PEQUEÑA VISIÓN DE ROOTED 2015

De Juan Carlos García -

                                     

Bueno, hacía mucho que no escribía nada... y de repente viendo un Tweet diciendo que se lo estaba pasando en grande con los videos de RootedCon , ni me lo he pensado.
                                                      


 Perdón, que RootedCon no es esto... Disulpas :-)
Esto si es RootedCon
                           
                                                    
                





He de decir que no va a ser largo.. Imparcial, en el sentido que aquí estamos mirando un trabajo, un esfuerzo, una ilusión ( a unos se les ve más que otros .. ) y por consiguiente, el premio a ese esfuerzo, que es el exponer lo investigado.
COMENZANDO
Bueno, por curiosidad, ya que no tengo ningún tipo de enemistad con Eduardo ni con Roberto, COMENZAMOS CON ELLOS, ya que conociendo a Roberto, habrá ayudado, eso seguro.

 Loque pasó ya es muy antiguo y fueron cosas nuestras, pero los tres sabemos el bien que nos hizo estar juntos en High-Sec.

 Y bueno, vamos al lío. 

 Lo haré por partes y lo voy a realizar de una manera diferente a otros años.

 No voy a poner y escribir solo sobre los vídeos que me han parecido geniales y no decir nada del resto.

 Este año he preferido verlas todas, que para eso están, para aprender, por lo que serán unos post.

 También he de comentar , que salvo que esté trabajando o investigando algo en concreto, estas conferencias lo que hago es ver los 15 primeros minutos enteros y dependiendo de lo que haya observado pues voy pasando hacia adelante, trozos muy interesantes o por ejemplo, como casi siempre pasa, me las veo enteras.

 La curiosidad ha hecho que el área Tegmental Ventral y por ende, el Nucleo Accumbens, hayan ido a Eduardo Arriols, High-Sec para ver, SIN POR SUPUESTO NI PUNTUAR, DE HECHO NO SOY NADIE PARA PONER NOTA A NADA, pero si para saber si loque estoy viendo está mal, bien, ha atraído al público y una serie de cosas más... 
Así que, vamos 'pa ya'

Eduardo Arriols - Physical Penetration Testing [Rooted CON 2015 - ESP]


 Bien, no tengo 'nada que decir' que sea importante, salvo que todo lo que ha dicho son Equipos Tigre, no Equipos Rojos, PERO SI BIEN ES CIERTO, QUE LOS CONOCIMIENTOS DE UN TIGER == RED, y todas las técnicas mostradas por 'Edu' deben ser conocidos por ambos.
Me ha 'Gustado', ya que no ha divagado y se ha ajustado al título.. apertura física para llegar al CPD, llevarnos los datos... que datos ? ( Pues las licencias de Terminal Services, por ejemplo ... ). 

 Pero las conferencias están compuestas de varias partes y una de ellas, pero que tampoco la cuento porque los nervios en el foro son inevitables, es el ponente y si, digamos... su GRACIA.. aka 'Chema Alonso' por ejemplo...

                                                            


 Es decir, en algunas conferencias llegas a bostezar y en otras estas con los ojos como platos por el interés que EL PONENTE HA HECHO QUE TENGAS EN LA PONENCIA.

 AH!! y otra cosa... por si alguien todavía no lo sabía...
El éxito de una conferencia, no es la conferencia ni el trabajo en si... Tenemos un cerebro que cuando salimos de una conferencia de dos horas, al dia siguiente te examinas de eso mismo y se ha olvidado todo... Bueno, eso es algo llamado cerebro reptiliano , que no es objeto obviamente.

 Lo que decía que el ÉXITO DE UNA PONENCIA, AL FINAL DEPENDE Y SOLO DEPENDE, DE COMO TE CAIGA EL PONENTE... es Neurología..
                                  

            
Por ejemplo... Chema, haga lo que haga, nos vamos a ' partir el culo ' literalmente y nadie dice nada de la conferencia, porque cae muy bien, el estrado le quiere y así se ve.

 A ver , pongo como ejemplo a Chema pues porque no hay otro que se 'burle' las 'movidas' de ese tipo como el...
Volviendo a la conferencia, lo dicho, se ha ceñido al título... no ha divagado que eso es algo que me gusta.. lo del efecto 'demo' pues es algo con lo que contamos, y era la primera vez que estaba..

 Estoy contento... Te acuerdas 'Edu' lo que me dijiste tras la 'confe' de la EPS-UAM? Que fue lo mismo que dijo Roberto? 

 "Tío, a mi esto me encanta"

 Pues ADELANTE

 y POR ÚLTIMO, ya que le tema es que es muy complicado de analizar y si no has estado en un C4ISRN la visión global de un Red Team se pierde.. y nunca jamás un Red Team , salvo si es ordenado por el estado, no hace una entrada física... 
Son pequeñas cosas que debería haber , QUIZÁS, especificado en la ponencia... Pero lo dicho, conferencia grata !!
ENHORABUENA Eduardo

                                              

Os dejo un Video del mismo Tema, para que podáis comparar constructivamente sobre amabas conferencias.

 Adaptive Penetration Testing- Red and TigerTeams ( Using Dirty Tricks )

 GENIAL EDUARDO. UN DIEZ

Entradas populares de este blog

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

De Juan Carlos García -
Cómo: Proteger ASP.NET de inyecciones SQL Publicado: 21 de Diciembre de 2005 Post:eado:19 de  MARZO 2012 Motivo:   Aumento de Hacking en Aplicaciones Web de manera Brutal desde el 2005 y aumentando Este artículo se aplica a y a como securizar para evitar ser hackeado, si, o si !!! ASP.NET versión 1.1 ASP.NET versión 2.0 y para lo que habeís hecho desde el 2005, estudiarlo bien majetes porque seguís sin securizar el puto código de la parte servidor ... !!! Por dios, ya está bien de poner a los usuarios y trabajadores en peligro .. !! Es tan difícil poner un poquito de atención. Resumen: En este artículo se describen una serie de métodos que ayudan a proteger la aplicación ASP.NET de inyecciones SQL. Entre las distintas técnicas se incluyen la restricción de entradas, el uso de parámetros SQL con tipos seguros para el acceso a datos y el uso de una cuenta con menos privilegios que tenga permisos restringidos en la base de datos. La inyección SQL puede producirse cuando una apl
Leer más

CERTIFICACIONES DE SEGURIDAD

De Juan Carlos García -
Imagen
CERTIFICACIONES DE SEGURIDAD For Fun and Profit Nuevo curso, toca mirar todo lo que tenemos y más … Eso si, caro caro caro(..) Seguridad General—Nivel Basico Brainbench Basic Security Certifications : Ofrece varias certificaciones, un examen por certificación ·          Brainbench Firewall Administration Concepts ·          Brainbench Internet Security ·          Information Technology Security Fundamentals ·          ITAA Information Security Awareness ·          Brainbench Microsoft Security ·          Brainbench Network Authentication ·          Brainbench Network Security ·          Security Industry Knowledge (U.S.) Fuente: Brainbench CDRE -- Certified Disaster Recovery Engineer Conocimientos básicos de recuperación de desastres (DR) y continuidad de negocio (BC) metodologías de planificación. A CDRE reconoce los riesgos y vulnerabilidades de la vida real a una infraestructura de TI, sabe cómo proteger los activos contra las a
Leer más

HACKING MADRID_"EASY" XSS and Cross Site Tracing XST

De Juan Carlos García -
Imagen
XSS-XST COMENZANDO DESDE 0 Y..Cross Site Tracing !!!  A MI ABUELA ... DESCANSE EN PAZ .. El primer ordenador lo recibí en tu casa con 11 años, en reyes, te acuerdas ?  .. Yo jamás olvidaré nada de nada !!! GRACIAS !!!  Al referirnos al Cross-Site-Scripting podemos encontrar bastante material didáctico acerca del tema, algunos de ellos describen los modos de ataques como directos e indirectos, pero realmente creo que podemos simplificar y enfocar de una forma mas directa en dos simples componentes que son: 1. Ataque al usuario. 2. Ataque a la aplicación   Por otro lado tendríamos "persistentes" y "No persistentes" .. es decir, entre wikipedia y OWASP , madre mía la de toería que teneís .. pero lo que quiero directamente es que comenceís a buscar objetivos y a "practicar" "éticamente" . Bien, si no sabes HTML ni JavaScript directamente ya sabes lo que tienes que hacer para poder realizar estos ataques tan singulares que e
Leer más