El libro está centrado en explotar diferentes vulnerabilidades de los sistemas basados en tecnologías web, sin tocar para nada las técnicas de SQL Injection, de las que ya sabéis que escribimos otro libro Enrique Rando y yo. En éste libro nos centramos en otros tipos de ataques como son, por ejemplo, los ataques a las tecnologías LDAP, ataques a Connection String, los ataques de Info Leaks, las técnicas de Local File Inclusion o XPath Injection.

Google ha anunciado una actualización de Android para solventar los problemas detectados en los procesadores, los llamados Spectre y Meltdown.

Microsoft acaba de liberar la primera de varias actualizaciones para solucionar la vulnerabilidad descubierta en todos los procesadores Intel fabricados en los últimos 10 años (y, quizás, también en los CPUs de otras compañías). Si cuentas con Windows 10 la actualización se instalará de forma automática, en el caso de Windows 7 y 8 tendrás que actualizar desde el menú de configuración.

Que hay de verdad detrás de los hackers rusos? Quien los controla? Cual es el fin? Un análisis diferente, critico y bien explicado.

Describe la posibilidad de un ataque perpetrado por los ISP al Bitcoin en el que ralentizaría las transacciones y aumentaría el coste de ellas para los mineros.

La agencia de telecomunicaciones alemana, Bundesnetzagentur, ha decretado la prohibición de venta de relojes inteligentes para niños, e insta a los padres a destruir los que ya poseen. La agencia hace hincapié en que son dispositivos capaces de transmitir audio de su entorno. "Los padres pueden usar los relojes de esos niños para escucharlos en su entorno, así que deben ser considerados como un sistema de transmisión y espionaje no autorizado". Además transmiten sin encriptación y están muy expuestos a hackeos.

Hace un mes Amazon presentó un nuevo (y sin duda polémico) sistema para permitir a sus repartidores entrar en las casas de los clientes para depositar los paquetes, Amazon Key, de forma que los consumidores no se queden sin su pedido por el mero hecho de no estar en su casa a la hora de la entrega. Sin duda, la presentación de este sistema levantó ciertas críticas acerca de la privacidad y la ética de los repartidores, pero ahora se ha descubierto que presenta un grave fallo.

Un equipo de investigadores del Dartmouth College confirman que el viejo truco de usar latas de cerveza para mejorar la señal wifi funciona y que puede utilizarse para mejorar, además de la señal del wifi, también la seguridad.

Anonymous ha asegurado mediante una de sus cuentas de Twitter que hizo caer la página de la Casa Real, como parte de su operación de boicot contra las web de organismos oficiales españoles por la postura del Estado frente al desafío independentista en Cataluña.

"Las grandes historias nunca suceden, sino son escritas." Día a día, la mayoría de acciones buenas que se realizan, no quedan escritas, algunas son olvidadas, otras no se tienen en cuenta como deben, sólo porque no han sido escritas. En un momento de idea feliz y en base a fuentes inspiradas por las historias que cuenta un buen amigo de residencia universitaria. Se me ha ocurrido, escribir las contribuciones o mejoras de “hacking” que suelo realizar a menudo de forma altruista o no, a proyectos de software libre y similares.

Un grupo de científicos de la Universidad de Buffalo, en Nueva York, han desarrollado un nuevo sistema de autentificación cardíaco que utiliza la forma y tamaño del corazón como único identificador biométrico.

Vevo, posiblemente la plataforma de vídeos musicales más popular del mundo, ha sido hackeada con graves consecuencias. Ha sido el conocido grupo hacker OurMind el que ha salido reconociendo la autoría del ataque. Al parecer, consiguió comprometer la cuenta de un empleado de Vevo para Okta, una aplicación utilizada para iniciar sesión en redes de trabajo, pudiendo desde ahí obtener acceso a los servidores de almacenamiento de la plataforma de vídeos musicales.

Samsung recompensará a hackers que descubran fallas de seguridad en dispositivos Galaxy, con hasta 200.000$.

Equifax una de las grandes agencias de informes de crédito (En España gestionan el fichero de morosos ASNEF entre otros) fue hackeada en Mayo. Datos muy sensibles de 143 millones de personas comprometidos. Un hecho que pone de relevancia que los bancos de datos como Equifax son demasiado grandes. Acumulan, imperativamente, tantos datos como sean posibles. Tantos que securizar estos bancos de datos es imposible por que son muy atractivos para atacar.

Cuando Apple anunció que habían eliminado el conector de audio en el iPhone 7 lo justificaron con la falta de espacio en el dispositivo para dicho conector. Después de meses de trabajo y cientos de dólares invertidos Scotty Allen ha conseguido lo que, según Apple, no era posible: instalar un conector minijack en un iPhone 7.

Los hackers son personas como tú o yo, y encima los hay que buscan ayudar por encima de todo. Si, por supuesto, son personas con un alto conocimiento de la informática, de redes y toda la parafernalia que se esconde tras el teclado, el ratón e internet; pero no son ni mucho menos como el peculiar Elliot de Mr. Robot.

ZERODIUM es una conocida compañía que actúan como cazarrecompensas modernos, ofreciendo grandes cantidades de dinero a aquellos que sean capaces de encontrar vulnerabilidades en todo tipo de software. Esta compañía ya ha llegado a ofrecer más de un millón de dólares por el jailbreak de iOS 9 y iOS 10. Ahora le han puesto precio a la privacidad en WhatsApp, concretamente 500.000 dólares.

Lockstate, el fabricante de los cerrojos LS6i (recomendados por Airbnb) lanzó una actualización que dejó inservibles algunos de los cerrojos, impidiendo que los usuarios de Airbnb accedieran a las propiedades alquiladas.

Recientemente se ha conocido la noticia que daban algunos medios “commodity” de que los contratos inteligentes de Ethereum habían sido hackeados. La ICO que ha sufrido este hackeo, se lanzó con un contrato inteligente de Ethereum que se ejecuta la transacción en el momento de la salida a cotización de la nueva crypto-moneda. Antes del lanzamiento hackearon ese contrato que estaba alojado en pocos servidores. Lo hicieron cambiando la dirección IP a la que debían transferir. Poner la IP de un bloque previamente habría evitado el hackeo.

La gente de Offensive Security, creadores de Kali Linux, han sacado una nueva certificación. Con ella podras demostrar que eres un experto usando la distribución de seguridad de Kali Linux, no es una certificación de seguridad como puede ser OSCP, pero si certifica que eres habil usando Kali. Lo bueno de esta certificación, es que el curso es gratis, solo hay que pagar el examen.

En los ultimos años, todo el mundo sabe que si algo no esta en Google, es que no existe, lo que no sabe mucha gente, es que Google tiene varios comandos y maneras de buscar que nos pueden ayudar en nuestras tareas de busqueda, muchos crackers usan el buscador para encontrar webs vulnerables. Como pentester debemos ser capaces de ver nuestro target con esos mismos ojos. Aunque cualquier usuario avanzado de internet deberia conocer estos comandos.

Teníamos pensado hacer 3 artículos sobre distintos BadUSB: (“Introducción”, “Low-cost” y “Soluciones profesionales”), pero dentro de nuestra manía de empezar la casa por el tejado, hemos decidido empezar con un artículo de ultra low cost, mostrando como hacer un BadUSB por 1 euro aproximadamente, que en muchas ocasiones podrá hacer las mismas funciones que el famoso USB Rubber Ducky de Hack5 (44,95 US$ + envío), si, sabemos que puede parecer una locura, pero funciona.