Hacking
Bueno, ante todo perdon por la inactividad que hemos tenido estos meses pasados.
Hace poco se descubrió una grave vulnerabilidad en el servidor vsFTPd v2.3.4, y en el blog de Blackploit han publicado un vídeo de su explotación con metasploit.
Los abogados de George Hotz, el hacker que desmanteló la seguridad de PlayStation 3, han presentado sus alegaciones contra las pretensiones de Sony de llevar adelante la demanda.
Parte de los argumentos esgrimidos por Sony Computer Entertainment America se sustentan en la vinculación entre Hotz y una cuenta de usuario de PlayStation Network con el nick de «blickmaniac», lo que implicaría que Hotz habría incumplido el acuerdo de uso.
Los abogados de Hotz niegan que la cuenta esté vinculada a una PlayStation 3 del joven, aunque lo cierto es que posee tres consolas más. En todo caso, alegan que la cuenta es de una vecina y su consola. La vecina, cuyo nombre no ha trascendido, declara que «vivo al lado de George Hotz y siempre hemos sido buenos amigos. Cuando compré la consola estaba esperando a tener conexión a internet así que le pedí a Hotz si podía usar la suya por un tiempo.»
Además, defienden que Hotz ni siquiera conocía la existencia de la división americana de Sony como compañía, alegando que la compañía acreditada como fabricante de PS3 es la central japonesa. También alegan que Hotz nunca abrió el manual de la consola, presentándolo en su bolsa protectora como evidencia.
Blackhat Europe es una de las reuniones sobre seguridad informática con más peso dentro de nuestro continente. El encuentro cuenta con 12 de años de historia y tendrá lugar entre el 15 y el 18 de marzo en el Hotel Rey Juan Carlos de Barcelona. El tema principal este año será laciberguerra.
Blackhat reunirá tanto a representantes gubernamentales, empresas, académicos e investigadoresindependiente en un entorno neutral de total cooperación y difusión del conocimiento en el mundo de laseguridad informática.
El ambiente de la scene está algo enrarecido tras las medidas que ha tomado Sony frente a los principales desarrolladores y en particular, hablamos de GeoHot.
Tal como ya os comentamos se consiguió realizar jailbreak a la versión de firmware 3.55 de PlayStation 3 y Sony cerró el exploit que utilizaban para tal hazaña con su versión 3.56. Tras ello la compañía se ha lanzado con una campaña judicial contra varios desarrolladores y ha dejado de lado el tema.
Microsoft puede haberse visto afectada por unas pérdidas de 1.200.000 millones de dólares (871.000 euros) por culpa de un algoritmo generador de códigos para conseguir Microsoft Points y ser usados en Xbox Live.
Desde su publicación en el foro ‘The tech games’, miles de usuarios los han usado para obtener puntos y acceso a otros contenidos hasta que, por fin, Microsoft ha podido controlar la situación y eliminar su generación.
El algoritmo permitía obtener 3 tipos de código: uno para obtener 160 puntos, otro para conectar a Xbox live durante 48 horas y otro para conseguir el avatar Banshee para Halo Reach.
Gracias a este proceso algunos usuarios han conseguido acumular grandes sumas de puntos equivalentes a una cantidad muy alta de dólares, que según Destructoid podría ascender a 1,2 millones de dólares.
A pesar de que Microsoft ha podido controlarlo, difícilmente podrá hacer algo más para recuperar el dinero aunque se rumorea que podrían empezar a realizarse baneos.
La Broadcast Music Incorporated (BMI) es una de las tres organizaciones gestoras de derechos de autor y difusión de Estados Unidos junto con la American Society of Composers, Authors and Publishers (ASCAP) y la SESAC. Este jueves, la organización Anonymus ha atacado el sitio web de la BMI a través de un ataque DDOS.
Tenemos que defender nuestra libertad de aquellos que tratan de controlarnos
La página de la organización dedicada, entre otras acciones, a recaudar los derechos de difusión en nombre de compositores y músicos para distribuirlas a los autores,permaneció en blanco durante varias horas y el ataque fue confirmado por la organización en un comunicado publicado en su web.
Hoy en blackploit.com han publicado un mas que interesante tutorial sobre la explotación de RFI utilizando Metasploit.
Una muestra más de que Metasploit sirve para explotar cualquier tipo de vulnerabilidad está aquí, un módulo de Metasploit para explotarRFIs.RFI (Remote File Inclusion), traducido al español como Inclusión Remota de Archivos – vulnerabilidad existente solamente en páginas dinámicas en PHP que permite el enlace de archivos remotos situados en otros servidores a causa de una mala programación de la página que contiene la funcióninclude().
El Cross Site Scripting (XSS) es la vulnerabilidad más explotada según la OWASP (Open Web Application Security Project).
En el XSS se manipula la entrada (input) de parámetros de una aplicación con el objetivo de obtener una salida (output) determinada que no sea la habitual al funcionamiento del sistema.
Algunas estadísticas afirman que el 90% de todos los sitios web tienen al menos una vulnerabilidad, y el 70% de todas las vulnerabilidades son XSS. A pesar de tratarse de una temática en seguridad algo antigua, aún siguen apareciendo nuevos vectores de ataque y técnicas que hacen que se encuentra en constante evolución.
El Cross Site Scripting (XSS) es la vulnerabilidad más explotada según la OWASP (Open Web Application Security Project).
En el XSS se manipula la entrada (input) de parámetros de una aplicación con el objetivo de obtener una salida (output) determinada que no sea la habitual al funcionamiento del sistema.
Algunas estadísticas afirman que el 90% de todos los sitios web tienen al menos una vulnerabilidad, y el 70% de todas las vulnerabilidades son XSS. A pesar de tratarse de una temática en seguridad algo antigua, aún siguen apareciendo nuevos vectores de ataque y técnicas que hacen que se encuentra en constante evolución.