El 66% de las pymes con menos de 50 empleados admite que desconoce la existencia de la Ley de Protección de Datos

Un punto de información ayudará a las pymes a evitar multas de hasta 600.000 euros.

El 66% de las empresas desconoce la existencia de la Ley de Protección de Datos.

El 66% de las pymes con menos de 50 empleados admite que desconoce la existencia de la Ley de Protección de Datos. Según la Cámara tinerfeña, es fácil cometer errores sancionables, ya que no informar debidamente en la recogida de datos o incumplir los deberes de secreto y confidencialidad puede conllevar una sanción de hasta 60.000 euros.

A pesar de que el 71% de la población afirma que le preocupa lo que se haga con sus datos, un 66 por de las pymes con menos de 50 empleados reconoce que desconoce "por completo" la existencia de la Ley Orgánica de Protección de Datos (LOPD). Ante este déficit de información, la Cámara de Comercio de Santa Cruz de Tenerife ha puesto en marcha el Punto de Información sobre Protección de Datos (PIPD) con el objetivo de asesorar a todas las empresas del alcance de la normativa, así como de las importantes sanciones que acarrea su incumplimiento.
La LOPD, que cuenta con su nuevo Reglamento desde el pasado mes de abril, exige a todas las empresas la obligación de obtener el consentimiento de las personas físicas para tratar sus datos y también obliga a todas las pymes y entidades a registrar sus ficheros en el registro Oficial de la Agencia de Protección de Datos.

Según el Departamento de Servicios Jurídicos de la Cámara de Comercio, es relativamente fácil incurrir errores susceptibles de sanción ya que el hecho de no informar debidamente en la recogida de datos, o incumplir los deberes de secreto y confidencialidad, como tirar sin seguridad un curriculum vitae a la basura, puede conllevar una sanción de hasta 60.000 euros. Faltas graves, como no contar con el consentimiento de los titulares para tratar sus datos o ceder los datos a otras entidades sin permiso pueden suponer multas de entre 300.000 y 600.000 euros.
Concretamente en el primer semestre de 2008, las sanciones a entidades privadas siguen centrándose en su mayoría en la calidad de los datos y el consentimiento de los afectados. El 37,5% de las mismas se debió al abandono de documentación en la vía pública, el 12,5 por ciento por compartir en programas P2P (emule) archivos con datos personales y otro 12,5 por ciento a la publicación de datos personales en páginas web sin las debidas medidas de seguridad, dejándolos accesibles a terceros no autorizados, según revela la Agencia Española de Protección de Datos.

Además, según alerta Noemí Brito, responsable del Punto de Información sobre Protección de Datos de la Cámara de Comercio (PIPD), la falta o desconocimiento de los procedimientos de seguridad de la información es un riesgo real, que puede causar importantes pérdidas a cualquier empresa. “La inversión en seguridad de la información es vital para toda empresa, ya que si desapareciera, se alterase o se divulgase, afectaría muy negativamente a cualquier actividad que desarrollemos”, apunta Brito.

En este sentido, desde el PIPD, abogados especialistas en Telecomunicaciones facilitarán toda la información necesaria sobre cómo llevar a la práctica las nuevas medidas de seguridad que exige la LOPD y su renovado Reglamento de desarrollo. Además, a partir de enero, en el PIPD, las empresas podrán obtener la Guía del Responsable de Ficheros que ha elaborado el Consejo Superior de Cámaras junto a la Agencia Española de Protección de Datos.

Sanciones económicas
Sólo el año pasado, la Agencia Española de Protección de Datos finalizó más de 1.260 investigaciones de casos que fueron objeto de resolución, casi todos ellos relacionados con empresas privadas, que en su conjunto recibieron sanciones por un valor total de 19,6 millones de euros, frente a los 24,4 de 2006. Unos datos que son mucho menos alarmantes en el caso de Canarias, donde en 2007 se llevaron a cabo 50 investigaciones, de las que sólo 6 acabaron en sanción económica, lo que sitúa las Islas en el puesto número 10 del ránking de las comunidades autónomas que más denuncias registraron.
La mayoría de las denuncias recibidas e investigadas por la Agencia Española de Protección de Datos están relacionadas con las telecomunicaciones y las entidades financieras, que sólo el año pasado sumaron 290 y 248 casos respectivamente, de un total de 1.263. En cuanto a los motivos de la denuncia, muchos de los casos se deben a que la empresa insertó indebidamente los datos de sus clientes en ficheros de morosidad, o bien contrató servicios de forma fraudulenta, muy habitual en telefonía e Internet.
Aún con el riesgo de sufrir importantes multas, según el Inteco, alrededor del 80 por ciento de las pymes de España incumplen la LOPD y eso a pesar de que el 96% de ellas maneja ficheros que contienen datos que deben protegerse.

Fuente: www.canariasaldia.com

Que es COBIT ?

Definición

Control Objectives for Information and related Technology (COBIT, por sus siglas en inglés) y Objetivos de Control para la Información y Tecnologías Relacionadas (por sus siglas, en castellano), es un estandar abierto desarrollado y promovido por el Instituto de Gobernancia de TI. Este instituto provee un estándar que generalmente es aplicado y aceptado en buenas prácticas de seguridad de TI, con el fin de apoyar las necesidades gerenciales en cuanto a monitoreo de los niveles apropiados de seguridad de TI que se deben seguir en las organizaciones.

El Modelo de Madurez en el cual se basa COBIT, consiste en un método que evalua el grado de control sobre los procesos de TI de una organización en una escala de 0 a 5, donde el menor (0) significa "No existe" y el mayor "Optimizado" (5).

La escala de madurez es la siguiente:

0 No existe: Los procesos gerenciales no son aplicados: No existen procesos reconocidos. La organización no ha reconocido que existe un problema que debe ser resuelto.

1 Inicial: Los procesos son AdHoc y desorganizados: Existe la evidencia de que la organización ha reconocido que existe un problema y la necesidad de resolverlo. No existen procesos estandarizados aunque sí procedimientos ad-hoc que tsuelen ser aplicados de forma individual o como caso base y de manera desorganizada.

2 Repetitivo: Los procesos siguen un patrón regular: Los procesos se han desarrollado a un determinado nivel y procedimientos similares son seguidos por diferentes personas que realizan la misma tarea dentro de la empresa. No hay entrenamiento o comunicación formal de estos procedimientos. Las responsabilidades están en manos del individuo.

3 Definido: Los procesos están documentados y comunicados: Los procedimientos han sido estandarizados, documentados y comunicados por medio de entrenamiento. Sin embargo, está pendiente el cumplimiento de dichos procesos por cada individuo, con lo cual es poco probable que las desviaciones sean detectadas. Los procedimientos por si solos no son sofisticados pero son la formalización de mejores prácticas.

4 Gerenciado: Los procesos son monitoreados y medidos: Es posible la medición y monitorización conforme a los procedimientos y realizar acciones donde existan procesos que no parezcan estar funcionando con efectividad. Los procesos están bajo constantes mejoras y se proveen de buenas prácticas. Las herramientas de automatización son empleadas de manera limitada o fragmentada.

5 Optimizado: Basados en mejores prácticas y están automatizadas: Los procesos han sido refinados a nivel de mejores prácticas, basados en resultados de mejoras continuas y modelos de madurez respecto de otras organizaciones. Las TI son usadas para automatizar de manera integral el flujo de trabajo, suministrando herramientas para mejorar la efectividad y la calidad, haciendo que la organización se adapte de manera rápida a los cambios del entorno.

Fuente: www.inteco.es

Link Relacionado:
- Que es Cobit?
- Proceso de la administración basada en ITIL / CobIT
- Mapping ITIL V3 with Cobit 4.1

Revistas E-zine #2 y #3 de la comunidad DragonJAR

Gracias a Carolina (una lectora del blog) nos enteramos de que se encuentra disponible nuevos números de la revista E-zine de la comunidad DragonJAR:

Revistas E-zine #3

En esta edición de la revista encontraras artículos en los que aprenderás desde envenenamiento de arp creando manualmente los paquetes con scapy, pasando por artículos de informatica forense, hacking ético, entornos virtualizados y nuevas secciones que se incorporan en este nuevo numero, todo esto enmarcado en el estupendo diseño creado por blue_reckiem para esta edición.

Descarga # 3

Contenido # 2:

• Administración y seguridad en Wordpress. Unknownmind
• Blind SQL Injection, un enemigo oculto de los desarrolladores Web. epsilon77
• Seguridad en aplicaciones Web. hernandgr
• Creando un compilador con JAVA. LordJackob
• Hardening. Fortalece tu servidor dificulta la tarea del atacante. Dinosaurio

Descarga #2

Link relacionado:
-Revista E-zine Dragonjar #1

Presentaciones: ClubHack 2008 - hackers' convention

ClubHack India's own hackers' convention

ClubHack2008 will be our second conference in Pune, India. First such conference of India was in December 2007 and was named as ClubHack2007. It was a great success and we hope to get more participation from everyone this time.

ClubHack2008 is divided into 2 days activities this year.
Day 1: Tech/Legal Talks and panel discussion

On 6th December selected papers as submitted by different speakers will be presented. This will be divided in 2 parallel threads of 5 talks each. The last thread at the end of the day will be the panel discussion.

Day 2: Workshops

On 7th December there will be 2 workshops to impart instantaneous knowledge on related subjects.

Presentations @ ClubHack2008

Speaker	Topic	Presentation
Aditya K Sood	Hacking Client Side Insecurities	Aditya_ClubHack08.pps
Ajit Hatti	Immune IT: Moving from Security to Immunity	Ajit_ClubHack08.pps
Aseem Jakhar	AntiSpam - Understanding the good, the bad and the ugly	Aseem_ClubHack.pps
Atul Alex	Reverse Engineering v/s Secure Coding	Atul_ClubHack08.pps
Chris Goggans	Network Vulnerability Assessments: Lessons Learned	Chris_ClubHack08.pps
Harshad Patil	Economic offenses through Credit Card Frauds Dissected	Harshad_ClubHack08.pps
Jonathan Brossard	Reverse Engineering for exploit writers	Jonathan_ClubHack08.pps
Karmendra Kohli	Insecure Implementation of Security Best Practices: of hashing, CAPTCHA's and Caching	Karmendra_ClubHack.pdf
Kunal Sehgal	Workshop on BackTrack live CD	Kunal_ClubHack08.pps
Nibin Varghese	Reverse Engineering for exploit writers	Nibin_ClubHack08.pps
Rohas Nagpal	State of Cyber Law in India	Rohas_ClubHack08.pps
Sheetal Joseph	Workshop on Wireless Security	Sheetal_ClubHack08.pps

Link relacinado:
- ClubHack2007: Presentaciones

Una de cada cinco empresas es víctima del fraude de sus propios empleados

Esas estafas alcanzaron ya al 23% de las compañías, provocando una pérdida de facturación del 15 por ciento. Uno de los objetos preferidos por los "guantes blancos" es la información.

El fraude en las empresas argentinas alcanzó ya a 23 por ciento de las compañías en el último año, y la pérdida de facturación también registró un incremento y se ubicó en 15 por ciento.

De acuerdo a las estimaciones realizadas por Kroll Argentina, se detectó una disminución en aquellos fraudes que impactan hasta en 10 por ciento de la facturación, pero aumentaron las pérdidas que representan entre 10 y 20 por ciento de lo recaudado.

Según el informe, las principales causas en Argentina están relacionadas con conflictos de intereses entre los empleados, ya sean jerárquicos o no, y la empresa.

Acuerdos con proveedores, creación de empresas ficticias, entre otras, son las modalidades más frecuentes, llegando a 50 por ciento de los casos.

Los resultados demuestran que el fraude no sólo se ha extendido sino que va en aumento, y se espera ver un mayor incremento a medida que se recrudezcan las condiciones para los negocios.

Entre los tipos más comunes, las compañías declaran haber sido victimas de robo de activos físicos, en 46 por ciento de los casos; conflicto de intereses en la dirección, 43 por ciento; malversación financiera, 38; corrupción y soborno, 34.

Uno de los tipos de fraude que ha registrado un aumento significativo en la Argentina, en concordancia con las tendencias internacionales, es el robo de información.

Cuando se analizan las causas, las compañías que citaron una elevada rotación de personal o controles internos débiles registraron niveles mucho más elevados de fraude.

Los sectores de construcción y recursos naturales padecieron el mayor número de incidentes, debido en parte al aumento constante de los precios del petróleo y a la incursión en zonas de mayor riesgo.

Los sectores de atención médica, farmacéutica y biotecnología registraron un incremento en los problemas de corrupción y robo de existencias o activos.

Por su parte, los sectores de viajes, entretenimiento y transportes arrojaron un incremento en el incumplimiento de reglamentos y normas, y en el robo o pérdida de información.

Fuente Infobae.com

Estado de situación de la serie ISO 27000 a diciembre 2008

A continuación voy a listar el conjunto de normas publicadas o en proceso de elaboración de la serie ISO 27000 a diciembre de 2008.
Estos resultados son fruto de una consulta a la Web de ISO.org en relación al área de trabajo del Subcomité 27 del JTC 1 - IT Security techniques.

El estado de las normas se codifica en base a unos acrónimos que ISO tiene identificados y que son:

• 1.PWI = Preliminary Work Item - initial feasibility and scoping activities


• 2.NP = New Proposal (or study period) - formal scoping phase


• 3.WD = Working Draft (1st WD, 2nd WD etc.) - development phase


• 4.CD = Committee Draft (1st CD, 2nd CD etc.)- quality control phase


• 5.FCD = Final Committee Draft - ready for final approval.


• 6.DIS = Draft International Standard - nearly there. Stage 40.


• 7.FDIS = Final Draft or Distribution International Standard - just about ready to publish. Stage 50.


• 8.IS = International Standard - published. Stage 60.


• 9. Under revisión. Stage 90.

Como podréis comprobar en la siguiente relación de normas, hay bastantes ya en el Stage 40 y 50 lo que indica que pronto pueden ver la luz. La situación actual del marco internacional de normas ISO 27000 es:

• ISO/IEC FCD 27000.
  Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary. Stage:40.99


• ISO/IEC 27001:2005.
  Information technology -- Security techniques -- Information security management systems -- Requirements. Stage:60.60


• ISO/IEC 27002:2005
  Information technology -- Security techniques -- Code of practice for information security management. Stage:90.92


• ISO/IEC FCD 27003
  Information technology -- Information security management system implementation guidance. Stage:40.20


• ISO/IEC FCD 27004.2
  Information technology -- Security techniques -- Information security management -- Measurement. Stage:40.20


• ISO/IEC 27005:2008
  Information technology -- Security techniques -- Information security risk management. Stage:60.60


• ISO/IEC 27006:2007
  Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Stage:60.60


• ISO/IEC WD 27007
  Guidelines for Information security management systems auditing. Stage:20.60


• ISO/IEC FDIS 27011
  Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. Stage:50.60


• ISO/IEC NP 27012
  Information technology - Security techniques -- ISM guidelines for e-government services. Stage:10.99


• ISO/IEC NP 27032
  Guidelines for cybersecurity. Stage:10.99


• ISO/IEC NP 27033
  Information technology -- IT Network security. Stage:10.99
  stá en modo borrador la nueva ISO 27033 que es la revisión de la ISO/IEC 18028-1:2006 destinada a la seguridad de redes de comunicaciones. ISO 27033 pretende ser un complemento exhaustivo para todos los aspectos relacionados con la seguridad en redes que vienen definidos en ISO 27002.
  


• ISO/IEC CD 27033-1
  Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security. (FCD)


• ISO/IEC WD 27033-2
  Information technology -- Security techniques -- IT network security -- Part 2: Guidelines for the design and implementation of network security. (WD)


• ISO/IEC WD 27033-3
  Information technology -- Security techniques -- IT network security -- Part 3: Reference networking scenarios -- Risks, design techniques and control issues. (WD)


• ISO/IEC NP 27033-4
  Information technology -- Security techniques -- IT network security -- Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues. (NP)


• ISO/IEC NP 27033-5
  Information technology -- Security techniques -- IT network security -- Part 5: Securing Remote Access - Risks, design techniques and control issues. (NP)


• ISO/IEC NP 27033-6
  Information technology -- Security techniques -- IT network security -- Part 6: Securing communications across networks using Virtual Private Networks (VPNs) -- Risks, design techniques and control issues. (NP)


• ISO/IEC NP 27033-7
  Information technology -- Security techniques -- IT network security -- Part 7: Guidelines for securing (specific networking technology topic heading(s) to be inserted3) -- Risks, design techniques and control issues. Stage:10.99
  
  Más información detallada de cada uno de estos documentos en ISO27001security.com
  


• ISO/IEC NP 27034
  Guidelines for application security. Stage:10.99


• ISO/IEC NP 27037
  Information technology - Security techniques -- on Information security management: Sector to sector interworking and communications for industry and government . Stage:10.99

El detalle de los diferentes escalones dentro de cada nivel o stage lo podéis consultar en Stages ISO.


Fuente: Sistemas de Gestión Seguridad de la Información

El 98,09% de los PC Windows tienen al menos una aplicación insegura instalada

La firma de seguridad Secunia ha publicado el resultado de un estudio sobre 20.000 ordenadores conectados a Internet, que muestra que más del 98% de ellos tienen al menos una aplicación insegura instalada.

Peor aún, casi la mitad de los ordenadores revisados tenían 11 o más aplicaciones inseguras instaladas.

Aunque las cifras no se refieren a equipos infectados, sino a aplicaciones instaladas que pueden ser potencialmente aprovechadas para colar malware en los ordenadores, las cifras son preocupantes:

• - El 1,91% de los ordenadores estaban limpios de aplicaciones inseguras.
• - El 30,27% de los ordenadores tenían de 1 a 5 aplicaciones inseguras instaladas.
• - El 25,97% de los ordenadores tenían de 6 a 10 aplicaciones inseguras instaladas.
• - El 45,76% de los ordenadores contaban con 11 o más aplicaciones inseguras instaladas.

Estos datos han sido recogidos por el software de escaneo de Secunia denominado PSI (Personal Software Inspector), y muestran según los analistas de la firma, un incremento en la vulnerabilidad de los PC Windows. La firma de seguridad danesa asegura que no es suficiente para mantener a salvo los equipos la utilización de un antivirus y un cortafuegos, porque los ataques se están centrando en las vulnerabilidades de las aplicaciones.

Fuente www.theinquirer.es

Link relacionado:
- Secunia Personal Software Inspector (PSI) release version:1.0.0.1 (Final)

Kaspersky Lab analiza las tendencias del cibercrimen 2009

Los usuarios de redes sociales y smartphones serán los nuevos blancos de los ataques.

La economía está en recesión, pero la economía gris de Internet está en auge. El cibercrimen se encuentra en pleno ascenso y supondrá una amenaza cada vez mayor para los usuarios en 2009.

Magnus Kalkuhl, miembro del Equipo Global de Investigación y Análisis de Kaspersky Lab (Global Research and Analysis Team, GReAT), ofrece una visión de las tendencias del cibercrimen para el año 2009.

Las actuales amenazas no sólo se propagan vía e-mail, libros de visitas y tablones de anuncios, sino también a través de las redes sociales. Los usuarios de estos sitios web lo vivieron a principios de este año con la aparición de Net-Worm.Win32.Koobface, diseñado para atacar a los usuarios de MySpace y Facebook a través de las listas de contactos “amigas". “Una vez que los piratas informáticos han accedido a una cuenta de usuario pueden robar información personal de sus amigos online o hackear sus cuentas con facilidad, multiplicando, por consiguiente, el daño", afirma Magnus Kalkuhl. ¿Por qué los usuarios de redes sociales son una presa tan fácil para los cibercriminales?. La respuesta es sencilla: “Por un lado, los usuarios se relajan y confían en estos sitios web, lo que les lleva a bajar la guardia; y, por otro, las vulnerabilidades de estos sitios se dejan a menudo abiertas durante un periodo de tiempo significativo, lo que facilita que los hackers se aprovechen de las lagunas de seguridad".

Un hecho interesante es que el viejo método de propagar códigos maliciosos vía e-mail desaparecerá casi por completo en 2009. Sin embargo, la mayoría de las amenazas todavía serán distribuidas a través de Internet. “Hoy en día, las amenazas se extienden por medio de los enlaces: cuando el usuario hace clic en ellos, el malware se descarga en su equipo", explica Kalkuhl. “El programa malicioso puede entonces poner en marcha sus trucos, tales como saltarse o descifrar las claves de acceso, robar la identidad de usuario o descargar más malware. Como estos enlaces pueden ser enrutados a través de varios servidores, el usuario es redireccionado de un equipo a otro sin ser consciente de ello. Estos “relevos virtuales" requieren esfuerzos adicionales por parte de los fabricantes de antivirus cuando se trata de identificar nuevo malware, por lo que tenemos la certeza de que estos métodos se utilizarán con mayor frecuencia el próximo año".

Los teléfonos inteligentes, como el iPhone, son gadgets de plena actualidad y, por tanto, objetivos muy atractivos para los cibercriminales. Ciertamente, la amenaza a los smartphones es relativamente limitada, pero el año que viene por estas fechas esta afirmación ya no será válida. Además del iPhone, Google está entrando en este mercado con Android. Parece que 2009 va a ser el año del Smartphone; en la actual Sociedad de la Información, ¿qué podría ser mejor que tener acceso a Internet las 24 horas del día, los siete días de la semana y a un precio asequible?. Los teléfonos móviles siguen la misma trayectoria en su evolución que los PCs, que en un periodo de 10 años han pasado de disponer de una conectividad módem cara y poco manejable a contar con un acceso a Internet de alta velocidad y a un precio fijo. Los teléfonos móviles también serán atrapados en botnets, tal y como sucedió con los PCs. Kalkuhl cree que “aunque es probable que el malware para móviles aún sea limitado en alcance y volumen en 2009, en 2010 la situación será mucho más seria, y en un periodo de cinco años, como mucho, el malware para móviles se habrá convertido, tristemente, en parte de nuestra vida cotidiana".

Fuente Diario Ti

Wikto: Web Server Assessment Tool - Release 2.1.0.0 (XMAS edition)

Averiguar si un sitio web es sensible a técnicas de Google Hacking.

Utilizando una herramienta que se clasifica entre el típico escáner de servidores y el escáner de aplicaciones web, se trata de Wikto. Con Wikto podemos localizar directorios y ficheros que comprometan la seguridad del sitio web y vulnerabilidades más comunes.

Los componentes de Wikto son:

Mirror & Fingerprint: Por una parte se examinan los link que tiene el sitio para descubrir los directorios. El otro componente examina las huellas del servidor web para identificarlo.

Wikto: Es el motor de Nikto un explorador basado texto de vulnerabilidades de servidores web, escrito en Perl. Nikto explora más de 3000 problemas potenciales de seguridad, en un web server.

BackEnd: Se basa en buscar directorios en el sistio web basándose en una lista de los nombres de directorios que suelen tener información sensible.

Googler: Busca directorios y archivos sensibles en el sitio web, usando búsquedas especiales en google. Utiliza operadores como: "filetype", "site"… combinándoles entre sí. Una vez ejecutada la busqueda, se muestran los resultados de directorios extraídos desde las URLS que se debe inspeccionar manualmente.

Googlehacks: Esta sección realiza búsquedas en Google, utilizando la base de datos GHDB (Google Hacking Database), donde se encuentran todas las cadenas de búsqueda susceptibles de devolver información sensible. Se puede ejecutar las cadenas de forma individual, modificarla manualmente y volver a ejecutarla.

Web Site

Download Wikto v2.1.0.0 (installer)| registration required

You need to install the .NET framework 2.0 for Wikto version 2.x.

Visto en el blog del Guru de la informática


Link relacionados:
- Wikto – how does it work and how do I use it?
- Escáner de vulnerabilidades de servidores web

Netifera - Open source platform for creating network security tools

At netifera we are building a next generation platform for network security analysis.

Our architecture is a radically innovative approach to managing high volumes of network information.

Our free and open source platform provides the framework for creating and integrating security tools with a flexibility that has never been possible before.

Our team of engineers brings decades of combined experience building commercialnetwork security software to this project.

http://netifera.com/

Downloads
Netifera beta builds for Linux and Mac OS X are available for download here

There is a short user guide available to help you get started.


Link relacionados:
- Netifera tutorial - Sniffing Module Part 1

Book: Securing PHP Web Applications (ONLINE)

Overview

This is the Safari online edition of the printed book.

Easy, Powerful Code Security Techniques for Every PHP Developer

Hackers specifically target PHP Web applications. Why? Because they know many of these apps are written by programmers with little or no experience or training in software security. Don't be victimized. Securing PHP Web Applications will help you master the specific techniques, skills, and best practices you need to write rock-solid PHP code and harden the PHP software you're already using.

Drawing on more than fifteen years of experience in Web development, security, and training, Tricia and William Ballad show how security flaws can find their way into PHP code, and they identify the most common security mistakes made by PHP developers. The authors present practical, specific solutions–techniques that are surprisingly easy to understand and use, no matter what level of PHP programming expertise you have.

Publisher: Addison Wesley Professional
Pub Date: December 19, 2008
Web ISBN-10: 0-321-57431-1
Web ISBN-13: 978-0-321-57431-2
Pages: 336

Software [In]security: Software Security Top 10 Surprises

Using the software security framework introduced in October (A Software Security Framework: Working Towards a Realistic Maturity Model), we interviewed nine executives running top software security programs in order to gather real data from real programs. Our goal is to create a maturity model based on these data, and we're busy working on that (stay tuned here for more). However, in the course of analyzing the data we gathered, we unearthed some surprises that we share in this article."
...
"Of the twenty-three large-scale software security initiatives we are aware of, we chose nine that we considered the most advanced. Our nine organizations are drawn from three verticals: financial services, independent software vendors, and technology firms.
On average, the target organizations have practiced software security for five years and four months (with the newest initiative being two and a half years old and the oldest initiative being a decade old). All nine have an internal group devoted to software security that we choose to call the Software Security Group or SSG. SSG size on average is 41 people (smallest 12, largest 100, median 35) with a "satellite" of others (developers, architects and people in the organization directly engaged in and promoting software security) of 79 people (smallest 0, largest 300, median 20). The average number of developers among our targets was 7550 people (smallest 450, largest 30,000, median 5000), yielding an average percentage of SSG to development of just over 1%.
We conducted the nine interviews in person and spent two hours going over each software security initiative in a conversation guided by the software security framework."
Here's the high level list of the top 9 issues (read the article for more information on them).

9. Not only are there are no magic software security metrics, bad metrics actually hurt.
8. Secure-by-default frameworks can be very helpful, especially if they are presented as middleware classes (but watch out for an over focus on security "stuff").
7. Web application firewalls are not in wide use, especially not as Web application firewalls.
6. Involving QA in software security is non-trivial... Even the "simple" black box Web testing tools are too hard to use.
5. Though software security often seems to fit an audit role rather naturally, many successful programs evangelize (and provide software security resources) rather than audit even in regulated industries.
4. Architecture analysis is just as hard as we thought, and maybe harder.
3. Security researchers, consultants and the press care way more about the who/what/how of attacks than practitioners do.
2. All nine programs we talked to have in-house training curricula, and training is considered the most important software security practice in the two most mature (by any measure) software security initiatives we interviewed.
1. Though all of the organizations we talked to do some kind of penetration testing, the role of penetration testing in all nine practices is diminishing over time.
0. Fuzz testing is widespread.

Article Link

Fuente www.cgisecurity.net

Libro: La Sociedad de Control - Privacidad, propiedad intelectual y el futuro de la libertad

Este libro ha sido escrito por Jose F. Alcántara, quien hace entrega de él al Dominio Público (art. 41 de la ley de Propiedad Intelectual) .
Puedes, sin permiso previo del autor, copiarlo en cualquier formato o medio, reproducir parcial o totalmente sus contenidos, vender las copias, utilizar los contenidos para realizar una obra derivada y, en general, hacer todo aquello que podrías hacer con una obra de un autor que ha pasado al dominio público.

Índice

1. Privacidad

2. La sociedad digital

3. Sociedad bajo vigilancia

4. Tecnologías de control (RFID, Videovigilancia, Biometría, TCPA, Internet)

5. Derechos de reproducción

6. Privacidad y publicidad

7. Derechos civiles digitales


Descarga libro (PDF, 248 pag.)
Colección Planta 29
Primera edición: septiembre del 2008
Web

MessageLabs Intelligence: 2009 Security Predictions

Security experts prepare for a year of morphing malware and phished social networks as scammers find new ways to exploit emerging environments.

Having analyzed the global threat landscape for almost a decade, MessageLabs Team Skeptic™ is comprised of many world-renowned malware and spam experts who have a global view of threats across multiple communication protocols drawn from the billions of web pages, emails and instant messages filtered by Skeptic™ each day.

Here are their security predictions for 2009:

• Malware Makes Its "Mash-up"
• Social Networking Gets Personal
• Reputation Hijacking Flourishes
• CAPTCHA the Bad Guys
• 419 Scams Lose Their Elaborate Prose
• Globalization of Spam
• Mobile Mayhem
• Botnet Renaissance

Descarga: 2009 Security Predictions

Link relacionados
- 2009 Security Predictions Collection

Top 9 IT security threats for 2009

2009 will continue the trend of increasing size, scope, and concentration of security attacks on computer networks nationwide. The volume of attacks from international sources will continue to increase, as will the sophistication of application level attacks such as SQL injection, buffer overflow, and cross site scripting (XSS). These will be directed towards high traffic websites (news sites or social networking sites) that when compromised will install malware to a large numbers of users.
The top nine threats and their corresponding solutions/New Year’s Resolutions are listed below in descending order of severity. Each threat is ranked by status as a Rising, Steady or Weakening Threat.

Threat #1 Malicious Insiders (Rising Threat): Employees with malicious intent have always been the biggest threat to their organizations.

Threat #2 Malware (Steady Threat): Malicious software can include viruses, worms, Trojan horse programs, etc. but most importantly websites that host malware, which has become the most prolific distribution method.

Threat #3 Exploited Vulnerabilities (Weakening Threat): Hackers find a weakness in a commonly used system or software product and exploit it for their gain.

Threat #4 Social Engineering (Rising Threat): With hacking you are compromising a computer, but with social engineering you compromise a human by tricking him/her into supplying personal information and passwords. Any method of communication will be used to perpetrate this fraud including telephones, mobile phones, text messaging, instant messaging, impersonation of support/vendor staff and social networking sites.

Threat #5 Careless Employees (Rising Threat): Mistakes made by careless or untrained employees can lead to a significant security compromise. A poor economic climate puts strains on employees causing them to cut corners or important duties. It can also lead to less formal employee training.

Threat #6 Reduced Budgets (Rising Threat): A weak economy leads companies to tighten their budgets, which results in less headcount and less money for upgrades and new systems.

Threat #7 Remote Workers & Road Warriors (Steady Threat): Telecommuting and mobile workers are on the upswing.

Threat #8 Unstable 3rd Party Providers (Rising Threat): While there is an increase in IT security expenses required to keep up with the growing threatscape and regulatory environment, there is a decrease in revenues in the market. This may lead many providers to go out of business or cut corners that could lead to a security compromise.

Threat #9 Downloaded Software Including Open Source and P2P files (Steady Threat): IT administrators may download and install open source software or freeware in an attempt to save money, which can lead to a huge waste of time in software configuration in and fine tuning or a data breach.

Fuente: www.net-security.org

Link relacionado:
- Top 9 Network Security Threats in 2009

Insecure Magazine 19 (Diciembre 2008)

Temario:

• - The future of AV: looking for the good while stopping the bad
• - Eight holes in Windows login controls
• - Extended validation and online security: EV SSL gets the green light
• - Interview with Giles Hogben, an expert on identity and authentication technologies working at ENISA
• - Web filtering in a Web 2.0 world
• - RSA Conference Europe 2008
• - The role of password management in compliance with the data protection act
• - Securing data beyond PCI in a SOA environment: best practices for advanced data protection
• - Three undocumented layers of the OSI model and their impact on security
• - Interview with Rich Mogull, founder of Securosis
• - AND MORE!
  

DOWNLOAD ISSUE 19 HERE

Link relacionados:

- Otras revistas

Protocolos SCADA y seguridad

Dedicaremos estas líneas a una de las partes mas vulnerables de las redes SCADA: los protocolos de comunicación.
A pesar de su función crítica raramente incorporan mecanismos de seguridad. Los protocolos están diseñados para ser eficientes y determinísticos, pero no seguros. Tradicionalmente la “seguridad por oscuridad” ha sido su mejor protección al ser protocolos muy especializados. Esto nunca ha sido buena idea, menos aún hoy en día debido a la progresiva migración hacia protocolos estandarizados y bien documentados.
Casi ningún protocolo de comunicación industrial incorpora en su especificación mecanismos de seguridad. Esto hace que desde el punto de vista de la intrusión, la confidencialidad o la integridad, las redes SCADA sean inseguras por su propia naturaleza.
A esto hay que añadir que los protocolos SCADA están sujetos al mismo tipo de técnicas de ataque que por ejemplo SMTP, HTTP o FTP: DoS, buffer overflows, etc…. Ningún fabricante de dispositivos SCADA está exento de tener los mismos errores de programación que Cisco o Microsoft.

La robustez en la implementación del protocolo es esencial a la hora de implementar redes seguras, algo no siempre tenido en cuenta en el diseño de equipamiento SCADA. El tratamiento de los errores suele ser deficiente y ello deriva en reinicios o denegaciones de servicio como consecuencia de, por ejemplo, escaneos o auditorías.

Existe en la industria una gran variedad de protocolos que permiten comunicar los dispositivos SCADA entre sí y con los centros de control. A continuación comentaré cuatro de los mas usados actualmente y algunas consideraciones respecto de la seguridad:
- DNP3: Es un protocolo diseñado específicamente para su uso en aplicaciones SCADA. Permite a las Unidades Centrales ó MTU (Master Terminal Unit) obtener datos de las RTU (Remote Terminal Unit) a través de comandos de control predefinidos. El protocolo no fue diseñado teniendo en cuenta mecanismos de seguridad, por tanto carece de cualquier forma de autenticación o cifrado. Puede ir encapsulado sobre TCP/IP.
Una nueva versión del protocolo llamada DNPSec ha sido diseñada para incluir confidencialidad, integridad y autenticación sin mucho impacto en las implementaciones DNP3 ya existentes. Para su implementación sería necesario establecer, a semejanza de IPSec, directivas de seguridad que identifiquen algoritmos criptográficos y de autenticación, así como parámetros comunes para la comunicación entre aplicaciones.

- ICCP (IEC 60870-6): Este protocolo es uno de los mas usados en los sistemas SCADA/DCS de compañías de generación y distribución de energía. Es un protocolo especialmente adaptado a las necesidades de comunicación de las compañías eléctricas. Proporciona conectividad entre subestaciones y centros de control y supervisión. El intercambio de datos consiste típicamente en monitorización en tiempo real, datos de control, valores de medida, programación, contabilidad y mensajes de operador.
Tradicionalmente vulnerable a ataques DoS debido a deficiencias en el código de la pila ICCP de muchos servidores. Al igual que la mayoría de los protocolos actuales SCADA, también es atacable por spoofing.
Un servidor ICCP con una vulnerabilidad, permitiría a un atacante tomar control del servidor de la organización y de todos los servidores ICCP que se comunican con él.

- Modbus: Protocolo de la capa de aplicación empleado sobre RS-232, RS-422, RS-485 o TCP/IP. La principal ventaja es su simplicidad y es ampliamente usado en procesos de control de sistemas SCADA.
Para el caso de redes Ethernet existen dos especificaciones: MODBUS Plus y MODBUS/TCP. A destacar en el modelo de arquitectura MODBUS/TCP el módulo ‘Access Control Module’, pensado para restringir el acceso a servidores desde determinados clientes en entornos críticos. Se basa en listas de IP autorizadas.
Una de las vulnerabilidades aprovechables por los atacantes es la posibilidad de hacer fingerprinting a través de su puerto standard TCP/502. Mediante la función 43 del protocolo puede leerse el registro de identificación de PLCs y conseguir información del tipo de dispositivo, fabricante, versión y otras informaciones útiles para posteriores ataques.

OPC (OLE for Process Control): Es una interfaz estándar de comunicación usada en la industria de control de procesos. Está pensada para garantizar la interoperabilidad entre equipamiento de distintos fabricantes. Permite la comunicación entre aplicaciones de control y de supervisión con independencia de la red que haya por medio. Requiere que cada fabricante proporcione un driver genérico OPC. La mayoría de los fabricantes de HMI incluyen soporte para OPC.
Se basa en los estandares de Microsoft OLE, DCOM y RPC. El problema viene porque estos componentes de Microsoft han sido tradicionalmente fuente de agujeros de seguridad. Aunque los actuales esfuerzos de estandarización tienden a protocolos basados en web independientes del Sistema Operativo, la mayor parte de lo ya instalado se basa en el original ‘OLE for Process Control’ de Microsoft.
Un atacante que sepa del uso de OPC intentará aprovecharse de alguna de las conocidas vulnerabilidades de los servicios DCON y RPC. Mas aún sabiendo de la dificultad de los sistemas de control industrial para implementar actualizaciones.

En conclusión, una red SCADA será tan segura como mecanismos de seguridad incorporen sus protocolos o puedan aplicarse a los mismos. De nada sirve un firewall si no puede actuar sobre un determinado protocolo; como tampoco querer autenticar o cifrar el intercambio de datos sin la existencia de mecanismos intrínsecos de intercambio de claves.

Aquí he hecho referencia solamente a una pequeña parte de los protocolos utilizados en infraestructuras críticas. Todos ellos con sus propias particularidades en cuanto a comunicación cliente/servidor, temporizaciones, codificación y formateo de datos. De aquí la complejidad a la hora de dar soluciones genéricas de seguridad a este tipo de redes.

César Fernández Lorenzana, blog.s21sec.com

Buenas prácticas de seguridad para usuarios de telefonía móvil

El los últimos años, la telefonía móvil ha ido adquiriendo mayores niveles de prestaciones y los teléfonos de alta gama, se han transformado en un aliado para los usuarios que necesitan interactuar con los mismos recursos que una computadora -herramientas de trabajo, comunicación a bajo costo, múltiples posibilidades de interconexión, entretenimiento, etc-.
Los SmartPhones y PocketPC hacen posible realizar las labores cotidianas desde cualquier lugar del mundo ya que incorporan sistemas operativos especialmente creados para soportar diversos tipos de comunicación y con funcionalidades que permiten realizar las tareas cotidianas que podría necesitar cualquier usuario: paquetes de ofimática, lector de archivos en diferentes formatos, multimedia (audio y video), agendas, correo electrónico, aplicaciones, juego; entre otras.

Sin embargo, estas prestaciones pueden tener un costo relativamente elevado dependiendo de la perspectiva desde la cual se analice, y si bien resulta algo extremadamente práctico, estos dispositivos poseen una serie de características que podrían tornarlos inseguros si no se tienen en cuenta una serie de cuestiones a nivel seguridad que, a través de buenas prácticas, es posible mitigar de manera efectiva.

La telefonía celular de alta gama ha roto los esquemas del concepto de seguridad perimetral, ya que al poder establecer una comunicación desde el dispositivo hacia cualquier recurso de red u otro dispositivo en el rango de alcance permitiendo manipular desde ellos documentación sensible de una organización, escapa del ámbito de protección acostumbrado y rompe el concepto de establecer seguridad en el perímetro y en el punto de trabajo.

Otro problema que comienza a afectar a los móviles son los códigos maliciosos. Teniendo en cuenta que cada vez son más las personas que utilizan estos dispositivos y que los mismos ofrecen distintas tecnologías de comunicación inalámbrica como WiFi, Bluetooth, GPRS y EDGE, los creadores de malware están también comenzando a enfocarse en el desarrollo de amenazas informáticas que permitan explotar los sistemas implementados en los dispositivos celulares.
El spam y los códigos maliciosos son cada vez más comunes en estos entornos por lo que resulta importante encontrar un adecuado nivel de seguridad en el teléfono, sobre todo, si el mismo es utilizado para consultar servicios que requieren el uso de información sensible y confidencial como Home-Banking, sistemas comerciales, etc,
Teniendo en cuenta las posibilidades en cuanto a las acciones maliciosas que pueden ser aprovechadas contra usuarios de SmartPhones y PocketPC, existen procedimientos y buenas prácticas a considerar, tanto a nivel hogareño como corporativo:

En el hogar:
- Es fundamental implementar una solución antivirus con capacidades proactivas, como la ofrecida por ESET Mobile Antivirus, ya que se aumenta la seguridad del dispositivo Móvil sin consumir el ancho de banda.
- Es conveniente mantener desactivada las tecnologías de comunicación inalámbrica como Bluetooth e Infrarrojo y activarlas sólo en los casos necesarios durante el tiempo que se requiere, luego volver a desactivarlo, ya que a través de ellos es posible que usuarios malintencionados intenten acceder al equipo.
- Ser cautelosos con la información que se almacena en el dispositivo móvil, ya que es muy común que los usuarios descarguen sus correos o accedan a diferentes servicios ofrecidos en Internet que requieren el acceso de datos personales y sensibles.

En la empresa:
- Es fundamental establecer una política de seguridad clara y concreta que defina el uso correcto de estos dispositivos tanto dentro como fuera de la empresa.
- Crear conciencia en los empleados a través de diferentes actividades sobre los peligros que implica no respetar la normativa tipificada el la política, y los peligros que provoca el uso irresponsable de los dispositivos.
- Brindar acceso limitado y controlado de los usuarios que acceden a los recursos a través de estos dispositivos y registrar el uso de los mismos.
- Si se maneja información confidencial en estos dispositivos, la misma debería permanecer cifrada para evitar su lectura en caso de extravío o robo del dispositivo.
- Controlar el acceso desde el dispositivo al resto de los equipos, ya que los mismos podrían ser utilizados como medio de transporte de malware a la red corporativa o al equipo del usuario.

Creando buenos hábitos de uso, no sólo en relación a los dispositivos de telefonía móvil sino también para cualquier tecnología, se disminuye considerablemente potenciales riesgos y el impacto negativo que provoca el accionar de códigos maliciosos y otras amenazas diseñadas para dispositivos móviles de gama alta.

Visto en www.eset-la.com

SUMO - DVD con Backtrack 3, Helix 2, Samurai, DBAN y DVL

SUMO (Security Utilizing Multiple Options) Linux v1.0 is a bootable DVD from Sun Tzu Data which contains a compilation of the best Information Security distributions:

• - Backtrack 3


• - Helix 2.0


• - Samurai Linux


• - DBAN


• - DVL

. Web del proyecto
. Download (BitTorrent)

Visto en http://maximilianosoler.com.ar

MessageLabs Intelligence: 2008 Annual Security Report

Symantec Announces MessageLabs Intelligence 2008 Annual Security Report.
Storm's Demise Gives Way to New Trends in Spam and Malware; Botnets Extend Their Reach

Symantec Corp. (NASDAQ: SYMC) today announced the launch of its MessageLabs Intelligence 2008 Security Report. The annual report details how 2008 was a pivotal year for the cyber security landscape as revolutionary advances in malware and spam techniques made their mark on the underground "shadow" economy.

Top Trends in 2008
. Web Security: For 2008, the average number of new malicious websites blocked each day rose to 2,290 compared with 1,253 for 2007, an increase of 82.8 percent owing mostly to an increase in SQL injection attacks.

. Spam: In 2008 the annual average spam rate was 81.2 percent, a decline of 3.4 percent on the 2007 statistic of 84.6 percent. In 2008, the majority of spam was made up of text-only or HTML content and an increasing proportion of spam originated from reputable web-based email and application service providers.

. Viruses: The average virus level for 2008 was 1 in 143.8 emails (.70 percent) reflecting a .15 percent decrease on 2007 where levels averaged at 1 in 117.7 (.85 percent) emails. The decline can be attributed to the transition to spreading malware using malicious content hosted on websites and drive-by installs rather than favoring email as the primary means of distribution.

. Phishing: The number of phishing attacks was 1 in 244.9 (.41 percent) emails across 2008, compared to 1 in 156 emails in 2007. Phishing activity peaked in February at 1 in 99.1, due partly to the increase in plug-and-play style phishing kits and the increased use of specialized botnets for phishing activity.

Fuente: http://money.cnn.com/news/newsfeeds/articles/marketwire/0457684.htm

Download: 2008 Annual Security Report (pdf, 51 pag.)

Link relacionado:

- MessageLabs Intelligence: 2007 Annual Security Report

OWASP Testing Guide Version 3

Se anuncio la publicación reciente de la versión 3 de "OWASP Testing Guide Project", esta interesante y práctica guía de PenTesting en aplicaciones Web de 342 paginas (PDF, 4.7 Mb)

Esta nueva versión incluye:

. Configuration Management and Authorization Testing sections and Encoded Injection Appendix;

. 36 new articles (1 taken from the OWASP BSP);
. Version 3 improved 9 articles, for a total of 10 Testing categories and 66 controls.

Cada uno de los 66 controles a analizar durante las pruebas de seguridad estan codificados, por ejemplo "Testing for Reflected Cross Site Scripting (OWASP‐DV‐001) ".

PROJECT MAIN LINKS:

• - OWASP Testing Guide V 3.0 - PDF


• - Index brainstorming


• - OWASP Testing Guide v3 Table of Contents


• - OWASP Testing Project V3.0 Roadmap
  
• - Planeación de la nueva guía de pruebas de OWASP v3
  
• - OWASP Testing Guide V 3.0 - PowerPoint Presentation

Cisco 2008 Annual Security Report

Highlighting Global Security Threats and Trends
The Cisco Annual Security Report provides a comprehensive overview of the combined security intelligence of the entire Cisco organization. Encompassing threat and trends information collected between January and October 2008, this document provides a snapshot of the state of security for that period. The report also provides recommendations from Cisco security experts and predictions of how identified trends will continue to unfold in 2009.

Key Findings
This year's report reveals that online and data security threats continue to increase in number and sophistication. They propagate faster and are more difficult to detect.
Key report findings include:
. Spam accounts for nearly 200 billion messages each day, which is approximately 90 percent of email sent worldwide.
. The overall number of disclosed vulnerabilities grew by 11.5 percent over 2007.
. Vulnerabilities in virtualization products tripled to 103 in 2008 from 35 in 2007, as more organizations embraced virtualization technologies to increase cost-efficiency and productivity.
Over the course of 2008, Cisco saw a 90 percent growth rate in threats originating from legitimate domains; nearly double what the company saw in 2007.
. Spam due to email reputation hijacking from the top three webmail providers accounted for just under 1 percent of all spam worldwide, but constituted 7.6 percent of all these providers' mail.

Fortunately, responses to these threats and trends are improving. Advances in attack response stem from the increased collaboration between vendors and security researchers to review, identify, and combat vulnerabilities.
Register to read the report now.

Descarga del reporte (PDF, 4.5 Mb )

Link relacionado:
- Cisco 2007 Annual Security Report

Motorola presenta WLAN de alta seguridad con tecnología de detección (WIPS)

Motorola presenta WLAN de alta seguridad con tecnología de detección AirDefense incorporada

Solución integrada y económica que protege las redes contra intrusiones inalámbricas y simplifica la implementación, protección y gestión de las redes inalámbricas.
La compañía ha mejorado la seguridad de la red inalámbrica al incorporar en el sistema un sensor de prevención de intrusión inalámbrica (WIPS) basado en hardware para puntos de acceso (AP) de su red LAN inalámbrica (WLAN) de nivel empresarial.

El producto integrado acompaña la adquisición por parte de Motorola de AirDefense, proveedor líder en seguridad WLAN que ya ha sido socio OEM de la empresa por más de tres años. De la asociación de ambas compañías surge esta una única plataforma que brinda una seguridad extremadamente mejorada, si se la compara con las soluciones WIPS heredadas de fraccionamiento de tiempo, minimizando los costos relacionados con el hardware y el cableado.

Los actuales clientes AP-5131 y AP-7131 de Motorola tienen la posibilidad de integrar el WIPS AirDefense a su infraestructura WLAN mediante una simple actualización de software a estas plataformas de puntos de acceso de radios múltiples. Éstos ofrecen a las empresas una nueva opción que no requiere la tradicional solución de tres capas de infraestructura alámbrica, seguida de infraestructura inalámbrica superpuesta y, por último, WIPS superpuesto.
Los AP 5131 y 7131 AirDefense de Motorola con WIPS utilizan equipos de radio dedicados para detectar y evitar la técnica de fraccionamiento de tiempo, que desafía el rendimiento, actualmente provista por otros proveedores de infraestructura inalámbrica. El hardware AirDefense “todo en uno” de Motorola ofrece detección de tiempo completo, proporcionando el más alto nivel de seguridad y análisis forense. El fraccionamiento de tiempo provee sólo una imagen instantánea del entorno inalámbrico, ya que el AP puede ejecutar sólo una tarea por vez; es decir, el monitoreo de seguridad o el acceso inalámbrico. Es por eso que la red inalámbrica queda totalmente vulnerable cada vez que se conectan los clientes inalámbricos. La provisión de una excelente detección y prevención de intrusión inalámbrica dedicada e integrada es un ejemplo más del compromiso asumido por Motorola en el suministro de soluciones completamente inalámbricas sin interrupciones.

Enterprise WLAN forma parte del portafolio de Motorola de innovadores servicios y soluciones de banda ancha inalámbrica que completan las redes IP. Brindando cobertura IP a prácticamente todos los espacios, tanto en interiores como en exteriores, el portafolio incluye soluciones de banda ancha fija, mesh y Enterprise WLAN para redes privadas y públicas, las cuales, combinadas, construyen una verdadera empresa inalámbrica.

Visto en www.wirelessal.net

Tools: Open Audit - Network Auditing Application

Open-Audit es una aplicación de auditoría de red. Esta basado en los lenguajes de script de PHP, Bash y VBScript. Éste puede decirle que hay en su red, cómo está configurado y cuando hay cambios.
Los datos se recuperan con Bash y / o VBScript, son almacenados en un base de datos y ver a través de una interfaz web. El servidor sólo necesita un servidor web (Apache e IIS han ambos han probado) y una instalación de MySQL. Ambas aplicaciones son de uso libre.

Open-AudIT will run on Windows and Linux systems. Essentially, Open-AudIT is a database of information, that can be queried via a web interface. Data about the network is inserted via a Bash Script (Linux) or VBScript (Windows). The entire application is written in php, bash and vbscript. These are all 'scripting' languages - no compiling with viewable source. Making changes and customisations is both quick and easy.

The server only needs a web server (Apache and IIS have both been tested) and a MySQL install. Both of these applications are free to use.

LicenseOpen-AudIT is licensed under the terms of the GNU General Public License Version 2 as published by the Free Software Foundation.

FeaturesOpen-AudIT can track the following data on computer systems:

• - Hardware. Fixed Disks
  . Partitions
  . SCSI devices
  . Optical, Tape and Floppy Drives
  . Processor and Bios information
  . Memory Details
  . Network, Video and Sound Cards
  . Monitors
  . Modems
  . Keyboard and mouse
  . Battery Information
  . Locally attached printers
  . USB Devices
  . And More
• - Software
  . Installed and Uninstalled Software
  . Specific executable versions
  . System Components
  . Hotfixes and Patches
  . What is run at Startup
  . IE Browser Helper Objects
  . Services
  . Codecs
  . Software Install Keys [Windows (95, 98, ME, NT, 2000, XP, 2003, Vista)
  Office (XP and 2003), Crystal Reports (9, 11), Autocad, Photoshop, Many Others]
  . Operating System Settings: General Information (OS Type, Service Pack, Registered User, etc), Shared Directories, Major Software Versions (IE, DX, Media Player)
  . Security Settings: AntiVirus, Firewall, Nmap discovered Ports
  . Users and Groups
  . IIS Settings
  . Disk Usage Graphs
  . Audit History
• - Networked Devices: Open-AudIT can audit network devices such as printers, switches, routers - anything with an IP Address can be audited. You can be alerted when new devices appear on your network.
• - Reporting
  Reports are available for: Operating System Type, IE Versions, Firefox Versions, Memory Sizes, Processor Types and Speeds, Hard Disk sizes, Software Keys, Detected Network, Servers, Newly Detected Software, Low Disk Space, Systems not audited for xxx days, Export to Inkscape, Dia, PDF, Custom reports by request.

Web and Downloads

HOW DO I RUN THE AUDIT

Memorias de la VIII Jornada Nacional de Seguridad Informática ACIS 2008

ACIS publico las memorias de la VIII Jornada Nacional de Seguridad Informática ACIS 2008.

. Encuesta VIII Jornada Nacional de Seguridad Informática

. II Encuesta Nacional de Seguridad Informatica en México

. Inseguridad de los sistemas -J. de Jesús Vásquez G.

. Cobit como promotor de la seguridad de la información. Hacia el Gobierno de TI - Lucio Augusto Molina Focazzio, CISA

. Information Security Management Maturity Model V2.1 - Juan Carlos Reyes Muñoz

. ITIL como apoyo a la Seguridad de la Información - Javier Mayorga

. Modelos de Madurez de Seguridad de la Información: cómo debe evolucionar la seguridad en las organizaciones - Roberto Arbeláez

. El orden de los bits si altera el producto: Talones de Aquiles de los Antivirus - Luis Fernando González

. Métricas en Seguridad Informática: Una revisión académica- Jeimy. J. Cano Gestión de la inseguridad de las aplicaciones: Un enfoque prácticoFelipe Antonio Silgado Quijano

. Gestion de Vulnerabilidades - Astrid Pereira Sierra

. Razones por las cuales se debe contar con una planeación adecuada de Continuidad de Negocio - Pedro Romero

. Protegiendo sus ingresos, con esquemas de licenciamiento aplicadas al desarrollo de SoftwareVictor - Montes de Oca

. Leyes y Contratos: Son útiles frente a una inseguridad informática? - Rafael Hernández Gamboa B.

. Diseño y Configuración de un Firewall Humano - Jaime Augusto Zuluaga

. Aplicaciones Forenses del NTP En Busca del tiempo perdido

. Definición de Estrategias de Seguridad de la Información - Wilmar Arturo Castellanos

. Análisis y Gestión de Riesgos: Base Fundamental del SGSI Caso: Metodología MageritArmando Carvajal

. Oficial de Seguridad Información: Coordinador de la GestiónAndrés Almanza


Artículos
. El orden de los bits si altero el producto: Talón de Aquiles de los Antivirus Luis Fernando González - Artículo
. Aplicaciones Forenses del NTP: En busca del tiempo perdido Juan G. Lalinde-PulidoCarlos E. Urrego-MorenoJuan D. Pineda Santiago Toro- Artículo
. Improving Attack Detection in Power System Control Center Critical Infrastructures Using Rough Classification Algorithm Coutinho, M.P.Lambert-Torres, G - Artículo