PandaLabs Quarterly Report – Q1 2010

61% of new threats created in Q1 were banker Trojans

March 30th, 2010

- Resurgence of traditional viruses after recent decline

- Attacks through social networks and BlackHat SEO attacks using Apple and Facebook as lures have been among cyber-crooks’ favourite strategies

- One of the largest botnets to date (Mariposa) has been shut down. Malware distributed by Vodafone and several critical security holes have been discovered

A whopping 61% of all new malware in circulation during the first few months of 2010 were banker Trojans – malicious code designed to steal confidential banking information such as passwords. This is according to Panda Security’s anti-malware lab which released its quarterly report yesterday.

In a period marked by a surge in new malware, old-fashioned viruses staged a comeback after having seen a decline in recent years, accounting for 15.13% of new variants, the second largest segment.

“This virus activity is most likely a strategy designed to draw the attention of antivirus laboratories away from other threats,” says the head of Panda Security’s sub-Saharan operations, Jeremy Matthews. “In any case, it is a strategy that has clearly failed, as it has resulted in an even greater dedication of resources in anti-malware laboratories.”

The infection ranking, generated from data supplied by the Panda ActiveScan, a free online scanner, sees Spain once again in first place, with over 35% of computers infected. Then come the USA, Mexico and Brazil.

So far, 2010 has been a busy year in other areas of IT security. Panda, in conjunction with Defense Intelligence and international law enforcement agencies dismantled Mariposa , one of the largest botnets known to date. Panda also revealed that malware from Mariposa was being distributed in phones from Vodafone.

BlackHat SEO attacks, which became popular during 2009, continue to be used by cyber-crooks who exploited the first quarter’s newsworthy topics like Facebook and the launch of Apple’s iPad. BlackHat SEO involves the manipulation of search engine results to distribute malware (mostly fake antivirus products) by directing unsuspecting users to dodgy sites when they’re busy searching for something entirely unrelated.

The PandaLabs Quarterly Report can be downloaded here

Expertos advierten que las redes sociales y el correo electrónico serán los medios más vulnerables en robo de identidad e información personal

Inseguridad virtual: el riesgo que viene

Advertir sobre los peligros que genera navegar por internet suena alarmista y más aún cuando al hablar de inseguridad virtual se suman las noticias sobre la delincuencia real.

Pero sin intención de alentar el espíritu apocalíptico hay que reconocer que nuestro grado de inconsciencia a la hora de usar el correo, las redes sociales o pasear por la web, puede traernos algunos inconvenientes que es mejor conocer de antemano.

Zona de riesgo

Las redes sociales aparecen a la cabeza de la advertencia de expertos. Twitter, My Space y sobre todo Facebook son portales de entrada para ataques de spam o espías que quieren quedarse con nuestros datos personales. Enlaces para ver ciertos videos o aceptar solicitudes de gente que no conocemos es la forma de ingreso de extraños a nuestro pequeño mundo virtual.

Más...

Tools: ANUBIS (Footprinting y Fingerprinting)

Anubis es una aplicación desarrollada por Juan Antonio Calles para anexionar todas las herramientas necesarias para los procesos de las Auditorías de Seguridad dedicados a la búsqueda de información, denominados Footprinting y Fingerprinting, en una única herramienta.

Con ésta herramienta el auditor no solo conseguirá ahorrar tiempo durante la auditoría, sino que descubrirá nuevos elementos que de manera manual no podría gracias a las automatizaciones que lleva Anubis incoporadas. Además, Anubis ha sido desarrollado pensando en las implantaciones de la ISO/IEC 27001 en las organizaciones, sirviendo para ayudar en las labores de implantación del estándar.

Nota: Requiere Windows XP, Windows Vista o Windows 7 y el Net Framework 3.5 (descargable desde aquí)

En el siguiente enlace puedes descargar la Beta de Anubis.

Documentacion y Web del proyecto

Video: Explicación sobre qué es y cómo funciona la RFID

El video que aquí presentamos brinda información sobre la tecnología RFID. En el mismo se dan respuesta a preguntas como: ¿Qué es la tecnología RFID?

¿Qué utilidades tiene?

Además, también se aportan datos sobre la tecnología RFID y su aplicación en la cadena de suministro y en otros ámbitos. Respecto de los beneficios que se puede obtener mediante el uso de esta tecnología se explica que con RFID se puede transformar la forma en la que se gestiona el inventario en la cadena de suministro (almacenes, transporte, estanterías y cajas) de forma automática a objetos a través de la radiofrecuencia y convirtiendo los datos que se reciben en información digital.

Video (requiere registro previo)

Live HACKING CD

Live Hacking CD is a new free Linux distribution packed with tools and utilities for ethical computer hacking, penetration testing and countermeasure verification. Based on Ubuntu this ‘Live CD” runs directly from the CD and doesn’t require installation on your hard-drive. Once booted you can use the included tools to test, check and ethically hack your own network to make sure that it is secure from outside intruders.

The CD includes hacking tools for DNS, reconnaissance, foot-printing (gathering information about computers on the network), password cracking, network sniffing, spoofing (or masquerading) and wireless networking utilities.

- Read More About It!

- Application list
- Forum


Download It Now!

Lanzamiento de la II Encuesta Latinoamericana de Seguridad de la Información (ELSI)

La Asociación de Auditoría y Control de Sistemas de Información - ADACSI y la Asociación Argentina de Usuarios de la Informática y las Comunicaciones - USUARIA, invitan a usted a participar de la Segunda Encuesta Latinoamericana sobre Seguridad de la Información (ELSI).

Esta encuesta es el resultado de un esfuerzo conjunto entre las entidades mencionadas y la Asociación Colombiana de Ingenieros de Sistemas - ACIS; la Universidad del Valle de Atemajac - UNIVA de México; el Centro de Atención de Incidentes de Seguridad Informática y Telecomunicaciones - ANTEL de Uruguay; la Red Latinoamericana de Expertos en Derecho Informático - Alfa-Redi del Perú y la Superintendencia de Servicios de Certificación - SUSCERTE de la República Bolivariana de Venezuela. Nuestro país se suma de esta manera a esta importante iniciativa regional.

La encuesta tiene por fin conocer el estado de la práctica y desarrollo de la seguridad de la información y es el fruto de las constantes reflexiones acerca de contar con referentes propios en la región sobre la evolución de la seguridad de la información. Por ello, se convoca a cada uno de los profesionales de la seguridad de la información y afines para que construyamos una vista común sobre esta área y así, descubrir y conocer de primera mano los retos y condiciones que debe asumir la función de seguridad de la información frente a los desafíos técnicos, legales, estratégicos, educativos y políticos en todas y cada una las naciones participantes.

Los resultados generales de la encuesta se presentarán en la X Jornada Nacional de Seguridad Informática a realizarse en Bogotá, D.C entre el 16 y 18 de Junio de 2010 y de manera simultánea en los sitios web de cada una de las entidades participantes. Cabe recordar que la información que se suministra es de carácter reservado y no se revelará bajo ninguna circunstancia, excepto por orden judicial de autoridad competente

Enlace a la encuesta

 

Los informáticos no salen preparados de las universidades en materia de seguridad

Este fin de semana se ha celebrado en Madrid el Rooted Con, un congreso de seguridad informática que reúne a los hackers más importantes del país. Entre ellos, Sergi Álvarez Capilla, programador autodidacta que ha trabajado de administrador, desarrollador y analista forense.

Especializado en software libre y atraído por el mundo de la seguridad informática "desde muy pequeño", considera necesario una mayor educación e información por parte de los profesionales, las empresas y los ciudadanos en general. Para Álvarez, los estudiantes recién salidos de las carrera "no están suficientemente preparados" para comprender como funciona la seguridad informática. Considera que es un sector donde el interés personal es un factor clave.

Más...
 
Fuente: www.20minutos.es

Estudio: Estado de la Seguridad Empresarial 2010 (Symantec)

Estudio de Symantec sobre el Estado de la Seguridad Empresarial 2010

Entre los aspectos destacados del estudio se encuentran:

• La seguridad es de gran interés para las empresas en todo el mundo. El 42 por ciento de las empresas calificaron los riegos cibernéticos como sus principales preocupaciones, más que los desastres naturales, el terrorismo y el crimen tradicional combinado. Como reflejo de esa percepción, las áreas de TI se centran fuertemente en la seguridad empresarial. En promedio, las áreas de tecnología asignan a 120 empleados para la seguridad y el cumplimiento de sus políticas. Las empresas señalaron tener como un objetivo importante para 2010 el “mejorar la administración de riesgos empresariales de TI”, y 84 por ciento lo consideran como muy/absolutamente importante. Casi todas las empresas encuestadas (94 por ciento) prevén cambios de seguridad en 2010 y casi la mitad (48 por ciento) espera grandes cambios

• Las empresas están experimentando ataques frecuentes. En los últimos 12 meses, 75 por ciento de las empresas experimentaron ataques cibernéticos y 36 por ciento calificaron los ataques como muy/altamente efectivos. Lo que es peor, 29 por ciento de las empresas informó que los ataques han aumentado en los últimos 12 meses

• Todas las empresas (100 por ciento) experimentaron pérdidas cibernéticas en 2009. Las tres pérdidas más denunciadas fueron el robo de la propiedad intelectual, el robo de información de las tarjetas de crédito de clientes u otra información financiera y el robo de información de identificación personal de sus clientes. Estas pérdidas se traducen en costos monetarios en 92 por ciento de las ocasiones. Los tres costos principales fueron productividad, ingresos y pérdida de confianza del cliente. Las empresas informaron que habían gastado un promedio de US$2 millones de dólares anuales para combatir los ataques cibernéticos

• La seguridad empresarial es cada vez más compleja debido a varios factores. En primer lugar, la escasez del personal de seguridad empresarial, donde las zonas más afectadas son la seguridad de la red (44 por ciento), seguridad de endpoints (44 por ciento) y seguridad de la mensajería (39 por ciento). En segundo lugar, las empresas han emprendido nuevas iniciativas que hacen más difícil proporcionar seguridad. Las iniciativas que TI calificó como la más problemáticas desde el punto de vista de la seguridad son la infraestructura como servicio, la plataforma como servicio, la virtualización de servidores, la virtualización de endpoints y el software como servicio. Por último, el cumplimiento de normas de TI también es una tarea enorme. La empresa típica está explorando 19 estándares marcos de referencia de TI independientes y actualmente están empleando ocho de ellos. Los estándares principales son ISO, HIPAA, Sarbanes-Oxley, CIS, PCI e ITIL

“El Banco Comercial Abu Dhabi es un buen ejemplo de una organización que ha establecido una estrategia de seguridad efectiva con énfasis en solucionar los problemas de forma proactiva. La empresa tiene un conjunto completo de soluciones de productos y servicios que proporciona protección 24 horas, monitoreo y respuesta a las amenazas, todo por un precio fijo anual. Este enfoque es más rentable que proteger una red después de que se ha puesto en peligro”, agregó de Souza.

Recomendaciones

• Las organizaciones necesitan proteger su infraestructura al asegurar sus endpoints, mensajería y entornos Web. Además, son prioridades la protección de servidores internos críticos y la implementación de funcionalidades para realizar copias de respaldo y recuperar datos. Las organizaciones también necesitan la visibilidad y la inteligencia de seguridad para responder rápidamente a las amenazas

• Los administradores de TI necesitan proteger la información proactivamente, adoptando un enfoque centrado en la información para proteger la información y las interacciones. Adoptar un enfoque consciente del contenido para proteger la información es clave para saber donde reside la información confidencial, quién tiene acceso a ella y cómo llega o sale de la organización

• Las organizaciones deben desarrollar y aplicar las políticas de TI y automatizar sus procesos de cumplimiento de normas. Al dar prioridad a los riesgos y definir políticas que abarcan todas las ubicaciones, los clientes pueden aplicar políticas mediante la automatización integrada y flujo de trabajo, y no sólo identificar amenazas sino corregir incidentes cuando ocurren o anticiparlos antes de que se produzcan

• Las organizaciones necesitan administrar sistemas. Para ello pueden implementar entornos operativos seguros, la distribución y cumplimiento de los niveles de parches, la automatización de procesos para optimizar la eficiencia, el monitoreo y la presentación de informes sobre el estado del sistema  

Descarga del reporte:

• Descargar reporte con resultados para América Latina
• Descargar reporte con resultados globales (en inglés)

Desafíos y riesgos a la hora de implementar cloud computing

La séptima edición de Segurinfo, el máximo evento de seguridad informática del país que se realizó del 10 y 11 de marzo en el Hotel Sheraton de Buenos Aires, contó con la participación de destacadas figuras internacionales. Una de ellas fue Rajmohan, director de Servicios de Seguridad de información de Tata Consultancy Services (TCS), quien viajó especialmente desde India para hablar de los avances de la compañía en cloud computing y celulares.

A lo largo de la conferencia, que llevó el nombre de Seguridad en la nube: los riegos de una empresa global, el ejecutivo indio reveló los riesgos a tener en cuenta para el uso de este tipo de tecnologías, como el menor control de los datos, el ofrecimiento de los diferentes proveedores y la protección legal de la privacidad de la información.

Durante su exposición, explicó que para mitigar estos riesgos lo conveniente es realizar una detallada investigación antes de adquirir estas innovaciones, junto con una confirmación de los mejores proveedores, y crear la confianza suficiente para que los clientes se den cuenta de las ventajas de este tipo de tecnologías.

Además, destacó que es conveniente evaluar a los proveedores cloud computing, y que parte del porcentaje que se ahorra con los servicios en la nube deben invertirse en seguridad para controlar dichos ambientes. “Es vital mantener copias de seguridad regulares fuera del servicio de Cloud Computing ofrecido por los proveedores”, explicó Rajmohan.

Por otra parte, señaló que los teléfonos celulares son cada vez más inteligentes, lo que aumenta la cantidad de aplicaciones que pueden ser descargadas. Con respecto a los riesgos que se manifiestan en este tipo de dispositivos destacó que los móviles no cumplen con los procesos ni las políticas de seguridad que requieren las redes corporativas.

Desde su punto de vista, las compañías generalmente no contemplan que a través de esa clase de dispositivos se mueve mucha información de la red corporativa, sin supervisión del departamento de IT. “Una forma de resolverlo es unificar los equipos de los empleados y comenzar a imponer políticas de protección”, dijo Rajmohan.

Links de interés: www.tcs.com

Fuente: www.canal-ar.com.ar

Delincuentes informáticos refinan el “cuento del tío” a niveles insospechados

Desarrollan sitios web y programas que simulan ser una aplicación de seguridad, generalmente gratuita, pero que en realidad instala otros software dañinos. Existen versiones donde el usuario infectado llega incluso a pagar inocentemente por el código malicioso que recopila datos de su PC

“El cuento del tío”, la estafa que utiliza antiquísimas técnicas de ingeniería social, tiene en los últimos tiempos una vuelta de tuerca por el lado de los delincuentes informáticos que alcanza niveles insospechados.

Más..


tecnologia.iprofesional.com

Auditoría de contraseñas en base de Datos Oracle

El blog "sahw.com" recientemente termino de publicar una serie de cuatro post relacionados con auditoría de contraseñas en base de datos Oracle:

• Introducción y primeros pasos
• Adivinación de Oracle SID (System ID)
• Fuerza bruta sobre claves Oracle
• Ataques de diccionario sobre claves Oracle

Multi-boot security: KATANA (multi distros para seguridad)

Katana is a portable multi-boot security suite designed for many of your computer security needs. The idea behind this tool is to bring together all of the best security distributions to run from one USB drive. Katana includes distributions which focus on Pen-Testing, Auditing, Forensics, System Recovery, Network Analysis, Malware Removal and more.

Distros incluidas:

• - Backtrack 4
• - the Ultimate Boot CD
• - Ultimate Boot CD for Windows
• - Ophcrack Live
• - Puppy Linux
• - Kaspersky Live
• - Trinity Rescue Kit
• - Clonezilla
• - Derik's Boot and Nuke

And instructions on installing additional Distributions can be found here.

La suite forma parte de Best IT Security Tools for 2009 (Security-Database)

Roban datos de 15.000 clientes del HSBC

El banco había asegurado que la información extraída por un empleado había afectado a 10 personas. El material no será usado por autoridades impositivas

HSBC Holdings reconoció que el robo de datos por parte de un ex empleado afectó las cuentas de unos 15.000 clientes suizos, luego que el banco había dicho previamente que eran "menos de 10".

Herve Falciani, un ex especialista en computación de HSBC, admitió que robó datos de clientes del banco y se los pasó a las autoridades impositivas de Francia, informó el sitio CNNExpansión.com.

Más...

Visto en www.iprofesional.com

Video: Prevención en el uso de redes sociales

Al utilizar las redes sociales se suele publicar información personal como fotos, videos, nombres y direcciones de familiares y amigos. Estos datos pueden ser utilizados por otras personas con cualquier fin. Es importante conocer cómo preservar la información privada y este video se lo explica.

Campaña de concientización en seguridad informática de la Jefatura de Gabinete de Ministros de la Presidencia de la Nación Argentina - Capítulo 1 - Redes Sociales.

Campus Party Europa desvelará las claves para la seguridad en Internet

El área de Seguridad y Redes contará con la presencia de Joanna Rutkowska y Stefano Di Paola, desarrolladores e investigadores de seguridad de sistemas, y retará a los campuseros para que pongan a prueba sus conocimientos en seguridad informática.

Campus Party, el mayor evento de tecnología, ocio y cultura digital en red del mundo, acogerá en la zona de Innovación un área específica dedicada a Seguridad y Redes, donde los campuseros podrán conocer de manos de expertos los sistemas más avanzados sobre la protección de Internet. El universo de los hackers se enfocará esta vez hacia los aportes que realizan para el mantenimiento y refuerzo de los sistemas de seguridad.
En un mundo en el que el aumento de las actividades y gestiones cotidianas a través de la Red ha convertido la seguridad en uno de los elementos clave en el desarrollo de lo que será Internet en el futuro, Campus Party Europa contará durante cinco días con un grupo de profesionales multidisciplinares. A través de distintos talleres, charlas y conferencias, guiarán a los participantes por las distintas facetas que contempla la seguridad informática: análisis forense, seguridad perimetral, networking, encriptación, sistemas y arquitectura de redes, entre otros. Dos de las principales eminencias europeas en seguridad informática, la polaca Joanna Rutkowska y el italiano Stefano Di Paola, darán sendas conferencias en el evento.

Más información...

OSWA Assistant release

Dias atras se publico una version de OSWA Assistant 0.9.0.7i released 7 Mar 10.


Changelog:

New driver additions for the common RT2870 chipset (supports injection!) as well as RT2860 & RT3070 (normal managed, adhoc only), also added in the SET toolkit and updated some other tools, e.g. wireshark.

Download The ISO Image

sqlmap 0.8 released

sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of back-end database servers. It comes with a broad range of features lasting from database fingerprinting, over data fetching from the database, to accessing the underlying file system and executing commands on the operating system via out-of-band connections.

Some of the new features include:
* Support to enumerate and dump all databases' tables containing user provided column(s) by specifying for instance '--dump -C user,pass'.
Useful to identify for instance tables containing custom application credentials (Bernardo).
* Support to parse -C (column name(s)) when fetching columns of a table with --columns: it will enumerate only columns like the provided one(s) within the specified table (Bernardo).
* Support for takeover features on PostgreSQL 8.4 (Bernardo).
* Enhanced --priv-esc to rely on new Metasploit Meterpreter's 'getsystem' command to elevate privileges of the user running the back-end DBMS instance to SYSTEM on Windows (Bernardo).
* Automatic support in --os-pwn to use the web uploader/backdoor to upload and execute the Metasploit payload stager when stacked queries SQL injection is not supported, for instance on MySQL/PHP and MySQL/ASP, but there is a writable folder within the web server document root (Bernardo and Miroslav).
* Added support for regular expression based scope when parsing Burp or Web Scarab proxy log file (-l), --scope (Miroslav).
* Major bug fix and enhancements to the multi-threading (--threads) functionality (Miroslav).

Download

Servidores en la nube serán menos seguros que los equipos físicos en 2012

“Para el 2012, el 60% de los servidores virtualizados serán menos seguros que los servidores físicos que reemplazaron”, pronosticó la firma Gartner , aunque serían menos (un 30%) para el 2015.

Esto sería la consecuencia de que actualmente muchos proyectos de virtualización se están desarrollando sin la participación del equipo de seguridad informática desde la planeación inicial de la arquitectura. De hecho, 40% de los proyectos de este tipo que se emprendieron en el 2009 no contaron con el apoyo de ese equipo.
En opinión de la firma, las organizaciones deberían garantizar como mínimo que el mismo tipo de monitoreo de seguridad que se realiza en las redes físicas se lleve a la nube para que no pierdan el control y la visibilidad de los flujos de trabajo en línea .

Aunque para el 2009 apenas se virtualizó un 18% de todos los centros de datos que pudieron haberlo hecho, Gartner prevé que la cifra será superior a 50% para el 2012.

Fuente: Carolina Ruiz Vega - www.elfinancierocr.com

Hack In The Box Security Conference 2010 – Dubai

Welcoming Address by H.E Mohammed Nasser Al-Ghanim (Director General, UAE Telecom Regulatory Authority - TRA) -- TBC
Keynote 1: John Viega (CTO, SaaS, McAfee Inc.) -- A/V Vendors Aren't As Dumb As They Look
Keynote 2: Matt Watchinski (Senior Director of Vulnerability Research, Sourcefire Inc.) -- TBA

1.) Daniel Mende (ERNW GmbH) with Oliver Roeschke (ERNW GmbH) -- Attacking CISCO WLAN Solutions
2) Dino Covotsos (Managing Director, Telspace Systems) -- Hiding a Giant: Analysis of a Next Generation Botnet
3.) Fredric Raynal (Head of Research, Sogeti/Cap Gemini) with Arnauld Mascret (Sogeti / Cap Gemini) & Christophe Devaux (Sogeti / Cap Gemini) -- Deception 2.0: Gathering and Exploiting Information
4.) Gynvael Coldwind (Researcher, Hispasec) -- A Case Study of Recent Windows Vulnerabilities
5.) Laurent Oudot (Founder, TEHTRI-Security) -- Silent Steps: Improving the Stealthiness of Web Hacking
6.) Marc Schoenefeld (Independent Network Security Specialist) -- Open Sesame: Examining Android Code with undx2
7.) Shawn Merdinger (Security Researcher) -- We Don't Need No Stinkin' Badges: Hacking Electronic Door Access Controllers
8.) The Grugq (Anti Forensics Specialist) -- Base Jumping: Attacking GSM Base Stations and Mobile Phone Basebands

HITBSecConf2010 - Dubai will also feature a HITB Web Hacking. This years contest will once again include an additional binary reversing challenge as well.


http://conference.hackinthebox.org/hitbsecconf2010dxb/agenda.pdf

IC3 2009 Annual Report on Internet Crime Released

Executive Summary

From January 1, 2009 through December 31, 2009, the Internet Crime Complaint Center (IC3) Web site received 336,655 complaint submissions. This was a 22.3% increase as compared to 2008 when 275,284 complaints were received. Of the 336,655 complaints submitted to IC3, 146,663 were referred to local, state, and federal law enforcement agencies around the country for further consideration. The vast majority of referred cases contained elements of fraud and involved a financial loss by the complainant. The total dollar loss from all referred cases was $559.7 million with a median dollar loss of $575. This is up from $264.6 million in total reported losses in 2008. Unreferred submissions generally involved complaints in which there was no documented harm or loss (e.g., a complainant received a fraudulent solicitation email but did not act upon it) or complaints where neither the complainant nor perpetrator resided within the United States (i.e., there was not an appropriate domestic law enforcement agency for direct referral).

Complaints received by IC3 cover many different fraud and non-fraud categories, including auction fraud, non-delivery of merchandise, credit card fraud, computer intrusions, spam/unsolicited email, and child pornography. All of these complaints are accessible to local, state, and federal law enforcement to support active investigations, trend analysis, and public outreach and awareness efforts.

On January 1, 2009, IC3 implemented a new complaint classification system based on a redesigned questionnaire that generates an automatic classification of the complaint into one of 79 offense-based categories. This redesign also resulted in a number of changes to the way the system gathers and classifies complaint data.

Download: Report


Link relacionado:
- 2007 IC3 Annual Report: La mayoría de las víctimas de fraudes son hombres

Diapositivas - DISI 2009

Como complemento al post "Disponibles los vídeos del Cuarto DISI 2009 en Canal YouTube UPM" se encuentran publicados las siguientes diapositivas del evento:

• Conferencia Inaugural. Hashing Aleatorio: Firmas Digitales Seguras sin Resistencia a Colisiones - D. Hugo Krawczyk, IBM Research – Estados Unidos
  Duración: 01:10:19 horas. Descarga de las diapositivas aquí.

• Coloquio Tendencias en Malware. D. José Bidot Director de Segurmática Cuba, D. Ero Carrera Chief Research Officer Collaborative Security VirusTotal España y D. Emilio Castellote Director de Marketing de Panda Security España. Modera D. Justo Carracedo Catedrático de la EUITT-UPM.
  Duración: 01:20:50 horas, Puedes descargar diapositivas de D . José Bidot (aqui)y las Diapositivas de D . Ero Carrera (aqui)

• Coloquio Mitos y Realidades en Hacking. D. Luis Guillermo Castañeda Director de Servicios Profesionales de Rusoft México, D. Chema Alonso Consultor de Seguridad de Informática64 España, D. Alejandro Ramos Manager de TigerTeam en SIA España y D. Rubén Santamarta Consultor Técnico Independiente España. Modera D. Daniel Calzada Profesor Titular de la EUI-UPM.
  Duración: 01:46:57 horas, Puedes descargar las Diapositivas de D . Luis Guillermo Castañeda (aquí), y las Diapositivas de D . Chema Alonso (aquí)
  

Visto en boletín de la WeB de Dragon

Decreto 3/2010 regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (España)

Se publico en el BOLETÍN OFICIAL DEL ESTADO del dia 29 de Enero/2010 el Real Decreto 3/2010 que trata la obligación por parte de la Administración Pública de crear un Sistema de Gestión de Seguridad de la Información (SGSI).

El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.

Link relacionado:
-Esquema Nacional de Seguridad - ENS

Revista Electrónica: El Derecho Informático Nº1 - Febrero 2010

Para verla, hay dos formas una es via descarga en archivo zip y la segunda es una version flash: hagan click en el centro de la revista, que maximizará la ventana. En la esquina superior izquierda, encontrarán la opción para verlo a pantalla completa (se lo recomendamos). Para pasar las páginas, clickean en el borde externo de la página derecha para avanzar, y en el de la izquierda para volver a la anterior.

La contraseña del archivo es elderechoinformatico.com

Nuevos pasos hacia técnicas de reconocimiento de voz más fiables

Gobiernos, bancos e industrias de telecomunicaciones serán los principales beneficiarios de estos avances

Un equipo de investigación americano, europeo y asiático ha ideado un nuevo sistema que agiliza los mecanismos de autentificación de la identidad por medio de la voz sin sacrificar la exactitud de los resultados. Este sistema podría contribuir a reducir los delitos de suplantación de personas y de fraude contra la protección de datos.

Más...

El 80% de las pérdidas de datos en empresas se debe a comportamientos de riesgo de sus empleados

Cerca de ocho de cada diez pérdidas de datos (un 78%) sufridas por las empresas tienen su origen en comportamientos inseguros de sus trabajadores tales como un error humano, el robo o pérdida de hardware, un USB personal infectado o la desactivación del antivirus.

Así lo afirma un estudio de BitDefender -empresa dedicada a la fabricación de software de seguridad-, que considera clave para evitar los incidentes de seguridad que causan la pérdida de datos disponer de unos trabajadores bien instruidos sobre los riesgos a los que se enfrentan.

Frente a este 78% de incidentes de seguridad ocasionados por comportamientos de los empleados, sólo un 6% es provocado por ataques con malware. Sin embargo, pese a ser inferiores en número, sus consecuencias son mucho más dañinas que un fallo de hardware o un error humano.

Más...

Disponibles los vídeos del Cuarto DISI 2009 en Canal YouTube UPM

Ya se encuentran editados los vídeos del Cuarto Día Internacional de la Seguridad de la Información DISI 2009 celebrado el 30 de noviembre de 2009 en la EUITT del campus sur de la Universidad Politécnica de Madrid, organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI y producidos por el Gabinete de Tele-Educación GATE de la UPM.

Vídeo 1: Inauguración DISI 2009
Duración: 07:28 minutos
Participan: D. José Manuel Perales, D. Ramón Capellades, D. César Sanz, D. Jorge Ramió
Enlace desde CriptoRed:
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009Inauguracion
Enlace al vídeo en YouTube

Vídeo 2: Conferencia Inaugural. Hashing Aleatorio: Firmas Digitales Seguras sin Resistencia a Colisiones
Duración: 01:10:19 horas
Ponente: D. Hugo Krawczyk, IBM Research - Estados Unidos
Enlace desde CriptoRed:
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009Krawczyk
Diapositivas de D. Hugo Krawczyk:
http://www.criptored.upm.es/descarga/PresentacionHugoKrawczykDISI2009.zip
Enlace al vídeo en YouTube

Vídeo 3: Coloquio Tendencias en Malware
Duración: 01:20:50 horas
Ponentes D. José Bidot Director de Segurmática Cuba, D. Ero Carrera Chief Research Officer Collaborative Security VirusTotal España y D. Emilio Castellote Director de Marketing de Panda Security España. Modera D. Justo Carracedo Catedrático de la EUITT-UPM
Enlace desde CriptoRed:
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009ColoquioTendenciasMalware
Diapositivas de D . José Bidot:
http://www.criptored.upm.es/descarga/PresentacionJoseBidotDISI2009.zip
Diapositivas de D . Ero Carrera:
http://www.criptored.upm.es/descarga/PresentacionEroCarreraDISI2009.zip
Enlace al vídeo en YouTube

Vídeo 4: Coloquio Mitos y Realidades en Hacking
Duración: 01:46:57 horas
Ponentes D. Luis Guillermo Castañeda Director de Servicios Profesionales de Rusoft México, D. Chema Alonso Consultor de Seguridad de Informática64 España, D. Alejandro Ramos Manager de TigerTeam en SIA España y D. Rubén Santamarta Consultor Técnico Independiente España. Modera D. Daniel Calzada Profesor Titular de la EUI-UPM
Enlace desde CriptoRed:
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009ColoquioMitosRealidadesHacking
Diapositivas de D . Luis Guillermo Castañeda:
http://www.criptored.upm.es/descarga/PresentacionLuisCatanedaDISI2009.zip
Diapositivas de D . Chema Alonso:
http://www.criptored.upm.es/descarga/PresentacionChemaAlonsoDISI2009.zip
Enlace al vídeo en YouTube

Vídeo 5: Clausura DISI 2009
Duración: 06:15 minutos
Participan D. Justo Carracedo, Dña. Gemma Déler, D. Jorge Ramió
Enlace desde CriptoRed:
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009Clausura
Enlace al vídeo en YouTube

Visto en www.hispasec.com

Guía para la Seguridad en áreas críticas de atención en Cloud Computing V. 2.1

Presentamos la nueva version de la "Guía para la Seguridad en áreas críticas de atención en Cloud Computing", dicha guia se encuentra publicada en distintas versiones ...

Download Guidance for Critical Areas of Focus in Cloud Computing Version 2.1, released - December 17, 2009

Download Guidance for Critical Areas of Focus in Cloud Computing (Spanish) Version 2.0, released - November 23, 2009

Download Guidance for Critical Areas of Focus in Cloud Computing Version 1.0, released - April 21, 2009

Google Guidance Research Discussion Group

The Cloud Security Alliance (CSA) today issued the second version of its “Guidance for Critical Areas of Focus in Cloud Computing”. The CSA is a not-for-profit organization with a mission to promote the use of best practices for providing security assurance within Cloud Computing, and to provide education on the uses of Cloud Computing to help secure all other forms of computing. The whitepaper, “Guidance for Critical Areas of Focus in Cloud Computing – Version 2.1”, outlines key issues and provides advice for both Cloud Computing customers and providers within 13 strategic domains. Version 2.1 provides more concise and actionable guidance across all domains, and encompasses knowledge gained from real world deployments over the past six months in this fast moving area.

The second version of the guidance tops off a strong inaugural year for the CSA, in which it first published its guidance and, grew to 23 corporate members strong, and joined forces with numerous leading industry groups (such as ISACA, ENISA, the DMTF and the Jericho Forum) to help advance the goal of cloud security.
CSA co-founders Nils Puhlmann and Jim Reavis extended their gratitude to the numerous contributors that have made these efforts possible. “We would like to thank the numerous industry experts who have come together to make this Alliance a productive, valuable resource to the IT community. While we are still early in our efforts, we have made enormous strides in this first year, and look forward to further delivering on our charter to create additional best practices for practitioners and the industry, as the Cloud Computing landscape continues to rapidly grow and evolve.”

Tools: Web Security Dojo

A free open-source self-contained training environment for Web Application Security penetration testing. Tools + Targets = Dojo

What?
Various web application security testing tools and vulnerable web applications were added to a clean install of Ubuntu v9.10.

Why?
The Web Security Dojo is for learning and practicing web app security testing techniques. It is ideal for training classes and conferences since it does not need a network connection. The Dojo contains everything needed to get started - tools, targets, and documentation.

Download

Libro: Security Analysis And Data Visualization - Olu Akindeinde 2009 - GNU

Security Analysis and Data Visualization is an attempt to help give some meaning to this seemingly multifaceted Gordian knot. End to end security assessment is explored and it follows the Capture -> Process -> Visualize -> Govern model. It is highly practical oriented with 38 case studies and a number of graphical illustrations. It is released under the GNU Free Documentation Licence and I hope you find this useful.

Descarga (Ingles, 316 Pag.)

RSA 2010: El FBI pide ayuda a las empresas para combatir el crimen cibernético

5 de Marzo de 2010

La agencia promete cooperación y manejo comprensivo de los casos

El director del FBI usó su discurso de apertura en la conferencia RSA 2010 para solicitar una mayor cooperación entre las autoridades y el sector privado para combatir los crímenes cibernéticos.

Robert Mueller dijo a los delegados que la necesidad de cooperación nunca había sido tan fuerte, a medida que aumentan los niveles de fraude y la siguiente generación de terroristas en línea aumenta sin precedentes.

"Osama Bin Laden hace mucho que identificó el ciber espacio como medio para dañar nuestra economía y psique además de que un sinnúmero de extremistas han tomado esto muy en serio", dijo.

"Los terroristas han demostrado un claro interés en profundizar sus habilidades de intrusión (hacking). Para luego adiestrar a sus reclutas o contratar extranjeros con el objetivo de combinar ataques físicos y cibernéticos".

Los ataques a Georgia y Estonia muestran que estas tácticas ya se están usando, dijo Mueller, agregando que las empresas y las autoridades deben unirse para detener a los criminales en línea, ya sea a terroristas o ladrones.

El FBI tiene más de 1,000 especialistas en cómputo entrenados en sus 56 oficinas de campo en los E.U. pero mientras están adiestrados en análisis forense, la agencia también necesita la ayuda de empresas para vencer a la delincuencia en línea.

Mueller prometió que el FBI hará todo lo que pueda para minimizar el efecto de la investigación criminal para que las compañías puedan sentirse confiadas de que, si sucede un ataque, cualquier investigación ayudará en lugar de obstaculizar.

"No queremos que se sientan como víctimas por segunda vez debido a una investigación", dijo. "Sabemos que usando chaquetas antibalas, cortando comunicación o apagando sus sistemas no son la mejor manera de protegerse".

El FBI preservará la confidencialidad, incluso hasta el punto de obtener órdenes de protección para preservar los secretos y propiedad intelectual.

Pero Mueller resaltó que la agencia no puede actuar si no se le informa del crimen cibernético y que la industria debe permanecer unida para hacer cumplir la ley.

Fuente original: V3.co.uk

Visto en www.seguridad.unam.mx

Guias Basicas de tecnicas para Pentest

En el campo de la seguridad informática es normal contar con mas de una docena de herramientas y técnicas para realizar un test de penetración o testear la seguridad de un aplicativo o red, es por eso que en este campo, en el que tenemos que recordar tantas cosas, son especialmente útiles estas “ayudas didácticas”, en este articulo se pretende recopilar el mayor numero de “chuletas” o “cheet sheets” de herramientas y técnicas relacionadas con la seguridad informática.

XSS:

• XSS Cheet Sheets
• Hoja de trucos XSS
• XSS – Exposed
• XSS, SQL Injection and Fuzzing Barcode Cheat Sheet
• Prevención del XSS
• xssDB

SQL Injection:

• SQL Injection Cheat Sheet
• Informix SQL Injection Cheat Sheet
• MSSQL Injection Cheat Sheet
• Oracle SQL Injection Cheat Sheet
• MySQL SQL Injection Cheat Sheet
• Postgres SQL Injection Cheat Sheet
• DB2 SQL Injection Cheat Sheet
• Ingres SQL Injection Cheat Sheet
• SQL Injection Prevention Cheat Sheet

Search Engines Hacking:

• Google Hacking
• Bing Hacking (I de III)
• Google Hacking Database

Cross-Site Request Forgery:

• Cross-Site Request Forgery (CSRF) Prevention

Ingenieria Inversa:

• X86 Win32 Reverse Engineering

Análisis Forense:

• Análisis Forense Digital

Wireless Crack:

• Cracking WPA2 PSK with Backtrack 4, aircrack-ng and John The Ripper
• WEP Cracking – Cheat Sheet

Herramientas:

• Hping (español) (ingles)
• NMap (español) (ingles)
• Fgdump, Hping, Metasploit (ingles)
• Netcat (ingles)
• ESAPI (ingles)
• BackTrack 4 (ingles)

Procedimientos / Protocolos:

• Intrusion Discovery Cheat Sheet (Linux) (Windows)
• IPv6 TCP/IP and tcpdump
• TCP/IP and tcpdump
• OWASP 2010 Top 10 Cheat Sheet
• Web Application Security Frame

Fuente: dragonjar.org

Desmantelan en España la mayor red de hackers que robaba números de tarjetas de crédito

as autoridades españolas desmantelaron una red que controlaba 13 millones de computadoras con un virus que robaba números de tarjetas de crédito y otros datos valiosos, en lo que podría ser la mayor operación de su clase hasta la fecha.

La Guardia Civil hispana anunció la operación hoy en un comunicado, indicando que se había detenido a tres personas.

Los detenidos gestionaban el ‘botnet’ (red de computadoras infectadas y controladas a distancia) llamado Mariposa. Está previsto que el miércoles se celebre una rueda de prensa para proporcionar más información.

Más..