Biometría Informática - Seguridad vs. Privacidad

En la web del ISOC Capitulo Argentino se encuentra publicada una prsentacion de Ramón Brenna que presenta el tema "Biometría Informática - Seguridad vs. Privacidad".

La presentacion incluye los siguientes temas:
- Que es la Biometria?
- Biometría Informática
- Tipos de Biometría
- Elementos del sistema
- Fases - procedimiento biométrico
- Cuerpo Humano : Palabra de Paso
- Aspectos relevantes
- Otros

Descarga http://www.isoc.org.ar/proyectos/Brenna.ppt

Nmap 5.00 Released

na de nuestras herramientas favoritas, nmap, ha publicado su versión 5.00, paso importante ya que supone la liberación de una versión estable desde que lo hiciese en septiembre del año pasado la 4.76 y un cambio de versión mayor desde la 4.50 que vio la luz en el 2007.

La noticia ha dado ya la vuelta por todas partes, Slashdot, ITWire o SecurityFocus entre cientos han anunciando sus cinco principales novedades, que nos gustaría comentar:

1. Inclusión de la herramienta Ncat, similar al famoso netcat, pero con la inclusión de bastantes mejoras. Además de la guía de usuario con algunos ejemplos muy interesantes. Ya hablamos de ella en otra entrada.
   


2. Ndiff es otra herramienta que han agregado a la suite y que tiene como misión comparar dos resultados de un scan y mostrar las diferencias. Es de gran utilidad si queremos hacer análisis continuados e inventarios actualizados. Esta aplicación no es nueva, solo que la han incluido dentro del paquete al igual Zenmap


3. Mejora en el rendimiento, algo que también hemos comentado y que realmente sufrió la versión 4.76 cuando fue liberada en la conferencia que su autor expuso en la Defcon 16. Nada nuevo.


4. Liberación de la guía Nmap Network Scanning, de la que hablamos en diciembre más detalladamente. La guía explica cada una de las opciones de la herramienta y posteriormente aplica los distintos parámetros en entornos y tareas reales que podrían ser útiles para analizar la seguridad de sistemas y redes. Se puede consultar la mitad del libro online.


5. Lenguaje de scripts NSE, que permite automatizar tareas en los puertos detectados, como la detección de proxys, del Conficker, ataques de fuerza bruta sobre SNMP o POP3 y otros muchos que han sido optimizados. Realmente estos scripts también estaban disponibles hace tiempo y no es una característica nueva en esta versión 5.00

Parece que Nmap 5.00 no aporta demasiados cambios frente a su última versión estable 4.76, exceptuando la inclusión de algunos paquetes dentro del propio Nmap. Algo que seguramente no merezca toda la atención que se ha dado a la noticia.

Fuente: www.securitybydefault.com


Download

Codigo Seguro: Aplicaciones web vulnerables para capacitacion

Damn Vulnerable Web App (DVWA), una aplicación PHP/MySQL vulnerable intencionadamente, y orientada al aprendizaje de las técnicas al uso: inyección SQL, XSS, ejecución de comandos, ataques de fuerza bruta contra sistemas de autenticación, etc.

Importante: Dado que DVWA es una aplicación vulnerable no está de más recordar que no debe ser subida a ningún hospedaje en Internet, debiéndose limitar su aplicación a servidores de pruebas controlados expuestos únicamente a nuestro tráfico. Podéis descargar Damn Vulnerable Web App en la dirección http://sourceforge.net/projects/dvwa/

Un proyecto similar a OWASP WebGoat, una aplicación web J2EE destinada al aprendizaje de los conceptos de seguridad que trata habitualmente OWASP.

Visto en www.sahw.com

DVWA - Video presentation at SuperMondays

SuperMondays

Software Assurance Maturity Model (SAMM)

El marco de trabajo denominado SAMM (Software Assurance Maturity Model) es un proyecto de OWASP que está orientado a permitir a las organizaciones de distintos tamaños y características:

• - Evaluar sus prácticas en cuanto a la seguridad de su software.
• - Construir un programa de seguridad de software balanceado con iteraciones bien definidas.
• - Demostrar mejoras concretas en cuanto a sus programas de aseguramiento.
• - Definir y medir actividades relacionadas con la seguridad.
  

As an open project, SAMM content shall always remain vendor-neutral and freely available for all to use.

Web del proyecto

Download: Version 1.0- Released on March 25, 2009

The SAMM document and the contents of this website are licensed under the Creative Commons Attribution-Share Alike 3.0 License.

Release: SAMM-1.0.pdf
Presentation: OpenSAMM-1.0.ppt (Powerpoint)
Presentation: OpenSAMM-1.0.key (Keynote ‘09)

Post relacionados:
- Presentaciones: OWASP AppSec Europe 2009 - Poland

PWNTOOTH - The Bluetooth Pentesting mastermind v0.2 available

PWNTOOTH es una herramienta para test de penetración automatizado de dispositivos Bluetooth.

pwntooth (pown-tooth) is designed to automate Bluetooth Pen-Testing. It scans for devices, then runs the tools specified in the pwntooth.conf; included blueper, bluesnarfer, Bluetooth Stack Smasher (BSS), carwhisperer, psm_scan, rfcomm_scan, and vcardblaster.

Descarga y web del proyecto


Link relacionados
- Hacking Bluetooth: ni tan fácil, ni tan imposible

Nace el DATA PRIVACY INSTITUTE (DPI)

Una iniciativa de ISMS Forum que aglutinará a los expertos en privacidad y protección de datos personales.

SMS Forum Spain ha presentado en Madrid, en un acto al que han asistido cerca de cien expertos en privacidad de datos, su nuevo proyecto, el Data Privacy Institute (DPI). Según ha explicado el director de esta iniciativa, Antoni Bosch, el DPI nace con la vocación de aglutinar a todas las personas y organizaciones comprometidas e interesadas en la privacidad y la protección de datos personales; promover la formación de sus asociados y facilitarles cauces de interlocución con las administraciones y autoridades de control. Abierto a profesionales, instituciones, empresas, docentes y estudiantes, “El DPI pretende asimismo ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles y de otros países de habla hispana”, ha añadido Bosch.

Objetivos generales:
• Ser el foro de referencia sobre privacidad en España
• Trabajar en estrecha colaboración con Europa y Latinoamérica
• Ser un interlocutor ágil y profesional con las Agencias de Protección de Datos
• Fomentar y organizar formación, seminarios y eventos sobre privacidad
• Crear una certificación de profesional de la privacidad
• Dotar de más servicios y contenidos a los socios existentes
• Convertirse en una Fundación en el futuro

Presentación DPI (en PDF)

Mas información..

COBIT 4.1 en Español

Para los interesados en este documento, se puede descargar una copia del mismo desde la web de ISACA.

COBIT 4.1 Spanish- Descarga, PDF - 211 pag.



Links relacionados:
- Que es COBIT ?
- Mapping ITIL V3 with Cobit 4.1
- ¿Cuál es el mejor estándar de administración de riesgo para las TI? (Deloitte)
- COBIT 4.1 Executive Summary (31 pag.)

Herramientas en BackTrack 3.0

• 1.1 Information Gathering
  • 1.1.1 0trace 0.01
  • 1.1.2 Ass
  • 1.1.3 dig
  • 1.1.4 DMitry
  • 1.1.5 DNS-Ptr
  • 1.1.6 dnstracer 1.5
  • 1.1.7 dnswalk
  • 1.1.8 dns-bruteforce
  • 1.1.9 dnsenum
  • 1.1.10 dnsmap
  • 1.1.11 DNSPredict
  • 1.1.12 Finger Google
  • 1.1.13 Firewalk
  • 1.1.14 Fport 2.0 (Windows Executable)
  • 1.1.15 Goog Mail Enum
  • 1.1.16 Google-search
  • 1.1.17 Googrape
  • 1.1.18 Gooscan
  • 1.1.19 Host
  • 1.1.20 InTrace 1.3
  • 1.1.21 Itrace
  • 1.1.22 Maltego 2.0
  • 1.1.23 Metagoofil 1.4
  • 1.1.24 Mbenum 1.5.0 (Windows Executable)
  • 1.1.25 Netenum
  • 1.1.26 Netmask
  • 1.1.27 Nmbscan 1.2.4
  • 1.1.28 Protos
  • 1.1.29 PsTools (Windows Executables)
    • 1.1.29.1 PsInfo
    • 1.1.29.2 PsFile
    • 1.1.29.3 PsList
    • 1.1.29.4 PsGetSID
    • 1.1.29.5 PsLoggedOn
    • 1.1.29.6 PsLogList
  • 1.1.30 PStoreView 1.0 (Windows Binary)
  • 1.1.31 QGoogle
  • 1.1.32 Relay Scanner
  • 1.1.33 SMTP-Vrfy
  • 1.1.34 Subdomainer 1.3
  • 1.1.35 TCPtraceroute 1.5beta7
  • 1.1.36 TCtrace
  • 1.1.37 Whoami (Windows Executable)
• 1.2 Network Mapping
  • 1.2.1 Amap 5.2
  • 1.2.2 Angry IP Scanner (ipscan) 3.0-beta3
  • 1.2.3 Autoscan 0.99_R1
  • 1.2.4 Fierce 0.9.9 beta 03/24/07
  • 1.2.5 Fping
  • 1.2.6 Genlist
  • 1.2.7 Hping
  • 1.2.8 Hping2 2.0.0-rc3
  • 1.2.9 Hping3 3.0.0-alpha-1
  • 1.2.10 IKE-Scan
  • 1.2.11 IKEProbe
  • 1.2.12 Netcat 0.7.1
  • 1.2.13 Netdiscover
  • 1.2.14 Nmap
  • 1.2.15 NmapFE
  • 1.2.16 P0f
  • 1.2.17 PSK-Crack
  • 1.2.18 Ping
  • 1.2.19 Protos
  • 1.2.20 ScanLine 1.01 (Windows Executable)
  • 1.2.21 Scanrand
  • 1.2.22 SinFP
  • 1.2.23 Umit
  • 1.2.24 UnicornScan
  • 1.2.25 UnicornScan pgsql 0.4.6e module version 1.03
  • 1.2.26 XProbe2
  • 1.2.27 PBNJ 2.04
    • 1.2.27.1 OutputPBNJ
    • 1.2.27.2 ScanPBNJ
  • 1.2.28 Zenmap 4.60
• 1.3 Vulnerability Identification
  • 1.3.1 Absinthe
  • 1.3.2 Bed
  • 1.3.3 CIRT Fuzzer
  • 1.3.4 Checkpwd
  • 1.3.5 Cisco Auditing Tool
  • 1.3.6 Cisco Enable Bruteforcer
  • 1.3.7 Cisco Global Exploiter
  • 1.3.8 Cisco OCS Mass Scanner
  • 1.3.9 Cisco Scanner
  • 1.3.10 Cisco Torch
  • 1.3.11 Curl
  • 1.3.12 Fuzzer 1.2
  • 1.3.13 GFI LanGuard 2.0
  • 1.3.14 GetSids
  • 1.3.15 HTTP PUT
  • 1.3.16 Halberd
  • 1.3.17 Httprint
  • 1.3.18 Httprint GUI
  • 1.3.19 ISR-Form
  • 1.3.20 Jbrofuzz
  • 1.3.21 List-Urls
  • 1.3.22 Lynx
  • 1.3.23 Merge Router Config
  • 1.3.24 Metacoretex
  • 1.3.25 Metoscan
  • 1.3.26 Mezcal HTTP/S
  • 1.3.27 Mibble MIB Browser
  • 1.3.28 Mistress
  • 1.3.29 Nikto
  • 1.3.30 OAT
  • 1.3.31 Onesixtyone
  • 1.3.32 OpenSSL-Scanner
  • 1.3.33 Paros Proxy
  • 1.3.34 Peach
  • 1.3.35 RPCDump
  • 1.3.36 RevHosts
  • 1.3.37 SMB Bruteforcer
  • 1.3.38 SMB Client
  • 1.3.39 SMB Serverscan
  • 1.3.40 SMB-NAT
  • 1.3.41 SMBdumpusers
  • 1.3.42 SMBgetserverinfo
  • 1.3.43 SNMP Scanner
  • 1.3.44 SNMP Walk
  • 1.3.45 SQL Inject
  • 1.3.46 SQL Scanner
  • 1.3.47 SQLLibf
  • 1.3.48 SQLbrute
  • 1.3.49 Sidguess
  • 1.3.50 Smb4K
  • 1.3.51 Snmpcheck
  • 1.3.52 Snmp Enum
  • 1.3.53 Spike
  • 1.3.54 Stompy
  • 1.3.55 SuperScan
  • 1.3.56 TNScmd
  • 1.3.57 Taof
  • 1.3.58 VNC_bypauth
  • 1.3.59 Wapiti
  • 1.3.60 Yersinia
  • 1.3.61 sqlanlz
  • 1.3.62 sqldict
  • 1.3.63 sqldumplogins
  • 1.3.64 sqlquery
  • 1.3.65 sqlupload
• 1.4 Penetration
  • 1.4.1 Framework3-MsfC
  • 1.4.2 Framework3-MsfUpdate
  • 1.4.3 Framework3-Msfcli
  • 1.4.4 Framework3-Msfweb
  • 1.4.5 Init Pgsql (autopwn)
  • 1.4.6 Milw0rm Archive
  • 1.4.7 MsfCli
  • 1.4.8 MsfConsole
  • 1.4.9 MsfUpdate
  • 1.4.10 OpenSSL-To-Open
  • 1.4.11 Pirana
  • 1.4.12 Update Milw0rm
• 1.5 Privilege Escalation
  • 1.5.1 Ascend attacker
  • 1.5.2 CDP Spoofer
  • 1.5.3 Cisco Enable Bruteforcer
  • 1.5.4 Crunch Dictgen
  • 1.5.5 DHCPX Flooder
  • 1.5.6 DNSspoof
  • 1.5.7 Driftnet
  • 1.5.8 Dsniff
  • 1.5.9 Etherape
  • 1.5.10 EtterCap
  • 1.5.11 File2Cable
  • 1.5.12 HSRP Spoofer
  • 1.5.13 Hash Collision
  • 1.5.14 Httpcapture
  • 1.5.15 Hydra
  • 1.5.16 Hydra GTK
  • 1.5.17 ICMP Redirect
  • 1.5.18 ICMPush
  • 1.5.19 IGRP Spoofer
  • 1.5.20 IRDP Responder
  • 1.5.21 IRDP Spoofer
  • 1.5.22 John
  • 1.5.23 Lodowep
  • 1.5.24 Mailsnarf
  • 1.5.25 Medusa
  • 1.5.26 Msgsnarf
  • 1.5.27 Nemesis Spoofer
  • 1.5.28 NetSed
  • 1.5.29 Netenum
  • 1.5.30 Netmask
  • 1.5.31 Ntop
  • 1.5.32 PHoss
  • 1.5.33 PackETH
  • 1.5.34 Rcrack
  • 1.5.35 SIPdump
  • 1.5.36 SMB Sniffer
  • 1.5.37 Sing
  • 1.5.38 TFTP-Brute
  • 1.5.39 THC PPTP
  • 1.5.40 TcPick
  • 1.5.41 URLsnarf
  • 1.5.42 VNCrack
  • 1.5.43 WebCrack
  • 1.5.44 Wireshark
  • 1.5.45 Wireshark Wifi
  • 1.5.46 WyD
  • 1.5.47 XSpy
  • 1.5.48 chntpw
• 1.6 Maintaining Access
  • 1.6.1 3proxy
  • 1.6.2 Backdoors
  • 1.6.3 Matahari
  • 1.6.4 CryptCat
  • 1.6.5 HttpTunnel Client
  • 1.6.6 HttpTunnel Server
  • 1.6.7 ICMPTX
  • 1.6.8 Iodine
  • 1.6.9 NSTX
  • 1.6.10 Privoxy
  • 1.6.11 ProxyTunnel
  • 1.6.12 Rinetd
  • 1.6.13 TinyProxy
  • 1.6.14 sbd
  • 1.6.15 socat
• 1.7 Covering Tracks
  • 1.7.1 Housekeeping
• 1.8 Radio Network Analysis
  • 1.8.1 802.11 WIFI
    • 1.8.1.1 AFrag
    • 1.8.1.2 ASLeap
    • 1.8.1.3 aircrack-ng
    • 1.8.1.4 airdecap-ng
    • 1.8.1.5 aireplay-ng
    • 1.8.1.6 airmon-ng
    • 1.8.1.7 Airpwn
    • 1.8.1.8 AirSnarf
    • 1.8.1.9 airbase-ng
    • 1.8.1.10 airodump-ng
    • 1.8.1.11 Airoscript
    • 1.8.1.12 Airsnort
    • 1.8.1.13 CowPatty
    • 1.8.1.14 FakeAP
    • 1.8.1.15 Hotspotter
    • 1.8.1.16 Karma
    • 1.8.1.17 Kismet
    • 1.8.1.18 MDK3
    • 1.8.1.19 MacChanger
    • 1.8.1.20 WifiTap
    • 1.8.1.21 Wicrawl
    • 1.8.1.22 WifiZoo
    • 1.8.1.23 Wlassistant
    • 1.8.1.24 SpoonDRV
    • 1.8.1.25 SpoonWEP
  • 1.8.2 Bluetooth
    • 1.8.2.1 BTcrack
    • 1.8.2.2 Bluebugger
    • 1.8.2.3 Blueprint
    • 1.8.2.4 Bluesmash
    • 1.8.2.5 Bluesnarfer
    • 1.8.2.6 Btscanner
    • 1.8.2.7 Carwhisperer
    • 1.8.2.8 Frontline
    • 1.8.2.9 Minicom
    • 1.8.2.10 ObexFTP
    • 1.8.2.11 HCIDump
    • 1.8.2.12 Redfang
    • 1.8.2.13 Ussp-Push
    • 1.8.2.14 atshell
    • 1.8.2.15 attest
    • 1.8.2.16 bdaddr
    • 1.8.2.17 bss
    • 1.8.2.18 btftp
    • 1.8.2.19 hcidump-crash
    • 1.8.2.20 hidattack
    • 1.8.2.21 hstest
    • 1.8.2.22 rfcomm
• 1.9 VOIP & Telephony Analysis
  • 1.9.1 PcapSipDump
  • 1.9.2 PcapToSip_RTP
  • 1.9.3 SIPSak
  • 1.9.4 SIPcrack
  • 1.9.5 SIPdump
  • 1.9.6 SIPp
  • 1.9.7 Smap
• 1.10 Digital Forensics
  • 1.10.1 Allin1
  • 1.10.2 Autopsy
  • 1.10.3 DCFLDD
  • 1.10.4 DD_Rescue
  • 1.10.5 Foremost
  • 1.10.6 Magicrescue
  • 1.10.7 Mboxgrep
  • 1.10.8 Memfetch
  • 1.10.9 Memfetch Find
  • 1.10.10 Pasco
  • 1.10.11 Rootkithunter
  • 1.10.12 Sleuthkit
  • 1.10.13 Vinetto
• 1.11 Reverse Engineering
  • 1.11.1 GDB GNU Debugger
  • 1.11.2 GDB Console GUI
  • 1.11.3 GDB Server
  • 1.11.4 GNU DDD
  • 1.11.5 Hexdump
  • 1.11.6 Hexedit
  • 1.11.7 OllyDBG
• 1.12 Services
  • 1.12.1 SNORT

Fuente: The BackTrack Wiki

Tool: sqlmap 0.7 released

sqlmap is an open source command-line automatic SQL injection tool.

Its goal is to detect and take advantage of SQL injection vulnerabilities in web applications. Once it detects one or more SQL injections on the target host, the user can choose among a variety of options to perform an extensive back-end database management system fingerprint, retrieve DBMS session user and database, enumerate users, password hashes, privileges, databases, dump entire or user's specified DBMS tables/columns, run his own SQL statement, read or write either text or binary files on the file system, execute arbitrary commands on the operating system, establish an out-of-band stateful connection between the attacker box and the database server via Metasploit payload stager, database stored procedure buffer overflow exploitation or SMB relay attack and more.

Changes
=======
Along all the takeover features introduced in sqlmap 0.7 release candidate 1, some of the new features include:
* Adapted Metasploit wrapping functions to work with latest 3.3 development version too.
* Adjusted code to make sqlmap 0.7 to work again on Mac OSX too.

* Reset takeover OOB features (if any of --os-pwn, --os-smbrelay or --os-bof is selected) when running under Windows because msfconsole and msfcli are not supported on the native Windows Ruby interpreter.

This make sqlmap 0.7 to work again on Windows too.
* Minor improvement so that sqlmap tests also all parameters with no value (eg. par=).
* HTTPS requests over HTTP proxy now work on either Python 2.4, 2.5 and 2.6+.
Complete list of changes


Download
========
You can download it in various formats:
* Source gzip compressed, http://downloads.sourceforge.net/sqlmap/sqlmap-0.7.tar.gz

* Source bzip2 compressed, http://downloads.sourceforge.net/sqlmap/sqlmap-0.7.tar.bz2

* Source zip compressed, http://downloads.sourceforge.net/sqlmap/sqlmap-0.7.zip

* DEB binary package, http://downloads.sourceforge.net/sqlmap/sqlmap_0.7-1_all.deb

* RPM binary package, http://downloads.sourceforge.net/sqlmap/sqlmap-0.7-1.noarch.rpm

* Portable executable for Windows that does not require the Python interpreter to be installed on the operating system, http://downloads.sourceforge.net/sqlmap/sqlmap-0.7_exe.zip

Documentation
=============
* sqlmap user's manual
* sqlmap developer's documentation

Link relacionado:
- 17 herramientas indispensables para analizar problemas de inyección SQL

Estandar TIA 942 (Telecomunication Infrastructure Standard for Data Centers)

El propósito del estándar TIA 942 es proveer una serie de recomendaciones y guidelines para el diseño e instalación de infraestructuras de centros de datos (Data Centers), Centros de cómputos o como mejor les guste llamar al lugar donde se colocan racks, servidores, equipo de comunicaciones, etc. critico para el negocio y por ende requieren una alta disponibilidad.

Este estándar esta aprobado por TIA (Telecomunications Industry Association) y ANSI (American National Standards Institute)


TIA-942 Telecommunications Infrastructure Standard for Data Centers
- TIA-942-1 (March 2008) Data Center Coaxial Cabling Specifications and Application Distances
- Standard contains “green” provisions including:

• - hot/cold aisles to improve HVAC efficiency
• - site selection

-TIA-942 Addendum 2 – future project.

• - Expansion of temperature and humidity ranges will allow for lower power consumption and reduction of HVAC capacity.

- The scope of subcommittee TR-42.3 (Pathways and Spaces) relates to CSI MasterFormat™ divisions 1-10. A task group has been established to consider new “green” projects.



Algunos link con mas información del estándar:

• - Estándares sobre Diseño y Funcionamiento de Data Center
  
• - Telecommunications Infrastructure Standard for Data Centers ANSI/TIA-942
• - Audio Carrie Higbie de Siemon presenta un resumen del estándar . (Ingles- duracion: 22:39 min)
• - TIA-942-1 Data Center Coaxial Cabling Specifications and Application Distances
• - Data Center Design and the ANSI/TIA-942 StandardBICSI Regional Meeting
  

Aparente seguridad

Link relacionado:
- La sutil diferencia entre aparentar seguridad y tener seguridad

Un viaje en la historia del hacking

No existe mejor forma de afrontar el futuro que conociendo el pasado.

¿Quiere saber quienes fueron los primeros hackers?, ¿quienes los primeros grupos?, ¿cuál es la historia que da trasfondo a esta subcultura de gurús de la red?


Las respuestas se pueden encontrar en la publicación que ofrece la revista Linux+ en el siguiente link.

Manuales de Seguridad de la Informacion (Ingles)

• Information Security Manual. (Produced by the Pennine Care NHS Trust) PDF, 47 Pag.
  
• Information Security Business Manual (NHS Wales) 25 Pag.

Para leer una referencia de los documentos ver el post del Blog Implementing ISO 27001.

Se sigue expandiendo un gusano que ataca usuarios de Facebook

Se trata de Koobface, del cual se detectaron más de 575 nuevas variantes a lo largo de junio. Recomendaciones para mantenerse protegido ante esta amenaza que ataca ahora a más redes sociales

La empresa de seguridad informática Kaspersky Lab detectó un fuerte crecimiento en el desarrollo de las modificaciones a Koobface durante junio, mes que coincide con las vacaciones en el Hemisferio Norte. En sólo un mes, el número de variantes saltó de 324 a finales de mayo de este año a casi 1.000 para finales de junio.

Koobface, el tristemente célebre gusano, fue detectado por primera vez por Kaspersky Lab como Net-Worm.Win32.Koobface, y se volvió instantáneamente popular cuando apareció un año después, tomando como blanco a las cuentas de Facebook y MySpace.

El gusano Koobface se propaga de la cuenta de un usuario legítimo a los perfiles de sus amigos. Los comentarios y mensajes enviados por el gusano contienen un vínculo a un sitio web falso parecido a YouTube, el cual invita a los usuarios a descargar una “nueva versión de Flash Player”.

En vez de descargar un reproductor de medios, se descarga un gusano a las máquinas víctimas. Una vez que el usuario ha sido infectado, comenzará a propagar mensajes similares a sus amigos. Al mismo tiempo, la funcionalidad del gusano ha sido ampliada.

Koobface ahora se dirige a más sitios de redes sociales como Hi5, Bebo, Tagged, Netlog y recientemente, a Twitter.

Conforme las redes sociales como Facebook o Twitter se vuelven más populares, los ataques contra ellas también cobran mayor fuerza.

Para Stefan Tanase, investigador de malware de Kaspersky Lab, “el hecho de tener durante el último mes una mayor actividad cibercriminal que involucra a las redes sociales prueba que las estrategias utilizadas por los delincuentes para infectar a los usuarios es mucho más efectiva añadiendo el contexto social a sus ataques. Junio de 2009 marca un importante hito en la evolución del malware de redes sociales: la actividad vista en este mes excede por mucho cualquier otro mes en el pasado”.

Consejos
· Sea cuidadoso al abrir vínculos que vengan de mensajes sospechosos, aún cuando el remitente sea uno de sus amigos en Facebook.
· Utilice Internet Explorer 7 ejecutándose en modo de protección o Firefox con NoScript instalado.
· Divulgue la menor cantidad de información personal como sea posible. No proporcione su dirección de casa, número telefónico o información privada.
· Mantenga actualizado su software antivirus para prevenir que nuevas versiones de malware ataquen su computadora.

Fuente: Infobae.com

Herramientas contra los keyloggers

El mal de muchos y en especial de empresas que manejan información por demás importante es el hecho de que sean monitoreadas sus acciones por medio de éstos keyloggers, mismos que se han dado de los métodos más sofisticados para poder tener en sus manos todo tipo de información.

Aunque no sabemos su un antivirus o antispyware va a poder combatir las acciones de estos keyloggers, pero es bueno estar informados de cada una de las herramientas que existen para nuestro beneficio y para nuestra seguridad informática.

Sea que tengamos o no un antivirus comercial o gratuito, estos en realidad deben de ser bastante buenos para que puedan bloquear a las acciones de un keyloggers, mismo que en muchas de las ocasiones puede estar actuando en segundo plano o a modo background sin que nos percatemos de tal hecho, por lo cual se recomienda que nuestros antivirus o antispyware se mantengan siempre actualizados y además de que deben de ser lo cuficientemente buenos para reconocer todo este tipo de amenazas.

Tenemos por el momento que presentar a una aplicación que nos avisará si nuestro servicio de detección de estas amenazas que actúan como keyloggers esta trabajando de manera efectiva o no, analizando de una manera muy práctica en base a diferentes sistemas propuestos, los cuales son los más conocidos y utilizados en la detección de un keylogger.

La aplicación tiene el nombre de Anti-Keylogger Tester (AKLT) y basa su funcionamiento en el el análisis de dichas amenazas por medio de 7 mecanismos propuestos, mismos que son GetKeyState, GetAsyncKeyState, DirectX, GetKeyboardState, LowLevel Teclado Hook, JournalRecord Hook y GetRawInputData, los cuales Anti-Keylogger Tester como aplicación gratuita de Windows puede hacerlo con gran efectividad, merito por demás digno de mencionar para una aplicación gratuita.

Una vez que se ejecuta Anti-Keylogger Tester, podemos ver en su interface de trabajo dos áreas de acción, mismas que se manifiestan a manera de una ventana superior y una parte inferior donde se muestran los métodos o servicios a elegir para el analisis.

El método es de lo más sencillo, ya que Anti-Keylogger Tester nos permite elegir uno de los métodos que querramos testear, seguidamente a ello nos disponemos a escribir a manera de prueba en nuestro navegador y si nuestras palabras son detectadas, quiere decir que el método de protección anti-keyloggin no es efectivo; en cambio si ninguna acción nuestra en el teclado es detectada, las acciones de nuestros antivirus y antispyware son efectivas en dichas protecciones.

Anti-Keylogger Tester es compatible con Internet Explorer y Mozilla FireFox, además de funcionar también con las versiones de Windows tando en 32 como en 64 bits.

Vía: firewallleaktester

Visto en www.foroz.org

Download

Presentaciones: OWASP AppSec Europe 2009 - Poland

Presentaciones disponibles utilizadas en este evento relacionado con el "Código Seguro" y la "Seguridad en las aplicaciones Web":

• - Welcome to OWASP AppSec 2009 Conference (PPT)
• - Web App Security – The Good, the Bad and the Ugly (PPT)
• - OWASP State of the Union (PPT)
• - OWASP Live CD: An open environment for Web Application Security (PPT)
• - Leveraging agile to gain better security (PPT)
• - The OWASP Orizon project: new static analysis in HiFi (PPT)
• - OWASP Application Security Verification Standard (ASVS) Project (PPT)
• - Tracking the effectiveness of an SDL program: lessons from the gym (PPT)
• - The Bank in the Browser - Defending web infrastructures from banking malware (PDF)
• - Threat Modeling (PPT)
• - Web Application Harvesting (PPT)
• - Maturing Beyond Application Security Puberty (PPT)
• - Exploiting Web 2.0 – Next Generation Vulnerabilities (PDF)
• - The Truth about Web Application Firewalls: What the vendors do not want you to know (PPT)
• - The Software Assurance Maturity Model (SAMM) (PPT)
• - Advanced SQL injection exploitation to operating system full control (PDF)
• - When Security Isn’t Free: The Myth of Open Source Security (PPT)
• - OWASP Projects (PPT)
• - Beyond security principles approximation in software architectures (PPT)
• - OWASP Enterprise Security API (ESAPI) Project (PPT)
• - w3af, A framework to 0wn the web (PPT|Video)
• - OWASP ROI: Optimize Security Spending using OWASP (PPT)
• - CSRF: the nightmare becomes reality? (PPT)
• - I thought you were my friend Evil Markup, browser issues and other obscurities (PDF / PPT)
• - HTTP Parameter Pollution (PDF)
• - OWASP Source Code Flaws Top 10 Project (PPT)
• - Business Logic Attacks: Bots and Bats (PPT)
• - Factoring malware and organized crime in to Web application security (PDF1-PDF2 )
• - Real Time Defenses against Application Worms and Malicious Attackers (PPT)
• - Can an accessible web application be secure? Assessment issues for security testers, developers and auditors (PPT)

Web del evento


Link relacionado:
- Guía de pruebas Owasp - Versión 3 en español (Owasp Testing)

The Web Hacking Incidents Database 2008: Breach Annual Report (Febrero 2009)

The much anticipated Breach Security Lab’s Web Hacking Incidents Database (WHID) 2008 Annual Report is ready for download.

The WHID project is dedicated to maintaining a record of web application-related security incidents. The WHID’s purpose is to serve as a tool for raising awareness of web application security problems and provide information for statistical analysis of web application security incidents.

This year the report findings prove that no company or market sector is immune from attack. One of the largest discoveries was that web attackers have unleashed a new type of SQL Injection attack that successfully compromised 500,000 web sites. Download this white paper today to learn more about the latest in web application security.

Download

Algunos datos:

Attack / Vulnerability Used %
SQL Injection 30%
Unknown 29%
Cross-Site Scripting (XSS) 8%
Insufficient Anti-
Automation 5%
Insufficient Authentication 3%
Cross-Site Request Forgery
(CSRF) 3%
OS Commanding 3%
Denial of Service 3%
Drive By Pharming 3%
Known Vulnerability 2%
Brute Force 2%
Credential / Session 2%


Link relacionado:
- Reporte 2007: The Web Hacking Incidents Database (WHID)

Plantillas de Politicas y de otros documentos de seguridad

La empresa Callio Technologies, publico en su web una serie de plantillas de ejemplo relacionadas con la seguridad de la información:

Security templates Examples

• 3. Security policy
  • 3.1 Information security policy
    • 6-Elements of a Security Policy (23k)
    • 7-Manual of Security Policies (52k)
    • 3-Memorandum (25k)
    • 8-Policy Review Process (253k)
    • 5-Security Management Group Mandate (26k)
    • 4-Security Policy Statement (26k)
• 4. Organizational security
  • 4.1 Information security infrastructure
    • 10-Information Security Advisor (27k)
    • 9-Security Management Group Members (24k)
• 5. Asset classification and control
  • 5.1 Accountability for assets
    • 11-Asset Inventory (53k)
  • 5.2 Information classification
    • 13-Classification Guide (34k)
    • 12-Roles and Responsibilities Related to Assets (42k)
• 6. Personnel security
  • 6.1 Security in job definition and resourcing
    • 22-Advice - Confidentiality Agreements (27k)
    • 15-Elements of a Job Description (24k)
    • 24-Employment Contract (39k)
    • 19-Hiring Personnel (25k)
    • 10-Information Security Advisor (27k)
    • 14-Information Security Positions (28k)
    • 16-Job Description Model (25k)
    • 21-Performance Evaluation Form (29k)
    • 18-Reference Check Authorization (28k)
    • 23-Template no 1 - Confidentiality Agreement (32k)
    • 55-Template no 2 - Nondisclosure Agreement (47k)
    • 17-Tips for Checking References (23k)
    • 20-Tips for Performance Evaluations (30k)
  • 6.2 User training
    • 25-Training Program Start-Up (34k)
    • 26-Training of Security Staff (87k)
    • 27-User Consent (30k)
  • 6.3 Responding to security incidents and malfunctions
    • 32-Application of Disciplinary Measures (367k)
    • 33-Example of a Disciplinary Process (305k)
    • 29-Persons to Contact - Security Incidents (24k)
    • 31-Progression in Disciplinary Measures (24k)
    • 28-Reporting Security Incidents (588k)
    • 30-Review of Reported Incidents (24k)
• 7. Physical and environmental security
  • 7.1 Secure areas
    • 39-Delivery Process (109k)
    • 37-Industrial Visits (25k)
    • 40-Merchandise Refusal (25k)
    • 34-Physical Security Questionnaire (58k)
    • 36-Reception Layout Plan (655k)
    • 35-Site Layout (1087k)
    • 38-Working in Secure Areas (24k)
  • 7.2 Equipment security
    • 41-Measures for protecting equipment (3459k)
    • 42-Mesures for power supply protection (485k)
    • 34-Physical Security Questionnaire (58k)
  • 7.3 General controls
    • 43-Material Requisition Form (29k)
• 8. Communications and operations management
  • 8.1 Operational procedures and responsibilities
    • 45-Form for Operational Change (32k)
    • 44-Operational Change Process (24k)
    • 49-Procedure for Reinstalling a System (23k)
    • 47-Security Incident Classification (22k)
    • 46-Security Incident Management Process (236k)
    • 48-Security Incident Report (Form) (43k)
    • 50-Segregation of responsibilities (29k)
  • 8.4 Housekeeping
    • 53-Fault Log (29k)
    • 51-Information Backups (47k)
    • 52-Operator's Log (29k)
  • 8.5 Network management
    • 54-Network Control Measures (24k)
  • 8.7 Exchanges of information and software
    • 57-Email Security (179k)
    • 56-Letter of Confirmation -- Online Purchase (30k)
    • 23-Template no 1 - Confidentiality Agreement (32k)
    • 55-Template no 2 - Nondisclosure Agreement (47k)
• 9. Access control
  • 9.2 User access management
    • 24-Employment Contract (39k)
    • 60-Intervals for Reviewing Access Rights (23k)
    • 58-Modification of Privileges (35k)
    • 59-Nondisclosure of Passwords (24k)
  • 9.3 User responsibilities
    • 61-Good Password Management Practices (27k)
    • 62-Unsupervised equipment (23k)
  • 9.4 Network access control
    • 63-Authentication Methods (169k)
    • 68-Installing a Linux RedHat Server (27k)
    • 67-Installing a Netware Server (33k)
    • 69-Installing a Windows 2000 Server (35k)
    • 66-Modifying Filtering Rules (52k)
    • 64-Protection of Remote Diagnostic Ports (37k)
    • 65-Role of the Router (941k)
  • 9.5 Operating system access control
    • 70-Connection Process (78k)
    • 71-Individual Alarms (457k)
  • 9.7 Monitoring system access and use
    • 72-Recording Events (28k)
    • 73-Synchronizing Clocks (375k)
  • 9.8 Mobile computing and teleworking
    • 74-Teleworking -- Contractual Arrangement (41k)
• 10. Systems development and maintenance
  • 10.1 Security requirements of systems
    • 75-Security Requirements -- Analysis and Specifications (26k)
  • 10.2 Security in application systems
    • 76-Responding to Validation Errors (29k)
  • 10.3 Cryptographic controls
    • 80-Cryptography Policy (48k)
    • 79-Key Management (25k)
    • 77-Selecting Cryptographic Measures (32k)
    • 78-Selecting a Cryptographic Solution (24k)
  • 10.4 Security of system files
    • 81-Change Control (25k)
  • 10.5 Security in development and support processes
    • 82-Modification Request Form (34k)
• 11. Business continuity management
  • 11.1 Aspects of business continuity management
    • 95-Address and Phone Number of the Backup Facility (28k)
    • 96-Communications During a Disaster (177k)
    • 90-Continuity Plan -- Content (91k)
    • 89-Creation and Implementation of a Continuity Plan (35k)
    • 100-Criteria for Evaluating a Backup Facility (115k)
    • 91-Distribution List for the Continuity Plan (34k)
    • 92-Drafting a Recovery Plan (27k)
    • 85-Elaborating Business Continuity Strategies (258k)
    • 93-Emergency Plan (91k)
    • 83-Evaluating Priorities (64k)
    • 87-Impact Analysis Form (30k)
    • 86-Impact Analysis (297k)
    • 84-Insurance Risk Coverage (26k)
    • 97-List of Emergency Telephone Numbers (27k)
    • 98-List of Suppliers (340k)
    • 94-Responding to Emergency Situations (205k)
    • 88-Risk Analysis and Management (248k)
    • 99-Testing and Maintaining Continuity Plans (31k)
• 12. Compliance
  • 12.1 Compliance with legal requirements
    • 101-User Statement (30k)
  • 12.3 System audit considerations
    • 103-Network Security Audit (23k)
    • 102-Security Audit Process (24k)

RFID en pasaportes USA vulnerables: Construyen un dispositivo de 250 $ para clonarlos

Utilizando un sistema con componentes de bajo costo, de tan solo US$ 250, el experto en seguridad informática Chris Paget ha creado una plataforma móvil que puede clonar grandes números de identificadores electrónicos que son usados en los pasaportes de EEUU y que usarán en la próxima generación de licencias de conducir.

El sistema que el investigador Chris Paget ha construído en su tiempo libre puede ser operado desde un vehículo y contiene todo lo necesario para captar y luego clonar tags RFID. Durante una reciente prueba en la que Paget condujo su automóvil por 20 minutos en el centro de San Francisco, pudo copiar con éxito dos tags RFID de dos pasaporte sin el conocimiento de sus propietarios.

• Acceda al artículo completo en inglés haciendo clic aquí
• Acceda al video en inglés haciendo clic aquí

Visto en www.seguridadmania.com

Guía de pruebas Owasp - Versión 3 en español (Owasp Testing)

Como complemento a la guia "OWASP Testing Guide Version 3", se publico la versión en español del documento de 372 paginas:

Descarga:

• Version PDF
  
• Version Word

Web del Proyecto


Link relacionados:
- OWASP Live CD (Imágen de VMware con VMWare Tools).
- OWASP Security Spending Benchmarks Project Report (March 2009)- Web Application Vulnerability Scanners
- Mejores herramientas de auditoría y seguridad del 2007
- Video: OWASP Top 5 and Mutillidae

Gracias a Windows: Los hackers comenzarán a atacar los cajeros automáticos

CIUDAD DE BUENOS AIRES (Urgente24) - El famoso ex hacker estadounidense Kevin Mitnick, experto en seguridad informática, alertó este martes sobre la vulnerabilidad de los sistemas operativos de los cajeros automáticos, durante el evento tecnológico Campus Party Colombia.

"Lo último en piratería informática es implantar códigos malignos en los computadores de los cajeros, ya que usan Windows. Es un movimiento que ha empezado en Rusia y Ucrania, pero que no tardará en llegar a USA y a Latinoamérica", declaró Mitnick.

Una vez que los hackers han entrado en uno de estos sistemas, pueden ver toda la información de la persona que introduce la tarjeta, desde sus datos personales hasta las contraseñas de seguridad.

También alertó sobre las fallas de seguridad de los celulares.
Este ex hacker, quien confesó que "disfruta con su trabajo" como asesor de seguridad, también dijo que, en contra de lo que muchos usuarios creen, "los dispositivos móviles también pueden ser hackeados".
"Los piratas pueden introducir códigos malignos en los teléfonos móviles para tener control sobre ellos y monitorizarlos, y así escuchar las conversaciones, acceder a los contactos o usar internet móvil", declaró.
Mitnick sostiene que "la seguridad informática aún no ha evolucionado lo suficiente" y para demostrarlo realizará una muestra en Camus Party con un código maligno creado por él mismo que no es detectado por los antivirus.


Perfil de un hacker
Kevin Mitnick (nacido el 6 de agosto de 1963) es uno de los hackers y phreakers más famosos de los Estados Unidos. Su nick o apodo fue Cóndor. Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunos de las computadoras más seguras de USA. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electrónicos.
El caso de Kevin Mitnick (su último encarcelamiento) alcanzó una gran popularidad entre los medios estadounidenses por la lentitud del proceso (hasta la celebración del juicio pasaron más de dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su supuesta peligrosidad).
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía Mitnick Security (anteriormente llamada Defensive Thinking).
La vida de Kevin Mitnick y, en especial, la persecución que condujo a su captura en 1995 han dado lugar a multitud de libros y otro material de ficción. De entre todos, destaca la novela Takedown, que relata su último arresto. Y de la cuál han sacado una película con el mismo título, Takedown, en el año 2000.
Otra novela algo menos conocida es The Fugitive Game, escrita por Jonathan Littman. En ella también se narran los hechos acontecidos los últimos años antes de su arresto, aunque desde una perspectiva más intimista y no tan enfocada al autobombo por parte de los captores como la anterior.
Uno de los miembros del equipo que contribuyó al arresto de Mitnick fue Tsutomu Shimomura, experto en seguridad informática e hijo del profesor Osamu Shimomura, uno de los tres ganadores del Premio Nobel de Química 2008.

Fuente: www.urgente24.com/index.php?id=ver&tx_ttnews[tt_news]=125481&cHash=3eb34a5f49

Link relacionado:
- Hackeo de cajeros, una moda tecnológica

Secure your Wireless network

In this article i will show you how to secure your Wireless LAN. As in the previous article LAN security was sub divided into two parts, similarly Wireless LAN security is also divided into two parts. The difference is in the security issues.
With Wireless Networking, no cables or wires are needed to network your computers and share your Internet connection. Wi-Fi connects computers, printers, video camera’s and game consoles into a fast Ethernet network via microwaves.

Following actions should be taken.

• - The most important thing is to change the default password of your access point.
  
  
• - Firmware and the drivers of your wireless access point and wireless adapters should be up to date. They should be updates whenever necessary.
  
  
• - There should be a combination of high level encryption and decent keys (WPA2/802.11i ) recommended.
  
  
• - Wireless users should be authenticated with different protocols like 802.1X, RADIUS, EAP (including EAP-PAX, EAP-PSK, EAP-TLS, EAP-TTLS, EAP-FAST, EAP-POTP, EAP-IKEv2, EAP-GPSK, PEAP, and EAP-SIM.
  
  
• - The above protocols give credentials including certificates, usernames, passwords etc.
  
  
• - Use Wireless LAN Security Tools for securing the wireless network. This software is specifically designed for securing 802.11 wireless networks.
  
  
• - Use a proxy for outgoing requests.
  
  
• - Always check the security of the wireless LAN using recent tools like Airbase, AirCrack-ng etc.
  
  
• - Make strict system logging on all the devices, do check your wireless log files regularly.

Visto en Geniushackers.com

secure your lan, lan security, firewalls, anti-viruses,tcp , udp,lan,lan security,networking

Los ladrones pueden estar dentro

La incertidumbre laboral dispara el robo de información confidencial por los empleados.

Cuanto valgo como empleado?" Es una pregunta que se hacen muchos trabajadores en estos momentos de incertidumbre laboral, con el paro disparado y la posibilidad de verse en la calle muy presente. La respuesta varía según cada uno, pero todas tienen un añadido común: "Valdré más si dispongo de información confidencial de mi empresa para ofrecer a la competencia".

El caso no es remoto. La fuga de información confidencial de las compañías ha aumentado un 60 % desde el año pasado, según un informe del Grupo Paradell Consultores de investigación privada y prevención del fraude, que ha pasado de constatar 400 a más de 600 casos. Sin contar los que nunca llegan a conocerse.

Ingresos adicionales

Otro estudio, elaborado por Kroll y The Economist Intelligence Unit, reveló que el 85 % de los ejecutivos de algunas de las principales empresas de Europa, América del Norte y África admitieron que su compañía ha sufrido al menos un fraude en los últimos tres años.
"En el 80 % de las ocasiones se trata de un trabajador o ex trabajador de la empresa con acceso a los datos", explica Jordi Besoli, director del área de Seguridad Informática de Paradell. "El fraude ha aumentado por varios motivos", continúa: "Cada vez es más fácil acceder a los datos, incluso desde casa a través del ordenador; con la crisis algunos empleados se sienten más inseguros y ven en esta opción una fuente de ingresos adicionales, también está el resentimiento o despecho con la empresa o el valor añadido que supone tenerlos".

Pero no sólo de robar datos vive el fraudulento, aunque es una parte importante del hurto a la empresa (30%). Competencia desleal (11%), fraude informático (4%), plagio o imitación (9%), contraespionaje industrial (11%), fingir o prolongar bajas (32%) y el absentismo laboral (5%) completan la fotografía del fraude, si bien es cierto que los dos últimos apartados han caído bastante.

España es reactiva

La buena noticia para las empresas es que se puede luchar contra el robo. Investigando los casos, las aseguradoras españolas redujeron de 275 millones de euros a 75 millones el fraude que sufrieron en 2007. En España no se hace, pero prevenir también funciona. "Ése es el modelo anglosajón, aquí somos más reactivos, y eso es más caro siempre para la empresa", explica Mariano Paradell, director del Grupo Paradell.

La creciente regulación también ayuda. Un informe de Deloitte se refiere a la presión de la CNMV sobre las empresas cotizadas para que informen de los riesgos que corren, y ala reforma del Código Penal, que responsabiliza a las personas jurídicas por los actos punibles de sus empleados. Estas circunstancias "empujan a nuestras empresas a implantar o revisar sus mecanismos de control", dice la auditora.

Fuente: www.adn.es


Si desea recibir el Informe Fraude 2009 (Paradell), por favor rellene el siguiente formulario

Link relacionado:
- El robo de datos confidenciales se dispara con los despidos

Aspectos a tener en cuenta al crear sitios web públicos

Hace unos meses, un usuario de StackOverflow planteaba una interesante cuestión: ¿qué debería saber un desarrollador para construir un sitio web público? Es decir, ¿cuáles son aquellos aspectos importantes que deben tenerse en cuenta a la hora de crear un site de calidad, desde el punto de vista técnico?

Tras un tiempo de respuestas, ideas y debates, otro usuario ha realizado una recopilación de los aspectos y sugerencias más votadas y los ha publicado en forma de lista categorizada, donde podemos encontrar muy buenas ideas a tener en cuenta en nuestros propios desarrollos, y que me he permitido traducir.

Muchos de los puntos son obvios y seguro que ya los estáis teniendo en cuenta, quizás otros son demasiado exagerados, y seguro que alguno de ellos ni siquiera os los habíais planteado. En cualquier caso el resultado es una relación interesante y muy a tener en cuenta para mejorar nuestros sitios web.

Seguridad:

• - Conocer la amplia guía de desarrollo OWASP, que cubre la seguridad de sitios web de forma muy completa.
• - Conocer el fundamento de los ataques de inyección SQL y cómo prevenirlos.
• - Jamás confiar en los datos introducidos por los usuarios.
• - Evitar el almacenamiento de contraseñas en texto plano utilizando técnicas criptográficas como hashes y salts.
• - No intentes utilizar tu magnífico y elaborado sistema de autenticación; es bastante probable que existan fallos impredecibles de los que sólo te darás cuenta después de haber sido hackeado.
• - Usar SSL/HTTPS en las páginas de identificación de usuarios y, en general, en todas aquellas páginas donde sea introducida información sensible, como datos personales o bancarios.
• - Evitar el secuestro de sesiones (session hijacking).
• - Evitar los ataques XSS (Cross Site Scripting).
• - Evitar los ataques XSRF (Cross Site Request Forgeries).
• - Mantener tus sistemas actualizados con los últimos parches disponibles.
• - Asegurarse de que la información de conexión a la base de datos está almacenada en un lugar lo suficientemente seguro.
• - Mantener informado sobre las últimas técnicas de ataque y vulnerabilidades que afecten a la plataforma sobre la que trabajas.
• - Conocer el manual The Google Browser Security Handbook.

Corrección de errores:

• - Entender que pasarás el 20% del tiempo codificando y el 80% restante manteniéndolo, por tanto codifica apropiadamente.
• - Configurar un buen sistema de notificación y gestión de errores.
• - Habilitar sistemas para que los usuarios puedan contactar contigo y trasladarte críticas y sugerencias.
• - Documentar cómo funciona la aplicación para facilitar el futuro soporte y mantenimiento del sistema.
• - Poner a funcionar el sistema primero en Firefox y después en Internet Explorer.
• - Hacer copias de seguridad frecuentes.

Para leer los puntos relacionado con "Interfaz y experiencia de usuario", "Rendimiento", "SEO" y "Tecnología" acceder al siguiente link.

Fuente Original: Variable not found.

Visto en www.variablenotfound.com

Lista Robinson - Servicio de exclusión publicitaria

La famosa “Lista Robinson” tiene una única finalidad: permitir que los ciudadanos se inscriban en ella para evitar comunicaciones comerciales y publicitarias que no desean. Dicho de forma coloquial: lograr que todas aquellas empresas con las que se mantenga o se haya mantenido algún tipo de relación comercial, le dejen a uno de una santa vez de molestar.

La lista es en realidad un sencillo fichero de exclusión publicitaria. Uno se registra y se inscribe y posteriormente selecciona el medio o medios a través de los cuales no desea recibir publicidad. Se puede elegir entre llamadas telefónicas, mensajes a celulares, correo postal y electrónico.

Cientos de compañías emplean para sus campañas comerciales y acciones de marketing directo los datos personales de la ciudadanía que obtienen de fuentes públicas. Su objetivo normalmente es “asediarnos” con anuncios, promociones y oportunidades únicas. Únicas para ellos, claro esta, a la gente lo más que le suelen reportar es agotamiento.

Ya desde el año 2007, existía una Ley y un Reglamento que permitía la los ciudadanos inscribirse en este tipo de ficheros. La novedad consiste en que ahora y sin mayores complicaciones, uno puede apuntarse a través de Internet en un momento. Se supone que con ese sencillo gesto, quedas libre para siempre del suplicio al que te someten los anunciantes.

La parte más peliaguda del tema será la de las empresas que publicitan. Deben cumplir estrictamente con la obligación de consultar y respetar la lista de “Robinsones”; si no lo hacen se atienen a fuertes multas.

La verdad es que listas parecidas hay desde hace años y en varios países, pero los resultados obtenidos tan sólo han sido discretos. En cualquier caso, como ya saben que “la esperanza es lo último que se pierde”, la avalancha de inscripciones ciudadanas en la última semana ha sido contundente.

Fuente: http://noticias.iruya.com/

Mas información...

Tools:

Below are the currently available tools by iSEC Partners:

• Application Tools
  • HTTP Profiler
  • Fuzzbox
  • Forensic Fuzzing Tools
  • SAMLPummel
  • Jailbreak
  • ProxMon
  • CyberVillainsCA
  • File Fuzzers
  • Windows IPC Fuzzing Tools
  • WSMap
  • WSBang
  • SecureCookies
  • Event Log Zap (Elzap)
  
  
• Infrastructure Tools
  • CiscoIPv6check
  • SecureIE.ActiveX
  • SecureWinXP
  • SecureWin2003
  • SecureCisco
  • SecureBigIP
  
  
• Mobile Application Tools
  • pySimReader
  
  
• Storage Security Tools
  • Storage Network Audit Program
  • SecureNetApp
  • StorScan
  • CPT (CHAP Password Tester)
  • (Tools from the Securing Storage Book)
  
  
• VoIP (Voice Over IP) Tools
  • VoIP Security Audit Program (VSAP)
  • RTP Injection Files
  • vnak
  • H.323 Injection Files
  • H225regreject
  • IAXHangup
  • IAXAuthJack
  • IAX.Brute
  • RTPInject
  • SIP.Tastic

Fuente: iSEC Partners

Índice de software ilegal se redujo, pero sigue alto: 73% (Argentina)

El índice de piratería de software medido el año pasado en Argentina es de 73%, y si bien desde el 2005 ha disminuido en cuatro porciento, sigue siendo elevado con relación al 41% de ilegalidad global, según reveló el sexto estudio elaborado por IDC y Business Software Alliance (BSA), organización dedicada a la promoción de la tecnología legal.

“Aunque la investigación no desagrega por provincia, estas cifras se repiten a nivel local. En Córdoba, de cada diez empresas siete tienen su software ilegal”, aseguró María de Monserrat Guitart, abogada de Carranza Torres & Asociados, el estudio que representa a BSA en todo el país.
Las pérdidas económica por piratería alcanzaron 339 millones de dólares durante el último año. “Cuanto más aumenta el porcentaje de software ilegal, más se achica el mercado de programas legales no sólo de las empresas multinacionales sino de las firmas locales de producción”, explicó la letrada. Y esto también impacta en el empleo. Según recordó, el año pasado se calculó que si la tasa de piratería se bajara 10 puntos en cuatro años ,se podrían generar 5000 puestos de trabajo.

BSA realiza diferentes acciones de tipo educativo, promocionales y judiciales tendiendes a la reducción de la pirateria de software. El año pasado inició 250 acciones judiciales y envió más de mil cartas que alertando sobre “la posibilidad de uso ilegal de software”.
“En Córdoba, hasta el momento, se han desarrollado 30 acciones civiles y esperamos cerrar el año en 150, dependiendo de como funcione el Poder Judicial”, precisó la letrada.
Estas acciones, sumadas al recambio tecnológico del 2007 y 2008 por notebooks que traen software preinstalados, favorecieron la reducción del índice, según señaló Guitart.
En cuanto al perfil de los infractores, Guitart señaló que en su mayoría son empresas pymes de entre cinco hasta 200 puestos. No obstante recordó que hubo casos de compañías locales de hasta 2500 empleados. La gran parte de las firmas denunciadas llegan a una instancia de negociación, precisó la letrada, quien recordó que la indemnización por el daños y perjuicio a la autora del software es de entre dos veces y dos veces y media el valor del software pirateado.
También reciben a través de la página web de denuncias de BSA, muchas acusaciones a usuarios particulares. Para estos casos, el estudio sólo se limita a acciones de tipo educativo.

MAPEO De cada 10 empresas locales, siete tienen software sin licencia.
BSA realizará 150 acciones este año en Córdoba.
Los denunciados son mayormente pymes y usuarios finales.
Es alto el nivel de acuerdo.

Fuente: www.comercioyjusticia.com.ar

Nueva guia de NIST: Guide to Enterprise Telework and Remote Access Security

NIST has published a final version of the Guide to Enterprise Telework and Remote Access Security (SP 800-46 Revision 1), which is intended to help organizations understand and mitigate the risks associated with the technologies used for telework.

The guide emphasizes the importance of securing sensitive information stored on telework devices and transmitted across external networks, and it also provides recommendations for selecting, implementing, and maintaining the necessary security controls.

Draft SP 800-46 Revision 1, published in June 2009, is a comprehensive update to the original SP 800-46, which was published in 2002.

Descarga de la guia

Empresas y usuarios no toman medidas para prevenir el robo de notebooks

El 48% de los usuarios de computadoras móviles adquirió su primer equipo portátil en los últimos 12 meses, con la idea de llevar el trabajo a todas partes.

Y por ello no es extraño que empresas como LoJack hayan puesto en el mercado soluciones de seguridad, dedicadas al rastreo y localización de notebooks.

Un estudio elaborado por CIO Research durante el primer trimestre de 2009 a 80 CIOs de empresas de distintas industrias y patrocinado por LoJack Argentina, señaló que 7 de cada 10 empresas sufrieron intentos de robo de sus notebooks desde que incorporaron estos dispositivos para sus empleados.

Según este mismo informe, el 85% de los intentos de robo se concretaron.

“Lo más extraño es que, pese a que el 83% de los CIO consultados entiende que la información almacenada en las notebooks es de un valor igual o superior al del dispositivo mismo, sólo 4 de cada 10 empresas ha tomado medidas de seguridad para sus equipos durante el traslado”, explicó Alejandro Junquet, gerente Gerente Regional de LoJack para LoJack for Laptops.

[...]

Fuente: www.infobae.com

Estudio: Las empresas no cuentan con planes continuos de auditoría interna de TI (KPMG)

• Menos de una quinta parte de los participantes en el estudio realizan comprobaciones continuas o trimestrales
• La mayoría (59 por ciento) no adapta su auditoría interna de TI a sus planes de gobierno corporativo

El informe sobre auditoría interna de TI realizado por KPMG pone de manifiesto que sólo el 16 por ciento de los participantes cuenta con procesos de planificación continuos o trimestrales y una cuarta parte no dispone en absoluto de ningún marco de planificación, lo cual puede aumentar la vulnerabilidad de la auditoría de TI e impedir que la dirección aborde los principales riesgos de negocio.

En el informe de KPMG, uno de los mayores realizados, que contó con la participación de 297 profesionales financieros de Europa, Oriente Medio y África y ha sido elaborado en colaboración con el Instituto de Auditores Internos de España e ISACA Capítulo de Madrid (Information Systems Audit and Control Association), se identifican las tendencias actuales de las prácticas de auditoría interna de TI.

Del informe también se desprende que más de las tres cuartas partes de los participantes (78 por ciento) desarrollan su planificación de auditoría sólo una vez al año. En un entorno en el que la tecnología ocupa un lugar crucial en la estructura de los negocios, las posibilidades de que se produzca un sabotaje deliberado son muchas, al tiempo que la necesidad de revisar con regularidad los planes nunca ha sido mayor.

[...]

Descarga: KPMG's 2009 IT Internal Audit Survey

El delito de ingresar a un sitio sin autorizacón (Argentina)

El Estudio Carranza Torres & Asoc publico en su boletin "BIS News" el articulo:

El delito de ingresar a un sitio sin autorización
A raíz del reciente hackeo a los padrones electorales (www.padrones.gov.ar) publicados vía web con motivo de las pasadas elecciones del 28 de junio, como así también a la página web del Partido Justicialista (www.pjn.org.ar), creo conveniente analizar la situación a la luz de la normativa vigente en el país.

A partir del dictado de la Ley 26.388, se produjo un cambio sustancial en el tratamiento de estos temas permitiendo sancionar a las personas que cometieron el ataque, con penas que van desde multa hasta prisión.

La mencionada norma, conocida como “Ley de Delitos Informáticos”, modificó el Código Penal (CP) en el capítulo III del título V, incorporando como delito contra la privacidad el acceso ilegítimo a un sistema o banco de datos, e igualmente el capítulo VII del título VI, al hacer pasible de la figura de daño a los programas o sistemas informáticos.

En este sentido, la actual redacción de los Artículos 153 bis y 183 del CP vienen a zanjar dudas existentes respecto de la punición de determinadas conductas como las realizadas el fin de semana pasado respecto de las páginas web mencionadas.

[...]

Link relacionados:
- Hackearon la web del partido oficial luego de las elecciones legislativas 2009 (Argentina)
- Hackearon la página oficial para consultar los padrones (Argentina)

Secunia Personal Software Inspector (PSI) release version:1.5

encuentra disponible la ultima versión de la herramienta Secunia Personal Software Inspector (PSI)

Esta herramienta para los que nunca la utilizaron se encarga de comprobar que los programas instalados en tu sistema no dispongan de fallos de seguridad que puedan poner en riesgo tu sistema.

Version 1.5.0.0 (24th June 2009)

This is a major release, which includes many new features, improvements, and changes that significantly improve the Secunia PSI. We recommend all Secunia PSI users to upgrade. Please also read our blog regarding this release.

• New Feature: Secure Browsing
  Secure Browsing is without a doubt one of the most important aspects of online security. If your browser (Internet Explorer, Firefox, etc.) or its plugins (Adobe Flash Player, QuickTime, Sun Java, etc.) contain vulnerabilities, then you're exposed to security threats every single time you visit a website.
  The Secunia PSI can assist you to ensure that your browsing experience is safe and secure.
• New Feature: Secunia PSI WorldMap
  Benchmark your score against other users from your own continent, country, and region, and see how users from different countries are installing security patches, etc.
• "Program Monitoring" on 64-bit Systems
  The Secunia PSI now includes a 64-bit driver capable of detecting removal and installation of new programs on 64-bit systems.
• Easy Access to Detected Program Changes
  The "tray-balloon" that pops up stating if new programs have been discovered allows quick access to the changes. Simply clicking the balloon will automatically take you to the changed entry in the Secunia PSI interface.
• Improved Program Monitoring
  The automatic monitoring of program installations and updates, along with removal of programs have been improved, thus providing a more responsive detection of changes.
• Prompt Before Automatic Launch of Internet Explorer
  The Secunia PSI now prompts before opening links that require Internet Explorer, thus ignoring the default browser on a system. For example "Microsoft Update" and installing the Adobe Flash plugin for Internet Explorer.
• Automatic Full Rescan on Upgrade
  The Secunia PSI will automatically start a new full-scan when you upgrade your Secunia PSI installation. This is to ensure that your results are up-to-date and that you can fully enjoy new features offered by the latest Secunia PSI.
• Added Status Indicator
  A status indicator has been added to the bottom of the Secunia PSI it informs you about what the Secunia PSI is currently doing, along with general recommendations for improved usage of your Secunia PSI.
• Detection of Known Restore/Backup Folders
  The Secunia PSI can detect several known restore and backup (e.g. "Windows.old", "i386", etc.) folders on your PC. Furthermore, offering you to quickly create Ignore Rules for these, if insecure programs are found in these folders.
  Naturally, it is still a delicate decision between ignoring a detected security issue in such folders and when to actually resolve them.
• Enhanced Detection, Assessment, and Remediation of 64-bit Programs
  The Secunia PSI is now able to better distinguish between 32-bit and 64-bit programs.
• Enhanced Logic for Detecting Problematic Programs
• Improved the Secunia PSI's ability to run and get localised for PCs in Asia, Africa, and South America
• Implemented ability to detect and assess Firefox plugins
• Significantly increased amount of detected ActiveX controls
• Added visual indicators for certain tabs
  Enabling you see exactly where your attention is required ('Insecure', 'End-of-Life', and 'Secure Browsing')
• Reduced Memory Usage
• Improved Scan Speed
• Fully Converted to Unicode
  The Secunia PSI has been converted to unicode. In order to support more languages.

Link relacionados:
- Secunia PSI: US PCs Have 2,720,800,000 Vulnerable Programs Installed!
- Secunia PSI WorldMap