Enlaces de la SECmana - 95

• Operación de Anonymous, llamada OpDarknet, que ha conseguido tirar abajo (compromiso de servidores, denegaciones de servicio, publicación de listas de usuarios...) más de 40 sitios webs relacionados con la pedofilia.
• Actualización de la herramienta de Pepelux JoomlaScan a la v1.3 en su versión en perl, para realizar fingerprinting y auditorias en base a versión y componentes de Joomla detectados en un servidor.
• Los Happy Ninjas publican el tercer número de la revista electrónica "Owned and Exposed", recopilando hackeos a st0re.cc, vpn24.org, unique-crew.net, entre otros muchos servidores.
• Hackeado el canal de Microsoft en Youtube. Se eliminaron los videos oficiales que había, subiendo en su lugar campañas cortas de publicidad.
• Análisis de la herramienta de Fernando Oca GetMSNIPs, para obtener direcciones IP de contactos del Messenger, por Chema en ElLadoDelMal. La herramienta se publicó en septiembre en el propio blog del autor.
• Informe en PDF con la investigación acerca de cómo romper el cifrado XML, por Tibor Jage y Juraj Somorovsky de la Ruhr-University Bochum. Gracias a este ataque, podrían por ejemplo comprometerse los servicios de Amazon Web Services y poder lanzar tareas administrativas sobre las instancias.
• En Net-Security.org publican un post detallado sobre un fallo en Google Chrome que permitiría la ejecución de comandos.
• Disponible la versión del framework de explotación en navegadores BeEF v0.4.2.10-alpha, que se puede descargar desde esta dirección, y obtener más información en la página del proyecto.
• Post en el blog de SensePost sobre cómo descifrar aplicaciones de iPhone mediante un dispositivo jailbreakeado, utilizando la herramienta otool, un editor hexadecimal e IDA.
• En CyberHades anuncian el septimo episodio (mp3) del podcast de PaulDotCom en español presentado por Carlos Pérez, que en esta ocasión cuenta con la entrevista a uno de los autores de BEAST, Julianno Rizzo.
• A traves del Observatorio SSL de la EFF, revisando información de listas de revocación para certificados SSL de los últimos meses, cabe la posibilidad de que se pudieran haber comprometido 4 autoridades certificadoras más desde Junio. El post con el estudio de la propia EFF en este post llamado How secure is HTTPS today? How often is it attacked?
• Según cuentan en eWeek.com, un informe borrador de la U.S. China Economic and Security Review Commission revela que unos posibles atacantes podrían haber interferido en dos satélites estadounidenses, pudiendo implicar al ejército de China.
• Crónica en SecurityArtWork del primer encuentro de Bloggers organizado por el INTECO para la quinta edición del ENISE, en el que participaron Javier Berciano, Manolo Benet, Sergio de los Santos, José Selvi, David Hernández "Dabo", Francisco Losada y nuestro compañero Yago. El propio Dabo en su daboblog realizó un resumen de tal evento.
• El THC publica una herramienta denominada THC-SSL-DOS, que permite explotar una vulnerabilidad SSL que podría permitir denegar el servicio de un servidor remotamente. Los detalles técnicos de dicha herramienta pueden encontrarse en esta página.