Sec-Track

El siguiente video corresponde a la conferencia realizada por los investigadores y profesionales en Seguridad de la Información Fernando Quintero y Camilo Zapata. Dos expertos a quienes siempre tengo como referencia en mi país y que hace solo unos días casi ganan uno de los reconocidos challenges del HoneyNet Project.

La presentación parte desde la definición general del concepto Auditoría: “Evaluar las debilidades de un sistema” y nos propone no limitar el alcance de la misma… “No solo explotar el sistema”…

Nos invita a “repensar” o reflexionar sobre el estado de la seguridad de la información… Pero no desde el lado empresarial, sino desde el lado de los actores involucrados (Investigadores, Pentesters, Ethical Hackers, Consultores). Pues existe la mala práctica de muchos “profesionales” que solo limitan sus actividades de Pentesting a la ejecución de herramientas automatizadas y la explotación del mismo, para presentar un reporte de que si pudieron vulnerar el sistema… Es justo allí donde se plantea la reflexión del trabajo que realizamos los investigadores… ¿Qué es lo que quremos hacer?

Daniel Compton, Information Security Consultant of 7Safe, took the audience through a demonstration of common risks found that he sees whilst carrying out penetration tests for clients. This covered two main areas which were “client side attacks” and “pivot attacks”. The demonstrations were all based on fully patched Windows operating systems with anti-virus protection, firewall protection and the latest patches for 3rd party products. Once the client victim computer was exploited from the Internet, Daniel demonstrated how it was possible to pivot and dive deep into the internal corporate network and extracting passwords and credit card data. You can watch the video demonstration here.

El siguiente video corresponde a la presentación de Christian Martorella en la sexta edición de la reunión del capítulo español de OWASP. La presentación hablará sobre cómo los ataques de fuerza bruta siguen siendo útiles contra las aplicaciones Web y se presentará la última versión de Webslayer, un proyecto OWASP orientado a cubrir todas las necesidades de las pruebas de fuerza bruta contra las aplicaciones Web.

El video ha sido publicado por el equipo PoisonClub.com.ar

El siguiente video corresponde a la presentación de Fabio Cerullo en la sexta edición de la reunión del capítulo español de OWASP. En ella nos habla acerca de OWASP Top Ten Project.

El video ha sido publicado por el equipo PoisonClub.com.ar

Nikto es un escáner de directorios y archivos potencialmente sensibles en servidores Web. La base de datos de estos archivos y directorios contenida en la herramienta Nikto supera las 6100 entradas. Incluye además métodos y firmas de varios servidores y versiones de aplicativos web, con el fin de determinar el grado de desactualización de estos.

Read the rest of this entry »

Una vez realizada la introducción sobre la herramienta Nmap en el video anterior, podemos comenzar a interactuar con esta. Nada mejor que comenzar por la etapa de identificación y reconocimiento del/los sistemas, tanto desde su conectividad como automatización del proceso, además de los puertos abiertos en el sistema.

Video Tutorial Nmap from Sec-Track on Vimeo.

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática. (Más información>>)

Página oficial de Nmap >>

Corto video tutorial demostrativo del proceso de configuración de los entornos para entrenamiento en Test de Penetración “De-Ice” sobre el Sistema Operativo GNU/Linux BackTrack.

En el siguiente video tutorial se muestra el proceso necesario para llevar a cabo la configuración de los entornos De-Ice sobre el software de virtualización VMWare WorkStation en GNU/Linux BackTrack.

Cabe resaltar que el producto VMWare se encuentra disponible de manera gratuita en su versión Server (previo registro y envío del serial), en modo Trial de 30 días en su versión WorkStation y de manera gratuita sin envío de serial en su versión Player.

Es importante para una correcta configuración tener muy claro los conceptos de interfaces de redes y como consultarlas y utilizarlas.

Configuración entornos De-Ice sobre GNU/Linux BackTrack from Sec-Track on Vimeo.

Corto video tutorial introductorio al uso de la herramienta Netcat conocida como la navaja suiza de los protocolos TCP/IP bajo la distribución GNU/Linux BackTrack.

En este video tutorial veremos algunos de los usos más comunes de Netcat:

Ayuda de Netcat:

• nc -h

Banner idetification:

• nc -v IP puerto

Peticiones con Netcat / Telnet > Diferencias:

• nc -v IP 80 < /ruta/file.txt

Netcat en modo escucha y ejecución de shell:

• nc -l Puerto -e /bin/bash

Netcat como scanner de puertos:

• nc -z -v IP rango-puertos

Video tutorial NetCat en BackTrack from Sec-Track on Vimeo.

Más información sobre Netcat >>

Netcat, la navaja suiza de TCP/IP >>

Video tutorial introductorio y descriptivo del Proyecto Colaborativo Sec-Track y algunos de sus objetivos.

Introducción al Proyecto Sec-Track from Sec-Track on Vimeo.