cr0hn
@ggdaniel
Followers
8,740
Following
1,827
Media
859
Statuses
11,396
La ciberseguridad es una cosa jodida. Soy un freelance ayudando a empresas a que no se lleven sustos desagradables
Everywhere
Joined January 2010
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
Madrid
• 1043388 Tweets
Michigan
• 425352 Tweets
選挙投票
• 399034 Tweets
Dodgers
• 282842 Tweets
選挙の日
• 166269 Tweets
Yankees
• 141997 Tweets
投票用紙
• 133748 Tweets
The Key to Spirituality
• 127577 Tweets
ドジャース
• 114506 Tweets
Fernanda
• 68194 Tweets
Ohtani
• 44800 Tweets
Texas A&M
• 41016 Tweets
Yamamoto
• 36237 Tweets
Soto
• 35329 Tweets
設営完了
• 34036 Tweets
山本由伸
• 32406 Tweets
投票完了
• 26777 Tweets
大谷さん
• 26201 Tweets
Aaron Judge
• 23764 Tweets
#2NE1BKK2025
• 16304 Tweets
#GiveLifeBack
• 15616 Tweets
True Blood Pump
• 11915 Tweets
大谷脱臼
• 10680 Tweets
Pinned Tweet
La Complejidad Ciclomática en Desarrollo de Software y su Impacto en la Ciberseguridad
Hoy un hilo sobre desarrollo, buenas prácticas y como pueden hacer eco en la seguridad del software
Tranqui, no va a ser tan espeso como crees :)
Enga, al lío! 👇
1
12
39
Imágenes "Bomba" y como liarla con una imagen PNG
Hoy vamos a ver como con una imagen te puden hacer una denegación de servicio, like a boss.
Ale, al turrón! 👇
22
227
1K
Mi mujer me acaba de desbloquear un TOC XD
En la web de Renfe:
Todos los números 8 están al revés. Es sutil. Pero están
Dice que lleva así desde siempre. Yo me acabo de dar cuenta
40
116
909
Pasando desapercibido y engañando a los “hackers”.
Si tienes sistemas en producción, seguro que recibirás ataques día sí, día también.
Hoy os cuento cómo hacer que los ataques no den pie con bola o… sistemas anti-fingerprinting
Ale, al turrón! 👇
22
175
685
Secuelas o experiencia?
Llevo 20 años dedicado a ciberseguridad. He visto muchas cosas. Muy bizarras.
Después de tanto tiempo me he vuelto increíblemente desconfiado y bastante paranoico. En muchos aspectos de la vida, no sólo en lo profesional.
Estoy seguro que todos los que
80
72
536
🧠 Hackeando humanos :)
Lo prometido es deuda, así que hoy vamos a ver un poco sobre ingeniería social y técnicas de manipulación.
Es un hilo chungo? Naaaa, más bien curioso y divertido 😉
Al turrón! 👇
Mañana hilo sobre ingeniería social, técnicas de manipulación y persuasión?
Os mola?
7
5
164
6
120
538
Recibir notificaciones Push en tu móvil, sin tener que hacerte tu propia App 📲
Es una tontá que me cambió la forma de recibir mensajes urgentes.
Enga, al turrón 👇
15
84
414
He vuelto a poner GRATUITO mi libro de:
"Hacking y manipulación de paquetes IPv4 con SCAPY"
El link os lleva para pillarlo "by the face" :)
Que rule! 😁
17
159
383
A los que trabajáis en remoto:
También os parece una falta de respeto cuando habláis con alguien en una vídeo y no se pone la cámara?
333
15
366
El otro día vi este SSID en
#rootedcon
Cuando lo vi me hizo muchísima gracia.
El tema es que después se lo he enseñado a varias personas y no entienden el chiste.
Vosotros lo entendéis, verdad?
33
53
362
Cuidadin con Python y YAML
Te pueden troyanizar o hackear un sistema con un solo YAML.
Python + YAML = 🚨
Venga, al lío 👇
#python
#ciberseguridad
7
78
299
Me parece flipante el “Always Free Tier” de Oracle Cloud.
Se nota que quiere ganar clientes a toda costa:
22
56
294
Ojito con el módulo “random” de Python
El módulo de Python “random” NO DEBERÍAS USARLO para crear secretos. Es decir: contraseñas, tokens, semillas criptográficas o similares.
Sep. Ya se que creías que era mu aleatorio y muy seguro, pero… nop, lo siento.👇
4
67
270
Kubernetes vs Swarm… tras sufrirlos 😩
Sus mierdas, sus cosas buenas, o cuándo usar uno u otro; según mi experiencia.
Este es el análisis que me hubiera gustado leer a mi cuando empecé con ellos.
Ale, al turrón! 👇
8
74
272
Acabo de publicar las transparencias de mi presentación de Navaja Negra:
"Protege tu Python... porque si es tan malo como suena, mejor que nadie lo vea"
He subido todo el código con ejemplos a un repositorio de GitHub (está la URL en las slides).
3
60
217
Compilando código fuente de Python. Y sí, a binario!
Que sí. SI se puede compilar.
Venga, al turrón! 👇
(Hilo dedicado a
@CesarGallegoR
😉)
6
47
208
Mañana pondré gratuito, durante 48 horas, el curso de:
“Ocultación y ejecución de código Python”
“Aprenderás trucos para que tu código pase desapercibido, ya sea para ojos curiosos o para esos molestos analizadores de código.”
2
40
197
Voy a contar una batallita de mi primer trabajo en ciberseguridad.
Para que veáis que bonita es la ignorancia y que nadie nacemos aprendidos. La voy a titular:
“Las auditorías de GSM y los satélites”
Venga, a echar una risas! xD 👇
3
22
193
Vamos a ver cómo ejecutar una bomba lógica en una GitHub Action.
Es muy simple.
Os dejo el código primero y después explico:
Para que no se me quede muy largo lo explico en mini-hilo 👇
2
32
181
Truco rápido para hacer un bypass del WAF de AWS:
Generar bodys de más de 8k (para load balancers / 16k (API Gateway, cloud front o Cognito) en las peticiones HTTP
Con esos tamaños, AWS WAF deja pasar la petición sin inspeccionar …
6
34
171
Mañana hilo sobre ingeniería social, técnicas de manipulación y persuasión?
Os mola?
7
5
164
Para los amantes del buen cine, acabo de descubrir esta maravilla:
17
43
147
Hay que empezar a desmitificar lo de las Wi-Fi abiertas
Para eso se inventó SSL/TLS, HSTS, OSCP o DNSSEC
@lsaiz
¿Que podría salir mal en un tren con 3h de viaje por delante donde la cobertura 4G/5G flojea?
Pd: No os conectéis nunca a redes Wifi públicas abiertas.
#flipperzero
#evilportal
#wifimarauder
10
12
277
13
14
122
Cuál es la cosa más bizarra que os han dicho cuando habéis presentado el informe tras un Hacking. Esta es la mía:
Encontramos un XSS en la Interfaz de administración de un conocido fabricante de circuiteria de red.
Obviamente lo explotamos. Pusimos las evidencias en el informe.
13
17
120
Mucho ánimo a los pobres que les ha tocado estar currando como cabrones este sábado a mediodía para solucionarlo de RedSys
6
13
117
Últimamente veo muchos másters de especialización
Sobre todo de IA y ciberseguridad
Casi todos lo mismo:
“no se necesitan conocimientos previos”
Si no necesitas conocimientos previos de nada NO es especialización, no os la cuelen.
Cursos de “0 a experto” suelen ser un timo
10
32
114
Que maravilla que el contenido de esta calidad sea gratuito
Gracias caballero :)
En mi github tengo accesible mi libro gratuito "Seguridad del protocolo SSL/TLS. Ataques criptoanalíticos modernos". Todavía sigue siendo una de las mejores formas de aprender criptografía con ataques reales - Difundan la palabra :) -
4
171
455
3
22
112
Haces un proyecto que se llama: "Vulnerable Node" y lo publicas en GitHub
No paras de recibir Pull Request parcheando los SQL Injections.
La gente no lee una mierda antes
10
18
106
Hace poco descubrí Ngnix Unit.
Algo a caballo ente servidor de aplicaciones y un Nginx clásico.
Puede gestionar aplicaciones hechas en: Java, Ruby, Python, PHP, Go o NodeJS
Lo conocías? Tienes experiencia en el?
4
16
100
Este es uno de los vídeos favoritos de mis alumnos de mi asignatura de: manipulación e ingeniería social.
Es parte del tema de las reglas de manipulación de masas de Noam Chomsky.
Me parece una genialidad
El vídeo es un fragmento de la serie “House of Lies”
Que os parece 😉
6
32
100
Se que es una tontería, pero me sigue haciendo mucha ilusión cuando veo en un libro de seguridad informática una referencia a una charla que di en
@rootedcon
hace unos años
7
11
94
A vosotros también os pasa que los cursos, tutoriales o vídeos en general los tenéis que ver, como mínimo, a 1.75x (y lo normal a 2x) o vuestro cerebro se aburre y se va, o sois normales? XD
28
3
87
Hace bastante que hago pentesting de sistemas / servicios.
Que tal OpenVAS? Lo seguís usando como alternativa a Nessus? Hay alguna opción mejor?
15
16
85
Que levante la mano quien tenga TOC y necesite que, cuando importas librerías, estén de menor a mayor de longitud de linea! xD
🙋♂️
29
6
84
Los hackers y pen-testers son medio mentalistas y no lo saben xD
¡¿Qué no?!
Un tío/tía intentado de crujirse un sistema que ha programado otra persona. Que normalmente no conoce. Que no sabe qué ha hecho, ni cómo. Esta tratando de adivinar qué se le puede haber pasado por alto
4
10
82
Qué formas de protección tendríamos de cara del servidor.
Es muy sencillo: comprobar que una imagen es lo que dice ser y limitar tamaños.
Aquí un ejemplo de código:
6
5
80
Eso mismo me pasó a mi. Por eso tome “medidas” de protección.
Eso si. Me paso una y no más
1
11
79
Durante las próximas 48 horas pongo gratuito mi curso de:
"Ocultación y ejecución de código Python"
8
20
79
Por fin publico!
Hoy, algo en lo que llevamos casi 2 años de trabajando ha visto la luz.
API Capture:
Una herramienta para crear y mejorar definiciones de API REST donde no las hay
Mañana haré un hilo al respecto. Es brutal :)
2
15
79
Acabo de descubrir esta maravilla: Generado de números válidos de documentos Españoles: DNI, pasaportes, IBAN, CC.... una maravilla para hacer pruebas y test de integración
4
24
77
Me he encontrado este servicio que te permite enviar correos ILIMITADOS via API.
Para quien pueda interesarle
@SendClean
3
10
76
Creo que ya se puede decir: este año seré ponente en Navaja Negra.
Mi charla:
“Protege tu Python… porque si es tan malo como suena, mejor que nadie lo vea”
La charla es un poco fumada e irá sobre cómo ocultar y ofuscar código de Python.
Como “Brainfuck” final enseñaré cómo
6
11
74
Hoy he descubierto esta maravilla:
Editor de markdown online. Colaborativo. Privado y público. Sincroniza con GitHub,Dropbox o Drive. Con syntax highlighting. Comentarios inline.
Una maravilla para equipos
PD: No pagan nada por la publicidad
2
14
73
Que es mejor como broker de mensajería: Redis o RabbitMQ?
En resumen:
Si buscas persistencia, asegurar la entrega, alta resiliencia, alta escalabilidad, entonces: RabbitMQ
Si buscas algo rápido y razonable: Redis
En estas notas está explicado genial:
2
16
68
Estas afirmaciones son peligrosisimas, además de ser mentira.
Hacienda NO PUEDE infectar tu móvil ni acceder a los datos de tu dispositivo SIN ORDEN DE UN JUEZ
Recolectar información PÚBLICA NO ES INFECTAR tu móvil
Por favor, dejad de decir estas jilipolleces
HACIENDA INFECTA TU MÓVIL PARA ESPIARTE
El recaudador español ha comprado un ciberarma israelí para clonar tu móvil y controlar todo lo que haces
Te voy a enseñar a engañar al GPS, a blindar tu móvil y a defenderte de esta terrible agresión a tu libertad
¿Cómo? Dentro hilo 👇
71
637
1K
14
19
64
Hoy he probado JumpDesktop pare conectarme al ordenador de mi oficina desde una sala de reuniones y he flipao.
Como si estuvier trabajando en mi PC remoto. Las personas a quiene les he hecho la demo ni se han dado cuenta de que no era mi PC local.
0 lag. Ni un glitch
2
8
64
Que te lleguen ofertas de trabajo y que el requisito sea 10-15 años de experiencia en Machine Learning y Deep Learning, es una red Flag de libro
6
7
64
Lo prometido es deuda!
Cómo crear definiciones de APIs REST en cero coma!
Enga al turrón! 👇
Por fin publico!
Hoy, algo en lo que llevamos casi 2 años de trabajando ha visto la luz.
API Capture:
Una herramienta para crear y mejorar definiciones de API REST donde no las hay
Mañana haré un hilo al respecto. Es brutal :)
2
15
79
2
15
63
No está mal esta chula sobre buenas prácticas en Dockerfiles
PERO PERO PERO
IMO usar versiones específicas no está mal, pero NO es bueno desde el punto de vista de seguridad
Por qué?
Fácil 👇🧵
#docker
#dockerfile
1
13
62
Y otras más!
Esto es un no parar…
Estoy esperando ver las inversiones en ciber que van a provocar.
O, lo que es lo mismo, que le den unos millones a Indra para que contraten a 4 becarios por 2 duros
En serio ya:
O nos vamos poniendo las pilas, o va ir de mal en peor
[Blog] Hackean a la DGT y ponen a la venta todos los datos de 34 millones de conductores de España
38
305
577
7
12
61
Bueno, pues ayer descubrí estas 2 maravillas que hacen que mi odio al desarrollo del front web se relaje bastante.
CSS:
Bulma CSS
Me encanta lo simple que es. Y más viniendo de Bootstrap o TailwindCSS.
Para Javascript…
5
10
62
@GatunaGuerrera
Salvo que el mundo vuelva a ser analógico, más que una burbuja tal vez sea una tenencia. El tiempo lo dirá
3
1
57
Hace unos años escribí mi primer libro multimedia (más de 40 videos integrados): "Hacking y manipulación de paquetes IPv4 con Python y Scapy". A pesar de los años Scapy sigue siendo un framework de seguridad de redes impresionante
#seguridad
#scapy
1
16
54
En 20 minutos empezamos la segunda parte de mi asignatura del Master de ciberseguridad:
“Ingeniería social y manipulación”
No me lleguéis tarde! :)
5
1
56
Me ha llegado, no recuerdo por dónde, esta chuleta con trucos de productividad
En mi caso, la que más me cuesta es aprender a delegar.
No solo no es fácil el asumir que hay cosas que ya no vas a hacer tú…
1
7
56
Intérprete remoto de Python for fun :)
En el hilo de hoy no os cuento el típico código para hacer una shell remota. Está muy visto ya.
Estoy casi seguro de que esta no te la sabes :)
Ale, al turrón! 👇
#python
#ciberseguridad
2
10
55
Estoy leyendo el código fuente de Python (cada uno tienes sus hobbies, vale! xD).
Cada vez que veo que NO CUMPLEN el PEP-8 en el propio core... el universo mata un gatito.
Y, creedme, con el core de Python mató muchos muchos
3
6
53
Busco a 5 personas para asistir a taller privado on-line de 1,5 horas (gratuito, por supuesto) de un nuevo Lenguaje de Programación para Seguridad Open Source que hemos creado y que nos deis vuestro feedback. Si a alguien le apetece que me escriba por privado!
11
39
52
Bueeeeno, la primera clase de mi asignatura del Master de ciber seguridad, ya está dada.
Todos los años me quedo con la misma duda: si le resultará interesante el tema o se la suda.
Yo creo que los alumnos se han entretenido y les ha gustado.
Misión cumplida.
4
2
52
Que error tan grande es confundir estudiar con aprender
Cuántos sobresalientes y matrículas de honor hay que no han aprendido nada
4
13
52
Por sino os habéis enterado de la movida de Redis:
Redis ha cambiado su modelo de licenciamiento (está de moda esto últimamente, por lo visto)
Ahora ya no se puede usar tan alegremente como antes. Esto aplica más a entornos corporativos y empresas
3
14
51
Tu PC “viaja” en el tiempo y tu no lo sabías 🎇
De hecho, lo puede hacer hasta varias veces al día :)
Este hilo es un poco fumada, pero estoy seguro de que te va gustar.
Enga, al lío! 👇
1
9
51
“A curated list of CTF frameworks, libraries, resources and softwares”
0
33
51
2
38
49
Los más obvio: que nadie nacemos sabiéndolo todo.
Segundo: No tengas miedo de hacer el idiota y déjate ayudar. Así es como se aprende. No temas preguntar.
Tercero, si eres Senior: No seas imbecil, ni prepotente y ayuda a los nuevos. Un día tu lo fuiste.
1
6
46
“A curated list of CTF frameworks, libraries, resources and softwares”
0
24
47
Pues una cosa a llevado a la otra y entre
@mindcrypt
@patowc
y un servidor, esta
@rootedcon
vamos a presentar nuestra nueva locura:
¿Qué de qué va?
Un proyecto con el que vamos a intentar tener charlas que molen con gente que aún no conoces :)
9
17
46
Testando APIs REST con Property Testing 🧯
Es decir: haciendo pruebas de validación y seguridad con Open Source
Micro-hilo! 👇
2
12
44
Me escriben de Manning (la editorial).
Que si quiero ser revisor de un libro que van a sacar de seguridad en APIs. Tengo que leer como un cabrón y encima tengo un deadline de 2 semanas.
- Cuánto pagan por ello, pregunto?
- Nada, me responden. Pero te mandamos un copia de libro
7
5
46
Sobre Redis y securización
Estoy viendo que nadie tiene NPI de cómo se hace un hardening de Redis.
Más allá de las DMZ, SSL y esas cosas de despliegue y que poco tienen que ver con la configuración de seguridad de Redis en si misma… nada de nada
Pregunta de ACLs:
5
9
46
Bueeeno, despues de mucho pelearme con Jekyll, acabo de lanzar (por fin! mi nuevo blog).
El primer artículo:
Rompiendo el CI/CD usando repositorios Git maliciosos
1
12
46
La infraestructura tecnológica de una startup que acaba de empezar vale dos duros
Hoy me acordaba de una conversación que tuve el otro día con un cliente
Me comentaba que el coste que tenían de infraestructura rondaba los 2000-3000 € al mes
6
7
45
Conoceís servicios que, cuando subes imagen:
- Las redimensionen o las retoquen?
- Creen minituras de ellas?
Pues eso
Pues...salvo que hagan escrito el código muy muy bien, tienen que descomprimir la imagen en memoria primero :)
No la lieis!
Por cierto: conocíais este ataque?
7
3
43
Open source is awesome. Here you can find a RUST ransomware source code, with GUI, for educational purposes
0
8
43
Como conclusiones:
- La bombas lógicas son conocidas, Zip Bombs por ejemplo, pero bombas en imágenes se suele hablar poco.
- Es realmente sencillo crear imágenes más optimizadas en tamaño todavía.
- NO es una vulnerabilidad. Es una explotación de funcionalidad.
1
1
42
Curso de intro al reversing con beneficio a Médicos si Fronteras "Core Security – Curso de Introducci��n al Reversing a beneficio de Médicos sin Fronteras" con los geniales
@ricnar456
y Daniel Kazimirow
0
21
43