viernes, 18 de abril de 2014

Seguridad Informática Mitos y Leyendas

Hoy inauguramos una nueva sección en Seguridad Informática a lo Jabalí, para hablar un poco sobre algunos aspectos, rumores o tópicos que circulan por La Red relacionados con la seguridad informática pero desde una perspectiva más desenfadada.

“El primer Pentest siempre sale mal”


“No hay que estudiar para aprender Hacking”


A veces la mejor solución no es muy técnica


Los profesionales de la tecnología tratan bien a los usuarios


“Se cree más al usuario que a la maquina”

 
Los de sistemas agradecen los reportes de seguridad de los hackers
 
 
Las chicas no saben de hacking, no son peligrosas



“Los niños están seguros, están en la habitación de al lado”


“Mi sistema es seguro, no pueden romperlo”


“La diferencia entre un informático y un hacker, yo hago que esto luzca”

video


Seguridad a lo Jabalí para Todos!!

jueves, 17 de abril de 2014

Navaja Negra 2014 Abierto el Plazo CFP/CFT

En la edición de 2013 la conferencia de seguridad Navaja Negra se convirtió en uno de los eventos mejor valorado por la comunidad de seguridad informática, celebrando una de las mejores conferencias del año.

Este año promete ser aun mejor, y ya está abierto el Call For Papers para todo el que esté interesado en participar. Novedades en... apartado #nn4ed


Organización de NAVAJA NEGRA
cr0hn (Dani) & s4ur0n (Pedro)
Twitter oficial @navajanegra_ab y con el hashtag "#nn4ed"

Seguridad a lo Jabalí para Todos!!

miércoles, 16 de abril de 2014

Guía de Seguridad DNS en INTECO

El servicio de resolución de nombres en IPs y viceversa se denomina Domain Name System (DNS) y es un elemento esencial en las comunicaciones, permite acceder a multitud de recursos que se localizan o referencian mediante su Fully Qualified Domain Name (FQDN) y como otros muchos servicios se diseño pensando en la comunicación, no en la seguridad.

INTECO publica una guía orientada a usuarios técnicos para ofrecer un documento de referencia del protocolo DNS, incluyendo los aspectos relacionados con la seguridad del servicio , describiendo las líneas base para su implementación y bastionado.

En esta guía de Antonio López Padilla y Daniel Fírvida se puede encontrar, además de una visión completa de los elementos que integran el servicio y el entorno DNS, una descripción detallada de la base funcional del protocolo y sus componentes de seguridad. 

En el ámbito de la seguridad, se ofrece una explicación de las vulnerabilidades y principales amenazas que afectan al protocolo y se aportan indicaciones para su mitigación tanto a nivel genérico, como específicamente para el software BIND9 de Internet System Consortium, el más extendido y utilizado en servidores DNS.


En esta guía de referencia sobre seguridad en el servicio de DNS encontramos una primera parte muy bien explicada con todos los aspectos técnicos que necesitamos conocer para entender cómo funciona el protocolo y después entender que vectores de ataque existen asociados al funcionamiento del servicio, además de la explicación de los posibles ataques al DNS en la guía se explica de forma detallada la configuración adecuada para minimizar o mitigar esos ataques, sugerencias de topologías de red adecuadas y modificación de archivos de configuración en el sistema.



Un ejemplo de lo que puedes encontrar, si quieres saber más descarga…


En la guía se incluyen las siguientes secciones:
  • Fundamentos de DNS: donde se explican los conceptos, objetivos y funcionamiento de un sistema DNS.
  • Seguridad en DNS: a partir en un escenario típico DNS se identifican los posibles vectores de ataque y los activos afectados.
  • Vulnerabilidades y amenazas en DNS: incluyendo las debilidades intrínsecas al diseño del protocolo DNS y los principales ataques que sacan partido de la las mismas.
  • Bastionado DNS: detalle de las medidas de seguridad a implementar en los tres grandes superficies de ataque del servicio DNS: Infraestructura del servicio DNS, Comunicaciones y transacciones y Datos.
  • DNSSEC: introducción, uso y funcionamiento. 
Seguridad a lo Jabalí para Todos!!

martes, 15 de abril de 2014

Find My Phone

Una de las funcionalidades más necesarias hoy en día en teléfonos móviles es algún sistema de localización y en el peor de los casos eliminación de datos del terminal de forma remota. En mi caso he tenido la oportunidad de probar el sistema que viene integrado con los nuevos sistemas operativos de Windows Phone y me ha sorprendido por la sencillez de utilización y la precisión de la localización.


Simplemente entrando en la dirección www.windowsphone.com con la cuenta de usuario asociada al teléfono puedes realizar las distintas operaciones:
  • Acceder a la agenda.
  • Gestionar archivos del teléfono.
  • Realizar copias de seguridad.
  • Localizar el teléfono.
  • Bloquear/borrar datos del terminal.
 
El tema de la privacidad, estar localizado de forma constante, quien accede a esa información y en qué términos puede ser un problema, además de abrir un nuevo vector de ataque.

Si aun atacante consigue los credenciales de entrada de la cuenta puede gestionar o incluso borrar los datos de nuestro teléfono.

En lo que se refiere a telefonía móvil siempre hablamos de proteger los datos del terminal si se pierde pero hay que preocuparse también de asegurar el sistema de acceso al software de recuperación aunque sigamos teniendo el teléfono en nuestro poder. 

Seguridad a lo Jabalí para Todos!!

lunes, 14 de abril de 2014

Grandes Pioneras (Barbara Thoens)

Formada en humanidades Barbara Thoens es una mujer de "letras", había pasado más de diez años en la Universidad de Heidelberj: pedagogía, sociología y ciencias políticas. En esa época también recorría Alemania con su grupo de música punk Eispruhj, la primera banda formada por mujeres en Alemania.

Introducida en la tecnología con casi 30 años, para Thoens ser hacker es una actitud de vida que significa que eres curiosa, que te interesa averiguar lo que hay detrás de algo, hacer las cosas por una misma, construir, crear y aprender.


Barbara Thoens no oculta su identidad y es usual verla en las reuniones anuales del CCC, aunque su nick en la red es un misterio y las actividades que realiza dentro del Chaos Computer Club solo estan al alcance de una élite. 

Fuentes:

Seguridad a lo Jabalí para Todos!!