El siglo XXI está a punto de comenzar, o no

Lectura recomendada "El esquema nacional de seguridad". Habrá que hacer oficinas de gestiones electrónicas para atender a nuestros mayores, entre otros.

Seguimiento en directo del ENISE por video streaming

Información remitida por la organización del ENISE

Hoy comienza el Tercer Encuentro Nacional de la Industria de la Seguridad en España (ENISE).

Gracias a la tecnología video streaming webcast en formato Flash Vídeo podrán seguir en directo la retransmisión de las sesiones que les indicamos a continuación, a través de la dirección http://www.inteco-enise.webcastlive.es/:

Día 27 de Octubre

P11: Innovación en Seguridad en la Sociedad de la Información de 10h30 a 11h45
T11: Nuevas formas de delincuencia en la Sociedad de la Información de 12h15-14h30
T14: Secreto y privacidad de 16h00-18h00Día 28 de Octubre
P21: Negocio e innovación en seguridad de 9h45-11h15
T21: Gestión de la seguridad en las organizaciones de 11h45-14h30
T24: Impacto de la falta de seguridad en el negocio de 16h00-18h00

Día 29 de Octubre

P31: Innovación en Servicios electrónicos seguros de 10h00-11h15
T31: Servicios seguros en la Administración electrónica basados en DNI electrónico de 11h45-14h00

Y Rapid7 dijo.: Mi tesooooooro (metasploit)

Rapid7 se lo monta con metasploit, entendiendo por se lo monta comprar o financiar. El tiempo dirá la forma de evolución, que puede ser a gremlim bueno o malo. Esperemos que evolucione a gremlim bueno.

Toma parte activa en toda relación (II Jornadas Seguridad 2009 de la Facultad de Informática de la UDC)

En toda relación se pueden tomar distintas posturas, tanto activas como pasivas. Una postura pasiva te hará perder mucha información. En todo lo que hacemos, tanto en el ámbito profesional, como fuera del mismo, podemos tomar una postura participativa o, con cara de soy le leche y estoy de vuelta de todo, tomar una actitud pasiva.

Los días 15 y 16 de octubre se celebran las II Jornadas de Seguridad en la Facultad de Informática. En este sentido hay varias opciones en el caso de que decidas asistir.:

- Sentado en tu butaca y esperar a ver lo que te cuentan. En el caso de que controles del tema es lo más recomendable pero, en el caso de que no sea así, te perderás muchas cosas o, en el peor de los casos, desconectarás de la temática quedándote únicamente con lo más anecdótico de las charlas. No es el objetivo.
- Sentado en tu butaca pero antes de las charlas le has dedicado unas cuantas horas a la temática tratada, partiendo de una situación que te permitirá obtener una gran cantidad de información. A este segundo grupo está dirigida esta entrada.

José Palazón nos hablará de fallos de seguridad en aplicaciones web, SQL injection, blind-SQL inj., CSS, etc. Te recomiendo un vistazo a http://www.owasp.org/index.php/Category:OWASP_Testing_Project
La versión 3 está disponible en castellano en http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf
Puede que de cara a las charlas no sea un buen plan leer sus 372 páginas, aunque no estaría mal, pero revisar todo tipo de información de algunos de los principales problemas de seguridad en aplicaciones web puede ser una buena opción.
También puedes pasarte por http://sechack.blogspot.com/2009/05/sql-injection-lo-necesario-y-un-poquito.html con referencias de interés en SQLinj.

En el caso de Ángel Prado no incluiré nada por la propia naturaleza de sus charlas y por los múltiples caminos que puede tomar. Abre los ojos, como diría Amenábar, y déjate llevar.

Para la charla de Miguel Ángel Calvo, sin duda alguna, te recomiendo http://psi-udc.blogspot.com/2009/09/en-las-jornadas-de-este-ano-en.html. Es una de las herramientas clásicas que todo “bicho”, bueno o malo, debe conocer.

Alejandro Ramos nos hablará de test de intrusión. No recomendaré ninguna lectura dado que aquí seguramente asistiremos a mucha información de naturaleza propia, experiencias en casos reales, etc. En esta nuevamente mejor abrir los ojos y … Puedes seguir algunos de sus posts en Security by Default

Alejandro Martín nos trae el apasionante mundo de los metadatos. Como antesala de la charla recomiendo pasar por http://www.slideshare.net/chemai64/tactical-fingerprinting-using-metadata-hidden-info-and-lost-data-1309602

En el caso de Chema Alonso, nos trae un tema de seguridad en el apasionante mundo del correo electrónico, que “engrana” perfectamente con algunas de las cosas que se ven en la asignatura de PSI. Te recomiendo el artículo de la revista PC World, nº 267 de 2009, pp. 78-85. En este artículo de Chema se evoluciona desde la típica conexión telnet al 25 de un servidor, para hablar SMTP, a los mecanismos de autenticación como SPF o DKIM. Puedes acceder a una gran cantidad de post de Chema Alonso en el lado del mal

También te encontrarás otras magníficas charlas, como las de Miguel Gesteiro o Diego Ferreiro, entre otras. No incluiré más referencias, aunque son muchas las disponibles.

Toda la información de estas más que interesantes charlas en http://jornadas.feval.info/ y complementada en http://quegrande.org/foro/viewtopic.php?f=2&t=3525

Pdt.: En el segundo cuatrimestre de PSI solicitaré un listado de matriculados que han asistido a estas charlas y …

--
Un ser activo no muere de viejo, pero …