domingo, 28 de diciembre de 2008

Noticias sobre nmap

En http://isc.sans.org/diary.html?storyid=5566&rss tenéis una noticia para poder disfrutar y aprender con nmap, además de la noticia de la reciente publicación del libro "Nmap network scanning" de Fyodor. En la práctica 2 de PSI tratamos algunos temas relacionados con el "scanning", tanto activo como pasivo, de sistemas remotos. Sin duda alguno, nmap es una de las herramientas a tener siempre a mano. Tanto para dicho apartado de la práctica, como para hacer todo tipo de pruebas y poder ampliar los conocimientos, es una de las recomendables. Procura hacer las pruebas sobre tus máquinas y deja tranquilos a los administradores de máquinas ajenas. Mañana serás tu el que pueda estar administrando dichas máquinas.

ferm: a straightforward firewall configuration tool

Existe una gran cantidad de utilidades para configurar nuestros "firewalls". Aquí dejamos una entrada con información de la herramienta ferm. Sin duda alguna una potente herramienta que facilita la configuración.

Entrada completa en.: http://debaday.debian.net/2008/12/14/ferm-a-straightforward-firewall-configuration-tool/

miércoles, 10 de diciembre de 2008

Deportes en el mar

A finales del mes de diciembre de 2008 el Ayuntamiento de A Coruña organiza cursos de catamarán, vela, windsurf, surf, buceo, remo, etc. Los precios de dichos cursos, de tres días de duración de cada modalidad, están en 15 €. Que nadie diga que navegar es caro. Estos precios son un regalo total. Nuestro apoyo al ayuntamiento para que siga organizando este tipo de actividades para poder iniciar a la gente joven en este tipo de deportes.

En http://www.coruna.es/servlet/Satellite?c=Page&pagename=Portal%2FPage%2FPortal-SubportadaSeccionDescriptivos&cid=1227878698550 tenéis información de dichos cursos. De muchos de estos cursos no puedo hablar, los de catamarán y windsurf los organiza el Punto Pasión Playa de Oza, y la gente de la escuela de vela es de lo mejor. Hace unos cuantos años hice esos cursos con ellos, y son muy recomendables. Animaros, seguro que las plazas vuelan.

smartmontools: control the health of your hard disk

La práctica 3 de PSI está pensada para analizar y probar distintos aspectos relacionados con la protección y seguridad en los dispositivos de almacenamiento. En esta entrada se presenta una noticia relacionada con una herramienta para el análisis de la "salud" de nuestros discos duros, esos pequeños aparatitos que traen nuestros computadores, y que de vez en cuando nos dan algún susto. Es muy posible que en futuras versiones de la práctica 3 incluyamos algún apartado relacionado con esta herramienta.

Modern SCSI disks have it too if they’re SCSI 3 or newer. It happens that inside the disk chipset there are routines to check parameters of disk health: spin-up time, number of read failures, temperature, life elapsed… And all of those parameters are not only registered by the disk chipset, but they have designated security limits and both parameters and limits can be checked by software who access the disk using the appropriate I/O instructions.
And that software is smartctl, a piece of the smartmontools deb package.

[Fuente noticia completa.: http://debaday.debian.net/2008/10/12/smartmontools-control-the-health-of-your-hard-disk/]

martes, 9 de diciembre de 2008

rkhunter (localizando rootkits)

Esta aplicación, con licencia GPL, está ideada para detectar puertas traseras en tu sistema o alertar de actividades sospechosas en el mismo.

Realiza entre otras las siguientes operaciones.:

- Análisis del disco duro en busca de los rootkits más comunes.
- Comparaciones de hashes MD5.
- Busca ficheros que son usados habitualmente por rootkits.
- Realiza un análisis de ficheros binarios y los que se hayan movidos de su lugar habitual.
- Busca cadenas sospechosas en módulos como LKM y KLD.
- Módulos de Apache así como su configuración.
- Interfaces funcionando en modo promiscuo (posibles sniffers).
- Aplicaciones a la “escucha” que usen la librería libcap.
- Ficheros que hayan sido borrados recientemente y los ocultos.

[Fuente de la noticia completa.: http://www.daboweb.com/2008/12/07/localizando-rootkits-backdoors-o-puertas-traseras-en-gnulinux-unix-bsd-con-rkhunter/]

MD5 bruteforce benchmark

En http://3.14.by/en/read/md5_benchmark está disponible una interesante página en la que se comparan distintos métodos de "cracking" del hash md5.

Existe una gran cantidad de "crakeadores", entre ellos.:

- John The ripper: http://www.openwall.com/john/
- THC Hydra: http://www.thc.org/thc-hydra/
- Aircrack: http://www.aircrack-ng.org/
- Cain & Abel: http://www.oxid.it/cain.html
- L0phtcrack : http://ophcrack.sourceforge.net/
- RainbowCrack: http://www.antsight.com/zsl/rainbowcrack/

Fuentes de información

BÁSICA

- A. Santos del Riego. Legislación [Protección] y Seguridad de la Información. http://psi-udc.blogspot.com
- Videos clases expositivas 2020-2021 (compartidos en Stream)
- debian.org. Debian. http://www.debian.org/
- OWASP Top 10.: OWASP Top Ten Web Application Security Risks | OWASP
- yolinux. yolinux. http://www.yolinux.com/
- Packet Storm. Packet Storm. http://packetstormsecurity.org/
- Criptored. http://www.criptored.upm.es/
- Miguel PEGUERA POCH (coord.) (2010). Principio de Derecho de la sociedad de la información. Cizur Menor: Aranzadi
- José APARICIO SALOM (2009). Estudio sobre la Ley Orgánica de protección de datos de carácter personal. Pamplona: Aranzadi
- Lorenzo COTINO, Julián VLAERO (coords.) (2010). Administración electrónica. Valencia: Tirant lo Blanch
- José Luis PIÑAR MAÑAS (dir.) (2011). electrónica y ciudadanos. Madrid: Civitas
- Manuel CASTELLS (2009). Comunicación y poder. Madrid: Alianza
- Miguel Ángel DAVARA RODRÍGUEZ (2008). Manual de Derecho informático. Pamplona: Aranzadi
- Antonio TRONCOSO (2010). La protección de datos personales. En busca del equilibrio. Valencia: Tirant lo Blanch
- Gonzalo F. GÁLLEGO HIGUERAS (2010). Código de Derecho informático y de las nuevas tecnologías. Madrid: Civitas
- Javier ORDUÑA, Gonzalo AGUILERA (dir.) (2009). Comercio, Administración y Registros electrónicos. Madrid: Civitas


COMPLEMENTARIA

- Security Focus. http://www.securityfocus.com/
- Common Vulnerabilities and Exposures (CVE). http://www.cve.mitre.org/
- NIST Computer Security Division. http://csrc.nist.gov/
- CERT:Computer Emergence Response Team. http://www.cert.org
- AntiOnline. http://www.antionline.com/
- Delitos Informáticos. http://www.delitosinformaticos.com/
- (in)secure magazine. http://www.net-security.org/insecure-archive.php
- Linux Journal. http://www.linuxjournal.com/
- Security art work. http://www.securityartwork.com/
- Security by default. http://www.securitybydefault.com/
- Pekka HIMANEN (2002). La ética del hacker y el espíritu de la era de la información. Barcelona, Destino
- Lawrence LESSIG (2001). El código y otras leyes del ciberespacio. Madrid, Taurus
- Justo GÓMEZ NAVAJAS (2005). La protección de los datos personales. Cizur Menor, Thomson Civitas
- Fernando MIRÓ LLINARES (2005). Internet y delitos contra la propiedad intelectual. Valencia: Tirant lo Blanch
- Antoni FARRIOLS I SOLA (2006). La protección de datos de carácter personal en los centros de trabajo. Madrid: Cinca
- Pedro DE MIGUEL ASENSIO (2011). Derecho privado de internet. Madrid: Civitas
- Esther MORÓN LERMA (2002). Internet y Derecho penal. Pamplona: Aranzadi...

JOB OPENINGS


Monster
CareerBuilder
Computerjobs.com
Craigslist

Evaluación

PRUEBA DE RESPUESTA MÚLTIPLE (60% de la calificación)

Esta prueba incluye los contenidos y, en general, todo aspecto relacionado con los objetivos de la asignatura. En ella se plantean diversas cuestiones relacionadas tanto con los contenidos de las sesiones magistrales como de las prácticas de laboratorio.


PRUEBA ORAL-PRÁCTICAS DE LABORATORIO (40% de la calificación)

Cada grupo de prácticas de laboratorio, y tras considerar que ha superado cada práctica, siempre antes del plazo establecido para cada práctica, deberá pasar una prueba en máquina. En ella se plantean pruebas que los alumnos deberán defender sobre las máquinas virtuales del laboratorio de prácticas.

Para aprobar la asignatura será necesario tener superadas las prácticas de laboratorio. En la convocatoria de julio, en su defecto, a la prueba de respuesta múltiple se le añadirá una prueba de la parte práctica, que deberá ser superada por separado.

Metodología

SESIÓN MAGISTRAL

Transmisión de información y conocimientos clave de cada uno de los temas. Se potencia en ciertos momentos la participación del alumno. Como parte de la metodología, un enfoque crítico de la disciplina llevará a los alumnos a reflexionar y descubrir las relaciones entre los diversos conceptos, formar una mentalidad crítica para afrontar los problemas y la existencia de un método, facilitando el proceso de aprendizaje en el alumno.

También será fundamental la transmisión de los conceptos y conocimientos éticos y jurídicos básicos en seguridad de la información. Su singularidad hace que se dedique cierto tiempo a la exposición del lenguaje específico que soporta los conceptos, y que sirve de principal medio de comunicación y argumentación ética y jurídica. Esto permitirá al alumno comprender el lenguaje y los conceptos que integran los aspectos éticos y jurídicos de la informática.

Para luchar contra la posible pasividad del alumno, en ciertos momentos se plantean pequeñas cuestiones, que hagan reflexionar al alumno, complementando dichos aspectos con referencias bibliográficas que le permitan enriquecer el conocimiento adquirido. Este intercambio con el alumno, como parte de la lección magistral, nos permite controlar el grado de asimilación de los conocimientos por parte del mismo.

Las lecciones magistrales incluyen, tanto conocimientos extraídos de las referencias de la asignatura, como los resultantes de nuestras propias experiencias profesionales, fomentando la capacidad de análisis crítico. En todo momento se busca que cierta parte de los contenidos aportados no requieran del alumno una tarea de memorización. Esta metodología tratará de conseguir un alto grado de motivación en el alumno.               .


ANÁLISIS DE FUENTES DOCUMENTALES

Lectura y examen crítico de los principales documentos éticos y jurídicos de la informática. Sirven de introducción general. Proporcionan una explicación histórica y sistemática de su significado. Son de gran importancia en el contexto del resto de metodologías utilizadas en la asignatura.


ESTUDIO DE CASOS

El análisis ético y jurídico de la informática tiene unas características específicas. Con el estudio de casos se pretende examinar la estructura y los contenidos de los problemas presentes en los casos, tanto de manera individual como en grupo. Es una forma de aprendizaje de contenidos y también metodológica, en la que el estudiante aprende a analizar, deliberar y llegar a conclusiones fundamentadas y razonables con los argumentos éticos y jurídicos.

PRÁCTICAS DE LABORATORIO

Las clases prácticas permiten sacar el máximo provecho en la retroalimentación, refuerzo y asimilación de los objetivos. Los desarrollos prácticos se inician con una práctica básica, y se eleva su dificultad paulatinamente. En todo momento se presenta al alumno el conjunto de ideas y técnicas que permiten el desarrollo práctico de los conocimientos transmitidos en las sesiones magistrales. En las prácticas se proponen diversos apartados que plantean una batería de dificultades tratadas durante el estudio del tema. Se buscará la interrelación entre los distintos apartados, aportando un contexto de ejercicio completo, para lograr en el alumno una visión de conjunto, revelando los nexos existentes entre cuestiones que podrían parecer lejanas. En todas las clases prácticas se utilizan máquinas virtuales sobre computadoras como herramienta básica para la resolución de los ejercicios. El alumno podrá seleccionar e instalar aquellas herramientas que considere más oportunas en cada caso. De esta forma, se le requerirá, desde un primer momento, que se enfrente a toma de decisiones, analizando las ventajas y desventajas en todos y cada uno de los casos. En este punto inicial, será fundamental un asesoramiento personalizado, que permita un análisis realista sobre las decisiones tomadas, facilitando la retroalimentación de nuevos parámetros no considerados a priori.


PRUEBA DE RESPUESTA MÚLTIPLE

Esta prueba estará orientada a determinar si el alumno ha asimilado los distintos objetivos de la asignatura.


PRUEBA ORAL

El alumno deberá defender, mediante una prueba oral, cada una de las prácticas de laboratorio. Dicha prueba, de carácter práctico, hará uso de las máquinas virtuales utilizadas en las prácticas de laboratorio.


EVENTOS CIENTÍFICOS DIVULGATIVOS

Sin duda alguna, todo evento científico-divulgativo, especialmente en temas de seguridad de la información, será una valiosa herramienta para la obtención de los objetivos de la asignatura. Señalar que este tipo de eventos son de especial relevancia en el proceso de motivación. Además, esta metodología permite establecer un contacto directo entre los alumnos y los profesionales del sector. De esta forma el alumno puede perfilar distintos aspectos de nuestra realidad profesional.

Contenidos de la asignatura de L[P]SI

En esta asignatura se podría plantear un temario enorme, que cubriese todos y cada uno de los campos de la Legislación [Protección] y Seguridad Informática. Posiblemente quedaría muy bonito en los papeles, y parecería que somos la "...". En una asignatura cuatrimestral eso sería un gran error. El temario "real" de la asignatura está orientado a los tiempos de la misma y al perfil de sus alumnos. No trata de cubrir los muchos campos de la seguridad de la información. Su principal objetivo es el dar una buena base en esta materia.


CONTENIDOS.:

1.- Fundamentos y categorías de ataques.
- Fundamentos de protección y seguridad.
- Categorías de ataques.

2.- La trilogía.
- "Hosts discovery".
- "Port scanning".
- "Fingerprinting".

3.- Ocultación.

4.- "Sniffing".

5.- D[D]oS.

6.- Seguridad a nivel físico.

7.- Monitorización y filtrado en seguridad de la información.

8.- Certificados digitales y autoridades de certificación.

9.- Metodologías y auditorías de seguridad.

10.- La regulación jurídica de la informática.
- Derecho. Elementos y conceptos jurídicos básicos.
- Ética profesional y deontología.
- Autorregulación. Códigos de conducta, códigos de práctica, códigos tipo.

11.- La prestación de servicios y la tutela de los derechos en la sociedad de la información.
- La prestación de servicios en la sociedad de la información. Servicios de intermediación. Servicios de certificación.
- La contratación electrónica y la contratación informática.
- Las comunicaciones comerciales electrónicas.
- La firma electrónica.
- La Administración electrónica.
- La resolución judicial de conflictos.
- Las soluciones extrajudiciales. La autorregulación. El arbitraje electrónico.

12.- La protección de los datos de carácter personal.
- Introducción y delimitaciones conceptuales.
- Constitución, derechos fundamentales y protección de datos.
- La legislación española de protección de datos de carácter personal. Disposiciones generales. Principios. Sujetos. Derechos. Obligaciones. Medidas de seguridad. Procedimientos.
- Autorregulación y protección de datos personales.
- Criminalidad informática y datos personales.
Temario Prácticas y Seminarios.
- Seguridad (fundamentos y configuraciones básicas).
- Categorías de ataques e identificación de recursos.
- Seguridad a nivel físico.
- Autoridades de certificación y auditorías de seguridad.


PRÁCTICAS Y SEMINARIOS.

- Seguridad (fundamentos y configuraciones básicas).
- Categorías de ataques e identificación de recursos.
- Autoridades de certificación y auditorías de seguridad.
La última versión de Fedora trae una nueva herramienta de IDS, sectool (security audit & IDS).

https://fedorahosted.org/sectool/

Sin duda alguna es de gran interés la aparición de nuevas herramientas que puedan llegar a constituir una alternativa a otras clásicas como nessus o snort.

Lo limitado de mi tiempo hará difícil que pueda meterme a fondo con esta herramienta. Si algún lector la ha probado y analizado, agradecería un breve email con las conclusiones finales.
Aunque esta noticia no está vinculada con la seguridad, sin duda alguna se debe destacar el esfuerzo en desarrollos educativos de este tipo.

Existen dos campos fundamentales en la sociedad, el principal la sanidad y, tras este, la educación. Cualquier desarrollo en estos campos tiene la suficiente importancia como para publicitarse. En este caso, estamos ante un software educativo para nuestros enanos.

gcompris: educational suite for children

Revista electrónica de seguridad, (IN)secure Magazine nº 19



Revista electrónica de seguridad, (IN)secure Magazine nº 19

Se ha liberado el número 19 de la veterana revista electrónica de seguridad “Insecure Magazine” con interesantes contenidos (en Inglés). El formato en el que se ofrece (de forma gratuita) es en PDF y se pueden leer artículos completos sobre cuestiones de seguridad. También se hacen breves reseñas a nuevos productos y aplicaciones que emergen en este campo.

En este número podemos encontrar entre otros los siguientes contenidos:

- The future of AV: looking for the good while stopping the bad
- Eight holes in Windows login controls
- Extended validation and online security: EV SSL gets the green light
- Interview with Giles Hogben, expert on identity and authentication technologies (ENISA)
- Web filtering in a Web 2.0 world
- RSA Conference Europe 2008
- The role of password management in compliance with the data protection act
- Securing data beyond PCI in a SOA environment: best practices for advanced data protection
- Three undocumented layers of the OSI model and their impact on security
- Interview with Rich Mogull, founder of Securosis

Descarga directa del número 19

Noticias Sun microsystems

NTT Data, el mayor integrador de sistemas de Japón, fortale la seguridad y reduce los requisitos de mantenimiento reemplazando sus PC por clientes ligeros de pantalla virtual Sun Ray 2FS y servidores Sun Fire X4100 M2. Según comenta Tadashi Omura, director de la unidad de sistemas financieros de la compañía nipona: "la solución Sun Ray ahorrado tiempo y dinero, y nos ha proporcionado la seguridad que necesitábamos en nuestra organización".

[Fuente.: Sun Good News. Noticias de Sun Microsystems]

lunes, 1 de diciembre de 2008

Red Criptored (noticias mes de noviembre)

RED TEMATICA CriptoRed: Resumen de Actualidad 91, noviembre de 2008


1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED

* Análisis de Metadatos en Archivos Office y Adobe (Andrea Díaz, JuanRuíz; dirección Jeimy Cano, Word, 11 páginas, Colombia)http://www.criptored.upm.es/guiateoria/gt_m142g1.htm

* El ROI de la Seguridad y las Primas de Seguros (Carlos Ormella Meyer,PDF, 8 páginas, Argentina)http://www.criptored.upm.es/guiateoria/gt_m327c.htm

* ISO 20000 e ISO 27001: tan distintas, tan iguales (Joseba Enjuto Gozalo,PDF, 5 páginas, España)http://www.criptored.upm.es/guiateoria/gt_m733a.htm

* Seguimiento de Botnets: Estructura, Funcionamiento y Detección (AndreaDíaz, Juan Ruíz; dirección Jeimy Cano, Word, 10 páginas, Colombia)http://www.criptored.upm.es/guiateoria/gt_m142f1.htm

* 329 documentos para su libre descargahttp://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROSSERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Octubre de 2008 (España)http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200810.pdf

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Diciembre 1 de 2008: Tercer Día Internacional de la Seguridad de laInformación DISI 2008http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

* Diciembre 1 al 5 de 2008: V Congreso Internacional de Telemática yTelecomunicaciones CITTEL 08 (La Habana, Cuba).http://www.cujae.edu.cu/eventos/convencion/cittel/

* Diciembre 3 al 5 de 2008: 7th International Information andTelecommunication Technologies Symposium (Foz do Iguaçu, Brasil)http://www.i2ts.org/

* Diciembre 3 al 5 de 2008: International Conference E-Activity andLeading Technologies (Madrid, España)http://www.iask-web.org/e-alt08/e-alt2008.html

* Diciembre 10 al 12 de 2008:Conferencia Ibero Americana IADIS WWW /Internet 2008

(Lisboa, Portugal)http://www.ciawi-conf.org/

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad enTecnologías de la Información (La Habana, Cuba)http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society 2009(Barcelona, España)http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on PracticalApplications of Agents and Multiagent Systems (Salamanca, España)http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW2009 (Madrid, España)http://www2009.org/

* Abril 23 al 25 de 2009: Cuarto Congreso Colombiano de Computación 4CCC(Bucaramanga, Colombia)http://serverlab.unab.edu.co/4ccc

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad InformáticaACIS 2009 (Bogotá, Colombia)http://www.acis.org.co/index.php?id=1246

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers andCommunications ISCC 09 (Sousse, Túnez)http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de laInformática (Barcelona, España)http://jenui2009.fib.upc.edu/
CONGRESOS ANUNCIADOS EN LA IACR:* International Association for Cryptologic Research IACR Calendar ofEvents in Cryptology:http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD


5. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2008Para ampliar las noticias:http://www.criptored.upm.es/paginas/historico2008.htm#nov08

* DISI 2008 por video streaming (España)- Enlace en directo: mms://amon.gate.upm.es/campus-sur- Enlace en diferido: mms://amon.gate.upm.es/videos/0809/upm/disi.wmv

* Call for Papers Revista International Journal on InformationTechnologies & Security (Bulgaria)http://www.criptored.upm.es/descarga/INFO_Journal%20IT&Security.zip

* CFP para la IX Jornada Nacional de Seguridad Informática ACIS 2009(Colombia)http://www.acis.org.co/index.php?id=1246

* CFP Cuarto Congreso Colombiano de Computación 4CCC (Colombia)http://serverlab.unab.edu.co/4ccc

* Libro Conmemorativo de los 10 años de Una Al Día de Hispasec Sistemas(España)http://www.hispasec.com/uad/index_html

* Primera Jornada Estado del Arte de la Seguridad: El Rol del CSO (Argentina)http://cxo-community.com.ar/index.php?option=com_events&task=view_detail&agid=93&year=2008&month=11&day=25&Itemid=1

* CFP XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009(España)http://jenui2009.fib.upc.edu/

* Conferencia FIST Noviembre 2008 en el CSIC de Madrid (España)http://www.fistconference.org/

* Semana Internacional de la Seguridad Informática (Argentina)https://seguridadinformatica.sgp.gob.ar/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 734 (198 universidades y 276 empresas representadas)http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 26.206 visitas, con 101.662 páginas solicitadas y 41,33GigaBytes servidos en noviembre de 2008.Las estadísticas AWStats del mes se muestran en páginas estáticasactualizadas cada día a las 00:05 horas.http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.