For 20 years PHRACK magazine has been the most technical, most original,
the most Hacker magazine in the world. The last five of those years have
been under the guidance of the current editorial team. Over that time, many
new techniques, new bugs and new attacks have been published in PHRACK. We
enojoyed every single moment working on the magazine.

The time is right for new blood, and a fresh phrackstaff.

PHRACK 63 marks the end of the line for some and the start of the line for
others. Our hearts will alwasy be with PHRACK.

Expect a new release, under a new regime, sometime in 2006/2007.

As long as there is technology, there will be hackers. As long as there are
hackers, there will be PHRACK magazine. We look forward to the next 20 years.

Phrack Inc - Volume 0×0b, Issue 0×3f, Phile #0×01 of 0×14

Lo comentan también Xavi Caballé y Sergio Hernando, entre otros. A destacar la nota informativa en una-al-dia de Hispasec publicada por Xavi Caballé. Cabe también destacar la múltiple participación española en esta edición actual. Tres son los escritores españoles que aparecen con dos artículos:

• Advanced Antiforensics : SELF (Pluf & Ripe, 7a69ezine)
• Advances in remote-exec AntiForensics (ilo–, 7a69ezine)

Nada más, Phrack#63:

• Versión en línea
• Descarga directa
• Para usuarios de Gentoo :-)
  • Número 63:

    app-doc/phrack-63

  • Todos los números: emerge app-doc/phrack-all

Hoy por hoy se puede encontrar dos artítulos destacados acerca del popular Nmap y una introducción a la programación de sockets RAW en C. Además de un sin fin de páginas, todavía sin contenido dada la precariedad del sitio web, todas perfectamente clasificadas por categorías de interés.

Un sitio que pinta bien y que a medio plazo seguramente pueda contener mucha información, si las colaboraciones no dejan de sucederse ;-) El software utilizado para montar WikiSecure ha sido MediaWiki.

Y ya puestos, recordar una anotación que escribí sobre EscomposlinuxSeguridad, recurso en castellano que guarda cierta similitud.

Esta guía es uno de los proyectos del grupo, recientemente creado, PHP Security Consortium (PHPSC, abreviado). Éste fue fundado el pasado mes de enero y está formado por expertos en PHP de diversos países. El objetivo del PHPSC es fomentar el uso de prácticas seguras de programación; para ello se intenta educar a la comunidad de desarrolladores de PHP acerca de la seguridad e importancia que tiene dentro este entorno.

Para los interesados en desarrollo de aplicaciones con PHP este recurso debería ser visita obligada o, cuando menos, muy recomendable. Además de que la guía puede resultar extremadamente útil al disponer de multitud de ejemplos prácticos que refuerzan las explicaciones. El índice de contenidos es el que sigue:

Lo comentan también en SigT (?). Más información acerca de PHP Security Consortium:

• Artículos
• Biblioteca
• Proyectos

Since 1985, PHRACK MAGAZINE has been providing the hacker community with information on operating systems, network technologies and telephony, as well as relaying features of interest for the international computer underground. PHRACK MAGAZINE is made available to the public, as often as possible, free of charge.

Phrack

Para quien no la conozca, Phrack es la publicación electrónica distribuida en el clásico formato “ASCII e-zine” sobre seguridad informática por excelencia. El primer número fue publicado el 17 de noviembre de 1985. En sus números se pueden encontrar multitud de artículos sobre sistemas informáticos, redes, telefonía, programación, etc. Es y ha sido siempre la fuente de información preferida para hackers (…a Hacker magazine by the community, for the community….).

Los motivos para tomar semejante decisión se desconocen. Tal vez la continuada falta de colaboración que ha podido venir sufriendo la revista. Su próximo número, el 63, está proramado para su publicación en julio de este año.

Una noticia sorprendende cuando menos, además de ser una verdadera pena. La web seguirá en línea ofreciendo todos sus números como siempre hasta pasados dos años desde la publicación del último número.

Acabo de leerlo también en Barrapunto :-(

[ actualización @ 4/8/2005: Ya ha sido publicada la edición número 63 aunque, al parecer, la revista seguirá adelante al mando de otras personas. Anotación carente de valor, más información aquí ]

De éste recurso ya comentamos algo hace unos meses. Hoy en Barrapunto también ha aparecido la noticia.

La subscripción al boletín es gratuita, los interesados que todavía no lo estén pueden hacerlo de dos formas:

• Mediante correo electrónico
• Servicio RSS

El evento sigue en su línea. Tal y como en la edición anterior, el acceso será totalmente libre y gratuito y en donde uno podrá encontrarse con charlas realizadas voluntariamente por entusiastas de la Seguridad Informática.

Para los interesados, saber que la fecha prevista para dar comienzo a esta segunda edición es el próximo 1 de octubre a las 18:00. El lugar es, una vez más, la Facultat d’Informática de Barcelona, edificio B6. El programa de charlas ya se ha hecho público (a falta de una charla por determinar):

• 18:00 : Introducción
• 18:10 : Ataque de Denegación de Servicios - DOS /DDOS
• 19:00 : Detección y Análisis de Técnicas Anti-forenses
• 19:50 : Descanso
• 20:00 : –Por Determinar–
• 21:10 : Dudas, preguntas…
• 21:25 : Cierre

Inscríbete aquí si tienes pensado asistir.

Más información:

• Conferencia FIST, Edición Octubre 2004
• Conferecia F.I.S.T. a Barcelona, l’1 d’octubre
• Conferecia F.I.S.T d’Octubre
• Se acerca la segunda edición del FIST

una-al-dia es un veterano servicio a modo de boletín noticial que viene emitiéndose desde 1998. Y como el mismo nombre del recurso indica, se trata de dar una noticia al día. Llevo subscrito a él desde prácticamente que empezase su andadura y lo cierto es que los de Hispasec se mantienen constantes en la frecuencia de envío (se puede decir que cumplen eso de una al día ;-))

Este feed me viene muy bien porque llevaba más de un año sin ojear estos boletines. Estoy subscrito a él con una cuenta de correo (en el servidor de Telepolis) a la que misteriosamente un buen día dejé de poder recoger el correo a través del servidor POP. Tienen un webmail pero no me acostumbro a usarlo :/ (los e-mails que les envié comentándoles el tema ni siquiera me han contestado)

Recurso una-al-dia de Hispasec, [ en formato XML ]

El enlace está compuesto por diversos textos. Actualmente podemos encontrar lo siguiente:

1. URL Encoded Attacks
2. Application Security Assessments
3. Assessing Your Security
4. Custom HTML Authentication
5. Securing WLAN technologies
6. HTML Code Injection and Cross-site scripting
7. Web Based Session Management
8. Application Assessment Questioning?
9. Passive Information Gathering
10. Instant Messenger Security
11. Mail Non-delivery Notice Attacks

Material gracias a Gunter Ollmann, Technical Info

Debido a los acontecimientos vividos el 11 de marzo en Madrid, se decidió aplazar esta primera edición, programada inicialmente para el pasado 12 de marzo, al próximo 7 de mayo. Será en Barcelona, en la Facultat de Informática de Barcelona de la Universitat Politécnica de Catalunya.

Se sabe con certeza que el evento dará comienzo a las 18:00 del 7 de mayo pero todavía no se conocen los horarios definitivos para cada acto. El programa de actos que se presentará, junto con un horario provisional/orientativo, es el siguiente:

• 18:00 : Introducción
• 18:10 : Not only a XSS
• 19:00 : Intrusion Prevention Systems
• 19:50 : Descanso
• 20:00 : The Other Application Security Test
• 21:10 : Dudas, preguntas…
• 21:25 : Cierre

En esta página se encuentra toda la información necesaria. Otras páginas:

• Nota en 7a69ezine, donde me he enterado.
• Conferencias FIST

RC5-72 = 4,722,366,482,869,645,213,696 de claves por descifrar. ¿Te apuntas?

Parece que hoy se ha cumplido el día número 365 desde que me interesé por un proyecto de computación distribuída consistente en romper el algoritmo de 72 bits rc5 (aka rc5-72). Empecé con mi antiguo Pentium 150MHz y luego puse a romper bloques a mis otros dos procesadores Intel® Pentium® 4 de 1700 y 2660 MHz. Y bueno, por ahora mis estadísticas reflejan esto:

El reto RC5-72 nos lo brinda la RSA Company y forma parte de un conjunto de desafíos propuestos por la fundación distributed.net. El objetivo de esta clase de proyectos es el de concienciar a la gente sobre la criptografía y su importancia. Y, también, comprobar la resistencia de los algoritmos a romper (mediante fuerza bruta). Esta fundación da premios económicos a quién consiga averiguar el mensaje cifrado con este algoritmo. El premio es de 1000 dolares y, si estás en algún grupo de trabajo en el reto, otros 1000 dolares para el grupo. Por ello es que casi todos los participantes están unidos a estos grupos de trabajo que ellos mismos crean. Grupos españoles hay algunos, y tenemos uno en la posición 7 actualmente! Se trata de Distributed Spanish Team, al cual yo me uní nada más entrar en el desafío ;)

Si os interesan esta clase de cosas, deciros que podéis participar y de un modo muy fácil y completamente transparente para vosotros. Pues no tendréis que mover un dedo, solo dejar en ejecución una aplicación que se encargará de utilizar los ciclos de vuestro ordenador cuando vosotros no estéis trabajando con ellos. Cuando tengáis que aprovechar al máximo vuestra CPU, el programa utilizará entonces muchos menos ciclos (o lo que haga falta) con lo que ni notaréis falta de rendimiento en vuestras máquinas.

Si queréis participar y no sabéis cómo, tenéis una buen explicación en la página del grupo que he mencionado anteriormente.

100 días de RC5-72 , 17 de Mayo de 2003

- Project RC5