jueves, 31 de mayo de 2012

Recolectando Información V Conclusiones

En artículos anteriores hablamos de ......
No gestionar adecuadamente esta información puede en el mejor de los casos perjudicar la imagen, y en muchos casos comprometer la seguridad de una empresa.
Es importante estar al día de las distintas vulnerabilidades o agujeros de seguridad que se hacen publicas en los sistemas, solucionar el problema o configurar alguna medida que lo proteja.

Algunas vulnerabilidades curiosas publicadas este año.
Problemas en algunos Routers ADSL
Se accedía mediante http://(ip_publica)/password.cgi.

Cámaras TrendNet accesibles
http://(ip publica)/anony/mjpg.cgi
Listado en Pastebin de cámaras vulnerables.

Agujero Critico en NAS BlackArmour 440 Seagate
http://(ip publica)/d41d8cd98f00b204e9800998ecf8427e.php

Como podéis comprobar Routers, cámaras, dispositivos en Red .... no se libra nada.

Además de los buscadores hay otras muchas paginas para obtener información de un sitio .....
Webs como What is my ip con muchas funcionalidades. Post de Localizacion.


Fase de Recopilación Intrusiva.
Luego de una fase de No intrusión, en la propia red tenemos todo lo necesario para completar una Auditoría, empezando por Scanner de Puertos Online. Nmap-Online.
Este artículo de DragonJar sobre el Tema es muy bueno.

Proyecto para probar Injecciones SQL también Online. Enlace al proyecto.

Y además nos quedaría analizar el código de la pagina, el tráfico y los distintos elementos de la comunicacion, cookies, certificados etc.
Particularmente me gusta la herramienta para tareas de análisis y modificación de tráfico BurpSuite.

Suites de Auditoría
En Sistemas complejos es casi obligatorio utilizar una Suite de Auditoría para automatizar el proceso, en este tipo de casos Recordar que luego hay que verificar las posibles vulnerabilidades descubiertas, es imprescindible comprobar los recursos críticos para asegurar que no son vulnerables, con este tipo de herramientas también se producen falsos positivos que hay que verificar. Pero esto queda fuera del objetivo de estos artículos, así que "de momento" solo os dejo algunos enlaces de estas herramientas.


No se puede hablar de Auditoría sin nombrar Nessus, W3af o Wikto.
Herramientas en SEcTools para auditoría o análisis de vulnerabilidades.
Y dos herramientas que recomiendo y me gustan mucho .....
Aplicación desarrollada por Juan Antonio Calles de Flu-Project Anubis.
Una de mis favoritas, motor de búsqueda impresionante de Informática64 Foca.

Con todo esto ya estamos preparados para darle un repaso a cualquier sitio XD.
Seguridad a lo Jabali para Todos!!!

miércoles, 30 de mayo de 2012

Recolectando Información IV de V

En artículos anteriores hablamos de ......
No gestionar adecuadamente esta información puede en el mejor de los casos perjudicar la imagen, y en muchos casos comprometer la seguridad de una empresa.

Bucador BING

Hay unas cuantas diferencias entre buscar con Google o buscar con Bing, entender y conocer estos parámetros puede marcar la diferencia para encontrar lo que buscamos.

En Bing [inurl: no funciona], pero se obtiene un resultado similar así …..

“ws_ftp.log” –inbody: “ws_ftp.log” –intitle: “ws_ftp.log”

El parámetro ip es muy interesante..... ip:66.55.12.249
además admite el uso de comodines, para buscar una subred entera .... ip:66.55.*.*

Buscar Información de un sitio es lo habitual en una Auditoría.

url:http://www.example.com
site:example.com/directorio [máximo 2 niveles]
domain:example.com [todos los subdirectorios]

Listados Excel

En Google utilizamos [ext] en Bing no existe, hay que emplear filetype, el tratamiento es diferente y los resultados de la búsqueda pueden ser mas interesantes con Bing.

filetype:xls name pone position

Cuentas de Correo

El parámetro NEAR puede ser muy útil para búsquedas mas especificas, por ejemplo buscando cuentas de correo ......

e-mail near:4 “microsoft.com”
mailto near:6 “microsoft.com”

Sitemap y Robot públicos

Los archivos Robots y sitemap indican a los buscadores lo que no se debe indexar, pero y ¿si lo que se publica es el propio robot? 

url:www.example.com/sitemap.xml
url:www.example.com/sitemap.txt
url:www.example.com/robot.txt

Enlaces a la pagina

Otro parámetro muy interesante es la información de los sitios que apuntan a un dominio.

Linkfromdomain:dominio

Shodan 


Busca en las cabeceras de la petición, indexa distintas tecnologías, routers, impresoras..
Registro gratuito, que influye en la búsqueda .... y a través de créditos.

Parámetros de Búsqueda

Shodan tiene algunos parámetros interesantes, en función de la cuenta de usuario que busque .....

port:161
net:80.81.106.48 [opcion details]
net:192.18.0.0/16

La ventaja de este buscador es lo sencillo y eficaz que es de utilizar

Water plant
WAP610N [dispositivo vulnerable mediante telnet al Puerto 1111]
WAP610N country:es
default password
cisco
webcam
camera

Otras opciones de Shodan LABS


Exploits del sitio


Otros Sitios Interesantes


Seguridad a lo Jabali para Todos!!!

Recolectando Información III de V

En artículos anteriores hablamos de la importancia de controlar la información publicada en la red, sobre todo si hablamos de información empresarial.

No gestionar adecuadamente esta información puede en el mejor de los casos perjudicar la imagen de una empresa, y en muchos casos comprometer información delicada o confidencial, y afectar a la seguridad de todo el sistema.
Un documento que recomiendo es La Biblia del FootPrinting en Flu-Project.

Algunas búsquedas interesantes con Google podrían ser así .....

Información sobre un Dominio
info:nombre_dominio
intitle:index.of “parent directory”
intitle:index.of inurl:admin [Algún descuido]
inurl:login
ext:listing ext:rdp/ica [Extensiones interesantes]
robot.txt .listing

Buscar Metadatos
site:mil ext:pdf intitle:”Documents and settings” [archivos con posibles metadatos, luego FOCA]

Listar Directorios
http://wwweaj-pnv.com/adjuntos/
http://wwweaj-pnv.com/adjuntos/.
http://wwweaj-pnv.com/adjuntos/.....foca [evitar filtros]
http://wwweaj-pnv.com/adjuntos/////////////////////////////////////////////////////
http://www.oracle.com/robot.txt [¿que no querrán publicar?]

Buscar Sitios Comprometidos
site:.es “cheap viagra”
site:.es “cheap adobe”
site:.es “online casino”
intitle:HFS intext:”httpfileserver” xxx
intitle:N3T- ext:php undetectable
intitle:”-N3t” filetype:php undetectable –intitle:intitle [eliminar ruido]
inurl:N3tShell,c99.txt ………..

Buscar Errores MySQL
“welcome to phpmyadmin” “create new” “Your MySQL server is running with this”

Restringir Búsqueda a un sitio
site:Dominio

Buscar Password
inurl:ws_ftp ext:ini intext:pwd

Archivos de Backup
ext:php~ mysql_connect localhost

Operador OR
ext:inc| ext:php~ mysql_connect
ext:log inurl:ws_ftp.log
ext:sql inurl:backup password “insert into”
ext:ldif userpassword site:edu

OsCommerce
intitle:”osCommerce” inurl:admin action”current folder”
Password ext:ica
site:es http://willysy.com/images/banner

Autocompletar de Google
“warnning mysql ……”

WordPress
Wp-content/plugins [buscando plugins en Wordpress]
Wp-content/plugins/akismet [error 400/403]
Wp-content/plugins/jabali [error 404]

Ejemplo vulnerabilidad
inurl:”timthumb.php”
thumb.php [no valida la llamada, solo comprueba cadena] subir picasa.com.c99.txt

http-wp-plugins NMAP

Seguridad a lo Jabali para Todos!!

lunes, 28 de mayo de 2012

España en ... "No podemos Ser mas Tontos" o que "Alguien me lo Explique"

La situación aquí es cada día mas esperanzadora .... Las empresas pequeñas cierran porque nadie compra, los organismos públicos No pagan a las empresas por sus Servicios, y esto hace que cierren.

No hay dinero, así que se recortan servicios sociales como educacion y sanidad, pero si hay fondos para reflotar Bancos que pagan sueldos Millonarios a sus ejecutivos y accionistas.

Los mismos Bancos que nos vendieron hipotecas por encima del valor de las propiedades, con altos índices de riesgo, pero no pasa nada porque luego si no puedes pagar ......
El Banco te echa de tu casa, vende la propiedad por un cuarto de su valor y tu Adeudas el resto en cómodos plazos de "Por Vida".

Estamos como queremos .......


Click en la Imagen para Aumentar.

¿Y esto que tiene que ver con Seguridad Informática?
Nada, absolutamente nada .... pero era por si alguien me podía explicar lo que estaba pasando, porque no termino de entenderlo!!! (Hasta dibuje un esquema).

Seguridad a lo Jabali para Todos!!

Índice de Artículos en Seguridad Jabali

Siempre tratando de mejorar un poco, tenemos una pestaña nueva en la que publicamos los enlaces a los artículos o grupos de estos organizados por las distintas temáticas.

En el Índice de Seguridad a lo Jabali podréis encontrar los artículos que nos parecen mas interesantes, en un intento de organizar un poco este blog sobre todo para los nuevos lectores.


Espero que os guste, ya sabéis que cualquier opinión, critica o sugerencia es siempre bien recibida, dejad vuestro comentario XD.

Seguridad a lo Jabali para Todos!!

domingo, 27 de mayo de 2012

Recomendaciones LeakedIn

Hoy como cada Domingo traigo una recomendación, en este caso es un proyecto reciente que publica entradas "mas o menos interesantes" para temas de seguridad en Pastebin.

Quizás lo interesante de este tema es  el formato, como un Blog, con lo que además de consultarlo puedes seguir las distintas actualizaciones mediante Twitter o RSS.


Un lugar interesante para estar informado de muchas de las noticias, vulnerabilidades y publicaciones de fallos de seguridad.

Seguridad a lo Jabali para Todos!!

sábado, 26 de mayo de 2012

Libros Indispensables "Una al Día de Hispasec" en PDF

Ya habíamos hablado aqui del libro de Sergio de los Santos "Una al Día, doce años de Seguridad Informática", mas tarde se publicaba en Informática64 y El Lado del Mal que se había agotado la edición en papel.

Existe una versión en PDF gratuita para descargar en la pagina de Hispasec, y aunque no es exactamente igual a la de la impresión escrita .... esta muy bien.

Así que no tenéis excusa para dejar pasar la oportunidad de leer este fantástico libro una referencia a la historia de la Seguridad Informática de la mano de los profesionales de Hispasec.


Seguridad a lo Jabali para Todos!!!

jueves, 24 de mayo de 2012

Formacion de Técnico en Seguridad Informática Finalizada

La Formacion de Técnico en Seguridad Informática ha finalizado hoy, el balance de este curso en mi opinión ha sido mucho mas que positivo, La Lila donde los responsables del centro Belén, Ángeles y Raúl nos facilitaron todas las tareas organizativas y de infraestructura gestionadas de forma espectacular y siempre estuvieron ahí para facilitarnos el trabajo, muchas gracias!!

Así comenzaba el curso hace 5 meses, 470 horas para hablar de Seguridad Informática, quizás lo difícil de este tipo de formaciones es conseguir un grupo homogeneo y con la mayor cantidad de conocimientos posibles en Sistemas.

Junto a Luis A. Oliveria de Sbinario, con años de experiencia en formacion, muchisimos conocimientos técnicos y toda la experiencia llegamos a buen puerto, desde aquí dar las gracias por su guia y consejos a la hora de impartir este curso.

Y recordaros que podéis seguir su blog Seguridad Informática desde Cero.

Empezamos casi desde cero explicando direcciones IP, el modelo OSI, protocolos y Servicios, levantando sistemas completos y analizando su funcionamiento, que partes de la comunicacion informática estaban implicadas y que riesgos asociados, aprendiendo a configurar correctamente cada servicio para mejorar la seguridad.

Durante este curso también hablamos sobre todas las vulnerabilidades que se publicaban, analizando porque sucedían y que parte de un sistema estaba afectado.

Un largo camino hasta La informática Forense, Google Hacking, Auditoría Web, SQL Injection o Metasploit, un enorme esfuerzo de todos los alumnos que afrontaron un temario enorme (30Gb de documentacion) libros, vídeos y tutoriales.

Gracias a Todos los Alumnos del curso, aquellos que sabían mas y esperaron por sus compañeros, los que sabían menos y se quemaron las pestañas estudiando para mantener el ritmo, durante todo el tiempo hubo un excelente ambiente de trabajo y tanto de forma individual o como en los ejercicios en grupo siempre hubo risas, participacion y colaboración entre todos.

El regalo para el ultimo día de clase "hackearon mi equipo" y me dejaron un gracioso fondo de escritorio, así que solo me queda decir.....

"¡Muchas gracias a Todos!! por haber hecho que sea tan fácil impartir clases".

Seguridad a lo Jabali para Todos!!

miércoles, 23 de mayo de 2012

Tutoriales Faciles con PSR de Windows

Muchas veces aquello que tenemos mas cerca o utilizamos con frecuencia es lo que menos conocemos, para todos los que escribimos un blog o tenemos que documentar una configuracion o proceso, la tarea de capturar las distintas pantallas o screenshots se vuelve una tarea pesada.

En mi caso no conocía una herramienta que viene en el propio Sistema Operativo Windows, el comando PSR, este comando lanza un software de captura de pantalla que realiza una captura por cada click del mouse.

Ejecutamos el comando PSR y pulsamos el botón de iniciar la grabacion.

Ahora cada vez que hagamos click se tomara una imagen de la pantalla.

En mi caso realizo varias pulsaciones en el photoshop para forzar que capture algunas pantallas.

Cada vez que seleccionemos alguna acción al pulsar el botón del mouse nos generara una nueva captura de pantalla, con lo que los típicos procesos de recorrer un menú, con distintas capturas de cada opción se vuelven muy fáciles de hacer.

También es muy útil para utilizar como soporte técnico de un usuario sin muchos conocimientos, es fácil de explicar como activarlo .... luego nos envía el archivo y podemos darnos una idea del problema.

Una vez concluido el proceso que estemos realizando detenemos la grabación y nos pedirá las distintas opciones para el formato y el lugar donde guardar el archivo de captura.

Es todo muy intuitivo XD.


Ya tenemos las capturas de nuestro tutorial en formato zip.


Una herramienta muy útil para documentar algunos tutoriales, espero que os gustara......

Seguridad a lo Jabali para Todos!!!

martes, 22 de mayo de 2012

MCTS 70-680 Pa la SacaaAA !!

Estamos finalizando el tema de las certificaciones y "ya tocaba el turno" de las de cliente, en este caso la certificacion MCTS 70-680 Windows Configuring.


Un paso mas para obtener las Certificaciones Profesionales IT de Microsoft MCITP, muchas gracias a todos por vuestro animo, y vuestra paciencia cuando no tenemos mucho tiempo para publicar por aquí.

Seguridad a lo Jabali para Todos!!

lunes, 21 de mayo de 2012

Abierto Call for Papers EkoParty 2012

Ha comenzado!, ya podéis empezar a enviar vuestros proyectos si queréis participar como ponentes en la Ekoparty 2012, también podéis enviar las sugerencias para el Slogan de este año XD.


La conferencia mas importante de Sudamerica y una de las mejores del mundo, con un repertorio de conferencias, talleres y actividades sin igual y siempre sorprendiendo.

Así que si tienes un proyecto que quieres compartir con la comunidad o simplemente asistir como oyente, no te lo puedes perder, vete reservando tu lugar.

La conferencia de Ekoparty fue una de nuestras primeras recomendaciones en este blog, no solo por la conferencia en si, además es una fuente de información donde ver vídeos de los mejores expertos en Seguridad Informática del panorama mundial. Enlace al Artículo.

En Seguridad a lo Jabali nos encantaría asistir, y si podemos cuadrar fechas, quizás nos tomemos unas Quilmes con vosotros. Aguanta Ekoparty!!!!

Seguridad a lo Jabali para Todos!!!

viernes, 18 de mayo de 2012

Hack Story Needs You ....

Hoy quiero hablaros de un proyecto que necesita de vuestra ayuda, muchas veces a todos los que nos apasiona la Seguridad Informática, las telecomunicaciones o el Hacking escuchamos como se asocia la palabra Hacker a términos como delito, delincuencia o piratería.

Mas allá de la idea romántica del Underground, quedan muchas horas de estudio cuando todos los demás duermen, muchas horas solitarias resolviendo cuestiones técnicas para entender un poquito mas, para aprender una cosa nueva.


¿Cuantas veces tienes la oportunidad de ayudar a difundir la palabra Hacker?

Mercè Molist trabajan en este proyecto Hack Story para difundir la realidad del mundo Hacker, y dar a conocer una información documentada de toda una cultura que se siente identificada con la palabra Hacker.

Hoy tienes la oportunidad de no guardar silencio, de no definirte como Auditor, como Informático, como "Hacker ético".

Es el momento de decir soy (o quiero llegar a ser) Hacker y aportar algo a este proyecto, para poder informar a todo el mundo de la realidad.
Difunde el tema, publica en tu blog, en tu red social ...... es la hora de moverse!!
Y si quieres prestar apoyo económico o colaborar te dejo este enlace ....



Seguridad a lo Jabali para Todos!!!

miércoles, 16 de mayo de 2012

Doy Fé!

Ayer hablando con un amigo sobre ¿donde estudiar seguridad informática? y es una conversacion que muchas veces se repite en foros y clases ....pensaba en el tiempo que dedicamos a esto.

Estamos terminando el curso de Seguridad Informática que imparto en el centro de La Lila, y haciendo un poco de "Balance de como ha sido el curso" nos damos cuenta que el temario de la Seguridad Informática siempre es muy extenso.

En los últimos 3 años con una media de 10 horas diarias, todos y cada uno de los días del año salen 10.000 horas invertidas.

En un horario lectivo normal de 5 horas a la semana, 175 días al año son mas de 11 años de estudio.

La conclusión es que no sale rentable, te tiene que gustar.

Las Certificaciones Oficiales suelen ser 40 o 50 horas de clases mas el tiempo del examen, así que en comparacion el tener una certificacion "te avala hasta cierto punto".

Quedan muchas horas de estudio por delante en una profesión en la que tienes la sensacion de que "siempre estas aprendiendo, siempre sabes poco" así que es mejor que te acostumbres a esa sensacion y disfrutes del viaje!!

Puede que tengas algún certificado pero si no estas dispuesto a dedicarle tiempo quizás termines como "El Luisma" ese personaje de la serie de humor Aida, aquí dejo un vídeo para los que no vieron la serie ...........


Seguridad a lo Jabali para Todos!!

lunes, 14 de mayo de 2012

Formacion Bonificada 70-659

Hoy en día es difícil saber si un curso te va a proporcionar una mejora en tu perfil profesional, las certificaciones mejoran el currículum pero eso no es indicativo de nuestros conocimientos, aunque para muchas entrevistas es importante.
Por otra parte recibir una buena formacion pero no disponer de una acreditacion académica que lo demuestre.... en el caso que nos ocupa se cumplen los dos requisitos:

Una excelente formacion impartida por Diaz Antuña, con muchos conocimientos de los Entornos Server de Microsoft, con el que aprender la materia.
Un Certificado Oficial de Microsoft que acredite los conocimientos adquiridos.


(Click en la Imagen para Aumentar)

Si eres Trabajador en activo puedes bonificar la formacion, mas información en la pagina del centro donde se impartirá el curso www.academialugones.com.
No te lo pierdas!!

Seguridad a lo Jabali para Todos!!

domingo, 13 de mayo de 2012

Recomendaciones Seg Informatica

Hoy Domingo os propongo mi recomendación El Blog de Seguridad Informática de @Poison un sitio muy reciente, pero que llega con mucha fuerza y del que ya habíamos hecho mención en Seguridad a lo Jabali.

En SegInformatica podréis encontrar mucha información interesante y actualizada sobre seguridad informática.

En sus últimos artículos esta escribiendo una serie de capítulos sobre vulnerabilidades en entornos web, y como mejorar la seguridad.

Además de artículos sobre distintos aspectos de actualidad en seguridad informática, nuevas vulnerabilidades descubiertas como el caso de WPS, aprender a utilizar distintas herramientas, todo ello muy bien documentado con explicaciones y graficos o esquemas para entender que estamos haciendo o participar en sus Retos Hacking.

Un excelente trabajo el de Poison realizado en SegInformatica, ya sabéis un sitio mas para añadir a vuestros RSSs.

Seguridad Informática a lo Jabali para Todos!!

sábado, 12 de mayo de 2012

Te voy a Dar un Byte

En el mundo de la Informática lidiamos con ciertos tópicos respecto a la personalidad y aspecto de los profesionales ....... Afortunadamente las tendencias están cambiando y además de tener muchisimas mas chicas Ingenieras o estudiando informática, conozco unas "cuantas que saben bastante mas que el resto de sus compañeros", a pesar de que no lo dicen y "dejan creer que los chicos saben mas...."

Existe la creencia que los informáticos no sabemos relacionarnos socialmente (o mas bien seducir) y eso que somos expertos en Ingenieria Social, así que para animar el Fin de Semana y desmentir esta Leyenda Urbana os dejo este vídeo.....espero que os guste.


Para que luego digan que no sabemos ligar ja,ja,ja,ja ..... Buen fin de Semana a todos!! XD

Fuente:Canal de Chip Torres.

Seguridad a lo Jabali para Todos!!

jueves, 10 de mayo de 2012

Password in plaintext for everybody

Ayer publicabamos la noticia de los password, parece ser que entre repetidos y las cuentas para hacer spam quedan en unos 30.000.
Twitter ha informado que a los usuarios afectados se les envió una nueva contraseña, pero seguimos sin saber detalles del incidente, ¿como se consiguieron esas cuentas? ¿se vulnero una base de datos? ¿Ataque interno?

En Seguridad a lo Jabalí insistimos una vez mas que se podían ver en el listado contraseñas en texto plano, lo cual nos hace desconfiar de la noticia o de los datos del incidente.

Desde hace muchos años se recomienda almacenar los datos de password aplicándoles un algoritmo unidireccional o hash.

¿Que diferencia puede haber?
La respuesta es muy sencilla, el usuario es una cuenta de correo, sera el mismo para muchas plataformas, otras redes sociales, sitios de pago y posiblemente la contraseña es igual o muy parecida (vamos! sin los números del final).

Entonces el cambiar la password desde la plataforma comprometida no soluciona la totalidad del daño, es cierto que la responsabilidad de utilizar distintas claves es del usuario (pero cuantos realmente lo hacen), también es verdad que al publicarse la cuenta de correo y las contraseñas en texto plano se comprometen otras cuentas de ese usuario.

Ampliando la imagen podéis ver que hay muchas contraseñas sin hash y sin ninguna complejidad, en Twitter no funcionaran porque se cambiaron, ¿pero esa misma cuenta en facebook? ¿utilizara la misma clave? ¿y el mail?

Seguridad a lo Jabali para Todos!!!

miércoles, 9 de mayo de 2012

Twitter 50.000 ¿Password in PlainText?

Saltaba la noticia, que ya os adelanto que "parece mas de lo que es", se publica en pastebin un listado de usuarios y contraseñas de mas de 50.000 usuarios.

La fuente de la información Airdemon con los enlaces a los listados con las distintas cuentas


El motivo y los métodos empleados para realizar el ataque todavía se desconocen, y aunque lo recomendable es revisar si tu cuenta esta comprometida, la mayor parte de las cuentas informaba Twitter que estaban desactivadas o de equipos troyanizados, aunque la compañía esta haciendo todos los esfuerzos por minimizar los daños en los clientes afectados.

Los enlaces a los listados de usuarios y contraseñas siguen funcionando en estos momentos.

Existen unas 20.000 cuentas repetidas y otras muchas son bots, eso no reduce la gravedad de la situación, por lo que Twitter ya ha comenzado a enviar nuevas contraseñas a los usuarios afectados.
Fuente: 20minutos.es.

Uno de los datos mas curiosos y que opino que es muy relevante es que las contraseñas aparecen en texto plano, es decir sin Hashear, método habitual en el tratamiento de contraseñas en una base de datos.

¿Twitter almacena las contraseñas en texto plano?
Esperamos a tener mas noticias sobre este ataque y como se filtraron esos datos.

Seguridad a lo Jabali para Todos!!

lunes, 7 de mayo de 2012

Cálico Electrónico Nueva Temporada

Ya sabréis todos que para ser un buen profesional de la seguridad informática es imprescindible la formacion, y cualquier Haxor que se precie tiene que saber encontrar un ZeroDay en el ultimo sistema operativo (Apple no cuenta), hackear la base de datos ultrasecreta, robar las conversaciones de la Red Social de su novia y destruir al Supermalvado de Turno.

¿Como? ¿Que no sabes como derrotar al Supermalvado?

Entonces no te puedes perder la Ultima Temporada de Cálico Electrónico, si como lo oyes!!

El SuperJirou ha vuelto y con mas ganas que nunca, remasterizado, reenderizado y "pasterizado" la creación de @Nikotxan vuelve a la carga, patrocinada por Informatica64 y Esset, lo cual nos da un argumento para pensar que mientras vemos los capítulos estamos mejorando nuestra formacion en seguridad.

Para los que ya lo conocen es la cuarta Temporada, y los que no, pueden ponerse al día con las tres temporadas anteriores, asignatura imprescindible!!!

Así que si no publicamos mucho ultimamente es que estamos estudiando (Con Cálico of course), tenéis mas información en los siguientes enlaces ......


Seguridad a lo Jabali para Todos!!!

domingo, 6 de mayo de 2012

Recomendaciones Seguridad Informática desde Cero

Nuevamente es Domingo y como siempre os dejo mi recomendación, hoy quiero hablaros de un nuevo proyecto .... Seguridad Informática Desde Cero.

Luis Ángel Oliveira es un profesional con una dilatada carrera en el mundo de la Informática, Ingeniero Informático, MICTP, Lead Auditor, socio fundador de Sistema Binario, consultor y formador con mas de quince años de experiencia y una de las personas que mas esfuerzos ha realizado por mejorar la calidad de los profesionales en la Región fomentando conferencias e impartiendo cursos.

Los que hemos tenido el privilegio de asistir a sus clases, disfrutamos de un  profesional con muchisima experiencia practica (algo no muy frecuente) y solida formación académica.

Pero sobre todo Luis disfruta con la seguridad informática y la enseñanza, siempre esforzándose para que los alumnos comprendan el funcionamiento de los protocolos y las implicaciones técnicas y que muchas veces la seguridad es una forma de pensar, el probar algo diferente en un sistema.

Personalmente ha sido "todo un lujo" impartir las clases junto a Luis del curso de Seguridad Informática este año, con la responsabilidad que lleva consigo tratar de impartir una formación de calidad.

Ahora Luis Oliveira inicia un nuevo proyecto a modo de blog para compartir con la comunidad sus conocimientos y experiencia en Seguridad Informática desde Cero, un lugar que sin dudad se va a convertir en sitio de referencia para todo el que este interesado en Seguridad Informatica.

Además se ha comprometido a escribir algún que otro articulo en Seguridad "a lo Jabali", así que es posible que disfrutemos de algún post de calidad en este blog!!!

Seguridad a lo Jabali para Todos!!

sábado, 5 de mayo de 2012

XI Congreso Ciberciudadano

El próximo día 17 de Mayo celebraremos en el Cibercentro de La Lila el XI congreso Ciberciudadano, en esta ocasión el Tema es Cloud Computing "Las TIC se suben a la Nube".

El edificio de La Lila es seguramente uno de los lugares mas bonitos de la ciudad de Oviedo.
Para mi es todo un privilegio durante los últimos meses poder impartir clases de Seguridad Informática en este edificio.

El centro pertenece al Ayuntamiento de Oviedo y esta gestionado por la Asociación de Amigos de Internet A.A.I. donde además de Cibercentro, sala de estudio y distintas salas de Exposición, se organizan muchisimas actividades culturales y tecnologicas, incluidos los cursos de Seguridad Informática.

Así que el 17 de Mayo disfrutaremos del XI Congreso Ciberciudadano os dejo una imagen con las actividades y los horarios, yo personalmente asistiré con los actuales alumnos del curso, así que si te apetece pasarte por el centro, nos veremos.


(Click en la Imagen para Aumentar)

Seguridad a lo Jabali para Todos!!

miércoles, 2 de mayo de 2012

Libros Indispensables "Hacking y Seguridad en comunicaciones móviles"

Hacia un tiempo que no publicaba artículo sobre los libros que estoy leyendo y la verdad es que con las certificaciones no dispongo de mucho tiempo ultimamente .... a pesar de ello en Informatica64 se han propuesto "que se me rompa la estantería de los libros de informática" y no paran de publicar libros a cual mas interesante.

Aunque todavía no lo he terminado de leer junto con el de SQL Injection de Chema Alonso y Enrique Rando,[ que ya no se si poner ` or 1=1 en el móvil en el examen de certificacion o en el campo del formulario] os recomiendo leer este libro de José Picó y David Pérez si estáis interesados en la Seguridad en dispositivos móviles, Hacking y Seguridad Móviles.

El equipo de Taddong es uno de los pioneros en estudiar la parte de seguridad en este tipo de comunicaciones, además de compartir con la comunidad muchas horas de estudio de las tecnologías empleadas por los dispositivos móviles.

Así que no te esperes un libro facilito, hay muchisima información y referencias para consultar los protocolos implicados, con este libro aprenderás como funcionan estas comunicaciones en todos los niveles (vete olvidandote del modelo OSI).
José Picó y David Pérez explican de forma comprensible el funcionamiento y las posibles implicaciones de seguridad en cada parte del proceso de comunicacion.

Nota del Autor:Aunque personalmente trabaje en el departamento técnico de una multinacional telefónica, la lectura del libro requiere consultar referencias, se describe con bastante detalle el comportamiento de los protocolos de telefonía.
Cada día esta mas presente el uso de estos dispositivos en nuestro entorno, tanto particulares como empresariales, y saber como funcionan se vuelve una necesidad indispensable para todos los que estemos interesados en la parte de Seguridad.

Seguridad a lo Jabali para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias