Releases Free SANS Investigative Forensic Toolkit (SIFT) Workstation version 2.0

A free tool is changing the way digital forensic professionals perform detailed examinations.


SANS SIFT Workstation 2.0 Overview
• VMware Appliance
• Ready to tackle forensics
• Cross compatibility between Linux and Windows
• Forensic tools preconfigured
• A portable lab workstation you can now use for your investigations
• Option to install stand-alone via (.iso) or use via VMware Player/Workstation

Descarga y web del proyecto





Post relacionados:
- SANS Investigative Forensic Toolkit (SIFT) Workstation: Ver. 1.3

Informe de inteligencia acerca de seguridad de Microsoft, volumen 8

Microsoft Security Intelligence Report Volume 8

El volumen 8 del informe de inteligencia de la seguridad de Microsoft proporciona una perspectiva profundizada en software, hazañas del software, violaciones de la seguridad y vulnerabilidades malévolos y potencialmente indeseados del software (en el software de Microsoft y en software de tercera persona). Microsoft desarrolló estas perspectivas basadas en análisis detallado durante los últimos años, con un foco en la segunda mitad de 2009.

Descargar el SIR y / o Resumen de las principales conclusiones. Ambos están disponibles en formato PDF o XPS uno.

Descarga - Fecha de publicación: 26/04/2010
(Available in 11 languages)

Algunos datos de Argentina:
The MSRT detected malware on 4.7 out of every 1,000 computers scanned in Argentina during 2H09 (a CCM score of 4.7—up slightly from 4.5 in 1H09 but significantly lower than the average worldwide CCM of 7.0). Figure 102 and Figure 103 list the malware and potentially unwanted software categories and families detected by all Microsoft desktop anti-malware products in Argentina in 2H09.

Más información . . .

HITBSecConf2010 - Dubai: Presentation Materials

Se publicaron las presentaciones del evento HITBSecConf2010 - Dubai:

Presentation materials from the 4th annual Hack In The Box Security Conference in Dubai are now available for download!

KEYNOTE 1 - John Viega - A/V Vendors Aren't As Dumb As They Look
D1 - Daniel Mende - Attacking Cisco WLAN Solutions
D1 - Laurent Oudot - Improving the Stealthiness of Web Hacking
D1 - Dimitri Petropoulos - Attacking ATMs and HSMs **
D1 - Dino Covotsos - Analysis of a Next Generation Botnet
D1 - The Grugq - Crime, Kung Fu and Rice ##

KEYNOTE 2 - Sourcefire - Near Real Time Detection
D2 - Mariano Di Croce - SAP Penetration Testing with Bizsploit
D2 - Fred Raynal + Sogeti - Gathering and Exploiting Information
D2 - Marc Schoenefeld - Examining Android Code with undx2
D2 - Saumil Shah - Web Security - Going Nowhere?
D2 - Gynvael Coldwind - A Case Study of Recent Windows Vulnerabilities

Notes:
** - Speaker changed due to the fscking ash cloud mess!
## - Grugq was stopped by his employer COSEINC from presenting his
original 'Attacking GSM Base Stations and Mobile Phone Basebands'
presentation - WTF?! #fail!!!

Download

See you guys at HITBSecConf2010 - Amsterdam (June 29th - July 2nd at the NH Grand Krasnapolsky)

Fuente: hackinthebox.org

Released HITB Magazine - Volume 1 Issue 2, April 2010

The people of Hack In the Box, decided to make the ezine available for free in the continued spirit of HITB in “Keeping Knowledge Free”. In addition to the freely available PDF downloads, combined editions of the magazine will be printed in limited quantities for distribution at the various HITBSecConf’s around the world - Dubai, Amsterdam and Malaysia. We aim to only print somewhere between 100 or 200 copies (maybe less) per conference so be sure to grab a copy when they come out!

For the second issue, all the articles are now in high resolution. We hope by doing this it will increase the quality and and clarity of the materials. In addition, the articles are now organized into their respective sections and the code listings in them have been improved and are now easier to read. Also, a new “Interviews” section has been added and for this issue, we have interviewed two well known experts from France for their thoughts on the state of computer security.

Issue #002
- Open Redirect Wreck Off - Web Traffic Forwards.
- Dynamic Instrumentation - An Application to JavaScript Deobfuscation.
- Time Stamping - What & Who... But Also When.
- An Old Idea with a Modern Implementation.
- Windows Objects in Kernel - Vulnerability Exploitation.
- Automated Malware Analysis - An Introduction to Minibis.
- Interviews: Laurent.
- Interviews: Daniel.

Download

Post relacionado:

- HITB Magazine - Volume 1 Issue 1, January 2010

Decálogo sobre hábitos de seguridad para usuarios de móviles (ESET)

Los Móviles son Equipos Informáticos que Pueden ser Atacados

Tomar conciencia de que los móviles son equipos informáticos que pueden ser atacados, clave para mantener niveles de seguridad elevados.

Ontinyent (Valencia), 26 de abril de 2010 – El mercado de la telefonía móvil ha evolucionado en los últimos años para pasar de ofrecer a los usuarios un simple terminal desde el que poder hacer llamadas a pequeños equipos informáticos que, además, permiten establecer conexiones telefónicas. Convertidos en auténticos ordenadores personales, los actuales equipos de telefonía móvil deben ser tratados como tales, y también desde el punto de vista de la seguridad.
Dado que estos pequeños ordenadores se han vuelto más comunes y con unas características más sofisticadas, se han convertido también en víctimas potenciales a los ataques. ESET, compañía líder en detección proactiva de amenazas informáticas, ha elaborado un decálogo de hábitos básicos de seguridad para que los usuarios mantengan la protección e integridad de los datos que almacena y transmiten a través de sus teléfonos móviles:

■ Active el acceso a su dispositivo mediante PIN. Si su terminal lo permite, establezca también un código para el desbloqueo del mismo, de forma que se impida su uso por parte de terceros, así como el acceso a los datos almacenados en caso de pérdida o robo.

■ Realice una copia de seguridad de los datos de su terminal. Le permitirá tener a salvo los datos de agenda, fotos, vídeos, documentos almacenados, descargas realizadas, etc., y poder restaurarlos en caso de que el teléfono sea infectado.

■ Active las conexiones por bluetooth, infrarrojos y WiFi sólo cuando vaya a utilizarlas, de forma que no se conviertan en puertas abiertas constantemente a posibles atacantes. Si su modelo lo permite, establezca contraseñas para el acceso a su terminal a través de estas conexiones. Además, para evitar rastreos, establezca la conexión Bluetooth de manera que no se muestre públicamente el teléfono, lo que se conoce como “modo oculto”.

■ Asegúrese siempre de que los equipos a los que se conecta están limpios y no le transmitirán archivos infectados.

■ No inserte tarjetas de memoria en su terminal sin haber comprobado antes que están libres de ficheros infectados.

■ Descargue sólo aplicaciones de sitios de confianza o de las tiendas oficiales (como Apple Store, Ovi de Nokia, etc.) y certificadas por los fabricantes.

■ No acceda a los enlaces facilitados a través de mensajes SMS/MMS no solicitados y que impliquen la descarga de contenidos en su terminal.

■ Desconéctese siempre de los servicios web que requieran contraseña antes de cerrar su navegador web.

■ Instale un software antivirus que le permita la detección proactiva de amenazas en su terminal, de forma que impida su ejecución y transmisión a otros equipos.

■ Conozca y apunte el número IMEI (International Mobile Equipment Identity, Identidad Internacional de Equipo Móvil) de su teléfono. Este número, único para cada móvil en todo el mundo, permite a las operadoras desactivar el teléfono en caso de robo, incluso si se le cambia la tarjeta SIM. Para ver ese código, marque *#06#. El teléfono le devolverá el código IMEI.

Fuente: www.eset.es

Pérdidas por piratería de software se reducirían en 10% este año, estima BSA (Peru)

Lima, abr. 22 (ANDINA).- Las pérdidas por piratería de software registrarían una reducción de diez por ciento este año en Perú, pasando de 84 millones de dólares en el 2009 a 75.6 millones al cierre del 2010, estimó hoy la Business Software Alliance (BSA).
“Si logramos alcanzar esta meta, el país se ubicaría dentro del promedio de la región, o al menos se acercaría a las tasas de Chile, Colombia o Brasil, que son los líderes en este tema”, mencionó el apoderado de la BSA, Piero Calderón.

Indicó que entre los factores que impulsarían el retroceso de la piratería de software, se encuentran la expansión del mercado, el dinamismo económico de las ventas de los productos, así como la mayor fiscalización que realiza el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi).

“Actualmente la utilización de software legal en la gran empresa se mantiene en 90 por ciento, mientras que en el caso de micro, pequeñas y medianas empresas sólo es de 25 por ciento”, declaró a la agencia Andina.

Detalló que entre las consecuencias económicas que genera el uso ilegal de software están el desincentivo al desarrollo de industrias locales y/o instalación de empresas extranjeras de software, la pérdida de ingresos tributarios como los impuestos General a las Ventas (IGV), a la Renta e impuestos municipales, entre otros.
Respecto al uso de piratería de este tipo en Lima y provincias, precisó que las ciudades al interior del país están dando señales que permiten asegurar que en el 2010 podrían reducir su tasa ilegal en 20 por ciento.

“Dicho dato es importante porque hasta el año pasado el 80 por ciento del software utilizado en provincias era ilegal, mientras que en Lima sólo el 20 por ciento”, anotó.

(FIN) RBM/JPC

Visto en www.andina.com.pe

Tools: Flint - Chequear reglas de Firewall

Con la herramienta Flint es posible chequear reglas de cortafuegos. Esta herramienta nos permite optimizar la seguridad de una red local que posee varios cortafuegos.

Flint permite subsanar los errores de seguridad que se cometen a la hora de configurarlos, que suelen ser:

• Permitir servicios inseguros que pueden comprometer la seguridad de la red.
• No controlar bien los equipos que forman parte de la DMZ.
• Exponer los puertos de gerencia de los cortafuegos a redes inseguras.
• Utilizar reglas redundantes en los cortafuegos, esto complica la configuración y ralentiza el dispositivo.

Entre las características de Flint destaca:

• Permite limpiar las configuraciones en caso de reglas redundantes o erróneas.
• Avisa de las reglas que son demasiado permisivas.
• Permite evaluar futuras reglas que se quieran implementar para que no causen conflicto.

Flint soporta los cortafuegos:

• Cisco Pix/ASA.
• IPTables.
• Pf.

Flint es una herramienta que solo está disponible para la plataforma Linux. Es ideal para chequear la configuración de cortafuegos en una red, también sirve para comprender las configuraciones de los cortafuegos.


Más información y descarga de Flint

Fuente: Guru de la informática

Flint is absolutely free. There's no catch. You can download the source from
our git repository. This isn't the "play at home" version; it's our second
product, and we want to do it open source. Here you go!

Estudio de Symantec sobre el estado del centro de datos

El estudio de Symantec sobre el estado del centro de datos de 2010 destaca que la mediana empresa emerge a la vanguardia en los centros de datosLa complejidad de los centros de datos, las numerosas aplicaciones y los asuntos de planificación sobre recuperación ante desastres son los temas que más preocupan

Ahora en su tercer año, el estudio concluye que, en comparación con las compañías pequeñas y la grandes, la mediana empresa (de entre 2.000 y 9.999 empleados) es más propensa a adoptar tecnologías punteras como cloud computing, deduplicación, replicación, virtualización de almacenamiento y soluciones de protección continua de datos, con el fin de reducir costes en TI y gestionar las crecientes problemáticas. Además, en los centros de datos de las empresas medianas hay más actividad, con más responsables de TI capaces de predecir cambios importantes en el centro de datos y aplicaciones nuevas en 2010. Las empresas medianas también otorgan más importancia a los recursos humanos y a la formación que la pequeña empresa o las grandes corporaciones. El estudio se basa en encuestas realizadas en noviembre de 2009 a 1.780 responsables de centros de datos de 26 países diferentes.

“A pesar de que las empresas medianas tienden a evaluar y adoptar tecnología nueva más rápido que las grandes empresas, se enfrentan a problemáticas similares en los centros de datos, las cuales se agravan al adoptar iniciativas nuevas", asegura Deepak Mohan, Vicepresidente Senior, Information Management Group de Symantec. “La estandarización de soluciones multiplataforma capaces de gestionar tecnologías nuevas y automatizar procesos reducirá de forma inmediata los costes, y a la larga facilitará el trabajo de los responsables de los centros de datos”.


Aspectos destacados del estudio:
- Las empresas medianas son más agresivas y pioneras que las empresas pequeñas o que las grandes corporaciones. Adoptan iniciativas de tecnologías nuevas, como cloud computing, replicación y deduplicación, entre un 11-17 por ciento más que las pequeñas empresas o que las grandes corporaciones.
- Las principales preocupaciones sobre los centros de datos incluyen la creciente complejidad y el contar con demasiadas aplicaciones. La mayoría de las empresas tiene 10 o más iniciativas en los centros de datos calificadas como “totalmente importantes” o “algo importantes”, y el 50 por ciento espera cambios “significativos” en sus centros de datos durante 2010. La mitad de las empresas afirman que las aplicaciones estén creciendo de forma rápida y la mitad opina que cumplir con los acuerdos de nivel de servicio (SLA) es difícil y costoso. Un tercio de todas las empresas afirma que la productividad de sus empleados se ve afectada de forma negativa por la existencia de demasiadas aplicaciones. A todos estos problemas se le añade el aumento continuo de datos, causa por la que el 71 por ciento de las empresas se plantee tecnologías de reducción de datos como la deduplicación.
- Las iniciativas más importantes de 2010 son la seguridad, el backup y la recuperación de datos, así como la protección de datos continua, por encima de la virtualización. El 83 por ciento de las empresas calificó la seguridad como “absolutamente importante” o “importante”. El 79 por ciento dijo que el respaldo y la recuperación de datos eran “importante” o “totalmente importante”, y el 76 por ciento calificó la protección continua de datos como una de sus principales iniciativas.
- Los recursos humanos y presupuestos siguen siendo escasos, y la mitad de las empresas afirman que están “faltos de recursos” o “extremadamente faltos de recursos”. Contar con suficiente presupuesto y encontrar a personal cualificado es el problema más importante a este respecto. El 76 por ciento de las empresas tiene las mismas o más solicitudes de empleo abiertas este año.
- La recuperación ante desastres puede mejorar. Un tercio de las planificaciones de recuperación ante desastres no están documentadas o necesitan mejorar, y normalmente no incluyen componentes de TI importantes como cloud computing, oficinas remotas y servidores virtuales. Para empeorar el asunto, casi un tercio de las empresas no han vuelto a evaluar su plan de recuperación ante desastres en los últimos 12 meses.
- Proteger la máquina virtual sigue siendo una prioridad para las empresas, y el 82 por ciento cuenta con este tipo de tecnología para el 2010. Los encuestados mencionaron la recuperación granular dentro de las imágenes de la máquina virtual como el mayor reto en lo que respecta la protección de datos en entornos virtuales.


Recomendaciones
- El software que soporta entornos heterogéneos y que elimina islas de información es especialmente importante para la mediana empresa, la cual está adoptando de forma agresiva nuevas tecnologías con el fin de reducir las complicaciones en sus centros de datos.
- Las empresas deben implementar la deduplicación próxima a la fuente de información con el fin de eliminar datos redundantes y reducir los costes de almacenamiento y red.
- Los administradores de los centros de datos deben gestionar el almacenamiento en servidores y entornos de almacenamiento heterogéneos de tal forma que puedan dejar de comprar almacenamiento gracias a la adopción de tecnologías nuevas, como la gestión de recursos de almacenamiento, thin provisioning, deduplicación, virtualización de almacenamiento, así como recuperación y protección continua de datos. Las empresas que adoptan una estrategia holística en la gestión del almacenamiento pueden controlar el crecimiento del presupuesto de almacenamiento y a menudo posponen las compras de almacenamiento.
- Las pruebas de recuperación ante desastres tienen una importancia incalculable y pueden afectar de forma significativa a una empresa. Las empresas deben mejorar el éxito de las pruebas evaluando e implementando métodos de prueba que no causen interrupciones.
- Las empresas deben implementar una plataforma única y unificada para proteger las máquinas virtuales y físicas, con el fin de simplificar la gestión de la información.

Descarga Reporte:
- For summary and highlights, read the press release.
- For details, download the full report.


Recursos:
- Encontrará material adicional acerca del estudio de Symantec sobre el estado de los centros de datos en 2010 en el vínculo Online Press Kit
- Vea el video de Symantec sobre el estado de los centros de datos en 2010 en YouTube
- Acceda al estudio en cuestión en el vínculo Data Center Study
- Acceda a la presentación de Symantec sobre el estado de los centros de datos en 2010 a través de este vínculo: Slideshare.net
- Acceda al estudio del año pasado acerca del Estado de los Centros de Datos.

Herramientas de seguridad web comprensivas y gratuitas

El blog securitybydefault.com publico el siguiente post, donde presente ocho herramientas utilizadas en test de seguridad web, algunas de ellas ya se habían presentado en Cryptex pero otras no.


Las características son muy similares en todas ellas, hacen una navegación previa y posteriormente lanzan el banco de pruebas. Exceptuando las dos últimas, scrawlr y acunetix, que únicamente detectan SQL Injection y XSS respectivamente, todas las demás buscan las vulnerabilidades más comunes.

Sandcat Free Edition
URL: http://www.syhunt.com/?n=Sandcat.Sandcat
Descarga: http://www.syhunt.com/?n=Sandcat.Download
Sistema Operativo: Windows

NetSpaker CE
URL: http://www.mavitunasecurity.com/communityedition/
Descarga: http://www.mavitunasecurity.com/communityedition/download/
Sistema Operativo: Windows

Websecurify
URL: http://www.websecurify.com/
Descarga: http://code.google.com/p/websecurify/downloads/list
Sistema Operativo: Windows, Mac OS, Linux

w3af
URL: http://w3af.sourceforge.net/
Descarga: http://sourceforge.net/projects/w3af/files/
Sistema Operativo: Windows, FreeBSD, Linux

skipfish
URL: http://code.google.com/p/skipfish/
Descarga: http://code.google.com/p/skipfish/downloads/list
Sistema Operativo: Linux

wapiti
URL: http://www.ict-romulus.eu/web/wapiti/home
Descarga: http://www.ict-romulus.eu/web/wapiti/download
Sistema Operativo: Linux

scrawlr
URL: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
Descarga: https://h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57C4K/index.php?mcc=DNXA&jumpid=in_r11374_us/en/large/tsg/w1_0908_scrawlr_redirect/mcc_DNXA
Sistema Operativo: Windows

acunetix free edition
URL: http://www.acunetix.com/cross-site-scripting/scanner.htm
Descarga: http://www.acunetix.com/vulnerability-scanner/download.htm
Sistema Operativo: Windows

Fuente: Security by Default


Post relacionados:
- Herramientas

Más del 70% de los hogares en Argentina no utilizan tecnología de protección para menores en línea por falta de información

Con el apoyo de la Sociedad Argentina de Pediatría tendrá lugar la 4° edición de la Semana de la Seguridad Informática. En este marco Microsoft dio a conocer los resultados de la encuesta ”Cómo usan padres e hijos internet en los hogares” para ayudar a tomar conciencia entre todos de los principales riesgos que corren los menores en la web y la importancia de utilizarla de modo responsable.

• - La encuesta, realizada por 1500 personas a través del Portal MSN, analiza el grado de conocimiento que tienen los padres sobre las actividades de niños y adolescentes en la web, los riesgos a los que están expuestos y el manejo de su información personal y privacidad en línea.
  
• - El 37% de los menores de edad afirma haber conocido personalmente a un contacto con el que sólo tenía una relación virtual y sólo el 23% abandonó una conversación cuando le pedían información personal.
  
• - Los resultados indican además que en el 70% de hogares en los que no se usa ningún filtro para contenidos en Internet, la principal razón es el desconocimiento de la existencia de estas tecnologías. Si bien el tema se habla en familia, un 83% sostuvo que no fija pautas sobre qué sitios se pueden utilizar.
  
• - En este marco Microsoft realizó el lanzamiento de su Internet Explorer 8 for Kids, un accesorio gratuito del navegador Internet Explorer 8 de Microsoft, que permite a los padres definir qué sitios web pueden visitar sus hijos, para lograr así una experiencia protegida en la Red.
  
• - Como parte de las actividades de divulgación de La Semana de la Seguridad el portal navegaprotegido.org de Microsoft auspicia la Carrera por la Educación organizada por Unicef, el domingo 14 de marzo a las 9.30 hs, en Figueroa Alcorta y Sarmiento. Además habrá charlas gratuitas para usuarios finales en el IAC –Instituto Argentino de Computación- que permitirán identificar los principales riesgos en el uso de Internet y las mejores prácticas para navegar protegidos. Se realizarán desde el 15 hasta el 19 de marzo en todo el país. Mayor información: www.iac.com.ar/microsoft

Microsoft.com

Nuevo OWASP Top 10 año 2010 (Version Final)

On April 19, 2010 we released the final version of the OWASP Top 10 for 2010, and here is the associated press release. This version was updated based on numerous comments received during the comment period after the release candidate was released in Nov. 2009.

OWASP_Top_10_-_2010.pdf (Google Code)
OWASP_Top_10_-_2010.pdf(Google Docs)

The OWASP Top 10 Web Application Security Risks for 2010 are:

• A1: Injection
• A2: Cross-Site Scripting (XSS)
• A3: Broken Authentication and Session Management
• A4: Insecure Direct Object References
• A5: Cross-Site Request Forgery (CSRF)
• A6: Security Misconfiguration
• A7: Insecure Cryptographic Storage
• A8: Failure to Restrict URL Access
• A9: Insufficient Transport Layer Protection
• A10: Unvalidated Redirects and Forwards

Please help us make sure every developer in the ENTIRE WORLD knows about the OWASP Top 10 by helping to spread the world!!!
As you help us spread the word, please emphasize:
- OWASP is reaching out to developers, not just the application security community
- The Top 10 is about managing risk, not just avoiding vulnerabilities
- To manage these risks, organizations need an application risk management program, not just awareness training, app testing, and remediation
We need to encourage organizations to get off the penetrate and patch mentality. As Jeff Williams said in his 2009 OWASP AppSec DC Keynote: “we’ll never hack our way secure – it’s going to take a culture change” for organizations to properly address application security.

Segun la web del proyecto, la traduccion al español del OWASP Top 10 2010 ya esta en proceso.


Comparacion con version anterior del Top Ten:

Humor: Ataque hacker....

Visto en CMDoS

Según Symantec, los programas maliciosos crecieron un 100% en 2009

Symantec ha presentado hoy el ‘Informe sobre Amenazas a la Seguridad en Internet Volumen XV’ que desvela las tendencias claves del cibercrimen desde el 1 de enero al 31 de diciembre de 2009, un año marcado por dos ataques especialmente importantes: Conficker a principio de año e Hydraq a finales, y revela un continuo crecimiento tanto en el volumen como en la sofisticación de los ataques.

Entre las tendencias más destacadas del pasado año, el incremento en el número de amenazas dirigidas a empresas fue especialmente relevante, aprovechando especialmente la abundante información personal encontrada en redes sociales para sintetizar ataques basados en ingeniería social.

More..

Fuente: idg.es



Informe sobre Amenazas a la Seguridad en Internet Volumen XV

Executive Summary
This summary will discuss current trends, impending threats, and the continuing evolution of the Internet threat landscape in 2009 based on data discussed within the Symantec Global Internet Security Threat Report. There are a number of recent and growing trends in the threat activity landscape that were observed by Symantec in 2009. These trends include that malicious activity continues to be pushed to emerging countries, targeted attacks on enterprises are increasing, with Web-based attacks continuing to be a favored attack vector, readily available malicious code kits are making it simple for neophyte attackers to mount attacks, and the online underground economy and malicious activity are benefiting from the downturn in the global economy.

Download:
- Internet Security Threat Report: Volume XV: April 2010
- Executive Summary: April 2010

ISACA COBIT 5 Design (Exposure Draft) is available

The comment period on this exposure draft is now closed.

The proposed development of the next version of ISACA’s enterprise governance of IT framework—COBIT 5—is described in this exposure draft. It outlines the proposed approach to COBIT 5 and includes a high-level description of the main development objectives and improvements, as well as a short description of the background and assumptions regarding stakeholder requirements.

COBIT 5 will be a major strategic improvement providing the next generation of ISACA’s guidance on the enterprise governance of IT. Building on the more than 15 years of practical usage and application of COBIT by many enterprises and users from the business, IT, security and assurance communities, COBIT 5 will be designed to meet the current needs of stakeholders and align with the most up-to-date thinking in enterprise governance and IT management techniques.

COBIT 5 will consolidate and integrate the COBIT 4.1, Val IT 2.0 and Risk IT frameworks and also draw significantly from the Business Model for Information Security (BMIS) and ITAF.

The primary objective of this initial exposure is to obtain your input and comment regarding our assumption of requirements, the proposed strategic approach and the high-level design. An online questionnaire is provided to capture specific feedback on certain aspects of the paper, as well as any other comments you may want to provide on the document.

ISACA will not approve any language translations of the COBIT 5 Design exposure draft. Once COBIT 5 is issued, ISACA will be happy to license it for language translation.

 Download Exposure Draft (630K)

  Download Design Survey Results Summary  Download Supplemental Exposure Commentary

Best Practices in Information Lifecycle Management Security (Sun Microsystems)

ABSTRACT

Data security is a critical component of information lifecycle management maturity. This paper describes best practices in securing data through identity management from the perspective of information lifecycle management (ILM). It is intended as a high-level introduction to the main categories of storage security and considerations in balancing conflicting storage management priorities.

Download

Humor: First Date

Aplicación gratuita que permite crear y ocultar particiones con cifrado en pendrives

Rohos Mini Drive es una aplicación gratuita que permite crear particiones con cifrado, ocultarlas y protegerlas con contraseña en cualquier unidad USB flash. Con los datos cifrados puede trabajar en cualquier ordenador aún sin derechos administrativos.

El programa crea una partición protegida con el estándar AES 256 bits accesible sólo con la clave secreta que elijas. Rohos Mini Drive muestra en el Explorador de Windows una unidad nueva donde podrás colocar todos tus archivos.

La herramienta tambien permite analizar el disco en busca de errores, cambiar el tamaño de la partición cifrada o formatearlo, y tendrá espacio libre para colocar ficheros que no quiere cifrar.

Descarga

12ª Encuesta AIMC: Estudio sobre el Perfil de los Usuarios de Internet

La Asociacion para la investigacion de medios de comunicacion (AMIC), junto con la colaboracion de Paginas Amarillas y ARGO ha realizado un estudio donde se refleja el perfil del usuario de internet de hoy en día, mediante datos recogidos a través de 36.000 encuestas. El estudio muestra datos muy interesantes entre los que me gustaría destacar los siguientes:

Las actividades primordiales en Internet:
-Las búsquedas (96%)
-La lectura de noticias de actualidad (90%)
-Las consultas de mapas/callejeros (80%)
-Los vídeos online (Youtube) (72%)
-Las consultas meteorológicas (70%)

También me parece muy interesante los datos que nos muestra sobre la evolución en cuanto al uso de las redes sociales, uso de los blogs y las opiniones de usuarios:
- Facebook y Tuenti son las redes más consolidadas en España.
- Más del 70% está registrado en alguna red social.
- Crece el uso cotidiano de las redes sociales (el 59% accedió durante la última semana en la que hizo la encuesta)
- Usos más frecuentes de las redes sociales: Relaciones de amistad (casi el 80%), Hobbies (27%), Relaciones profesionales (24%).
- Crece el acceso a blogs de carácter profesional (30% de los usuarios).
- El 45% de los encuestados suben algún tipo de contenidos (fotos, textos, vídeos, música).
- El 32% ha divulgado sus opiniones en la red acerca de algún producto o servicio.

Para ver el informe completo os lo podéis descargar aquí


Visto en http://www.wwwisibility.com/

Reporte: Top Threats to Cloud Computing V1.0 (CSA and HP)

Cloud Security Alliance (CSA) y HP han presentado los resultados de una investigación que detalla las amenazas potenciales alrededor del uso de los servicios Cloud.


Executive Summary
Cloud Computing represents one of the most significant shifts in information technology many of us are likely to see in our lifetimes. Reaching the point where computing functions as a utility has great
potential, promising innovations we cannot yet imagine.
Customers are both excited and nervous at the prospects of Cloud Computing. They are excited by the opportunities to reduce capital costs. They are excited for a chance to divest themselves of infrastructure management, and focus on core competencies. Most of all, they are excited by the agility offered by the on-demand provisioning of computing and the ability to align information technology with business strategies and needs more readily. However, customers are also very concerned about the risks of Cloud Computing if not properly secured, and the loss of direct control over systems for which they are nonetheless accountable.
To aid both cloud customers and cloud providers, CSA developed “Security Guidance for Critical Areas in Cloud Computing”, initially released in April 2009, and revised in December 2009. This guidance has quickly become the industry standard catalogue of best practices to secure Cloud Computing, consistently lauded for its comprehensive approach to the problem, across 13 domains of concern. Numerous organizations around the world are incorporating the guidance to manage their cloud strategies. The guidance document can be downloaded at www.cloudsecurityalliance.org/guidance.

Descarga de reporte: Top Threats to Cloud Computing V1.0 - March 2010

More...


Links relacionados:
- Identifican las amenazas cloud más importantes
- Cloud Security Alliance and HP Identify Top Cloud Security Threats in New Research Report

- Guía para la Seguridad en áreas críticas de atención en Cloud Computing V. 2.1

Microsoft Security Compliance Manager version 2.51 (Abril 2010)

Microsoft publicó la versión 2.51 de Microsoft Security Compliance Manager, esta herramienta provee características de administración de una línea de base de seguridad, como un portafolio línea de base, capacidades de personalización y la flexibilidad de exportar esta línea de base para acelerar la habilidad de su organización para administrar eficientemente la seguridad y los procesos de cumplimiento para la gran mayoría de tecnologías Microsoft en uso en la compañía.

Descarga

Key Features & Benefits
Centralized Management and Baseline Portfolio: The centralized management console of the Security Compliance Manager provides you with a unified, end-to-end user experience to plan, customize, and export security baselines. The tool gives you full access to a complete portfolio of recommended baselines for Windows® client and server operating systems, and Microsoft applications. The Security Compliance Manager also enables you to quickly update the latest Microsoft baseline releases and take advantage of baseline version control.
Security Baseline Customization: Customizing, comparing, merging, and reviewing your baselines just got easier. Now you can use the new customization capabilities of the Security Compliance Manager to duplicate any of the recommended baselines from Microsoft—for Windows client and server operating systems, and Microsoft applications—and quickly modify security settings to meet the standards of your organization’s environment.
Multiple Export Capabilities: Export baselines in formats like XLS, Group Policy objects (GPOs), Desired Configuration Management (DCM) packs, or Security Content Automation Protocol (SCAP) to enable automation of deployment and monitoring baseline compliance.

Insecure Magazine # 25 (Abril 2010)

Cntents

• 
  
  - The changing face of penetration testing: Evolve or die!
• 
  
  - Review: SmartSwipe
• 
  
  - Unusual SQL injection vulnerabilities and how to exploit them
• 
  
  - Take note of new data notification rules
• 
  
  - RSA Conference 2010 coverage
• 
  
  - Corporate monitoring: Addressing security, privacy, and temptation in the workplace
• - Cloud computing and recovery, not just backup
• - EJBCA: Make your own certificate authority
• - Advanced attack detection using OSSIM
• AND MORE!

    
DOWNLOAD ISSUE 25 HERE (April 2010)

Informe sobre delitos económicos y fraude empresarial en España (PWC)

El fraude empresarial va en aumento: El entorno económico, la presión por resultados, el enriquecimiento o la venganza a costa de su organización, la oportunidad que se presenta por debilidades del entorno de control y otros muchos factores inciden en su origen.

El mismo ha sido elaborado en función de la Encuesta sobre delitos económicos llevada a cabo por PricewaterhouseCoopers en el ejercicio 2009, con la participación de 54 países y más de 3.000 encuestados.

Estudio revela que uno de los factores fundamentales que conlleva una mayor presión para cometer un fraude es la seguridad con respecto al puesto de trabajo.

El 25% de los profesionales españoles desconoce la frecuencia con la que sus compañías han realizado evaluaciones de los riesgos de fraude en el último año.

Descarga de Informe

Test: Vulnerability assessment (SC Magazine)

Products Tested

• BigFix Security Configuration and Vulnerability Management
• Core Security Technologies Core Impact
• eEye Digital Security Retina Network Security Scanner
• GFI LANguard
• Lumension Scan
• McAfee Vulnerability Manager
• netVigilance SecureScout
• Rapid7 NeXpose Enterprise Edition
• SAINT Integrated Vulnerability Scanner
• Tenable Network Security Nessus Vulnerability Scanner

 

Summary

There is an emerging trend toward vulnerability management and I predict that we will begin to see the vulnerability assessment category – pure-play vulnerability assessment – give way to vulnerability management.

Informe anual de seguridad Web (informe anual de seguridad Web)

El informe estudia la evolución de las estrategias de malware que explotan el comportamiento online del usuario

Blue Coat Systems, Inc. (Nasdaq: BCSI), el líder tecnológico en Application Delivery Networking, ha publicado el informe anual Blue Coat Web Security Report para 2009, que proporciona un análisis completo del comportamiento de los usuarios en relación a las amenazas en la Web y examina detalladamente dónde se encontró el malware en Internet a lo largo del pasado año. Basándose en los datos recogidos por el servicio Blue Coat^® WebPulse™, el informe concluye que la creciente popularidad de las redes sociales en la Web y los cambios en el comportamiento de los usuarios online han motivado estrategias de ataque más amplias, como amenazas combinadas, ciclos de vida del malware más cortos y manipulación de los motores de búsqueda.

Principales conclusiones:

• - El malware se adapta a ciclos de vida cortos: La media de vida útil del malware cayó a tan solo 2 horas en 2009, frente a las 7 horas de vida de 2007, como resultado del creciente uso y efectividad del filtrado de URLs para bloquear las fuentes de malware. Debido al menor ciclo de vida del malware, las defensas que requieren instalar parches y descargas son incapaces de mantener el ritmo marcado por el malware.
  
• Las redes sociales lideran la actividad en Internet: Las redes sociales lideraron la actividad en Internet a lo largo de 2009 y representaron el 25% de la actividad entre las 10 principales categorías de URLs en 2009. La creciente popularidad de las redes sociales para comunicarse ha provocado un descenso en el uso de los servicios de correo electrónico en la Web (web-mail), cuya popularidad cayó del quinto puesto en 2008 al noveno en 2009.
  
• - Las amenazas más comunes explotan la confianza de los usuarios: Las dos amenazas basadas en la Web más comunes durante 2009, un antivirus y un codec de video falsos, explotaban la confianza de los usuarios en Internet, en los buscadores y en sus redes sociales. A diferencia de ataques anteriores, no se trata de ataques “aleatorios” ni explotan ninguna vulnerabilidad del sistema, sino simplemente el comportamiento humano.
  
• - El malware acecha en sitios insospechados: Las páginas de almacenamiento online y descarga de software fueron los sitios más utilizados por el malware basado en Web para ocultarse en 2009. El número de páginas de almacenamiento online creció un 200% respecto al año anterior. Este crecimiento, junto a la naturaleza de este servicio, hace de ellas un lugar ideal y fácilmente accesible para alojar malware.
  
• - El Spyware avanzado potenció el crecimiento de sitios de malware y de sitios de almacenamiento de datos robados: El número de sitios de malware (sitios que almacenan malware para descargar en el ordenador de sus víctimas) prácticamente se dobló en 2009, aunque es más sorprendente constatar un aumento del 500% en el número de sitios que recogen los efectos del malware (conocidos como ‘phone-homes’, que recogen los datos de los ordenadores infectados). Esto se atribuye principalmente al surgimiento de formas avanzadas de spyware que generan múltiples URLs para su posible actividad, aumentando la probabilidad de que una o más URLs se mantengan sin descubrir durante el tiempo suficiente para que los cibercriminales puedan recuperar la información robada. 
  
  - Necesidad de análisis en tiempo real: El cambiante panorama de las amenazas está impulsando la evolución de una defensa híbrida que combine los Web gateways tradicionales con inteligencia basada en la cloud que pueda proporcionar análisis y clasificaciones en tiempo real y que pueda ser extendida a usuarios remotos 
   

La información del estudio se basa en el análisis de los datos recogidos por el servicio Blue Coat WebPulse, una defensa colaborativa basada en cloud que une a 62 millones de usuarios para proporcionar inteligencia de seguridad a medida y clasificaciones de páginas Web en tiempo real en 17 idiomas. WebPulse complementa los dispositivos BlueCoat WebFilter y Blue Coat ProxySG® con un diseño híbrido para proporcionar una defensa de primera línea frente a ataques maliciosos contra cualquier usuario, en cualquier red, en cualquier lugar.

Puedes descargar el estudio Blue Coat Web Security Report 2009 completo en el siguiente link.

Guías para la configuración de la privacidad y seguridad de las redes sociales

El Observatorio de la Seguridad de la Información del Instituto Nacional de Tecnologías de la Comunicación (INTECO) en colaboración con la Universidad Politécnica de Madrid (UPM) ha publicado una serie de 12 guías cuyo objetivo es ayudar a los usuarios a mantener la seguridad de sus perfiles en las principales redes sociales.

Estas guías analizan cada una de las redes sociales más populares en España y realizan un análisis estructurado en base a los tres momentos clave en los que es posible identificar riesgos para la seguridad y privacidad en este tipo de plataformas abiertas:

• 
  
  Alta como usuario.
• 
  
  Participación en la red social.
• 
  
  Baja del servicio.

La información utilizada para la elaboración de estas guías ha sido directamente obtenida en los sitios web de cada una de las redes sociales analizadas. Su objetivo es ayudar a los usuarios de estos servicios, sin pretender, en ningún caso, sustituir la información y soporte ofrecidos por parte de las propias plataformas.

Se encuentran disponibles guías completas para Facebook, Flickr, Linkedin, Myspace, Tuenti, Twitter y Youtube entre otras.

Visto en http://www.madrid.org/

Consejos para crear un buen programa de concienciación sobre seguridad TI

Concienciar a los empleados sobre la importancia de la seguridad de la información es una tarea difícil y para la que hay que ser muy constante. Pero eso no ha impedido al CISO de una de las facultades de Harvard dejar de hacerlo durante años y tener, finalmente, éxito.

En el marco de la conferencia SecureWorld Boston, Jay Carter, director de seguridad de la información de la Facultad de Artes y Ciencias de la Universidad de Harvard, y Michael Ste.Marie, analista de seguridad de la información del Federal Home Loan Bank de Boston, compartieron con la audiencia sus logros a la hora de concienciar a los usuarios de sus organizaciones de la importancia de la seguridad de la información.

En la facultad de Harvard, Carter ha establecido un comité asesor con la facultad y el personal de la Universidad para garantizar que se atiende a las preocupaciones de los usuarios finales a través de las políticas de seguridad. “No puedo exagerar la importancia de establecer un diálogo bidireccional con tu comunidad”, dijo.

Más..

Fuente: www.csospain.es

Microsoft Security Development Lifecycle (SDL) Version 5

A new version of the Microsoft Security Development Lifecycle (SDL) Process Guidance is now accessible on MSDN and available via the Microsoft Download Center. Developers interested in securing their software using the same methods as the Redmond company can take advantage of SDL version 5.0 online, or download the resource for usage in offline scenarios. The download offered by the software giant is designed to illustrate the process guidance applied to bulletproof Microsoft products and technologies including Windows 7 and Office 2010.

Following the release of Windows Vista, Microsoft warned developers of third-party Windows applications that attackers would increasingly use their products as attack vectors, as the security bar for the OS was raised considerably through SDL. The Redmond company subsequently opened up SDL to all devs, in the hope that the entire software ecosystem built around Windows could benefit from the same security focus during the development process as the platform itself.

For those unfamiliar with SDL, the Microsoft Security Development Lifecycle is a collection of security and privacy resources such as requirements and recommendations that the company applies to increase the level of protection of its own users. Jeremy Dallman, security program manager, Security Development Lifecycle Team, enumerated the changes introduced in the “SDLv5 documentation:

1. SDL for Agile included: The largest change in SDLv5 is the inclusion of SDL for Agile Development as an Addendum at the end. We took the SDL-Agile guidance that was published in November 2009 and included it in the parent SDL document to make it a one-stop resource.

2. New and updated security requirements and recommendations

“Requirements Phase (1 new) - New Requirements: Include third-party code licensing security requirements in all new contracts.

Design Phase (3 new) - New Requirements:

• Hardware: Perform hardware security design review.

• Server/SaaS: Perform integration-points security design review.

• Web application: Implement strong log-out and session management.

Implementation Phase (10 new, 1 update)

New/Updated Requirements:

• Use Secure methods to access databases.

• Avoid LINQ ExecuteQuery.

• Avoid EXEC in stored procedures.

• Update: new minimum required versions for code analysis tools (also see Appendix E).

New Recommendations

• Web applications: Use HTTPOnly cookies.

• Implement reflection and authentication relay defense.

• NULL out free’d memory pointers in new code.

• All sample code should be SDL compliant.

• Internet Explorer 8 MIME handling: HTTP response sniffing opt-out.

• Lock ActiveX controls to a defined set of domains.

• Verify use of ClickJacking defenses in code.

Verification Phase (2 new, 2 updates).

New/Updated Requirements

• Network fuzzing: Any new network parsers must be able to accept 100,000 malformed packets without failure.

• Update: Web applications: Use ViewStateUserKey or ValidateAntiForgeryTokenAttribute against CSRF attacks.

• Update: Do not use banned APIs in old or new code.

New Recommendations

• Web applications: Use a passive security auditor.

news.softpedia.com

Post relacionado:

- Plantilla de SDL (Security Development Lifecycle Process) para Visual Studio

Hachoir - Framework para manipular archivos binarios

Hachoir is a Python library that allows to view and edit a binary stream field by field. In other words, Hachoir allows you to "browse" any binary stream just like you browse directories and files. A file is split in a tree of fields, where the smallest field is just one bit. There are other fields types: integers, strings, bits, padding types, floats, etc. Hachoir is the French word for a meat grinder (meat mincer), which is used by butchers to divide meat into long tubes; Hachoir is used by computer butchers to divide binary files into fields.

Hachoir is composed of the parser core (hachoir-core), various file format parsers (hachoir-parser), and other peripheral programs. For example, you can use hachoir-metadata to extract information from your favourite photos or videos. Hachoir also allows you to edit files (of supported formats) without the original (often proprietary) program that was used to create them.

Web del proyecto

Link relacionado:
- Articulo - numero 4-2010 de Linux+, Pagina 22 

Seguridad en Las laptops XO (ex OLPC)

Como implementan la seguridad estos equipos OLPC?

En vez de depender de aplicaciones antivirus, cortafuegos y otros, han diseñado un sistema desde cero, llamado BitFrost.

“Bajo BitFrost, cada programa corre en su propia maquina virtual con un juego limitado de permisos. Por ende un programa para ver fotos no tendrá acceso al Internet, así un hacker explote una falla que le permita controlar el programa, no podría tomar todas las fotos de la portátil y subirlas al Internet.” 

Más información...