SEGURIDAD Y AUDITORIA DE SISTEMAS

Las tres empresas han solucionado una debilidad detectada en sus sistemas de correo electrónico al utilizar una clave de encriptación débil. Esta debilidad afecta al DKIM (DomainKeys Identified Mail), el sistema de seguridad utilizado por los principales proveedores de correo electrónico y que codifica los mensajes y verifica el dominio a partir del que se envía el mensaje para facilitar el descarte de los mensajes falsos de los legítimos. Según señalan los expertos, el problema reside en el hecho de que las claves con menos de 1.024 bits son débiles y los hackers lo aprovechan para llevar a cabo sus acciones contra la seguridad de los sistemas. En esta ocasión, el problema se detectó cuando un matemático de Florida, Zachary Harris, recibió un email con una oferta de trabajo y se dio cuenta de que Google utilizaba una clave de tan solo 512 bits, por lo que decidió poner esto en conocimiento de los responsables de la compañía. Posteriormente, Google descubrió que el problema no so

Las tarjetas bancarias han supuesto un gran avance para el consumidor y constituyen el producto financiero de los Bancos por excelencia, permitiendo un cómodo acceso al consumidor a distintas operaciones, tales como: pago por medios electrónicos para las compras en línea a través de Internet, retirada y depósito de efectivo en un cajero, pago en establecimientos con TPV en línea u off-line, entre otras. Sin duda, para muchos consumidores, entre la multitud de operaciones que ofrece una tarjeta bancaria, comprar o contratar sin pagar en el momento de la operación o contratación del servicio es una situación tentadora y a su vez engañosa, pues puede generar problemas en el consumidor a la hora de hacer frente a sus obligaciones. El uso responsable y adecuado de la tarjeta implica evitarse problemas posteriores al iniciarse el cobro por parte de las instituciones bancarias y tener consecuencias comprometedoras con su patrimonio. A continuación exponemos información relevante para un

Cuando ya estamos a pocas horas del lanzamiento del nuevo sistema operativo de Microsoft, Windows 8, quedan pocas cosas que no se hayan dicho aún. Mucho se ha hablado de la nueva interfaz del sistema, pensada para ser usada tanto en ordenadores de sobremesa como en dispositivos móviles, pero nosotros nos vamos a centrar en aquellas características que nos interesan: las relativas a la seguridad. Nuestro compañero Aryeh Goretsky ha preparado un más que interesante documento donde describe a fondo estas nuevas características que ayudan a mejorar la seguridad en Windows 8. Centrándonos en los puntos clave, hemos decidido hacer un repaso breve a estas nuevas características diseñadas para hacer de este sistema el más seguro que ha diseñado Microsoft. Antimalware incluido de serie Sin duda, una de las características que más revuelo ha armado es la inclusión de un antimalware, evolución del Windows Defender introducido ya en Windows Vista y que no es más que una versión actualizada d

Aplicaciones, páginas y juegos con la temática de Halloween son lanzadas por estas fechas para deleite de los usuarios que quieran celebrar de manera alternativa la festividad del 31 de octubre. Sin embargo, debido a esta demanda son el blanco perfecto para los cibercriminales. Por ello, la compañía de seguridad Eset lanza una serie de consejos para evitar sustos innecesarios en el día más terrorífico del año. Halloween se acerca y, como cada año, es el día perfecto para disfrazarse, salir de fiesta y estar con los amigos. Pero también podemos encontrar otra alternativa de diversión a través de los móviles, ordenadores y 'tablets'. Sin embargo, esta fecha también es una ocasión para que los cibercriminales celebren su propia versión de Halloween, "asustando" a su manera a los usuarios. De hecho, utilizan el día de Halloween para disfrazar sus amenazas informáticas: falsas aplicaciones para móviles y 'tablets', falsas webs posicionadas en motore

El CCN-CERT ha publicado una nueva versión de la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT v3) elaborada por el Consejo Superior de Administración Electrónica y a la que podrán acceder todos los usuarios interesados desde la parte pública del portal www.ccn-cert.cni.es (herramienta PILAR - Metodología). MAGERIT es la metodología de análisis y gestión de riesgos elaborada como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión. La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza. MAGERIT es la metodología sobre la que se basa la herramienta PILAR, desarrollada por el Centr

Separar ocio y negocio en el móvil evita consecuencias indeseables en caso de ser víctimas de un ciberataque. Así lo advierten los analistas de Kasperksy Lab tras su participación en la conferencia EUSecWest 2012, celebrada en Amsterdam el último mes de septiembre. Amsterdam acogió la conferencia mundial de seguridad profesional EUSecWest 2012 para ofrecer una visión real de por qué resulta casi imposible mantener a raya a un ciberadversario motivado dispuesto a atacar. Miembros del equipo de analistas de Kaspersky Lab presentes en el evento han podido entrevistar a equipos de hackers que usaban vulnerabilidades de día-cero y novedosas técnicas de explotación para hackear iPhone4S y Android 4.0.4 (Samsung S3) con todos sus parches de seguridad instalados. La principal conclusión del EUSecWest2012, según Kaspersky Lab, es que no conviene utilizar un dispositivo móvil con información de valor, especialmente para el correo del trabajo o para enviar documentos corporativos confidencia

¿Cuánta información de nuestras vidas está disponible en Internet? ¿Cuántos de nuestros datos son accesibles a un extraño? ¿Hasta dónde somos conscientes de ello?. Este vídeo, producido por la Federación Belga del Sector Financiero (Febelfin) y traducido al español por Informática Legal, alerta de lo fácil que es “leer la mente” a través de los perfiles que los usuarios cuelgan en las redes sociales. En esta muy interesante y original campaña, el protagonista es un supuesto mentalista de nombre “Dave”, cuyo objetivo es leerle la mente a varios transeúntes bajo la excusa de un nuevo programa de televisión. Durante las sesiones se puede ver como Dave va “adivinando” increíbles detalles de la vida intima de las “víctimas”. Pero todo está preparado. El final es tan sorprendente como tristemente lógico y apela a que la gente logre definitivamente un cambio de hábito en relación a la información que voluntariamente sube a Internet. Disfrútenlo… y aprendan. VER VIDEO Fuente: Aqui

Sin olvidar que las aplicaciones y los programas son desarrollados por seres humanos, debido a la naturaleza de estos podemos considerar que las herramientas que generan pueden no ser perfectas. En el mundo de las Tecnologías de la Información y la Comunicación (TIC), cualquier fallo en el software que impida una correcta ejecución del mismo o que muestre un comportamiento no contemplado (cierre inesperado de la aplicación, cuelgue del sistema, etc.), se considera una vulnerabilidad o fallo de seguridad. Estos serán más graves en función del impacto que pueda causar ese comportamiento no controlado. A lo largo de los años, el parcheo de vulnerabilidades o actualizaciones de productos para corregir fallos, ha entrado dentro del propio ciclo evolutivo del software y los usuarios cada vez lo consideramos más "normal". No obstante, a pesar de que forme parte del día a día, hay que ser conscientes de la importancia que supone tener los sistemas actualizados así como las aplicaci

Se ha añadido una nueva herramienta a la sección de útiles gratuitos del Instituto Nacional de TIC. SQLMap, una herramienta de auditoría web para detectar y explotar vulnerabilidades de inyección SQL. La herramienta que se ha añadido es: •SQLMap Herramienta open-source desarrollada en python y especializada en la explotación de vulnerabilidades de tipo SQL Injection. SQLMap soporta gran variedad de motores de bases de datos (MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, etc.) por lo que la convierte en una herramienta de pentesting realmente útil para auditar entornos Web. Imagen extraída de https://github.com/sqlmapproject/sqlmap SQLMap se apoya también en el Framework Metasploit para llevar a cabo alguna de sus funciones de post-explotación. Algunas de las carácteristicas más destacables de esta herramienta son: •Soporte completo para seis técnicas de inyección SQL: boolean-based blind, time-based blind, error-based, UNION query, stacke

Facebook, Twitter o Google tienen la mayoría de tus datos y hábitos de navegación. También existen cientos de empresas de cobro por publicidad que serían beneficiadas haciendo seguimiento de lo que consumes y compartes en la red. ¿Cómo evitarlo y asegurar tu privacidad? Puedes bloquear el acceso a tu contenido con estas aplicaciones: 1.Do Not Track Plus : La herramienta permite bloquear Facebook y otros anunciantes en la red. Asimismo, te informa sobre los espacios que quieren obtener tus datos. Después de instalarlo bloqueará las redes. La extensión está en la página principal, disponible para Chrome. 2.Disconnect : Es otra buena opción para bloquear redes de forma específica. El sitio principal tiene extensiones para detener el seguimiento en la web de Facebook, Twitter y Google. Se incluye la app Collusion —para Chrome, Safari y Mozilla—, que genera mapas con los sitios que intentan obtener información de tus movimientos en la red. 3.Ghostery : Es una herramienta con má

Estimados, les presento la siguiente infografía, de como proteger las cuentas bancarias en el Internet.

Uno de los motivos por el cual me decidí a escribir en un blog fué la de recopilar, para mi gente, y para mi mismo, la información que voy estudiando y ordenar de alguna manera este conocimiento. Voy a intentar mantener este post vivo, actualizando conforme vayamos viendo herramientas y procesos que nos sirvan para realizar un test de penetración. No voy a seguir ninguna guia ni metodología concreta, ya que hay varios por internet, y pretendo darle un enfoque práctico al asunto. No obstante, si quereis "formalizar" este proceso, podeis buscar información en : OWASP OSSTMM ISSAF NIST Las etapas que considero necesarias, y que seguramente iremos ampliando/reduciendo son las siguientes NOTA no necesariamente los procesos o herramientas pertenecen a una única fase: Pre-engagement Interactions : En este apartado básicamente se define el ámbito y alcance del test de intrusión. Se llega a un acuerdo con el cliente acotando la profundidad de las pruebas a realizar, permisi