domingo, 28 de diciembre de 2008

Noticias sobre nmap

En http://isc.sans.org/diary.html?storyid=5566&rss tenéis una noticia para poder disfrutar y aprender con nmap, además de la noticia de la reciente publicación del libro "Nmap network scanning" de Fyodor. En la práctica 2 de PSI tratamos algunos temas relacionados con el "scanning", tanto activo como pasivo, de sistemas remotos. Sin duda alguno, nmap es una de las herramientas a tener siempre a mano. Tanto para dicho apartado de la práctica, como para hacer todo tipo de pruebas y poder ampliar los conocimientos, es una de las recomendables. Procura hacer las pruebas sobre tus máquinas y deja tranquilos a los administradores de máquinas ajenas. Mañana serás tu el que pueda estar administrando dichas máquinas.

ferm: a straightforward firewall configuration tool

Existe una gran cantidad de utilidades para configurar nuestros "firewalls". Aquí dejamos una entrada con información de la herramienta ferm. Sin duda alguna una potente herramienta que facilita la configuración.

Entrada completa en.: http://debaday.debian.net/2008/12/14/ferm-a-straightforward-firewall-configuration-tool/

miércoles, 10 de diciembre de 2008

Deportes en el mar

A finales del mes de diciembre de 2008 el Ayuntamiento de A Coruña organiza cursos de catamarán, vela, windsurf, surf, buceo, remo, etc. Los precios de dichos cursos, de tres días de duración de cada modalidad, están en 15 €. Que nadie diga que navegar es caro. Estos precios son un regalo total. Nuestro apoyo al ayuntamiento para que siga organizando este tipo de actividades para poder iniciar a la gente joven en este tipo de deportes.

En http://www.coruna.es/servlet/Satellite?c=Page&pagename=Portal%2FPage%2FPortal-SubportadaSeccionDescriptivos&cid=1227878698550 tenéis información de dichos cursos. De muchos de estos cursos no puedo hablar, los de catamarán y windsurf los organiza el Punto Pasión Playa de Oza, y la gente de la escuela de vela es de lo mejor. Hace unos cuantos años hice esos cursos con ellos, y son muy recomendables. Animaros, seguro que las plazas vuelan.

smartmontools: control the health of your hard disk

La práctica 3 de PSI está pensada para analizar y probar distintos aspectos relacionados con la protección y seguridad en los dispositivos de almacenamiento. En esta entrada se presenta una noticia relacionada con una herramienta para el análisis de la "salud" de nuestros discos duros, esos pequeños aparatitos que traen nuestros computadores, y que de vez en cuando nos dan algún susto. Es muy posible que en futuras versiones de la práctica 3 incluyamos algún apartado relacionado con esta herramienta.

Modern SCSI disks have it too if they’re SCSI 3 or newer. It happens that inside the disk chipset there are routines to check parameters of disk health: spin-up time, number of read failures, temperature, life elapsed… And all of those parameters are not only registered by the disk chipset, but they have designated security limits and both parameters and limits can be checked by software who access the disk using the appropriate I/O instructions.
And that software is smartctl, a piece of the smartmontools deb package.

[Fuente noticia completa.: http://debaday.debian.net/2008/10/12/smartmontools-control-the-health-of-your-hard-disk/]

martes, 9 de diciembre de 2008

rkhunter (localizando rootkits)

Esta aplicación, con licencia GPL, está ideada para detectar puertas traseras en tu sistema o alertar de actividades sospechosas en el mismo.

Realiza entre otras las siguientes operaciones.:

- Análisis del disco duro en busca de los rootkits más comunes.
- Comparaciones de hashes MD5.
- Busca ficheros que son usados habitualmente por rootkits.
- Realiza un análisis de ficheros binarios y los que se hayan movidos de su lugar habitual.
- Busca cadenas sospechosas en módulos como LKM y KLD.
- Módulos de Apache así como su configuración.
- Interfaces funcionando en modo promiscuo (posibles sniffers).
- Aplicaciones a la “escucha” que usen la librería libcap.
- Ficheros que hayan sido borrados recientemente y los ocultos.

[Fuente de la noticia completa.: http://www.daboweb.com/2008/12/07/localizando-rootkits-backdoors-o-puertas-traseras-en-gnulinux-unix-bsd-con-rkhunter/]

MD5 bruteforce benchmark

En http://3.14.by/en/read/md5_benchmark está disponible una interesante página en la que se comparan distintos métodos de "cracking" del hash md5.

Existe una gran cantidad de "crakeadores", entre ellos.:

- John The ripper: http://www.openwall.com/john/
- THC Hydra: http://www.thc.org/thc-hydra/
- Aircrack: http://www.aircrack-ng.org/
- Cain & Abel: http://www.oxid.it/cain.html
- L0phtcrack : http://ophcrack.sourceforge.net/
- RainbowCrack: http://www.antsight.com/zsl/rainbowcrack/

Fuentes de información

BÁSICA

- A. Santos del Riego. Legislación [Protección] y Seguridad de la Información. http://psi-udc.blogspot.com
- Videos clases expositivas 2020-2021 (compartidos en Stream)
- debian.org. Debian. http://www.debian.org/
- OWASP Top 10.: OWASP Top Ten Web Application Security Risks | OWASP
- yolinux. yolinux. http://www.yolinux.com/
- Packet Storm. Packet Storm. http://packetstormsecurity.org/
- Criptored. http://www.criptored.upm.es/
- Miguel PEGUERA POCH (coord.) (2010). Principio de Derecho de la sociedad de la información. Cizur Menor: Aranzadi
- José APARICIO SALOM (2009). Estudio sobre la Ley Orgánica de protección de datos de carácter personal. Pamplona: Aranzadi
- Lorenzo COTINO, Julián VLAERO (coords.) (2010). Administración electrónica. Valencia: Tirant lo Blanch
- José Luis PIÑAR MAÑAS (dir.) (2011). electrónica y ciudadanos. Madrid: Civitas
- Manuel CASTELLS (2009). Comunicación y poder. Madrid: Alianza
- Miguel Ángel DAVARA RODRÍGUEZ (2008). Manual de Derecho informático. Pamplona: Aranzadi
- Antonio TRONCOSO (2010). La protección de datos personales. En busca del equilibrio. Valencia: Tirant lo Blanch
- Gonzalo F. GÁLLEGO HIGUERAS (2010). Código de Derecho informático y de las nuevas tecnologías. Madrid: Civitas
- Javier ORDUÑA, Gonzalo AGUILERA (dir.) (2009). Comercio, Administración y Registros electrónicos. Madrid: Civitas


COMPLEMENTARIA

- Security Focus. http://www.securityfocus.com/
- Common Vulnerabilities and Exposures (CVE). http://www.cve.mitre.org/
- NIST Computer Security Division. http://csrc.nist.gov/
- CERT:Computer Emergence Response Team. http://www.cert.org
- AntiOnline. http://www.antionline.com/
- Delitos Informáticos. http://www.delitosinformaticos.com/
- (in)secure magazine. http://www.net-security.org/insecure-archive.php
- Linux Journal. http://www.linuxjournal.com/
- Security art work. http://www.securityartwork.com/
- Security by default. http://www.securitybydefault.com/
- Pekka HIMANEN (2002). La ética del hacker y el espíritu de la era de la información. Barcelona, Destino
- Lawrence LESSIG (2001). El código y otras leyes del ciberespacio. Madrid, Taurus
- Justo GÓMEZ NAVAJAS (2005). La protección de los datos personales. Cizur Menor, Thomson Civitas
- Fernando MIRÓ LLINARES (2005). Internet y delitos contra la propiedad intelectual. Valencia: Tirant lo Blanch
- Antoni FARRIOLS I SOLA (2006). La protección de datos de carácter personal en los centros de trabajo. Madrid: Cinca
- Pedro DE MIGUEL ASENSIO (2011). Derecho privado de internet. Madrid: Civitas
- Esther MORÓN LERMA (2002). Internet y Derecho penal. Pamplona: Aranzadi...

JOB OPENINGS


Monster
CareerBuilder
Computerjobs.com
Craigslist

Evaluación

PRUEBA DE RESPUESTA MÚLTIPLE (60% de la calificación)

Esta prueba incluye los contenidos y, en general, todo aspecto relacionado con los objetivos de la asignatura. En ella se plantean diversas cuestiones relacionadas tanto con los contenidos de las sesiones magistrales como de las prácticas de laboratorio.


PRUEBA ORAL-PRÁCTICAS DE LABORATORIO (40% de la calificación)

Cada grupo de prácticas de laboratorio, y tras considerar que ha superado cada práctica, siempre antes del plazo establecido para cada práctica, deberá pasar una prueba en máquina. En ella se plantean pruebas que los alumnos deberán defender sobre las máquinas virtuales del laboratorio de prácticas.

Para aprobar la asignatura será necesario tener superadas las prácticas de laboratorio. En la convocatoria de julio, en su defecto, a la prueba de respuesta múltiple se le añadirá una prueba de la parte práctica, que deberá ser superada por separado.

Metodología

SESIÓN MAGISTRAL

Transmisión de información y conocimientos clave de cada uno de los temas. Se potencia en ciertos momentos la participación del alumno. Como parte de la metodología, un enfoque crítico de la disciplina llevará a los alumnos a reflexionar y descubrir las relaciones entre los diversos conceptos, formar una mentalidad crítica para afrontar los problemas y la existencia de un método, facilitando el proceso de aprendizaje en el alumno.

También será fundamental la transmisión de los conceptos y conocimientos éticos y jurídicos básicos en seguridad de la información. Su singularidad hace que se dedique cierto tiempo a la exposición del lenguaje específico que soporta los conceptos, y que sirve de principal medio de comunicación y argumentación ética y jurídica. Esto permitirá al alumno comprender el lenguaje y los conceptos que integran los aspectos éticos y jurídicos de la informática.

Para luchar contra la posible pasividad del alumno, en ciertos momentos se plantean pequeñas cuestiones, que hagan reflexionar al alumno, complementando dichos aspectos con referencias bibliográficas que le permitan enriquecer el conocimiento adquirido. Este intercambio con el alumno, como parte de la lección magistral, nos permite controlar el grado de asimilación de los conocimientos por parte del mismo.

Las lecciones magistrales incluyen, tanto conocimientos extraídos de las referencias de la asignatura, como los resultantes de nuestras propias experiencias profesionales, fomentando la capacidad de análisis crítico. En todo momento se busca que cierta parte de los contenidos aportados no requieran del alumno una tarea de memorización. Esta metodología tratará de conseguir un alto grado de motivación en el alumno.               .


ANÁLISIS DE FUENTES DOCUMENTALES

Lectura y examen crítico de los principales documentos éticos y jurídicos de la informática. Sirven de introducción general. Proporcionan una explicación histórica y sistemática de su significado. Son de gran importancia en el contexto del resto de metodologías utilizadas en la asignatura.


ESTUDIO DE CASOS

El análisis ético y jurídico de la informática tiene unas características específicas. Con el estudio de casos se pretende examinar la estructura y los contenidos de los problemas presentes en los casos, tanto de manera individual como en grupo. Es una forma de aprendizaje de contenidos y también metodológica, en la que el estudiante aprende a analizar, deliberar y llegar a conclusiones fundamentadas y razonables con los argumentos éticos y jurídicos.

PRÁCTICAS DE LABORATORIO

Las clases prácticas permiten sacar el máximo provecho en la retroalimentación, refuerzo y asimilación de los objetivos. Los desarrollos prácticos se inician con una práctica básica, y se eleva su dificultad paulatinamente. En todo momento se presenta al alumno el conjunto de ideas y técnicas que permiten el desarrollo práctico de los conocimientos transmitidos en las sesiones magistrales. En las prácticas se proponen diversos apartados que plantean una batería de dificultades tratadas durante el estudio del tema. Se buscará la interrelación entre los distintos apartados, aportando un contexto de ejercicio completo, para lograr en el alumno una visión de conjunto, revelando los nexos existentes entre cuestiones que podrían parecer lejanas. En todas las clases prácticas se utilizan máquinas virtuales sobre computadoras como herramienta básica para la resolución de los ejercicios. El alumno podrá seleccionar e instalar aquellas herramientas que considere más oportunas en cada caso. De esta forma, se le requerirá, desde un primer momento, que se enfrente a toma de decisiones, analizando las ventajas y desventajas en todos y cada uno de los casos. En este punto inicial, será fundamental un asesoramiento personalizado, que permita un análisis realista sobre las decisiones tomadas, facilitando la retroalimentación de nuevos parámetros no considerados a priori.


PRUEBA DE RESPUESTA MÚLTIPLE

Esta prueba estará orientada a determinar si el alumno ha asimilado los distintos objetivos de la asignatura.


PRUEBA ORAL

El alumno deberá defender, mediante una prueba oral, cada una de las prácticas de laboratorio. Dicha prueba, de carácter práctico, hará uso de las máquinas virtuales utilizadas en las prácticas de laboratorio.


EVENTOS CIENTÍFICOS DIVULGATIVOS

Sin duda alguna, todo evento científico-divulgativo, especialmente en temas de seguridad de la información, será una valiosa herramienta para la obtención de los objetivos de la asignatura. Señalar que este tipo de eventos son de especial relevancia en el proceso de motivación. Además, esta metodología permite establecer un contacto directo entre los alumnos y los profesionales del sector. De esta forma el alumno puede perfilar distintos aspectos de nuestra realidad profesional.

Contenidos de la asignatura de L[P]SI

En esta asignatura se podría plantear un temario enorme, que cubriese todos y cada uno de los campos de la Legislación [Protección] y Seguridad Informática. Posiblemente quedaría muy bonito en los papeles, y parecería que somos la "...". En una asignatura cuatrimestral eso sería un gran error. El temario "real" de la asignatura está orientado a los tiempos de la misma y al perfil de sus alumnos. No trata de cubrir los muchos campos de la seguridad de la información. Su principal objetivo es el dar una buena base en esta materia.


CONTENIDOS.:

1.- Fundamentos y categorías de ataques.
- Fundamentos de protección y seguridad.
- Categorías de ataques.

2.- La trilogía.
- "Hosts discovery".
- "Port scanning".
- "Fingerprinting".

3.- Ocultación.

4.- "Sniffing".

5.- D[D]oS.

6.- Seguridad a nivel físico.

7.- Monitorización y filtrado en seguridad de la información.

8.- Certificados digitales y autoridades de certificación.

9.- Metodologías y auditorías de seguridad.

10.- La regulación jurídica de la informática.
- Derecho. Elementos y conceptos jurídicos básicos.
- Ética profesional y deontología.
- Autorregulación. Códigos de conducta, códigos de práctica, códigos tipo.

11.- La prestación de servicios y la tutela de los derechos en la sociedad de la información.
- La prestación de servicios en la sociedad de la información. Servicios de intermediación. Servicios de certificación.
- La contratación electrónica y la contratación informática.
- Las comunicaciones comerciales electrónicas.
- La firma electrónica.
- La Administración electrónica.
- La resolución judicial de conflictos.
- Las soluciones extrajudiciales. La autorregulación. El arbitraje electrónico.

12.- La protección de los datos de carácter personal.
- Introducción y delimitaciones conceptuales.
- Constitución, derechos fundamentales y protección de datos.
- La legislación española de protección de datos de carácter personal. Disposiciones generales. Principios. Sujetos. Derechos. Obligaciones. Medidas de seguridad. Procedimientos.
- Autorregulación y protección de datos personales.
- Criminalidad informática y datos personales.
Temario Prácticas y Seminarios.
- Seguridad (fundamentos y configuraciones básicas).
- Categorías de ataques e identificación de recursos.
- Seguridad a nivel físico.
- Autoridades de certificación y auditorías de seguridad.


PRÁCTICAS Y SEMINARIOS.

- Seguridad (fundamentos y configuraciones básicas).
- Categorías de ataques e identificación de recursos.
- Autoridades de certificación y auditorías de seguridad.
La última versión de Fedora trae una nueva herramienta de IDS, sectool (security audit & IDS).

https://fedorahosted.org/sectool/

Sin duda alguna es de gran interés la aparición de nuevas herramientas que puedan llegar a constituir una alternativa a otras clásicas como nessus o snort.

Lo limitado de mi tiempo hará difícil que pueda meterme a fondo con esta herramienta. Si algún lector la ha probado y analizado, agradecería un breve email con las conclusiones finales.
Aunque esta noticia no está vinculada con la seguridad, sin duda alguna se debe destacar el esfuerzo en desarrollos educativos de este tipo.

Existen dos campos fundamentales en la sociedad, el principal la sanidad y, tras este, la educación. Cualquier desarrollo en estos campos tiene la suficiente importancia como para publicitarse. En este caso, estamos ante un software educativo para nuestros enanos.

gcompris: educational suite for children

Revista electrónica de seguridad, (IN)secure Magazine nº 19



Revista electrónica de seguridad, (IN)secure Magazine nº 19

Se ha liberado el número 19 de la veterana revista electrónica de seguridad “Insecure Magazine” con interesantes contenidos (en Inglés). El formato en el que se ofrece (de forma gratuita) es en PDF y se pueden leer artículos completos sobre cuestiones de seguridad. También se hacen breves reseñas a nuevos productos y aplicaciones que emergen en este campo.

En este número podemos encontrar entre otros los siguientes contenidos:

- The future of AV: looking for the good while stopping the bad
- Eight holes in Windows login controls
- Extended validation and online security: EV SSL gets the green light
- Interview with Giles Hogben, expert on identity and authentication technologies (ENISA)
- Web filtering in a Web 2.0 world
- RSA Conference Europe 2008
- The role of password management in compliance with the data protection act
- Securing data beyond PCI in a SOA environment: best practices for advanced data protection
- Three undocumented layers of the OSI model and their impact on security
- Interview with Rich Mogull, founder of Securosis

Descarga directa del número 19

Noticias Sun microsystems

NTT Data, el mayor integrador de sistemas de Japón, fortale la seguridad y reduce los requisitos de mantenimiento reemplazando sus PC por clientes ligeros de pantalla virtual Sun Ray 2FS y servidores Sun Fire X4100 M2. Según comenta Tadashi Omura, director de la unidad de sistemas financieros de la compañía nipona: "la solución Sun Ray ahorrado tiempo y dinero, y nos ha proporcionado la seguridad que necesitábamos en nuestra organización".

[Fuente.: Sun Good News. Noticias de Sun Microsystems]

lunes, 1 de diciembre de 2008

Red Criptored (noticias mes de noviembre)

RED TEMATICA CriptoRed: Resumen de Actualidad 91, noviembre de 2008


1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED

* Análisis de Metadatos en Archivos Office y Adobe (Andrea Díaz, JuanRuíz; dirección Jeimy Cano, Word, 11 páginas, Colombia)http://www.criptored.upm.es/guiateoria/gt_m142g1.htm

* El ROI de la Seguridad y las Primas de Seguros (Carlos Ormella Meyer,PDF, 8 páginas, Argentina)http://www.criptored.upm.es/guiateoria/gt_m327c.htm

* ISO 20000 e ISO 27001: tan distintas, tan iguales (Joseba Enjuto Gozalo,PDF, 5 páginas, España)http://www.criptored.upm.es/guiateoria/gt_m733a.htm

* Seguimiento de Botnets: Estructura, Funcionamiento y Detección (AndreaDíaz, Juan Ruíz; dirección Jeimy Cano, Word, 10 páginas, Colombia)http://www.criptored.upm.es/guiateoria/gt_m142f1.htm

* 329 documentos para su libre descargahttp://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROSSERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Octubre de 2008 (España)http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200810.pdf

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Diciembre 1 de 2008: Tercer Día Internacional de la Seguridad de laInformación DISI 2008http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

* Diciembre 1 al 5 de 2008: V Congreso Internacional de Telemática yTelecomunicaciones CITTEL 08 (La Habana, Cuba).http://www.cujae.edu.cu/eventos/convencion/cittel/

* Diciembre 3 al 5 de 2008: 7th International Information andTelecommunication Technologies Symposium (Foz do Iguaçu, Brasil)http://www.i2ts.org/

* Diciembre 3 al 5 de 2008: International Conference E-Activity andLeading Technologies (Madrid, España)http://www.iask-web.org/e-alt08/e-alt2008.html

* Diciembre 10 al 12 de 2008:Conferencia Ibero Americana IADIS WWW /Internet 2008

(Lisboa, Portugal)http://www.ciawi-conf.org/

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad enTecnologías de la Información (La Habana, Cuba)http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society 2009(Barcelona, España)http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on PracticalApplications of Agents and Multiagent Systems (Salamanca, España)http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW2009 (Madrid, España)http://www2009.org/

* Abril 23 al 25 de 2009: Cuarto Congreso Colombiano de Computación 4CCC(Bucaramanga, Colombia)http://serverlab.unab.edu.co/4ccc

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad InformáticaACIS 2009 (Bogotá, Colombia)http://www.acis.org.co/index.php?id=1246

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers andCommunications ISCC 09 (Sousse, Túnez)http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de laInformática (Barcelona, España)http://jenui2009.fib.upc.edu/
CONGRESOS ANUNCIADOS EN LA IACR:* International Association for Cryptologic Research IACR Calendar ofEvents in Cryptology:http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD


5. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2008Para ampliar las noticias:http://www.criptored.upm.es/paginas/historico2008.htm#nov08

* DISI 2008 por video streaming (España)- Enlace en directo: mms://amon.gate.upm.es/campus-sur- Enlace en diferido: mms://amon.gate.upm.es/videos/0809/upm/disi.wmv

* Call for Papers Revista International Journal on InformationTechnologies & Security (Bulgaria)http://www.criptored.upm.es/descarga/INFO_Journal%20IT&Security.zip

* CFP para la IX Jornada Nacional de Seguridad Informática ACIS 2009(Colombia)http://www.acis.org.co/index.php?id=1246

* CFP Cuarto Congreso Colombiano de Computación 4CCC (Colombia)http://serverlab.unab.edu.co/4ccc

* Libro Conmemorativo de los 10 años de Una Al Día de Hispasec Sistemas(España)http://www.hispasec.com/uad/index_html

* Primera Jornada Estado del Arte de la Seguridad: El Rol del CSO (Argentina)http://cxo-community.com.ar/index.php?option=com_events&task=view_detail&agid=93&year=2008&month=11&day=25&Itemid=1

* CFP XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009(España)http://jenui2009.fib.upc.edu/

* Conferencia FIST Noviembre 2008 en el CSIC de Madrid (España)http://www.fistconference.org/

* Semana Internacional de la Seguridad Informática (Argentina)https://seguridadinformatica.sgp.gob.ar/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 734 (198 universidades y 276 empresas representadas)http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 26.206 visitas, con 101.662 páginas solicitadas y 41,33GigaBytes servidos en noviembre de 2008.Las estadísticas AWStats del mes se muestran en páginas estáticasactualizadas cada día a las 00:05 horas.http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.

viernes, 28 de noviembre de 2008

Antimalware (visión discotequera)

En PSI vemos distintas técnicas de infección vírica y distintos conceptos relacionados con las diversas formas del malware. También estudiamos las características básicas del software anti-malware y su problemática. Sin duda alguna, nunca existirá un software anti-malware infalible, ni mucho menos. Como dice un buen amigo, en esta vida nada es negro o blanco, más bien todo se encuentra en un amplio espectro de escala de grises. En esta entrada se incluye una visión evolutiva, muy general, de una visión de este tipo de software y su problemática, ilustrada de una forma totalmente comprensible considerando una visión un tanto discotequera.

domingo, 23 de noviembre de 2008

Día Internacional de la Seguridad de la Información (DISI 2008)

El Tercer Día Internacional de la Seguridad de la Información DISI 2008 secelebrará en la Escuela Universitaria de Ingeniería Técnica deTelecomunicación EUITT, en el Campus Sur de la Universidad Politécnica de Madrid, España, el próximo LUNES 1 de DICIEMBRE.

Se recuerda que la asistencia es GRATUITA y que en estos momentos sólo esposible inscribirse por teléfono al número +34 913367842, atención Dña.Beatriz Miguel. A las personas inscritas y que asistan a DISI 2008 se les entregará un Certificado de Asistencia con una formación equivalente a 5créditos CPE, Continuing Professional Education.

La doctora Perlman dará una Rueda de Prensa de 10:45 a 12:00 horas en la Sala de Grados 3004 de la EUITT-UPM a la que están invitados todos los medios de comunicación.
Participan además el Dr. Arturo Ribagorda, Director del Grupo de Seguridad de la Información y de las Comunicaciones de la Universidad Carlos III de Madrid; D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil; D. Manuel Vázquez, Jefe de la Brigada de InvestigaciónTecnológica de la Policía Nacional y D. Daniel Acuña, Director de Sistemas de Defensa y Seguridad de Isdefe S.A., quien amablemente ha aceptado una invitación de última hora.

DISI 2008 contará también con una Mesa Redonda dedicada a "Forensia Informática y Amenazas del Cibercrimen" donde los asistentes podrán hacer preguntas y debatir con estos expertos sobre delito informático, crimen en Internet y ciberterrorismo. A mitad de la jornada se invitará a los asistentes a un cóctel.

El evento será transmitido por video streaming y grabado para su posteriordifusión por el GATE, Gabinete de Tele-educación de la UPM:

- Enlace en directo: mms://amon.gate.upm.es/campus-sur
- Enlace en diferido: mms://amon.gate.upm.es/videos/0809/upm/disi.wmv

Con más de 300 inscritos, DISI 2008 volverá a ser un referente de encuentro de profesionales de la seguridad de la información al más alto nivel científico y técnico celebrado en España.
Para mayor información, cómo llegar al Campus Sur y detalles del programa, por favor acceder a.:

- Web de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información. http://www.capsdesi.upm.es/
- Jorge Ramió AguirrePágina Web personal: http://www.lpsi.eui.upm.es/~jramio/
- Cátedra UPM Applus+ de Seguridad y Desarrollo Sociedad Información http://www.capsdesi.upm.es/
- Red Temática Iberoamericana de Criptografía y Seguridad Información http://www.criptored.upm.es/
https://www.ismsforum.es/img/a5/na35_DISI2008.pdf
Cartel del evento en.: https://www.ismsforum.es/img/a5/na35_DISI2008.pdf

viernes, 21 de noviembre de 2008

Web firmas de apoyo a la II

Me ha llegado un email en el que se informa del nacimiento de una web que recaba firmas de apoyo a la Ingeniería Informática.: http://www.salvemosinformatica.com/

Como es lógico, todos sabemos leer, razonar, y decidir si estamos o no en consonancia con los puntos. Por lo tanto, actúa en consecuencia. De todas formas, firmes o no en este web, defiende la profesión. ¿Cómo?. Siendo y actuando profesionalmente, buscando la máxima calidad posible en todo lo que hagas.

jueves, 20 de noviembre de 2008

Pequeña guía de actuación ante ataques DDoS

Ante un ataque, es vital la toma de decisiones. Decidir cortarte las venas, pasando por el buscar a algún compañero de trabajo al que señalar como responsable del problema, o simplemente desconectar todos los activos de red, son algunas de las decisiones que en una organización caótica, y con malos profesionales, podríamos encontrarnos.

Los ataques a los sistemas de información son muy frecuentes. Tener la sangre fría, y las cosas claras, para proceder en consecuencia, redundará en una reducción del impacto. En esta entrada se presenta una mini-guía de actuación frente a los ataques DDoS que, sin duda alguna, ayudarán en la toma de decisiones, siempre y cuando sean técnicas-económicas.

Entrada disponible en http://isc.sans.org/diary.html?storyid=5375&rss

SQL Injection mitigation

En esta entrada se incluye una alternativa al filtrado de los típicos ataques por SQL Injection. En pocas palabras, si tenemos firewalls a nivel de red, propone el uso de "firewalls" a nivel de aplicación que pueda "detectar" este y otros tipos de ataque, y actuar. Nada excesivamente nuevo.

As botnets and other automated tools are hammering at websites trying to exploit SQL injection vulnerabilities, site operators are trying hard at defending their websites. ASProx and other botnets were hitting hard at the ASP + MS SQL platform, millions of websites fell victims to the SQL injection vulnerabilities already. Although there has been a decline of wild SQL scanning by ASPRox type of botnet, we are still not in the clear yet. The unauthenticated portion of some sites might be secure, but the authenticated portion might be totally vulnerable. Since most scans only target what can be seen by Googlebots, there are still tons of web pages out there vulnerable waiting for exploitation.

If you have tons of vulnerabilities on your site, you likely will take some time to fix all of it as fixing code isn't the easiest and fastest thing to be done. A short term remediation to SQL injection can be web application firewall. Web application firewall (WAF) is similar to a network firewall except it also inspect the application layer information, such as cookies, form fields and HTTP headers. With Microsoft IIS as web server, one of the quickest and easiest WAF solution maybe Microsoft's Urlscan, it is an addon to IIS5 and built-in for later versions of IIS. Urlscan runs as an ISAPI filter, so it can be easily deployed and removed. Since version 3.0 of Urlscan, there are decent level of coverage on SQL Injection capabilities. The biggest complaint is that Urlscan do not inspect HTTP request body (POST data), so it could be missing attacks that are submitted using POST.

I have recently played with another free WAF product on IIS called Webknight and found it to be easy to config and full of nice features. The default configuration file is reasonably tight. In most cases, you would probably want to loosen things up so Webknight won't break your site with false positives. It inspects SQL injection in header, cookies, URL and in POST data. The detection is based on hitting two of the preset SQL keywords. For most cases, this generally works well. It may render false positives with some more complex textarea field that expect various text. Overall, Webknight is a good WAF that can fulfill basic protection needs.

Remember that WAF products are meant to be an extra layer of defense and/or a very short term mitigation until you fix up all the code. For mitigation, you are really just buying yourself more time before a compromise happens. While WAF do a good job at making the site harder to compromise, they have various limitation, the most effective long term mitigation is still fixing up the code.

[Fuente.: http://isc.sans.org/]

El debate sobre la Ingeniería Informática y la Seguridad de la Información

Durante las últimas semanas, con la convocatoria de varias movilizaciones y actos para el día 19 de noviembre, se ha intensificado el debate sobre la necesidad de regulación profesional de la Informática, como Ingeniería que es. En Hispasec está disponible una entrada de gran interés que plantea la necesidad de contar con una formación académica y/o mecanismos de acreditación específicos en Seguridad TIC.

[Toda la noticia en http://www.hispasec.com/unaaldia/3678]

ike-scan - IPsec VPN Scanning, Fingerprinting and Testing Tool

En las clases teóricas y prácticas de PSI vemos distintas técnicas de "fingerprinting", tanto a nivel de operativos como de servicios de red. En esta entrada traemos una utilidad, el ike-scan, orientada al fingerprinting de sistemas de VPNs IPSec.

"ike-scan is a command-line tool for discovering, fingerprinting and testing IPsec VPN systems. It constructs and sends IKE Phase-1 packets to the specified hosts, and displays any responses that are received."

[Fuente.: http://www.darknet.org.uk]/

¿Pérdida de señal inalámbrica? cambia el canal de tu wi-fi

Puede que hayas visto como tu red wi-fi no se conecta con toda la potencia deseada a tu equipo, uno de los motivos más frecuentes puede ser el canal elegido en el router para emitir y recibir la señal inalámbrica.

Lógicamente, hay otros factores que influyen en la calidad y fuerza de la señal como pueden ser las interferencias causadas por otros equipos, distancia del punto de acceso o router, hardware y drivers utilizados, tipo de cifrado de la red, etc, etc, pero en ocasiones, es tan sencillo como cambiar el canal para ver como aumenta la señal y dejan de sucederse las molestias caídas o pérdidas de conexión.

¿Qué canal elijo? Cualquier programa de escaneo de redes wi-fi podrá informaros sobre el número de canal desde el que están emitiendo las redes que se encuentren dentro de vuestro alcance.

Tenéis que elegir el canal que se esté usando menos en la lista de redes disponibles para prevenir posibles colisiones entre ellas y por consiguiente, una pérdida de potencia o calidad en la emisión-recepción por saturación del canal.

[Fuente.: http://www.daboweb.com/]

jueves, 13 de noviembre de 2008

Xornadas de Introducción a GNU/Linux e Software Libre para novos alumnos 2008

Un ano máis, GPUL organiza unha actividade orientada aos novos alumnos desta facultade.
Dende GPUL cremos que estas actividades poden resultar moi interesantes para os alumnos xa que proporcionan unha necesaria introdución a un entorno moitas veces aínda descoñecido, e que lles será necesario e útil durante a súa estancia na facultade.

As actividades levaranse a cabo na Facultade de Informática do Campus de Elviña do 10 ao 13 de novembro.

Non é preciso inscribirse e, por suposto, a asistencia é gratuita.

Huelga "por una informática digna" (19 de noviembre)

Toda la información en http://www.huelgainformatica.es/

miércoles, 12 de noviembre de 2008

PNL de la Ingeniería Informática

La discusión de la PNL relativa a la Ingenieria Informática que debe ser discutida en el Senado se ha adelantado a hoy, miercoles 12, a las 16 horas.

Se podrá seguir endirecto por el canal del senado:

http://www.senado.es/canal_senado/agenda/agcanal_46_2008.htm

[Fuente.: Decanato de la FI]

viernes, 7 de noviembre de 2008

rdiff backup

En la práctica tres algunos apartados están relacionados con nuestro siempre inseparable proceso de backup. En http://debaday.debian.net/2008/10/26/rdiff-backup-easy-incremental-backups-from-the-command-line/ tienes una entrada que trata las aventuras y desventuras de una sencilla utilidad, el rdiff.

Un mal profesional puede hacer una copia de grandes volúmenes de información entre discos utilizando un simple cp. Claramente a ese profesional se le debería enviar a un curso básico de administración de sistemas. Existe toda una serie de comandos *diff que falicitar enormemente esta tarea y, o, la sincronización de dispositivos, entro otras muchas opciones disponibles, como por ejemplo rsync.

jueves, 6 de noviembre de 2008

DISI 2008 en la UPM el 1 de diciembre

El lunes 1 de diciembre se celebrará en el Campus Sur de laUniversidad Politécnica de Madrid el Tercer Día Internacional de laSeguridad de la Información (DISI 2008), contando en esta ocasión con la participación de Dña. Radia Perlman de USA, D. Andrés Velázquez de México y D. Arturo Ribagorda, D. Juan Salom y D. Manuel Vázquez de España.

El evento es totalmente gratuito y toda la información necesaria (Cartel, Tríptico, Nota de Prensa, Inscripciones) la encontraréis en el Web de la Cátedra UPM Applus+ de Seguridad y Desarrollo de laSociedad de la Información http://www.capsdesi.upm.es/

miércoles, 5 de noviembre de 2008

Jornadas de sowtware libre (13 y 14 de noviembre)

Organizadores Oficina de Software Libre (OSL) da Universidade da Coruña (UDC)

Datas e hora13 de novembro de 18:00 a 21:00 horas
14 de novembro de 18:00 a 21:00 horas

As dúas sesións son independentes, de forma que se vai repetir o mesmo en cada unha delas.

Lugar de Celebración Planta 0 da Facultade de Informática (FIC), Campus de Elviña s/n, Universidade da Coruña
150071, A Coruña

Resumo Obradoiro incluído dentro das actividades da Semana de Ciencia co título "Para que pagar por algo que o tes libre e gratuíto. Proba o Software Libre", no que trata de acercar o mundo do Software Libre ao público en xeral.Tratarase de facer un curso-taller no que se anima a que cada participante traia o seu portátil ou PC para instalar nel un sistema operativo (SO) libre que de soporte ao resto de aplicacións libres. O SO elixido é o recentemente publicado Ubuntu 8.10 Intrepid Ibex.Este proceso non suporá a eliminación do SO anterior nin dos datos almacenados, permitindo a posteriori un arranque dual no que se poida elixir o SO co cal se desexa interactuar. Trala instalación farase un percorrido polas opcións de configuración máis interesantes, como é a configuración - tanto por cable como sen fíos - da rede, elección de idioma, xestión actualizacións, instalación de novos programas, etc. Todo elo de forma gráfica, interactiva e moi sinxela.Por último farase unha breve introdución aos programas de uso común: navegadores web, ofimática, tratamento de imaxes, xestor de arquivos e reprodutores multimedia.Todo o proceso será dinámico e entretido. Iranse atendendo as dúbidas e as cuestións particulares de cada asistente.O evento estará aberto a todo o público, tanto universitario como non. O nivel de coñecementos informáticos recomendado é de usuario novel. Con simples coñecementos de manexo de aplicacións informáticas é máis que suficiente.

Programa
1. Introdución ao Software Libre
2. Instalación de Ubuntu 8.10 Intrepid Ibex
3. Configuración do SO instalado
4. Introdución a aplicacións libres
5. Operacións básicas
6. Dúbidas e inquietudes

Recomendaciónsa. Darse da alta no evento, para así ter nos unha estimación da xente que vai vir. Para elo, por favor, cubrir o seguinte o formulario (http://softwarelibre.udc.es/SDC) do evento na web da OSL, ou ben, chamar ao 981167000 extensión 5506 de luns a venres entre 8:00 e 15:00. b. Se vas a acudir a charla co teu PC ou portátil, non te esquezas de traer tamén os periféricos e máis o cable de alimentación. Para unha maior seguridade recomendamos facer unha copia de seguridade dos datos persoais (documentos, fotos, imaxes, videos...) antes de abordar a instalación dun novo sistema operativo. Aínda que na práctica totalidade dos casos estes datos non son alterados, mais vale previr. A maiores recomendamos facer unha desfragmentación previa do disco duro.

Datos dos organizadores
Páxina web: http://softwarelibre.udc.es/
Teléfono: (+34) 981 167 000 Ext. 5506
Correo electrónico: softwarelibre@udc.es
Dirección Oficina Software Libre (OSL) Planta 1 do edificio CITIC, Campus de Elviña s/n Universidade da Coruña 15071 A Coruña España

lunes, 3 de noviembre de 2008

Información de interés remitida por la Oficina de Software Libre de la UDC

A Oficina de Software Libre (OSL) da Universidade da Coruña (UDC), tras nove meses, botou de novo a andar fai apenas un mes cunha clara e nova orientación, difundir e promover o Software Libre, e a vez, estar máis cerca do público en xeral, e en especial da comunidade universitaria (alumnos, profesores, PAS, etc).

Nese afán de achegar a todos as vantaxes que aporta o Software Libre, a OSL estará a vosa enteira disposición para calquera tema relacionado, ben sexa en forma de axuda na instalación e configuración de sistemas operativos e aplicacións libres, coma no estudo de alternativas ao software privativo (non libre), ou noutra calquera acción que vos faga máis doado o uso de ferramentas libres. Para elo animámosvos a que vos achegues pola nosa oficina, agora situada na primeira planta do edificio CITIC, no campus de Elviña, ou ben, enviándonos calquera consulta ao correo softwarelibre@udc.es. Todas as novas, servizos e informacións da OSL están dispoñibles na web http://softwarelibre.udc.es/. Pásate!

Saúdos cordiais,

Oficina de Software LibreEdificio CITIC, 1ª planta, Campus de Elviña s/n
Tel: 981 167 000 ext. 5506
En la práctica 4 de la asignatura de PSI, uno de los apartados está relacionado con la creación de una autoridad certificadora y la generación de certificados firmados para su uso en un servicio https sobre apache. En http://www.debian-administration.org/articles/618 tienes una entrada que te puede interesar para dicho apartado.

[Fuente.: Debian Administration http://www.debian-administration.org/]

lunes, 20 de octubre de 2008

Objetivos

Hola, eres alumno de L`[P]SI, en ese caso este blog puede proporcionarte información. En otro caso, no pierdas el tiempo y apunta tu cursor hacia otra página.

Hoy en día un profesional de las tecnologías de la información y las comunicaciones, tanto del ámbito de los sistemas como del desarrollo software, sin unos buenos fundamentos en seguridad, estará claramente devaluado. Nuestra profesión no consiste únicamente en la administración de sistemas y desarrollo de software y hardware. En otras palabras, un programa o sistema que simplemente funciona, sin considerar el factor seguridad, puede suponer un gran peligro para una organización. El apagar y encender una máquina puede arreglar un problema, el análisis de las causas y la búsqueda de soluciones constituye una clara diferencia entre un buen y mal profesional.

Es habitual encontrarnos con alumnos que piensan que muchas de las asignaturas que cursan tienen poca utilidad para su futuro profesional, y que sus contenidos no están pensados para lo que se encontrarán el día en que se integren en una empresa, o incluso formen la suya propia. Nosotros, los profesores de hoy, fuimos también alumnos hace unos cuantos años, y tuvimos esta sensación a la hora de iniciar nuestra vida profesional, especialmente los de las primeras promociones. En la asignatura de Legislación [Protección] y Seguridad Informática se proporciona al alumno unos fundamentos en seguridad, y con ello un valor añadido sobre otros profesionales del sector. En todo momento nos centramos en aquellos aspectos de interés para su futuro profesional, intentado llevar los contenidos de la asignatura hacia los temas y entornos de relevancia para el mundo empresarial. Nuestra profesión se centra en “hacer”, no únicamente en “saber hacer”, y a ser posible en “hacerlo lo mejor posible”. Y, ¿qué nos piden las empresas?, claramente profesionales que sepan lo que hay que hacer, que lo hagan bien, en el menor de los tiempos y con un coste mínimo. Sin duda alguna, “diseñar” y “construir” profesionales de este tipo, altamente productivos, es una tarea muy compleja.

OBJETIVOS.:

- Adquirir los fundamentos en seguridad necesarios para proporcionar un valor añadido a nuestros futuros profesionales.
- Las amenazas que sufre la información durante su proceso, almacenamiento y transmisión son crecientes, multiformes y complejas. Para contrarrestarlas se han desarrollado numerosas medidas de protección, que se implementan mediante los denominados mecanismos de seguridad. La lista de estos mecanismos es ya muy numerosa y en ella se encuentra, entre otros muchos: procesos de identificación y autenticación, control de accesos, control de flujo de información, registros de auditoría, cifrado de información, etc. Ser consciente de esta realidad, con sus ventajas y limitaciones, proporcionará a los alumnos una base para afrontar una gran parte de las implementaciones tecnológicas a las que se puedan enfrentar en su futuro profesional.
- Identificar los aspectos relacionados con la seguridad de la información, tanto desde el punto de vista técnico como legal, proporcionando las habilidades necesarias para “saber lo que hay que hacer”, “hacerlo lo mejor posible”, en el menor tiempo y con un coste mínimo. En este contexto será fundamental la exposición y estudio de casos reales, reforzando en el alumno la necesidad de utilizar en todo momento el “sentido común”, alejando de la toma de decisiones los muchos peligros y factores que pueden “contaminar”, total o parcialmente, muchos de nuestros desarrollos.
- Analizar los aspectos prácticos del entorno legal en el que se desarrollará la futura actividad profesional de nuestros alumnos, con especial referencia a sus obligaciones en materia de datos de carácter personal y seguridad informática.
- Un alumno que sienta un gran entusiasmo por las tecnologías proporcionará a nuestras empresas unos mayores niveles de productividad, y durante más tiempo. Reforzar esta cualidad en el alumno, y despertarla en los que la puedan tener ligeramente aletargada será uno de los principales objetivos de la asignatura.

COMPETENCIAS ESPECÍFICAS Y OTRAS.:

- Conocimiento de la estructura, organización, funcionamiento e interconexión de los sistemas informáticos, los fundamentos de su programación, y su aplicación para la resolución de problemas propios de la ingeniería.
- Capacidad para diseñar, desarrollar, seleccionar y evaluar aplicaciones y sistemas informáticos, asegurando su fiabilidad, seguridad y calidad, conforme a principios éticos y a la legislación y normativa vigente.
- Conocimiento de la normativa y la regulación de la informática en los ámbitos nacional, europeo e internacional.
- Capacidad para comprender, aplicar y gestionar la garantía y seguridad de los sistemas informáticos.
- Capacidad para determinar los requisitos de los sistemas de información y comunicación de una organización atendiendo a aspectos de seguridad y cumplimiento de la normativa y la legislación vigente.
- Capacidad para comprender y aplicar los principios de la evaluación de riesgos y aplicarlos correctamente en la elaboración y ejecución de planes de actuación.
- Capacidad para comprender, aplicar y gestionar la garantía y seguridad de los sistemas informáticos.
- Definir los riesgos y vulnerabilidades de un sistema de información.
- Identificar los mecanismos de seguridad y su integración en las organizaciones.
- Utilizar las herramientas de seguridad.
- Organizar la seguridad de un sistema de información.
- Asumir responsabilidades sobre los sistemas de información y tomar decisiones en cuanto a su seguridad.
- Aplicar el “sentido común” en la toma de decisiones, identificando los muchos peligros y factores que pueden “contaminar”, total o parcialmente, muchos de nuestros desarrollos.
- Enfrentarse a casos “reales” y “saber lo que hay que hacer”, “hacerlo lo mejor posible”, en el menor tiempo y con un coste mínimo.
- Evitar la proliferación de profesionales mediocres que, en el peor de los casos, se especialicen en la destrucción de todo lo que tocan.