Presentaciones: OWASP AppSec Europe 2009 - Poland

Presentaciones disponibles utilizadas en este evento relacionado con el "Código Seguro" y la "Seguridad en las aplicaciones Web":

• - Welcome to OWASP AppSec 2009 Conference (PPT)
• - Web App Security – The Good, the Bad and the Ugly (PPT)
• - OWASP State of the Union (PPT)
• - OWASP Live CD: An open environment for Web Application Security (PPT)
• - Leveraging agile to gain better security (PPT)
• - The OWASP Orizon project: new static analysis in HiFi (PPT)
• - OWASP Application Security Verification Standard (ASVS) Project (PPT)
• - Tracking the effectiveness of an SDL program: lessons from the gym (PPT)
• - The Bank in the Browser - Defending web infrastructures from banking malware (PDF)
• - Threat Modeling (PPT)
• - Web Application Harvesting (PPT)
• - Maturing Beyond Application Security Puberty (PPT)
• - Exploiting Web 2.0 – Next Generation Vulnerabilities (PDF)
• - The Truth about Web Application Firewalls: What the vendors do not want you to know (PPT)
• - The Software Assurance Maturity Model (SAMM) (PPT)
• - Advanced SQL injection exploitation to operating system full control (PDF)
• - When Security Isn’t Free: The Myth of Open Source Security (PPT)
• - OWASP Projects (PPT)
• - Beyond security principles approximation in software architectures (PPT)
• - OWASP Enterprise Security API (ESAPI) Project (PPT)
• - w3af, A framework to 0wn the web (PPT|Video)
• - OWASP ROI: Optimize Security Spending using OWASP (PPT)
• - CSRF: the nightmare becomes reality? (PPT)
• - I thought you were my friend Evil Markup, browser issues and other obscurities (PDF / PPT)
• - HTTP Parameter Pollution (PDF)
• - OWASP Source Code Flaws Top 10 Project (PPT)
• - Business Logic Attacks: Bots and Bats (PPT)
• - Factoring malware and organized crime in to Web application security (PDF1-PDF2 )
• - Real Time Defenses against Application Worms and Malicious Attackers (PPT)
• - Can an accessible web application be secure? Assessment issues for security testers, developers and auditors (PPT)

Web del evento


Link relacionado:
- Guía de pruebas Owasp - Versión 3 en español (Owasp Testing)

The Web Hacking Incidents Database 2008: Breach Annual Report (Febrero 2009)

The much anticipated Breach Security Lab’s Web Hacking Incidents Database (WHID) 2008 Annual Report is ready for download.

The WHID project is dedicated to maintaining a record of web application-related security incidents. The WHID’s purpose is to serve as a tool for raising awareness of web application security problems and provide information for statistical analysis of web application security incidents.

This year the report findings prove that no company or market sector is immune from attack. One of the largest discoveries was that web attackers have unleashed a new type of SQL Injection attack that successfully compromised 500,000 web sites. Download this white paper today to learn more about the latest in web application security.

Download

Algunos datos:

Attack / Vulnerability Used %
SQL Injection 30%
Unknown 29%
Cross-Site Scripting (XSS) 8%
Insufficient Anti-
Automation 5%
Insufficient Authentication 3%
Cross-Site Request Forgery
(CSRF) 3%
OS Commanding 3%
Denial of Service 3%
Drive By Pharming 3%
Known Vulnerability 2%
Brute Force 2%
Credential / Session 2%


Link relacionado:
- Reporte 2007: The Web Hacking Incidents Database (WHID)

Plantillas de Politicas y de otros documentos de seguridad

La empresa Callio Technologies, publico en su web una serie de plantillas de ejemplo relacionadas con la seguridad de la información:

Security templates Examples

• 3. Security policy
  • 3.1 Information security policy
    • 6-Elements of a Security Policy (23k)
    • 7-Manual of Security Policies (52k)
    • 3-Memorandum (25k)
    • 8-Policy Review Process (253k)
    • 5-Security Management Group Mandate (26k)
    • 4-Security Policy Statement (26k)
• 4. Organizational security
  • 4.1 Information security infrastructure
    • 10-Information Security Advisor (27k)
    • 9-Security Management Group Members (24k)
• 5. Asset classification and control
  • 5.1 Accountability for assets
    • 11-Asset Inventory (53k)
  • 5.2 Information classification
    • 13-Classification Guide (34k)
    • 12-Roles and Responsibilities Related to Assets (42k)
• 6. Personnel security
  • 6.1 Security in job definition and resourcing
    • 22-Advice - Confidentiality Agreements (27k)
    • 15-Elements of a Job Description (24k)
    • 24-Employment Contract (39k)
    • 19-Hiring Personnel (25k)
    • 10-Information Security Advisor (27k)
    • 14-Information Security Positions (28k)
    • 16-Job Description Model (25k)
    • 21-Performance Evaluation Form (29k)
    • 18-Reference Check Authorization (28k)
    • 23-Template no 1 - Confidentiality Agreement (32k)
    • 55-Template no 2 - Nondisclosure Agreement (47k)
    • 17-Tips for Checking References (23k)
    • 20-Tips for Performance Evaluations (30k)
  • 6.2 User training
    • 25-Training Program Start-Up (34k)
    • 26-Training of Security Staff (87k)
    • 27-User Consent (30k)
  • 6.3 Responding to security incidents and malfunctions
    • 32-Application of Disciplinary Measures (367k)
    • 33-Example of a Disciplinary Process (305k)
    • 29-Persons to Contact - Security Incidents (24k)
    • 31-Progression in Disciplinary Measures (24k)
    • 28-Reporting Security Incidents (588k)
    • 30-Review of Reported Incidents (24k)
• 7. Physical and environmental security
  • 7.1 Secure areas
    • 39-Delivery Process (109k)
    • 37-Industrial Visits (25k)
    • 40-Merchandise Refusal (25k)
    • 34-Physical Security Questionnaire (58k)
    • 36-Reception Layout Plan (655k)
    • 35-Site Layout (1087k)
    • 38-Working in Secure Areas (24k)
  • 7.2 Equipment security
    • 41-Measures for protecting equipment (3459k)
    • 42-Mesures for power supply protection (485k)
    • 34-Physical Security Questionnaire (58k)
  • 7.3 General controls
    • 43-Material Requisition Form (29k)
• 8. Communications and operations management
  • 8.1 Operational procedures and responsibilities
    • 45-Form for Operational Change (32k)
    • 44-Operational Change Process (24k)
    • 49-Procedure for Reinstalling a System (23k)
    • 47-Security Incident Classification (22k)
    • 46-Security Incident Management Process (236k)
    • 48-Security Incident Report (Form) (43k)
    • 50-Segregation of responsibilities (29k)
  • 8.4 Housekeeping
    • 53-Fault Log (29k)
    • 51-Information Backups (47k)
    • 52-Operator's Log (29k)
  • 8.5 Network management
    • 54-Network Control Measures (24k)
  • 8.7 Exchanges of information and software
    • 57-Email Security (179k)
    • 56-Letter of Confirmation -- Online Purchase (30k)
    • 23-Template no 1 - Confidentiality Agreement (32k)
    • 55-Template no 2 - Nondisclosure Agreement (47k)
• 9. Access control
  • 9.2 User access management
    • 24-Employment Contract (39k)
    • 60-Intervals for Reviewing Access Rights (23k)
    • 58-Modification of Privileges (35k)
    • 59-Nondisclosure of Passwords (24k)
  • 9.3 User responsibilities
    • 61-Good Password Management Practices (27k)
    • 62-Unsupervised equipment (23k)
  • 9.4 Network access control
    • 63-Authentication Methods (169k)
    • 68-Installing a Linux RedHat Server (27k)
    • 67-Installing a Netware Server (33k)
    • 69-Installing a Windows 2000 Server (35k)
    • 66-Modifying Filtering Rules (52k)
    • 64-Protection of Remote Diagnostic Ports (37k)
    • 65-Role of the Router (941k)
  • 9.5 Operating system access control
    • 70-Connection Process (78k)
    • 71-Individual Alarms (457k)
  • 9.7 Monitoring system access and use
    • 72-Recording Events (28k)
    • 73-Synchronizing Clocks (375k)
  • 9.8 Mobile computing and teleworking
    • 74-Teleworking -- Contractual Arrangement (41k)
• 10. Systems development and maintenance
  • 10.1 Security requirements of systems
    • 75-Security Requirements -- Analysis and Specifications (26k)
  • 10.2 Security in application systems
    • 76-Responding to Validation Errors (29k)
  • 10.3 Cryptographic controls
    • 80-Cryptography Policy (48k)
    • 79-Key Management (25k)
    • 77-Selecting Cryptographic Measures (32k)
    • 78-Selecting a Cryptographic Solution (24k)
  • 10.4 Security of system files
    • 81-Change Control (25k)
  • 10.5 Security in development and support processes
    • 82-Modification Request Form (34k)
• 11. Business continuity management
  • 11.1 Aspects of business continuity management
    • 95-Address and Phone Number of the Backup Facility (28k)
    • 96-Communications During a Disaster (177k)
    • 90-Continuity Plan -- Content (91k)
    • 89-Creation and Implementation of a Continuity Plan (35k)
    • 100-Criteria for Evaluating a Backup Facility (115k)
    • 91-Distribution List for the Continuity Plan (34k)
    • 92-Drafting a Recovery Plan (27k)
    • 85-Elaborating Business Continuity Strategies (258k)
    • 93-Emergency Plan (91k)
    • 83-Evaluating Priorities (64k)
    • 87-Impact Analysis Form (30k)
    • 86-Impact Analysis (297k)
    • 84-Insurance Risk Coverage (26k)
    • 97-List of Emergency Telephone Numbers (27k)
    • 98-List of Suppliers (340k)
    • 94-Responding to Emergency Situations (205k)
    • 88-Risk Analysis and Management (248k)
    • 99-Testing and Maintaining Continuity Plans (31k)
• 12. Compliance
  • 12.1 Compliance with legal requirements
    • 101-User Statement (30k)
  • 12.3 System audit considerations
    • 103-Network Security Audit (23k)
    • 102-Security Audit Process (24k)

RFID en pasaportes USA vulnerables: Construyen un dispositivo de 250 $ para clonarlos

Utilizando un sistema con componentes de bajo costo, de tan solo US$ 250, el experto en seguridad informática Chris Paget ha creado una plataforma móvil que puede clonar grandes números de identificadores electrónicos que son usados en los pasaportes de EEUU y que usarán en la próxima generación de licencias de conducir.

El sistema que el investigador Chris Paget ha construído en su tiempo libre puede ser operado desde un vehículo y contiene todo lo necesario para captar y luego clonar tags RFID. Durante una reciente prueba en la que Paget condujo su automóvil por 20 minutos en el centro de San Francisco, pudo copiar con éxito dos tags RFID de dos pasaporte sin el conocimiento de sus propietarios.

• Acceda al artículo completo en inglés haciendo clic aquí
• Acceda al video en inglés haciendo clic aquí

Visto en www.seguridadmania.com

Guía de pruebas Owasp - Versión 3 en español (Owasp Testing)

Como complemento a la guia "OWASP Testing Guide Version 3", se publico la versión en español del documento de 372 paginas:

Descarga:

• Version PDF
  
• Version Word

Web del Proyecto


Link relacionados:
- OWASP Live CD (Imágen de VMware con VMWare Tools).
- OWASP Security Spending Benchmarks Project Report (March 2009)- Web Application Vulnerability Scanners
- Mejores herramientas de auditoría y seguridad del 2007
- Video: OWASP Top 5 and Mutillidae

Gracias a Windows: Los hackers comenzarán a atacar los cajeros automáticos

CIUDAD DE BUENOS AIRES (Urgente24) - El famoso ex hacker estadounidense Kevin Mitnick, experto en seguridad informática, alertó este martes sobre la vulnerabilidad de los sistemas operativos de los cajeros automáticos, durante el evento tecnológico Campus Party Colombia.

"Lo último en piratería informática es implantar códigos malignos en los computadores de los cajeros, ya que usan Windows. Es un movimiento que ha empezado en Rusia y Ucrania, pero que no tardará en llegar a USA y a Latinoamérica", declaró Mitnick.

Una vez que los hackers han entrado en uno de estos sistemas, pueden ver toda la información de la persona que introduce la tarjeta, desde sus datos personales hasta las contraseñas de seguridad.

También alertó sobre las fallas de seguridad de los celulares.
Este ex hacker, quien confesó que "disfruta con su trabajo" como asesor de seguridad, también dijo que, en contra de lo que muchos usuarios creen, "los dispositivos móviles también pueden ser hackeados".
"Los piratas pueden introducir códigos malignos en los teléfonos móviles para tener control sobre ellos y monitorizarlos, y así escuchar las conversaciones, acceder a los contactos o usar internet móvil", declaró.
Mitnick sostiene que "la seguridad informática aún no ha evolucionado lo suficiente" y para demostrarlo realizará una muestra en Camus Party con un código maligno creado por él mismo que no es detectado por los antivirus.


Perfil de un hacker
Kevin Mitnick (nacido el 6 de agosto de 1963) es uno de los hackers y phreakers más famosos de los Estados Unidos. Su nick o apodo fue Cóndor. Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunos de las computadoras más seguras de USA. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electrónicos.
El caso de Kevin Mitnick (su último encarcelamiento) alcanzó una gran popularidad entre los medios estadounidenses por la lentitud del proceso (hasta la celebración del juicio pasaron más de dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su supuesta peligrosidad).
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía Mitnick Security (anteriormente llamada Defensive Thinking).
La vida de Kevin Mitnick y, en especial, la persecución que condujo a su captura en 1995 han dado lugar a multitud de libros y otro material de ficción. De entre todos, destaca la novela Takedown, que relata su último arresto. Y de la cuál han sacado una película con el mismo título, Takedown, en el año 2000.
Otra novela algo menos conocida es The Fugitive Game, escrita por Jonathan Littman. En ella también se narran los hechos acontecidos los últimos años antes de su arresto, aunque desde una perspectiva más intimista y no tan enfocada al autobombo por parte de los captores como la anterior.
Uno de los miembros del equipo que contribuyó al arresto de Mitnick fue Tsutomu Shimomura, experto en seguridad informática e hijo del profesor Osamu Shimomura, uno de los tres ganadores del Premio Nobel de Química 2008.

Fuente: www.urgente24.com/index.php?id=ver&tx_ttnews[tt_news]=125481&cHash=3eb34a5f49

Link relacionado:
- Hackeo de cajeros, una moda tecnológica

Secure your Wireless network

In this article i will show you how to secure your Wireless LAN. As in the previous article LAN security was sub divided into two parts, similarly Wireless LAN security is also divided into two parts. The difference is in the security issues.
With Wireless Networking, no cables or wires are needed to network your computers and share your Internet connection. Wi-Fi connects computers, printers, video camera’s and game consoles into a fast Ethernet network via microwaves.

Following actions should be taken.

• - The most important thing is to change the default password of your access point.
  
  
• - Firmware and the drivers of your wireless access point and wireless adapters should be up to date. They should be updates whenever necessary.
  
  
• - There should be a combination of high level encryption and decent keys (WPA2/802.11i ) recommended.
  
  
• - Wireless users should be authenticated with different protocols like 802.1X, RADIUS, EAP (including EAP-PAX, EAP-PSK, EAP-TLS, EAP-TTLS, EAP-FAST, EAP-POTP, EAP-IKEv2, EAP-GPSK, PEAP, and EAP-SIM.
  
  
• - The above protocols give credentials including certificates, usernames, passwords etc.
  
  
• - Use Wireless LAN Security Tools for securing the wireless network. This software is specifically designed for securing 802.11 wireless networks.
  
  
• - Use a proxy for outgoing requests.
  
  
• - Always check the security of the wireless LAN using recent tools like Airbase, AirCrack-ng etc.
  
  
• - Make strict system logging on all the devices, do check your wireless log files regularly.

Visto en Geniushackers.com

secure your lan, lan security, firewalls, anti-viruses,tcp , udp,lan,lan security,networking

Los ladrones pueden estar dentro

La incertidumbre laboral dispara el robo de información confidencial por los empleados.

Cuanto valgo como empleado?" Es una pregunta que se hacen muchos trabajadores en estos momentos de incertidumbre laboral, con el paro disparado y la posibilidad de verse en la calle muy presente. La respuesta varía según cada uno, pero todas tienen un añadido común: "Valdré más si dispongo de información confidencial de mi empresa para ofrecer a la competencia".

El caso no es remoto. La fuga de información confidencial de las compañías ha aumentado un 60 % desde el año pasado, según un informe del Grupo Paradell Consultores de investigación privada y prevención del fraude, que ha pasado de constatar 400 a más de 600 casos. Sin contar los que nunca llegan a conocerse.

Ingresos adicionales

Otro estudio, elaborado por Kroll y The Economist Intelligence Unit, reveló que el 85 % de los ejecutivos de algunas de las principales empresas de Europa, América del Norte y África admitieron que su compañía ha sufrido al menos un fraude en los últimos tres años.
"En el 80 % de las ocasiones se trata de un trabajador o ex trabajador de la empresa con acceso a los datos", explica Jordi Besoli, director del área de Seguridad Informática de Paradell. "El fraude ha aumentado por varios motivos", continúa: "Cada vez es más fácil acceder a los datos, incluso desde casa a través del ordenador; con la crisis algunos empleados se sienten más inseguros y ven en esta opción una fuente de ingresos adicionales, también está el resentimiento o despecho con la empresa o el valor añadido que supone tenerlos".

Pero no sólo de robar datos vive el fraudulento, aunque es una parte importante del hurto a la empresa (30%). Competencia desleal (11%), fraude informático (4%), plagio o imitación (9%), contraespionaje industrial (11%), fingir o prolongar bajas (32%) y el absentismo laboral (5%) completan la fotografía del fraude, si bien es cierto que los dos últimos apartados han caído bastante.

España es reactiva

La buena noticia para las empresas es que se puede luchar contra el robo. Investigando los casos, las aseguradoras españolas redujeron de 275 millones de euros a 75 millones el fraude que sufrieron en 2007. En España no se hace, pero prevenir también funciona. "Ése es el modelo anglosajón, aquí somos más reactivos, y eso es más caro siempre para la empresa", explica Mariano Paradell, director del Grupo Paradell.

La creciente regulación también ayuda. Un informe de Deloitte se refiere a la presión de la CNMV sobre las empresas cotizadas para que informen de los riesgos que corren, y ala reforma del Código Penal, que responsabiliza a las personas jurídicas por los actos punibles de sus empleados. Estas circunstancias "empujan a nuestras empresas a implantar o revisar sus mecanismos de control", dice la auditora.

Fuente: www.adn.es


Si desea recibir el Informe Fraude 2009 (Paradell), por favor rellene el siguiente formulario

Link relacionado:
- El robo de datos confidenciales se dispara con los despidos

Aspectos a tener en cuenta al crear sitios web públicos

Hace unos meses, un usuario de StackOverflow planteaba una interesante cuestión: ¿qué debería saber un desarrollador para construir un sitio web público? Es decir, ¿cuáles son aquellos aspectos importantes que deben tenerse en cuenta a la hora de crear un site de calidad, desde el punto de vista técnico?

Tras un tiempo de respuestas, ideas y debates, otro usuario ha realizado una recopilación de los aspectos y sugerencias más votadas y los ha publicado en forma de lista categorizada, donde podemos encontrar muy buenas ideas a tener en cuenta en nuestros propios desarrollos, y que me he permitido traducir.

Muchos de los puntos son obvios y seguro que ya los estáis teniendo en cuenta, quizás otros son demasiado exagerados, y seguro que alguno de ellos ni siquiera os los habíais planteado. En cualquier caso el resultado es una relación interesante y muy a tener en cuenta para mejorar nuestros sitios web.

Seguridad:

• - Conocer la amplia guía de desarrollo OWASP, que cubre la seguridad de sitios web de forma muy completa.
• - Conocer el fundamento de los ataques de inyección SQL y cómo prevenirlos.
• - Jamás confiar en los datos introducidos por los usuarios.
• - Evitar el almacenamiento de contraseñas en texto plano utilizando técnicas criptográficas como hashes y salts.
• - No intentes utilizar tu magnífico y elaborado sistema de autenticación; es bastante probable que existan fallos impredecibles de los que sólo te darás cuenta después de haber sido hackeado.
• - Usar SSL/HTTPS en las páginas de identificación de usuarios y, en general, en todas aquellas páginas donde sea introducida información sensible, como datos personales o bancarios.
• - Evitar el secuestro de sesiones (session hijacking).
• - Evitar los ataques XSS (Cross Site Scripting).
• - Evitar los ataques XSRF (Cross Site Request Forgeries).
• - Mantener tus sistemas actualizados con los últimos parches disponibles.
• - Asegurarse de que la información de conexión a la base de datos está almacenada en un lugar lo suficientemente seguro.
• - Mantener informado sobre las últimas técnicas de ataque y vulnerabilidades que afecten a la plataforma sobre la que trabajas.
• - Conocer el manual The Google Browser Security Handbook.

Corrección de errores:

• - Entender que pasarás el 20% del tiempo codificando y el 80% restante manteniéndolo, por tanto codifica apropiadamente.
• - Configurar un buen sistema de notificación y gestión de errores.
• - Habilitar sistemas para que los usuarios puedan contactar contigo y trasladarte críticas y sugerencias.
• - Documentar cómo funciona la aplicación para facilitar el futuro soporte y mantenimiento del sistema.
• - Poner a funcionar el sistema primero en Firefox y después en Internet Explorer.
• - Hacer copias de seguridad frecuentes.

Para leer los puntos relacionado con "Interfaz y experiencia de usuario", "Rendimiento", "SEO" y "Tecnología" acceder al siguiente link.

Fuente Original: Variable not found.

Visto en www.variablenotfound.com