En toda relación se pueden tomar distintas posturas, tanto activas como pasivas. Una postura pasiva te hará perder mucha información. En todo lo que hacemos, tanto en el ámbito profesional, como fuera del mismo, podemos tomar una postura participativa o, con cara de soy le leche y estoy de vuelta de todo, tomar una actitud pasiva.
Los días 15 y 16 de octubre se celebran las II Jornadas de Seguridad en la Facultad de Informática. En este sentido hay varias opciones en el caso de que decidas asistir.:
- Sentado en tu butaca y esperar a ver lo que te cuentan. En el caso de que controles del tema es lo más recomendable pero, en el caso de que no sea así, te perderás muchas cosas o, en el peor de los casos, desconectarás de la temática quedándote únicamente con lo más anecdótico de las charlas. No es el objetivo.
- Sentado en tu butaca pero antes de las charlas le has dedicado unas cuantas horas a la temática tratada, partiendo de una situación que te permitirá obtener una gran cantidad de información. A este segundo grupo está dirigida esta entrada.
José Palazón nos hablará de fallos de seguridad en aplicaciones web, SQL injection, blind-SQL inj., CSS, etc. Te recomiendo un vistazo a http://www.owasp.org/index.php/Category:OWASP_Testing_Project
La versión 3 está disponible en castellano en http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf
Puede que de cara a las charlas no sea un buen plan leer sus 372 páginas, aunque no estaría mal, pero revisar todo tipo de información de algunos de los principales problemas de seguridad en aplicaciones web puede ser una buena opción.
También puedes pasarte por http://sechack.blogspot.com/2009/05/sql-injection-lo-necesario-y-un-poquito.html con referencias de interés en SQLinj.
En el caso de Ángel Prado no incluiré nada por la propia naturaleza de sus charlas y por los múltiples caminos que puede tomar. Abre los ojos, como diría Amenábar, y déjate llevar.
Para la charla de Miguel Ángel Calvo, sin duda alguna, te recomiendo http://psi-udc.blogspot.com/2009/09/en-las-jornadas-de-este-ano-en.html. Es una de las herramientas clásicas que todo “bicho”, bueno o malo, debe conocer.
Alejandro Ramos nos hablará de test de intrusión. No recomendaré ninguna lectura dado que aquí seguramente asistiremos a mucha información de naturaleza propia, experiencias en casos reales, etc. En esta nuevamente mejor abrir los ojos y … Puedes seguir algunos de sus posts en Security by Default
Alejandro Martín nos trae el apasionante mundo de los metadatos. Como antesala de la charla recomiendo pasar por http://www.slideshare.net/chemai64/tactical-fingerprinting-using-metadata-hidden-info-and-lost-data-1309602
En el caso de Chema Alonso, nos trae un tema de seguridad en el apasionante mundo del correo electrónico, que “engrana” perfectamente con algunas de las cosas que se ven en la asignatura de PSI. Te recomiendo el artículo de la revista PC World, nº 267 de 2009, pp. 78-85. En este artículo de Chema se evoluciona desde la típica conexión telnet al 25 de un servidor, para hablar SMTP, a los mecanismos de autenticación como SPF o DKIM. Puedes acceder a una gran cantidad de post de Chema Alonso en el lado del mal
También te encontrarás otras magníficas charlas, como las de Miguel Gesteiro o Diego Ferreiro, entre otras. No incluiré más referencias, aunque son muchas las disponibles.
Toda la información de estas más que interesantes charlas en http://jornadas.feval.info/ y complementada en http://quegrande.org/foro/viewtopic.php?f=2&t=3525
Pdt.: En el segundo cuatrimestre de PSI solicitaré un listado de matriculados que han asistido a estas charlas y …
--
Un ser activo no muere de viejo, pero …
