker, hacking etico, Seguridad Informacion | Deja un comentario

C1b3rWall: mi experiencia

Publicado el junio 20, 2019 por Simon Roses

La Escuela Nacional de Policía, ubicada en Ávila, ha celebrado su primer congreso de CiberSeguridad, C1b3rWall, del 17 al 20 de junio. He tenido el placer de poder participar y me gustaría compartir mi experiencia de este gran evento, que ya os adelanto es cita obligatoria!

El evento de cuatro intensos días ha estado repleto de charlas en el auditorio principal y de talleres en las aulas, todo de altísimo nivel y con una amplia variedad de temáticas donde escoger: OSINT, forense, seguridad, SIGINT, hacking, etc. En mi caso, impartí dos sesiones de un taller de introducción a la «ingeniería inversa de aplicaciones Android».

El enfoque de mi taller era de carácter práctico. Los asistentes deberían haber estado trabajando en una serie de ejercicios prácticos reales como aplicaciones vulnerables CVE del 2018-2019 y muestras de malware, pero desafortunadamente por diferentes motivos no pudo ser. Así que opté por contar cómo comenzar en este mundillo y algunos trucos aprendidos durante mi larga trayectoria en el tema. Doy las gracias a los asistentes, que me han transmitido su agradecimiento por unos estupendos talleres, y les invito a realizar los ejercicios prácticos. Como en el gimnasio, para aprender toca sufrir, pero siempre pasándolo bien :)

Los ponentes nos hemos albergado en la misma escuela, por lo que he probado en mis propias carnes la auténtica experiencia policial de ingresar en la Escuela :)

Además de todas las formaciones disponibles, la Policía Nacional organizó distintas demostraciones de sus capacidades que tuvieron una gran acogida entre el público asistente, más de 3000 personas!!! Personalmente una de las que más me gustó fue la simulación de cómo la Policía repele un ataque contra una persona VIP, protege mercancías valiosas o detiene un dron y su piloto, impresionante!

Por supuesto, no todo han sido talleres y charlas; también tuve el placer de asistir a un evento privado organizado por la gente de uniCOrN para disfrutar de los placeres de Ávila.

Desde aquí agradecer a todos los que han hecho posible este gran evento: la organización, Escuela Nacional de Policía, Policía Nacional, CNEC de la Universidad Autónoma de Madrid, patrocinadores y, por supuesto, asistentes. Muchísimas gracias.

Seguro que nos volveremos a ver en próximas ediciones y entretanto os dejo una foto de despedida :)

— @simonroses

Publicado en Conferencia, Hacking, Hacking Etico | Etiquetado Android @es, Apps @es, AppSec, Ciberseguridad, Conferencia, hacking etico, Ingeniería Inversa, VULNEX @es | Deja un comentario

Octubre, Mes Europeo de la Ciberseguridad 2018: ¿éxito o fracaso?

Publicado el noviembre 8, 2018 por Simon Roses

El pasado mes de octubre fue el Mes Europeo de la CiberSeguridad 2018, una campaña de concienciación que promueve la ciberseguridad a todos los ciudadanos de la UE organizada por ENISA (Agencia de la Unión Europea para la Seguridad de las Redes y la Información) cada mes de octubre durante los últimos 5 años. Gracias ENISA.

En este post destaco los principales incidentes / impactos de seguridad que ocurrieron solo en octubre (sin contar vulnerabilidades, exploits, etc.). Me voy a concentrar en fugas de información, malware, ataques de Estado-Nación y otros incidentes importantes (solo incluyo una vulnerabilidad por el gran impacto que ha tenido). Sin duda, octubre ha sido un mes muy interesante para la ciberseguridad.

Mira la siguiente tabla dividida en semanas:

Semana (Octubre 2018)	Incidente de Seguridad
1	Fuga de información en Facebook (50M usuarios afectados) Espías rusos (ciberoperativos del GRU) arrestados en Holanda Chips con puerta trasera chinos en EE.UU.
2	Cierre de Google+ debido a un error de seguridad Fuga de información de los registros de viajes del Pentágono.
3	Branch.io (685 millones de usuarios afectados) Ciber vigilante ruso 8 sitios web para adultos de incumplimiento
4	Fuga de información en Cathay Pacific (9.4M usuarios afectados) Fuga de información en British Airways (185K usuarios afectados
5	¿Nada? (que sepamos) ;)

Wow, algunos de estos incidentes de seguridad han tenido una gran cobertura en los medios de comunicación, como el de los espías rusos o del chip chino con puerta trasera en los EE. UU. Todos estos incidentes de seguridad fueron publicados en octubre, ¡de locura!

Es probable que haya pasado por alto algún gran incidente de seguridad que ocurrió en octubre, así que si me falta algo, por favor coméntamelo para actualizar la publicación, ¡gracias!

Creo que la ciberseguridad está mejorando un poco cada año, pero es obvio que queda muchísimo más trabajo por hacer. Yo digo: menos hablar y más acción (inversión en recursos) es lo que realmente necesita la ciberseguridad.

Entonces, la pregunta sigue siendo: ¿está mejorando o no la concienciación en ciberseguridad? ¿Qué piensas?

SRF

Publicado en Privacidad, Seguridad, Sin categorizar, Tecnologia | Etiquetado Brecha, Ciberseguridad, Fuga, Privacidad, Seguridad Informacion | Deja un comentario

Simon Roses Femerling – Blog

Entretenimiento Hacker para tiempos del COVID-19

C1b3rWall: mi experiencia

Octubre, Mes Europeo de la Ciberseguridad 2018: ¿éxito o fracaso?

Archivos

Meta

Languages

My Speaking Events

Search www.simonroses.com

Categorías

Blogroll