Tuesday, June 30, 2020

Las Otras Invasiones De Inglaterra (III)

III.- 1399: Ricardo II contra Enrique IV Bolingbroke
Ricardo II subió al trono en 1377 cuando solo tenía diez años, sucediendo a su abuelo Eduardo III. El primogénito de este había muerto un año antes. Se trataba de Eduardo de Woodstock, conocido como el Príncipe Negro, que era un reputado militar, héroe de las batallas de Crecy y Poitiers en la guerra de los Cien Años y la esperanza de que tan celebrado caudillo liderara a Inglaterra se esfumó cuando en 1376 falleció de disentería (posiblemente contraída cuando combatió en España en la guerra civil por el trono de Castilla entre Pedro I y Enrique de Trastámara).
El reinado de Ricardo II no fue fácil. En 1381, cuando solo tenía catorce años tuvo que hacer frente a una revuelta popular conocida como The Peasant's Revolt, que costó la vida a muchos nobles y altos prelados y en la que solo la sangre fría del niño rey le libró de ser depuesto o algo peor. El resto de su reinado sostuvo una dura pugna con los magnates del país, deseosos de convertirse en los gobernantes auténticos del reino, y con el Parlamento, en el que se acuñó el término impeachment para los procesos de destitución de los funcionarios reales que no cumplían debidamente sus funciones.
En 1386, entre preocupantes rumores de una invasión del país desde Francia (llegó incluso a producirse un tímido desembarco de una fuerza francesa en Inglaterra al mando de Jean de Vienne y dos expediciones preparadas el verano de ese año y en 1387 no llegaron a cruzar el Canal de la Mancha), se celebró una tumultuosa sesión del Parlamento en la que los Comunes rechazaron hablar de cualquier propuesta de nuevos impuestos para campañas en el continente hasta que una serie de funcionarios reales fueran depuestos de sus cargos por incompetentes y negligentes. El rey reaccionó con furia negándose siquiera a reunirse con los parlamentarios. Ante un intento de mediación del duque de Gloucester y el conde de Arundel, Ricardo II llegó a amenazar con pedir ayuda al rey de Francia contra los rebeldes en su propio país. Hizo falta recordarle lo sucedido con Eduardo II para que aceptara las reformas planteadas por el Parlamento, que suponían la remoción (impeachment) de alguno de sus principales aliados y el sometimiento de todas las decisiones de gobierno al criterio de un consejo de nueve miembros, lo que dejaba al rey como una figura casi tan decorativa como cuando subió al poder con diez años.
En diciembre de 1387 se encontró una exigencia del Parlamento personificado en cinco nobles a los que se conoció con el nombre de The Lords Apellant. Estos cinco nobles eran Thomas de Woodstock (tío del rey y duque de Gloucester), los condes de Arundel y Warwick, Thomas de Mowbray, conde de Nottingham y Enrique Bolingbroke (hijo de Juan de Gante y primo del rey).
El Parlamento tomó la decisión de expulsar y desposeer de sus cargos a los más leales consejeros del rey. Ricardo trató de oponerse militarmente a esta situación, pero ni los sheriffsde los condados ni los ciudadanos de Londres se mostraron dispuestos a facilitarle hombres, pues estaban con el Parlamento. Y cuando solicitó ayuda armada a uno de sus fieles llamado Robert de Vere, este se vio traicionado por sus propios hombres cuando se dirigía a Londres y fue interceptado por un ejército al mando de Bolingbroke. De Vere tuvo que huir a Francia solo y con gran riesgo de su vida.
En febrero de 1388, Ricardo vio impotente cómo una sesión del Parlamento conocida como «el parlamento despiadado» declaraba traidores y condenaba a muerte a cinco de sus más leales consejeros. Dos de ellos habían huido a Francia, pero dos de los condenados fueron ejecutados (uno de ellos se había distinguido como el juez que condenó a muerte a muchos de los líderes de The Peasant´s Revolt). Durante los meses siguientes, The Apellant continuaron representando al Parlamento y consiguiendo que este aprobara la condena a muerte de miembros de la casa del rey, de asesores reales e incluso de su viejo tutor y compañero de armas de su padre sirSimon Burley. Todos ellos fueron ejecutados en la brutal manera habitual, incluido Burley, a pesar de que tanto el rey como la reina (esta de rodillas) rogaron que le fuera perdonada la vida.
Después de 1388 Ricardo pareció aceptar la situación del reino, pero mientras ponía al mal tiempo buena cara iba desarrollando cada vez más en su interior sus ansias de venganza contra los que habían convertido su reinado en poco menos que simbólico.
En 1397 el Parlamento negó al rey los fondos para financiar una expedición punitiva del rey de Francia contra Milán. En la misma reunión uno de sus miembros representantes del clero, Thomas Haxey, presentó un escrito con varias quejas sobre los oficiales reales, los excesivos gastos de la casa real y el penoso estado de la frontera con Escocia. En uno de sus ataques de furia, Ricardo ordenó detenerlo y lo condenó a muerte acusándole de traición. Sólo su condición clerical hizo que se conmutara su sentencia por la de prisión.
[caption id="attachment_9577" align="alignnone" width="2048"] C6B68091-2EA1-49E0-9A42-169D9EBE0EBC

The Hollow Crown, basada en la obra de Shakespeare Ricardo II[/caption]
El rey iba ya tras presas mayores. Nunca había perdonado a los líderes de The Apellant y simplemente había esperado su momento. El 10 de julio de 1397 ordenó arrestar al conde de Warwick tras cenar con él en Londres y desde allí se dirigió con tropas leales al castillo de Pleshey, donde se encontraba el principal cabecilla del movimiento que había limitado sus poderes y terminado con sus favoritos, su tío el duque de Gloucester, que sin guardia que le defendiera fue hecho prisionero. El tercer principal opositor al rey en 1386, el conde de Arundel, se entregó a Ricardo, que repartió a sus tres cautivos entre Calais y las islas del Canal.
En el mes de septiembre de 1397 los asistentes a la reunión del Parlamento se encontraron al rey en un sitial superior y a trescientos de sus arqueros rodeando el lugar. Presidiendo la reunión se encontraba Juan de Gante. El canciller Stafford lanzó un discurso en el que resaltaba la supremacía del rey para gobernar a su gusto, a la vez que anunciaba una amnistía general, salvo para cincuenta personas a las que el rey nombraría. Pero Ricardo no pronunció ningún nombre. Se limitó a decir que aquel que pensara que el rey tenía algo de lo que perdonarle debía acercarse a él y solicitar su clemencia. En menos de un año quinientas personas pidieron perdón al rey, que se lo concedió. Acobardados, los parlamentarios aprobaron la derogación de todos los acuerdos del Parlamento de 1386 y del perdón que el mismo acordó para los miembros de The Lords Apellant.
Era hora de consumar su venganza. El conde de Arundel fue juzgado por el Parlamento, hallado culpable y ejecutado. Pero cuando llegó la hora del duque de Gloucester, se produjo una conmoción. El encargado de presentarlo ante el Parlamento, el conde de Nottingham, Thomas Mowbray, compareció con la noticia de que el duque había muerto en Calais. Mowbray traía una confesión escrita del duque reconociendo su traición y declarando que si Ricardo II no había sido depuesto en 1388 fue sólo porque los miembros de The Apellant no se pusieron de acuerdo sobre cuál de ellos debería ceñir la corona. Fue condenado a muerte con carácter póstumo. Las sospechas sobre que la muerte de Gloucester obedeció a órdenes de Ricardo se propagaron rápidamente. El conde de Warwick, entre lágrimas y súplicas, fue condenado al exilio de por vida y a la pérdida de todas sus posesiones.
Quedaban dos miembros de The Apellant cuya participación había sido menor y a los que el rey no sólo no castigó, sino que promocionó. El ya mencionado Thomas Mowbray fue nombrado duque de Norfolk y el hijo de Juan de Gante y primo del rey, Enrique Bolingbroke, obtuvo el nombramiento de duque de Hereford (seguramente esto era parte del precio que Juan de Gante había pedido para apoyar a Ricardo en este audaz golpe de mano). Otros nobles cercanos al monarca también obtuvieron importantes nombramientos.
Los hombres que habían causado tanta pérdida de autoridad al rey habían sido eliminados y Ricardo había recuperado el pleno ejercicio del poder, aunque más por miedo que por convencimiento (en palabras de John Gower, durante el mes de septiembre de 1397 «la brutalidad tomó el control por la fuerza de la espada»).
Tras su audaz movimiento de septiembre de 1397, el gobierno de Ricardo II se volvió cada vez más brutal y despiadado. Estaba arropado por una guardia pretoriana de arqueros de Cheshire que aprovechaban cada desplazamiento del rey para violar y asesinar impunemente, e ideaba cada vez más arbitrarias e ilegales maneras de recaudar impuestos entre sus súbditos: cartas que reclamaba préstamos en los que el nombre del destinatario se dejaba en blanco para ser rellenado por los oficiales reales al investigar qué ciudadanos tenían más posibles, o sentencias de expropiación con el nombre también en blanco.
El acontecimiento esencial para que Ricardo perdiera el trono y la vida se produjo a finales de 1397, cuando los dos personajes a los que más había promocionado en septiembre, Thomas Mowbray y Enrique Bolingbroke, se enzarzaron en una disputa verbal en la que ambos se acusaron de traición. La cuestión fue llevada al Parlamento sin que se alcanzase un veredicto y derivó en un duelo a muerte entre los dos, en una especie de juicio de Dios a celebrar en Coventry el 16 de septiembre de 1398. Ricardo se encontraba en una situación peliaguda. La victoria de Mowbray daría pábulo a los rumores sobre una traición y haría que se pudiera someter a escrutinio el papel del rey en la muerte del duque de Gloucester; la de Bolingbroke daría alas a este en la carrera sucesoria, ya que Ricardo no tenía heredero.
El rey decidió impedir en el último momento un duelo que en nada le podía favorecer y dictó sentencia desterrando a Mowbray de por vida y a Bolingbroke por diez años. Ricardo prometió a su primo que cuando muriera su padre sus representantes tomarían posesión de la herencia en nombre del propio Enrique y conservarían su herencia para él hasta su vuelta.
Bolingbroke se despidió del país (en Londres una multitud le aclamó, mientras en Oxfordshire se produjeron revueltas contra el rey) y embarcó hacia el exilio el 13 de octubre de 1398 en Dover, junto a un puñado de fieles caballeros y unos doscientos sirvientes que debieron retornar a Inglaterra en el plazo de una semana desde su desembarco en Calais. A partir de entonces, Enrique estaba solo en Francia, aunque pronto se trasladó a París donde se codeó con el rey y la más alta nobleza.
Sin embargo, cuando en febrero de 1399 falleció el padre de Bolingbroke Juan de Gante, decretó que el destierro de su primo fuese de por vida y que sus extensas propiedades pasasen a la Corona. Los defensores de Enrique Bolingbroke sostienen que a partir de ese momento (desheredado, calificado de traidor, separado de su familia y sin otro futuro que vagar de corte en corte por Europa vendiendo su espada) la única opción que le quedaba a Enrique era destronar a Ricardo II. Y más aún cuando el rey hizo público un nuevo testamento en el que, sin designar un heredero concreto (sí redactó un codicilo aparte insinuando que tal dignidad recaería en el duque de York) sí dejaba claro que quien quiera que le sucediese, debía comprometerse a respetar y ejecutar las sentencias dictadas por el rey.
Y en ese momento fue cuando Ricardo II cometió el terrible error que le costó el trono y la vida. El 1 de junio de 1399 embarcó hacia Irlanda para sofocar una pequeña rebelión, llevándose con él un ejército y a sus principales compañeros. Solo tomó como medida cautelar la de poner bajo custodia al hijo de Enrique Bolingbroke y a otros familiares de posibles descontentos.
Posiblemente confiaba en que el rey de Francia, en cuya corte estaba exiliado Enrique, no permitiría que este pusiera en peligro la paz con Inglaterra y el trono de su hija, pero Carlos VI, conocido como Carlos el Loco, sufría ataques en los que perdía la razón y, aprovechando que estaba en uno de esos períodos, Enrique solicitó y obtuvo permiso del duque de Orleans para volver a Inglaterra y reclamar sus derechos hereditarios (no se habló de hacerse con el trono). Junto a él se encontraban los también exiliados Thomas Arundel, arzobispo de Canterbury, y Thomas Fitzalan, cuyo padre el conde de Arundel había sido ejecutado por orden de Ricardo en la sesión del parlamento de 1397.
Enrique Bolingbroke, indignado por la sentencia que le privaba de su herencia y le impedía volver a Inglaterra, desembarcó el 4 de julio en Yorkshire con solo quince caballeros y unos trescientos soldados, una fuerza claramente insuficiente para conseguir tomar militarmente el país. Parece que su intención inicial era reclamar la herencia de su padre, pero la falta de resistencia a su avance al hallarse Ricardo en Irlanda, y el hecho de que se le fueran uniendo cada vez más fuerzas descontentas con el caprichoso gobierno del rey le llevaron a replantearse su objetivo. Sus aspiraciones al trono dieron un paso decisivo cuando el duque de York Edmundo de Langley, tío del rey y del propio Bolingbroke, se unió a su causa.
Ricardo volvió a Inglaterra, pero era demasiado tarde. Se refugió en el castillo galés de Conwy donde recibió la visita del conde de Northumbria, Henry Percy. Este le expuso los términos de Bolingbroke: se le citaba a comparecer por su propia voluntad en un parlamento presidido por su primo como «juez supremo» de Inglaterra y en el que sus cinco principales aliados serían juzgados por traición. Tras su habitual ataque de furia, a Ricardo no le quedó otro remedio que acompañar a Percy y reunirse con su primo en el castillo de Flint. Allí Enrique le comunicó que había regresado con el consentimiento de los Comunes para ayudarle a gobernar bien, porque en los últimos veintidós años no lo había hecho. Ricardo aceptó, se entregó formalmente a Bolingbroke y fue trasladado a la Torre de Londres.
En una reunión del Parlamento que tuvo lugar el 30 de septiembre, el arzobispo de York leyó una declaración del ausente Ricardo II por la que este hacía saber que había accedido a renunciar a la corona por no ser la persona adecuada para ceñirla. Se afirmaba que dicho documento fue firmado por el propio Ricardo ante testigos, aunque parece probable que fuera falsificado u obtenido bajo coacción. El arzobispo de Canterbury preguntó a los presentes si aceptaban esta declaración, a lo que todos contestaron que sí.
A continuación se leyó una lista de los errores cometidos por el rey durante su reinado, lista que ascendía a treinta y tres acusaciones muy graves. El mismo Parlamento nombró rey de Inglaterra a Bolingbroke, desde ese momento oficialmente Enrique IV.
Pero el depuesto rey era todavía una amenaza para el usurpador. Tras ser trasladado en secreto hasta el castillo de Pontefract, se produjo una rebelión en favor de Ricardo II en febrero de 1400. Enrique cortó por lo sano. Ricardo murió misteriosamente en su celda de Pontefract, posiblemente de inanición, ya que una parte esencial del plan era que su cuerpo sin vida fuese exhibido a lo largo de su camino a Londres para que no quedara duda a sus partidarios de que no tenían ninguna causa por la que luchar; y para eso era necesario que no hubiera signos de violencia en el cadáver del rey.
Fuente| Daniel Fernández de Lis: Los Plantagenet

Top 9 Best Websites To Learn Ethical Hacking

Metasploit: Find security issues, verify vulnerability mitigations & manage security assessments with Metasploit. Get the worlds best penetration testing software now.
The Hacker News: The Hacker News — most trusted and widely-acknowledged online cyber security news magazine with in-depth technical coverage for cybersecurity.
Exploit DB: An archive of exploits and vulnerable software by Offensive Security. The site collects exploits from submissions and mailing lists and concentrates them in a single database.
HackRead: HackRead is a News Platform that centers on InfoSec, Cyber Crime, Privacy, Surveillance, and Hacking News with full-scale reviews on Social Media Platforms.
Packet Storm: Information Security Services, News, Files, Tools, Exploits, Advisories and Whitepapers.
KitPloit: Leading source of Security Tools, Hacking Tools, CyberSecurity and Network Security.
Hakin9: E-magazine offering in-depth looks at both attack and defense techniques and concentrates on difficult technical issues.
Phrack Magazine: Digital hacking magazine.
Hacked Gadgets: A resource for DIY project documentation as well as general gadget and technology news.

Thursday, June 25, 2020

Greenbrier Valley E-News (2019): Please Confirm Subscription

Confirmed, Scrubbed Enews Contacts (2019)

Please Confirm Subscription

Yes, subscribe me to this list.

If you received this email by mistake, simply delete it. You won't be subscribed if you don't click the confirmation link above.

For questions about this list, please contact:
bgill@greenbrierwv.com

Thursday, June 11, 2020

How Do I Get Started With Bug Bounty ?

How do I get started with bug bounty hunting? How do I improve my skills?

These are some simple steps that every bug bounty hunter can use to get started and improve their skills:

Learn to make it; then break it!
A major chunk of the hacker's mindset consists of wanting to learn more. In order to really exploit issues and discover further potential vulnerabilities, hackers are encouraged to learn to build what they are targeting. By doing this, there is a greater likelihood that hacker will understand the component being targeted and where most issues appear. For example, when people ask me how to take over a sub-domain, I make sure they understand the Domain Name System (DNS) first and let them set up their own website to play around attempting to "claim" that domain.

Read books. Lots of books.
One way to get better is by reading fellow hunters' and hackers' write-ups. Follow /r/netsec and Twitter for fantastic write-ups ranging from a variety of security-related topics that will not only motivate you but help you improve. For a list of good books to read, please refer to "What books should I read?".

Join discussions and ask questions.
As you may be aware, the information security community is full of interesting discussions ranging from breaches to surveillance, and further. The bug bounty community consists of hunters, security analysts, and platform staff helping one and another get better at what they do. There are two very popular bug bounty forums: Bug Bounty Forum and Bug Bounty World.

Participate in open source projects; learn to code.
Go to https://github.com/explore or https://gitlab.com/explore/projects and pick a project to contribute to. By doing so you will improve your general coding and communication skills. On top of that, read https://learnpythonthehardway.org/ and https://linuxjourney.com/.

Help others. If you can teach it, you have mastered it.
Once you discover something new and believe others would benefit from learning about your discovery, publish a write-up about it. Not only will you help others, you will learn to really master the topic because you can actually explain it properly.

Smile when you get feedback and use it to your advantage.
The bug bounty community is full of people wanting to help others so do not be surprised if someone gives you some constructive feedback about your work. Learn from your mistakes and in doing so use it to your advantage. I have a little physical notebook where I keep track of the little things that I learnt during the day and the feedback that people gave me.

Learn to approach a target.
The first step when approaching a target is always going to be reconnaissance — preliminary gathering of information about the target. If the target is a web application, start by browsing around like a normal user and get to know the website's purpose. Then you can start enumerating endpoints such as sub-domains, ports and web paths.

A woodsman was once asked, "What would you do if you had just five minutes to chop down a tree?" He answered, "I would spend the first two and a half minutes sharpening my axe."
As you progress, you will start to notice patterns and find yourself refining your hunting methodology. You will probably also start automating a lot of the repetitive tasks.

Wednesday, June 10, 2020

Osueta: A Simple Python Script To Exploit The OpenSSH User Enumeration Timing Attack

About Osueta?
Osueta it's a simple Python 2 script to exploit the OpenSSH User Enumeration Timing Attack, present in OpenSSH versions <= 7.2 and >= 5.*. The script has the ability to make variations of the username employed in the bruteforce attack, and the possibility to establish a DoS condition in the OpenSSH server.

Read more: OpenSSH User Enumeration Time-Based Attack

The bug was corrected in OpenSSH version 7.3.

Authors of Osueta:

c0r3dump3d: coredump@autistici.org
rofen: rofen@gmx.de

Osueta's Installation
For Linux users, open your Terminal and enter these commands:
If you're Windows users, follow these steps:

Install Python 2.7.x from Python.org first. On Install Python 2.7.x Setup, choose Add python.exe to Path.
Download Osueta-master zip file.
Then unzip it.
Open CMD or PowerShell window at the Osueta folder you have just unzipped and enter these commands:
pip install python-nmap paramiko IPy
python osueta.py -h

Advice: Like others offensive tools, the authors disclaims all responsibility in the use of this script.

Osueta help menu:

Osueta's examples:
A single user enumeration attempt with username variations:
python2 osueta.py -H 192.168.1.6 -p 22 -U root -d 30 -v yes

A single user enumeration attempt with no user variations a DoS attack:
python2 osueta.py -H 192.168.1.6 -p 22 -U root -d 30 -v no --dos yes

Scanning a C class network with only one user:
python2 osueta.py -H 192.168.1.0/24 -p 22 -U root -v no

Scanning a C class network with usernames from a file, delay time 15 seconds and a password of 50000 characters:
python2 osueta.py -H 192.168.1.0/24 -p 22 -L usernames.txt -v yes -d 15 -l 50

Download Osueta

More information

OWASP ZAP RELEASES V2.8.0 WITH THE HEADS UP DISPLAY

OWASP ZAP RELEASES V2.8.0 WITH THE HEADS UP DISPLAY
Heads Up Display simplifies and improves vulnerability testing for developers

London, England, 20 June 2019. OWASP™ ZAP (Open Web Application Security Project™ Zed Attack Proxy) has released a new version of its leading ZAP Project which now includes an innovative Heads Up Display (HUD) bringing security information and functionality right into the browser. Now software developers can interactively test the reliability and security of their applications in real time while controlling a wide variety of features designed to test the quality of their software.

ZAP is a free, easy to use integrated penetration testing tool. With the addition of the Heads Up Display, ZAP can be used by security professionals and developers of all skill levels to quickly and more easily find security vulnerabilities in their applications. Given the unique and integrated design of the Heads Up Display, developers and functional testers who might be new to security testing will find ZAP an indispensable tool to build secure software.

The latest version of ZAP can be downloaded from https://www.owasp.org/index.php/ZAP The full release notes are available at https://github.com/zaproxy/zap-core-help/wiki/HelpReleases2_8_0.

In addition to being the most popular free and open source security tools available, ZAP is also one of the most active with hundreds of volunteers around the globe continually improving and enhancing its features. ZAP provides automated scanners as well as a set of tools that allows new users and security professionals to manually identify security vulnerabilities. ZAP has also been translated into over 25 languages including French, Italian, Dutch, Turkish and Chinese.

Simon Bennetts, OWASP ZAP Project Leader commented: "This is a really important release for the project team and developers who want to build great and secure applications. The HUD is a completely new interface for ZAP and one that is unique in the industry. It shows that open source projects continue to create high-quality, new and exciting tools that deliver real value to the market - and at no cost to users."

"ZAP is the Foundation's most popular software tool," said Mike McCamon interim executive director of the OWASP Foundation. McCamon continued, "For nearly two decades OWASP continues to be a great destination for innovators to host, develop, and release software that will secure the web. Simon and the entire ZAP community deserves great recognition for their continued devotion to open source excellence."

For further information please contact:
Simon Bennetts, OWASP ZAP Project Leader: simon.bennetts@owasp.org or Mike McCamon, Interim Executive Director, mike.mccamon@owasp.com

Related news

How To Start | How To Become An Ethical Hacker

Are you tired of reading endless news stories about ethical hacking and not really knowing what that means? Let's change that!

This Post is for the people that:

Have No Experience With Cybersecurity (Ethical Hacking)
Have Limited Experience.
Those That Just Can't Get A Break

OK, let's dive into the post and suggest some ways that you can get ahead in Cybersecurity.

I receive many messages on how to become a hacker. "I'm a beginner in hacking, how should I start?" or "I want to be able to hack my friend's Facebook account" are some of the more frequent queries. Hacking is a skill. And you must remember that if you want to learn hacking solely for the fun of hacking into your friend's Facebook account or email, things will not work out for you. You should decide to learn hacking because of your fascination for technology and your desire to be an expert in computer systems. Its time to change the color of your hat 😀

I've had my good share of Hats. Black, white or sometimes a blackish shade of grey. The darker it gets, the more fun you have.

If you have no experience don't worry. We ALL had to start somewhere, and we ALL needed help to get where we are today. No one is an island and no one is born with all the necessary skills. Period.OK, so you have zero experience and limited skills…my advice in this instance is that you teach yourself some absolute fundamentals.

Let's get this party started.

What is hacking?

Hacking is identifying weakness and vulnerabilities of some system and gaining access with it.

Hacker gets unauthorized access by targeting system while ethical hacker have an official permission in a lawful and legitimate manner to assess the security posture of a target system(s)

There's some types of hackers, a bit of "terminology".
White hat — ethical hacker.
Black hat — classical hacker, get unauthorized access.
Grey hat — person who gets unauthorized access but reveals the weaknesses to the company.
Script kiddie — person with no technical skills just used pre-made tools.
Hacktivist — person who hacks for some idea and leaves some messages. For example strike against copyright.

Skills required to become ethical hacker.

Curosity anf exploration
Operating System
Fundamentals of Networking

*Note this sites

More information

WordPress 5.0.0 Crop-Image Shell Upload Exploit

More info

APPLE IPHONE X FACE ID CAN BE HACKED WITH SILICON MASK

Just a week after Apple released its brand new iPhone X on November 3, a team of researchers has claimed to successfully hack Apple's Face ID facial recognition technology with a mask that costs less than $150. They said Apple iPhone x face id can be hacked with silicon mask easily.

apple iPhone x face id hacked
Yes, Apple's "ultra-secure" Face ID security for the iPhone X is not as secure as the company claimed during its launch event in September this year.

"Apple engineering teams have even gone and worked with professional mask makers and makeup artists in Hollywood to protect against these attempts to beat Face ID," Apple's senior VP of worldwide marketing Phil Schiller said about Face ID system during the event.

"These are actual masks used by the engineering team to train the neural network to protect against them in Face ID."

However, the bad news is that researchers from Vietnamese cybersecurity firm Bkav were able to unlock the iPhone X using a mask.

Yes, Bkav researchers have a better option than holding it up to your face while you sleep. Bkav researchers re-created the owner's face through a combination of 3D printed mask, makeup, and 2D images with some "special processing done on the cheeks and around the face, where there are large skin areas" and the nose is created from silicone.

The researchers have also published a proof-of-concept video, showing the brand-new iPhone X first being unlocked using the specially constructed mask, and then using the Bkav researcher's face, in just one go.

"Many people in the world have tried different kinds of masks but all failed. It is because we understand how AI of Face ID works and how to bypass it," an FAQ on the Bkav website said.

"You can try it out with your own iPhone X, the phone shall recognize you even when you cover a half of your face. It means the recognition mechanism is not as strict as you think, Apple seems to rely too much on Face ID's AI. We just need a half face to create the mask. It was even simpler than we ourselves had thought."

Researchers explain that their "proof-of-concept" demo took about five days after they got iPhone X on November 5th. They also said the demo was performed against one of their team member's face without training iPhone X to recognize any components of the mask.

"We used a popular 3D printer. The nose was made by a handmade artist. We use 2D printing for other parts (similar to how we tricked Face Recognition 9 years ago). The skin was also hand-made to trick Apple's AI," the firm said.

The security firm said it cost the company around $150 for parts (which did not include a 3D printer), though it did not specify how many attempts its researchers took them to bypass the security of Apple's Face ID.

It should be noted that creating such a mask to unlock someone's iPhone is a time-consuming process and it is not possible to hack into a random person's iPhone.

However, if you prefer privacy and security over convenience, we highly recommend you to use a passcode instead of fingerprint or Face ID to unlock your phone.

Related news

July 2019 Connector

OWASP
Connector

July 2019

Communications | Projects | Events | Community | Membership

COMMUNICATIONS

Letter from the Vice-Chairman:

Since the last Connector, the Foundation has seen an extremely positive response to hosting a Global AppSec conference in Tel Aviv. The event was well attended with great speakers and training, furthering our mission to improving software security on a global level.

Next up we have a Global AppSec conference in both Amsterdam and Washington DC. We have migrated away from the regional naming convention so in previous years these events would have been Europe and US. Planning for both events is well underway with some excellent keynotes being lined up. We hope you can join us at these conferences.

As part of our community outreach, the Board and volunteers will be at BlackHat and DEFCON in Las Vegas next month. The Board will have a two-day workshop two days before the conference, but during the conference will look to talk to and collaborate with as many of the community as possible. We are really looking forward to this.

It is that time of the year again, the global Board of Directors nominations are now open. There are four seats up for re-election: mine (Owen), Ofer, Sherif, and Chenxi. I would ask those who would like to help drive the strategic direction of the Foundation to step forward. If you are not interested in running, why not submit questions to those who are running.

Recently the Executive Director has put forward a new initiative to change the way in which we utilize our funds in achieving our mission. The aim here is to have one pot of money where there will be fewer restrictions to chapter expenses. Funds will be provided to all, albeit as long as they are reasonable. The Board sees this as a positive step in our community outreach.

Finally, I would like to ask those who are interested in supporting the Foundation, reach out to each Board member about assisting in one of the following strategic goals, as set out by the board at the start of the year:

Marketing the OWASP brand
Membership benefits
Developer outreach
- Improve benefits
- Decrease the possibility of OWASP losing relevance
- Reaching out to management and Risk levels
- Increase involvement in new tech/ ways of doing things – dev-ops
Project focus
- Get Universities involved
- Practicum sponsored ideas
- Internships
Improve finances
Improve OWASP/ Board of Directors Perception
Process improvement
Get consistent Executive Director support
Community empowerment

Thanks and best wishes,
Owen Pendlebury, Vice Chair

DC Registration Now Open Sponsorship Available - Registration Opens Soon

UPDATE FROM THE EXECUTIVE DIRECTOR:

Change: If we change nothing, how could we expect to be in a different place a year from now? It has been truly a pleasure these first six months as your Interim Executive Director and I look forward to many years to come. Everyone has done a great job helping me see our opportunities and challenges. And the challenges are real - both internally and our position in the infosec community. I'm biased toward action.

My first task has been to redesign and optimize our operations. This will help staff to be more responsive while also saving the funds donated to the Foundation for our work on projects and chapters. This will also mean changes for you too. Communities work better when everyone always assumes we are all operating with the best of intentions. I can assure you that is the case of our Board, leaders, and staff. Evaluate our changes through this view and we'll save time and our collective sanity.

One big project that is coming to life is our new website. We will soon be entering our 20th year and we needed to not just refresh the look but completely retool it for the next 20 years. We are rebuilding it from the ground up and we can't wait to share our progress. Over the next month or so we will be sharing more information on that project. Stay tuned!

Mike McCamon, Interim Executive Director

OWASP FOUNDATION UPDATE FROM EVENTS DIRECTOR:

OWASP is pleased to announce our newest staff member, Sibah Poede will be joining us as the Events Coordinator and will begin full-time on 1 July.

Sibah is a graduate of London South Bank University where she received a BA (Hons) Marketing Management. Prior to that, she gained a diploma in Market & Economics at the Copenhagen Business School, Neil's Brock, Denmark. After graduation, she launched her career in London working with Hilton International hotels at the Conference and Events department. She eventually moved on to work with Kaplan International Colleges in the marketing department. Later, she joined Polyglobe Group, and then Uniglobe within the travel sector, where she was involved in global exhibitions and events, account management and sales.

She has lived in Denmark, Nigeria, Switzerland, and currently lives in London. In her spare time, she enjoys traveling and learning new cultures. She is also part of the Soup Kitchen Muswell Hill, a charity organization involved in feeding the homeless.
Please join us in welcoming Sibah to the team.

Emily Berman
Events Director

As many of you are aware, the OWASP Foundation has a Meetup Pro account. We are requesting that all Chapters, Projects, Committees, and any other OWASP Meetup pages be transferred to the OWASP Foundation account.

OWASP Foundation will be the Organizer of the Group and all Leaders/Administrators will be Co-Organizers with the same edit rights.

Once the Meetup page is transferred to our account, the Foundation will be funding the cost of the Meetup page. If you do not want to continue being charged for your Meetup subscription account, you should then cancel it. Thereafter no Chapter, Project, etc. will be billed for Meetup. Going forward the Foundation will no longer approve any reimbursement requests for Meetup.

For instructions on how to move your Meetup group to the OWASP Foundation account please see https://www.owasp.org/index.php/OWASP_Meetup_Information

OWASP Members visit our website for $200 savings on Briefing passes for BlackHat USA 2019.

EVENTS

You may also be interested in one of our other affiliated events:

REGIONAL AND LOCAL EVENTS

Event	Date	Location
OWASP Auckland Training Day 2019	August 10, 2019	Auckland, New Zealand
OWASP security.ac.nc-Wellington Day 2019	August 24, 2019	Wellington , New Zealand
OWASP Portland Training Day	September 25, 2019	Portland, OR
OWASP Italy Day Udine 2019	September 27, 2019	Udine, Italy
OWASP Portland Day	October 16,2019	Wroclaw, Poland
BASC 2019 (Boston Application Security Conference)	October 19,2019	Burlington, MA
LASCON X	October 24-25,2019	Austin, TX
OWASP AppSec Day 2019	Oct 30 - Nov 1, 2019	Melbourne, Australia
German OWASP Day 2019	December 9-10, 2019	Karlsruhe, Germany

PARTNER AND PROMOTIONAL EVENTS

Event	Date	Location
BlackHat USA 2019	August 3-8,2019	Las Vegas, Nevada
DefCon 27	August 8-11,2019	Las Vegas, Nevada
it-sa-IT Security Expo and Congress	October 8-10, 2019	Germany

PROJECTS

Project Reviews from Global AppSec Tel Aviv 2019 are still being worked on. Thank you to the reviewers that helped with it. If you have time to help finalize the reviews, please contact me (harold.blankenship@owasp.com) and let me know.

We continue to push forward with Google Summer of Code. First and student evaluations are past and we are in our third work period. Final evaluations are due 19th August!

The Project Showcase at Global AppSec DC 2019 is shaping up to be a fantastic track. Please note the following schedule.

	Schedule
Time	Thursday, September 12
10:30	Secure Medical Device Deployment Standard	Christopher Frenz
11:30	Secure Coding Dojo	Paul Ionescu
1:00 p.m. Lunch Break
15:30	API Security Project	Erez Yalon
16:30	Defect Dojo	Matt Tesauro
Time	Friday, September 13
10:30	Dependency Check	Jeremy Long
11:30	SAMM	John Ellingsworth, Hardik Parekh
1:00 p.m. Lunch Break
15:30	SEDATED	Dennis Kennedy
16:30	<open>

New Release of ESAPI # 2.2.0.0:

On June 25, a new ESAPI release, the first in over 3 years, was uploaded to Maven Central. The release # is 2.2.0.0. The release includes over 100 closed GitHub Issues and over 2600 additional unit tests. For more details, see the release notes at:
https://github.com/ESAPI/esapi-java-legacy/blob/esapi-2.2.0.0/documentation/esapi4java-core-2.2.0.0-release-notes.txt

A special shout out to project co-leader Matt Seil, and major contributors Jeremiah Stacey and Dave Wichers for their ongoing invaluable assistance in this effort.
-- Kevin Wall, ESAPI project co-lead
OWASP ESAPI wiki page and the GitHub project page.

COMMUNITY

Welcome New OWASP Chapters

Indore, India
Panama City, Panama
Medellin, Colombia
Cartagena, Colombia
Aarhus, Denmark
Dhaka, Bangladesh
Edmonton, Canada
Lincoln, Nebraska
Sanaa, Yemen
Noida, India
Mumbai, India

MEMBERSHIP

We would like to welcome the following Premier and Contributor Corporate Members.

Contributor Corporate Members

Join us

Donate

Our mailing address is:
OWASP Foundation
1200-C Agora Drive, # 232
Bel Air, MD 21014

Unsubscribe

This email was sent to *|EMAIL|*
why did I get this? unsubscribe from this list update subscription preferences
*|LIST:ADDRESSLINE|*

Mr. Kelso's ELD I Class