SEGURIDAD Y AUDITORIA DE SISTEMAS

El ex técnico de la central de inteligencia estadounidense, que reveló un programa de la Agencia de Seguridad Nacional, utilizaba una metodología de aislamiento de los dispositivos mediante el efecto electromagnético denominado "Jaula de Faraday" El "espía espiado", Edward J. Snowden, responsable de filtrar el programa de espionaje de la Agencia de Seguridad Nacional norteamericana (NSA), quería evitar a toda costa que accedieran a sus comunicaciones. Es por eso que, para evitar que las autoridades "pincharan" su teléfono, Snowden insistió a los abogados que estuvieron asesorándolo en Hong Kong que introdujeran sus celulares en el frigorífico. Según argumentó el ex técnico, el objetivo de este comportamiento consistía en tratar de "bloquear cualquier tipo de monitorización". La razón no se explica por la temperatura del congelador, sino por el efecto llamado "Jaula de Faraday", que provoca que el campo electromagnético en el inter

Directiva de la Comisión Europea sobre la protección de datos entró en vigor en octubre de 1998, y prohibe la transferencia de datos personales a países no comunitarios que no cumplan con la norma "idoneidad" para la protección de la privacidad de la Unión Europea (UE). Mientras que Estados Unidos y la Unión Europea comparten el objetivo de mejorar la protección de la privacidad de sus ciudadanos, los Estados Unidos adoptan un enfoque diferente al de los utilizados por la UE. Para salvar estas diferencias de enfoque, el Departamento de Comercio de EE.UU. elaboró ​​un marco de "puerto seguro" y este sitio web para proporcionar la información sobre si una cumple con la normativa. El sitio web proporciona la información que una organización tendría que evaluar para unirsesl programa Safe Harbor de Estados Unidos y Suiza. Esta política se aplica a toda la información personal recibida por las organizaciones de Estados Unidos desde países miembros de la UE, en cual

El programa SecurityTube Python Scripting Expert (SPSE) tiene el objetivo de enseñar cómo aplicar el lenguaje Python, de gran alcance para la investigación de seguridad, pruebas de penetración y la automatización de ataque con un completo enfoque práctico. SPSE es una certificación en línea que ayuda a obtener dominio sobre Python y su aplicación en problemas de seguridad informática y de red. Este curso es ideal para quienes realizan pruebas de penetración y administradores de red que desean aprender a automatizar tareas. •Module 1: Python Scripting – Language Essentials •Module 2: System Programming and Security •Module 3: Network Security Programming – Sniffers and Packet Injectors •Module 4: Attacking Web Applications •Module 5: Exploitation Techniques •Module 6: Malware Analysis and Reverse Engineering •Module 7: Attack Task Automation •Module 8: Further Study and Roadmap •Module 9: Exam Pattern and Mock Exam Si deseas tomar la certificación simplemente puedes

El FBI y el Internet Crime Complaint Center (IC3) emitieron su informe anual sobre el estado de la seguridad en Internet y cómo está creciendo los tipos de estafas y las nuevas tácticas de los delincuentes. Mientras que las denuncias presentadas ante el IC3 se han reducido ligeramente respecto a los informes 2012 y 2011 (289.874 contra 314.246, respectivamente), las pérdidas monetarias por fraudes en línea han crecido más del 8%, superando los $525 millones y con un promedio de U$S 600 por persona. Las quejas más comunes recibidas en 2012 incluyeron estafas de suplantación de correo electrónico, varios tipos de crímenes de intimidación y estafas y la utilización de scareware para obtener dinero de los usuarios. Fuente: Segu-Info

Un exempleado de la CIA de 29 años, se reveló como la fuente de la filtración de información secreta sobre los programas de espionaje del gobierno estadounidense. La filtración de Snowden pone en evidencia la gran cantidad de información recolectada por la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) para rastrear objetivos extranjeros. Estas revelaciones de la NSA son inquietantes, pero quizás lo sea más saber que no sólo las autoridades estadounidenses controlan tus datos. Como en “Un mundo feliz”, la novela distópica de Aldous Huxley, tu información es recolectada y puesta al servicio de otros, muchas veces sin que tú lo sepas. 1. Facebook sabe lo que compras Facebook compró en 2012 datos de 70 millones de hogares estadounidenses a la compañía Datalogix. El gigante de Internet luego confirmó lo que muchos usuarios sospechaban: el monitoreo de la conducta y actividad de las personas para ofrecer avisos personalizados. La respuesta negativa de muchos usuario

Una de las mayores mentiras del siglo XXI. El que siempre haya aceptado los términos de uso tras una lectura detallada, siendo plenamente consciente de lo que aceptaba, que levante la mano. Prácticamente a diario, instalamos aplicaciones en nuestros PCs y smartphones, nos registramos en redes sociales o servicios diversos. Todos estos proveedores de aplicaciones y servicios se cuidan mucho sus espaldas, y no se arriesgan a dejar resquicios legales. Y nosotros, como usuarios, aceptamos sin saber lo que estamos aceptando. Principalmente, yo diría que por dos razones: 1. Como ya se comentó hace (mucho) tiempo en este mismo blog, o lo tomas o lo dejas. Si quieres hacer uso del servicio, no tienes más remedio que aceptar las condiciones que establezcan. 2. Vivimos estresados. Y no tenemos tiempo que perder leyendo un galimatías, frecuentemente en inglés, que nos va a aclarar poco o nada a qué nos estamos comprometiendo exactamente Como todos, soy de esas personas que al llegar

Cuando se realiza una auditoría PCI DSS a un Comercio (“Merchant“) o Proveedor de Servicio (“Service Provider“) clasificados como nivel 1 (“Level 1″) por la cantidad de transacciones anuales realizadas y dichos resultados deben ser reportados a Visa, de forma obligatoria el auditor QSA debe rellenar un documento específico con los detalles pormenorizados de los hallazgos de la auditoría y la evidencia asociada. Dicho documento se denomina “Report on Compliance” (RoC) y de forma discrecional otras marcas (como Discover) lo pueden requerir para evaluar el cumplimiento del estándar. Este RoC suele acompañar el formulario de Declaración de cumplimiento para evaluaciones in situ (“Attestation of Compliance”) (AoC) y los resultados de los escaneos ASV como requerimientos de validación. El RoC – a diferencia del SAQ y del AoC - va más allá del SI/NO en la columna “Estado de cumplimiento”, ya que se requiere un detalle granular justificando el porqué de dicho cumplimiento y respaldándolo

Aquí mi fusil, aquí mi pistola; uno da tiros, la otra consuela Es increíble la velocidad que llevamos, antes no había campos de batalla para probar y desarrollar armas y ahora, todos los días aparece uno nuevo; que si D-ICE S1.140, que si VulnVPN, que si ejercicios de PentesterLab... ¡¡estamos saturados!! y eso hablando solo de sistemas virtuales. En aplicaciones web es mucho peor. OWASP parece que todos los meses tiene que patrocinar la creación de una nueva web vulnerable con los mismos fallos de siempre. Hay recopilatorios bastante amplios con decenas de ellas, como este fabuloso MindMap. El problema viene en que en su gran mayoría de los laboratorios, no están documentados los fallos o lo están parcialmente. Al final uno acaba haciéndose los suyos propios. Un sitio interesante del que hablamos en enero es VulnHub, una página web/comunidad que se dedica exclusivamente a recopilar este tipo de sistemas, así como los solucionaros que circulan por Internet. También dis

Luego del sacudón del caso Wikileaks, que en noviembre de 2010 permitió revelar más de 250.000 documentos secretos del Departamento de Estado de los Estados Unidos, un nuevo escándalo vinculado al supuesto control de información ciudadana afecta al gobierno americano. El nuevo tsunami mediático se suscitó horas atrás cuando The Washington Post y The Guardian publicaron que la Agencia de Seguridad Nacional de los Estados Unidos (NSA) habría ordenado capturar las llamadas telefónicas de millones de ciudadanos norteamericanos como así también el acceso a un inagotable océano de información personal guardada en los mega archivos digitales de los grandes jugadores de la industria tecnológica como Microsoft, Google, Facebook y Apple. Almacenan información de personas que habitan el ciberespacio, no sólo el territorio americano En otras palabras, el gobierno americano habría obtenido información personal de sus ciudadanos (y no ciudadanos) mediante la utilización de un programa de espion

Symantec y Ponemon Institute dieron a conocer el Estudio de 2013 sobre el Coste de las Fugas de Datos: un Análisis Mundial (2013 Cost of Data Breach Study: Global Analysis), que indica que los errores humanos y los problemas en los sistemas causaron dos terceras partes de las fugas de datos en 2012 e incrementaron la media a nivel mundial hasta $136 dólares por registro. Entre estos problemas se incluye el manejo no apropiado de los datos confidenciales por parte de los empleados, la falta de controles en los sistemas y la infracción de las normativas industriales y gubernamentales. Los campos con fuerte regulación – incluyendo los sectores Sanitario, Financiero y Farmacéutico – sufrieron unos costes por fugas de datos 70% más altos que otros sectores. El coste mundial por registro de cliente comprometido fue superior a lo observado el año pasado y el coste total por fuga de datos en EE.UU. se redujo ligeramente a $5,4 millones de dólares. Esta reducción se atribuyó al nombramiento d

China ha desarrollado una nueva supercomputadora conocida como Tianhe-2 [PDF] sucesora de Tianhe I, que es el doble de rápida que los sistemas estadounidenses y japoneses, que han medido una velocidad de 30,65 Petaflops, o 74% más rápido que el actual poseedor del título World's-superordenador más rápido del mundo. Por ejemplo, Titan, la supercomputadora más rápida del Departamento de Energía de EE.UU., se ha cronometrado de tan sólo 17,6 Petaflops por segundo mientras que China informa que objetivo es lograr una máquina de 100 petaflops apra 2015. Tianhe-2 fue construída utilizando 32.000 procesadores Intel Ivy Bridge y 48.000 procesadores Intel Xeon Phi, fue ensanblada por la compañia china Inspur agregando tecnología propia. Tianhe-2 ejecuta Kylin Linux también desarrollado en China por la National University of Defense Technology. La supercomputadora es capaz de almacenar 12.4PB y tiene una memoria de 1.4PB con sus más de 3.120.000 nucleos. Ubicada en Guangzhou, Tianhe-2