sábado, 30 de agosto de 2008

Pósters de Concientización en Seguridad de la Información (VI)

Free Security Awareness Resources - Posters

Terms of use: copyrights must stay with the free posters, the posters must not be changed, and the images must not be extracted.

August 2008: Dumpster Diving (8.5 x 11 inches)

July 2008: ID Badges (8.5 x 11 inches)

June 2008: Data Protection - Storage Devices (8.5 x 11 inches)

May 2008: Encryption (8.5 x 11 inches)
April 2008: A Beautiful Thing (8.5 x 11 inches)

March 2008:
More Than Luck (8.5 x 11 inches)

February 2008:
Don't Be In the Dark (8.5 x 11 inches)

January 2008: Curiosity Killed the Network (8.5 x 11 inches)

December 2007: Cloak Your Information (8.5 x 11 inches)

November 2007: Clear and Lock Your Screen (8.5 x 11 inches)

October 2007: Protecting Information Calendar -
Log Off When You Leave Calendar (8.5 x 11 inches)

September 2007 : Passwords Are Like Bubblegum poster
(8.5 x 11 inches)

Fuente: Native Intelligence, Inc.
Founded in 1995 with a focus on Security Awareness, Native Intelligence brings more than a decade of innovation, customer-driven design, and proven results to our training solutions. Our clients benefit from our responsiveness, enthusiasm, and dedication to excellence in service. We are a Maryland-based, woman- and Native American-owned small business.
www.nativeintelligence.com/

Post relacionados:
- Pósters de Concientización en Seguridad de la Información (I)
- Pósters de Concientización en Seguridad de la Información (II)
- Pósters de Concientización en Seguridad de la Información (III)
- Pósters de Concientización en Seguridad de la Información (IV)
- Pósters de Concientización en Seguridad de la Información (V)

Computer Security Day - 2009 Poster Calendar

The Computer Security Day organization (www.computersecurityday.org/) is offering a 2009 poster calendar designed by Native Intelligence, Inc.



Download: 2009 CSD Calendar (11 x 17 inches)


Link Relacionado:
- Computer Security Day - Poster 2007

viernes, 29 de agosto de 2008

El principal problema de la seguridad informática: Las Personas

Según un estudio titulado Trust, Security & Passwords realizado entre unos 300 profesionales de seguridad informática por una empresa de seguridad llamada Cyber-Ark, resulta que…
  • El 88 % de los responsables de informática se llevarían información valiosa y sensible, como las contraseñas de los directivos, las bases de datos de clientes, datos financieros y todas las contraseñas que pudieran, si fueran despedidos mañana mismo.
  • Un tercio de las empresas creen que el espionaje industrial y el robo de datos es rampante, incluyendo información que llega a competidores o criminales vía correo, llaves USB, iPods, Blackberrys y similares.
  • Una cuarta parte admite que sufren sabotajes internos, un dato sobre cuan comunes son los problemas de seguridad en las empresas.
  • El 35 % envía información confidencial por correo y otro 35 % por mensajero, con un asombroso 4 por ciento que la envía por correo postal.
  • Los tercio de los administradores guardan sus contraseñas más poderosas en… notas Post-it (la vida real supera a Dilbert y a IT-Crowd).
  • Una tercera parte admite cotillear los datos de la red en busca de información confidencial: correos personales, informes y otro tipo de información personal.

¡Que no cunda el pánico! No todas las empresas funcionan igual de mal, ni en todos sitios los administradores de sistemas son tan criminales, pero nunca está de más asegurarse que lo que es realmente importante o personal está a buen recaudo. Además, el informe proviene de una empresa que además vende consultoría y servicios sobre seguridad, así que hay que valorarlo en función de eso, pues obviamente dista de ser independiente.
En cualquier caso, este recordatorio a modo de ¿Quién vigila a los vigilantes? sirve para no olvidar aquello de que los sistemas de seguridad están muy bien y pueden ser fiables, muy fiables o super fiables, pero el factor humano suele ser lo que falla cuando hay grandes desastres como los que describe el informe.

(Vía contraseñas robadas a Slashdot + IT World.)

Visto en Microsiervos.com

Link relacionado:
- Security Survey Reveals Exiting Employees Have The Power

Nuevo fallo de seguridad en internet

Un mal uso del protocolo BGP (Border Gateway Protocol) permite secuestrar datos no encriptados y modificarlos antes de que lleguen a su destino
Después de la vulnerabilidad en el sistema DNS (el sistema que asigna los nombres de dominio) , acabamos de conocer otro punto débil de la red de redes. Se trata del protocolo BGP, que es el encargado de distribuir el tráfico en la red encontrando el camino más corto para llegar hasta un servidor que aloja unos contenidos concretos. La vulnerabilidad, publicada en la revista Wired, ha sido descubierta por Anton Kapela y Alex Pilosov, dos expertos en seguridad informática que comentan que el peligro no está en el protocolo en sí, sino en la forma en que se utiliza. La puerta entreabierta en este sistema, según probaron Kapela y Pilosov en la conferencia de hackers DefCon, es un mecanismo pensado para que las agencias de inteligencia pudieran intervenir determinadas comunicaciones.

Los routers BGP son comunes en los proveedores de Internet (como Telefónica, Ono, Tele2). Éstos utilizan el citado protocolo para compartir la información de ruta, esto es, para localizar computadoras en la Red (que se identifican individualmente mediante direcciones IP)

Cuando se envía o solicita información a través de internet de un país a otro (esto ocurre siempre que utilizamos internet ya que muchos servidores se encuentran en el extranjero) el protocolo BGP “pregunta” cuál es la ruta más eficiente para llegar hasta el sitio solicitado. La respuesta se obtiene de los routers principales que cada compañía tiene instalados en cada país y el protocolo BGP confía a ciegas en ellos.
Pero un pirata informático podría “engañar” a estos routers y redirigir la información a donde le interese o incluso modificarla y después devolverla. Es lo que se conoce como secuestro de IP’s.

Los expertos aseguran que los proveedores de Internet pueden evitar este tipo de ataque al cien por cien , utilizando filtros potentes, pero que son bastante costosos. Stephen Kent, experto en seguridad de BBN Technologies, trabaja también en otras soluciones, relacionadas con la obtención de autorizaciones previas.
A nivel de usuario es recomendable utilizar un antivirus y firewall actualizados así como tomar ciertas precauciones a la hora de navegar huyendo de sitios en los que no esté muy clara la política de protección e integridad de los datos, sobretodo si estos son necesarios para realizar una transacción como el registro de usuario o una compra on line.

Creditos:
- www.elexpertodigital.com/noticia.php?id=513
- www.lanacion.com.ar/nota.asp?nota_id=1044144

miércoles, 27 de agosto de 2008

Core Security's "Pen Testing Ninjitsu" webcast series

---------------------------------------------------------------------------------------
Pen Testing Ninjitsu Part I – “Windows Command Line Hero”
---------------------------------------------------------------------------------------
A brief introduction to the value of penetration testing + an overview of pen testing techniques using the Windows command shell.
* Presentation
* Slide deck

---------------------------------------------------------------------------------------
Pen Testing Ninjitsu Part II – “Crouching Netcat, Hidden Vulnerabilities”
---------------------------------------------------------------------------------------
An introduction to techniques for performing the functions of Netcat - such as moving files, scanning ports and creating backdoors - without using Netcat.
* Presentation
* Slide deck


---------------------------------------------------------------------------------------
Pen Testing Ninjitsu Part III – “After the Initial Compromise”
---------------------------------------------------------------------------------------
This installment explores what can happen after the initial vulnerability is compromised and a threat becomes truly invasive – and how to proactively assess your systems against such attacks. This installment will explore what can happen after the initial vulnerability is compromised and a threat becomes truly invasive – and how to proactively assess your systems against such attacks.
* Presentation
* Slide deck

Core Security Technologies

martes, 26 de agosto de 2008

USB FireWall

USB Firewall es un programa que bloquea la ejecución automática de programas que están en las memorias USB, cuando se conectan en las computadoras, lo que permite evitar que un codigo malintencionado residente en un pendrive u otro dispositivo USB infecte tu PC.
Funciona de un modo transparente: monitoriza los puertos de tu PC y, al detectar una nueva conexión, bloquea la ejecución automática de cualquier programa.
  • Sistema operativo: Win98/98SE/Me/2000/NT/XP y consume muy poca memoria RAM,6MB.
USB FireWall is a freeware and its functionality is limited, if ever the malevolent program is already present in your system, it tries to stop it but a patch or an Antivirus program is much more adapted to this kind of problem.

USB FireWall can too clean all your partitions for auto launched Application from partition by deleting autorun file and its application pointed to.

Download:
Download from Server #1
Download from Server #2

Lanzan un portal enfocado a garantizar la seguridad de los menores en Internet

Se trata de una red social controlada por los progenitores.

Los expertos insisten en que es fundamental que los menores naveguen por Internetpeligros que se esconden en la Red. El portal Myfamilypedia, recién estrenado, ofrece con el propósito de proteger a los niños y niñas una red social controlada por los progenitores. acompañados de sus padres para evitar los

Este sitio cuenta con una zona segura para los pequeños a la que se accede si se está identificado previamente. A diferencia de los programas que actúan como filtros e impiden la entrada a páginas consideradas no aptas, en Myfamilypedia la filosofía es la de facilitar la visita de portales apropiados.

Esa seguridad queda garantizada por la identificación del padre mediante un pago con tarjeta de crédito de 30 euros anuales. En ese registro están identificados todos los miembros de la familia. Eso no quita para que haya problemas, pero "a la menor incidencia se sabe quién ha sido para tomar las medidas oportunas", explicó Juan Holgado, director de la empresa creadora del sitio.

Mediante el citado abono los niños pueden acceder, previo permiso de los progenitores, a la zona exclusiva para menores, denominada "Chicos Cool", donde se relacionan con otros pequeños identificados.

Fuente: www.consumer.es/web/es/tecnologia/2008/08/05/179092.php

Video de concientización en seguridad: Escritorio Limpio

El siguiente video fue realizado por alumnos del IUPFA (Instituto Universitario de la Policía Federal Argentina) de la carrera Licenciatura en Seguridad.

El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.

En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.


Mas información

Black Hat USA 2008 Presentations

Les presentamos a continuación algunas de las presentaciones publicadas de Black Hat USA 2008 :
  • No More 0-Days (or Code-Based Intrusion Detection by Korset) - Presentation - PPT
  • Active 802.11 Fingerpinting: a "Secret Handshake" to Know Your APs - PPT
  • Insane Detection of Insane Rootkits: Chipset Based Approach to Detect Virtualization Malware - PPT
  • Cisco IOS Shellcodes/Backdoors - PPT
  • SQL Injection Worms for Fun and Profit - PPT
  • AppSec A-Z: Reverse Engineering, Source Code Auditing, Fuzzing, and Exploitation - PPT
  • Passive and Active Leakage of Secret Data from Non Networked Computer - PPT
  • Decompilers and Beyond - Presentation - PPT
  • Got Citrix, Hack It! - PPT
  • Protecting Vulnerable Applications with IIS7 - PPT
  • Virtually Secure - PPT
  • Black Ops 2008 -- Its The End Of The Cache As We Know It - Video - Audio
  • Jinx - Malware 2.0 - PPT - Tools
  • Deobfuscator: an Automated Approach to the Identification and Removal of Code Obfuscation - PPT
  • Bluetooth v2.1 - a New Security Infrastructure and New Vulnerabilities - PPT
  • Developments in Cisco IOS Forensics - PPT
  • Reverse DNS Tunneling Shellcode - PPT
  • Mifare -- Little Security, Despite Obscurity - PPT
  • Mobitex Network Security - Presentation - PPT
  • Software Radio and the Future of Wireless Security - PPT
  • Playing by Virtual Security Rules: How Virtualization Changes Everything and What to Do About It - PPT
  • Nmap: Scanning the Internet - PPT

DNS Snooping, saber lo que sabés (informe técnico de difusión y concientización)

Openware publico un artículo técnico describiendo en qué consiste esta vulnerabilidad, cuál es el impacto, cómo conocer si se está infectado y algunas vías de solución disponibles.
La vulnerabilidad, se llama DNS Snooping y en el artículo se describen sus aspectos principales y una conclusión, respecto a la importancia de administrar eficientemente nuestros servidores DNS.

El artículo puede descargarse
aquí.

Defcon 16: Speakers & Presentations

DEFCON 16: August 8-10, 2008
at the Riviera Hotel & Casino in Las Vegas

DEFCON 16 Presentations now online!
  • BackTrack Foo - From Bug to 0day - Mati Aharoni (PDF)
  • Autoimmunity Disorder in Wireless LAN - Md Sohail Ahmad, JVR Murthy, Amit Vartak (PDF)
  • Time-Based Blind SQL Injection using heavy queries: A practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and Marathon Tool - Chema Alonso & José Parada (PDF White Paper) Extras (ZIP)
  • The Anatomy of a Subway Hack: Breaking Crypto RFID's and Magstripes of Ticketing Systems - Zack Anderson, RJ Ryan & Alessandro Chiesa (PDF)
  • Digital Security: A Risky Business - Ian O. Angell (PDF)
  • VulnCatcher: Fun with Vtrace and Programmatic Debugging - (PDF ) Extras (ZIP)
  • Pen-Testing is Dead, Long Live the Pen Test - Taylor Banks & Carric (PDF)
  • They're Hacking Our Clients! Introducing Free Client-side Intrusion Prevention - Jay Beale (PDF)
  • When Lawyers Attack! Dealing with the New Rules of Electronic Discovery - John Benson "jur1st" (PDF)
  • The Emergence (and Use) of Open Source Warfare - Peter Berghammer (PDF)
  • What To Do When Your Data Winds Up Where It Shouldn't - Don M. Blumenthal (PDF)
  • Working with Law Enforcement (PDF White Paper)
  • Buying Time - What is your Data Worth? (PDF)
  • ModScan: A SCADA MODBUS Network Scanner (PDF) Extras (ZIP)
  • Deciphering Captcha (ZIP)
  • CSRF Bouncing† (PDF) Extras (ZIP)
  • Bypassing Pre-boot Authentication Passwords (PDF White Paper) Extras (ZIP)
  • Grendel-Scan: A new web application scanning tool (PDF) Extras (ZIP)
  • Building a Real Session Layer (PDF)
  • Hacking E.S.P. (PDF)
  • Hacking Desire (PDF)
  • Climbing Everest: An Insider's Look at one State's Voting Systems (PDF)
  • Could Googling Take Down a President, a Prime Minister, or an Average Citizen? (PDF) Extras (ZIP)
  • Compromising Windows Based Internet Kiosks (PDF)
  • Shifting the Focus of WiFi Security: Beyond cracking your neighbor's wep key (PDF)
  • Hacking Data Retention: Small Sister your digital privacy self defense (PDF)
  • Ticket to Trouble (PDF)
  • Next Generation Collaborative Reversing with Ida Pro and CollabREate (PDF White Paper)
  • de-Tor-iorate Anonymity (PDF)
  • Identification Card Security: Past, Present, Future (PDF)
  • Snort Plug-in Development: Teaching an Old Pig New Tricks (PDF)
  • The Wide World of WAFs (PDF)
  • VLANs Layer 2 Attacks: Their Relevance and their Kryptonite (PDF)
  • Virtually Hacking (PDF)
  • Is That a Unique Credential in Your Pocket or Are You Just Pleased to See Me? (PDF)
  • Exploiting A Hundred-Million Hosts Before Brunch (PDF)
  • Nmap: Scanning the Internet (PDF)
  • Journey to the Center of the HP28 (PDF)
  • Making the DEFCON 16 Badge (PDF) Extras (ZIP)
  • BSODomizer (PDF) Extras (ZIP)
  • Nail the Coffin Shut, NTLM is Dead (PDF)
  • Satan is on my Friends list: Attacking Social Networks (PDF)
  • Advanced Software Armoring and Polymorphic Kung Fu (PDF)
  • Playing with Web Application Firewalls (PDF)
  • War Ballooning-Kismet Wireless "Eye in the Sky" (PDF)
  • Under the iHood (PDF) Extras (ZIP)
  • Ham For Hackers- Take Back the Airwaves (PDF)
  • Demonstration of Hardware Trojans (PDF)
  • Comparison of File Infection on Windows & Linux (PDF White Paper) Extras (ZIP)
  • Developments in Cisco IOS Forensics (PDF)
  • Sniffing Cable Modems (PDF)
  • Toasterkit, a Modular NetBSD Rootkit (PDF)
  • Bringing Sexy Back: Breaking in with Style (PDF)
  • New Tool for SQL Injection with DNS Exfiltration (PDF)
  • Free Anonymous Internet Using Modified Cable Modems (PDF) Extras (ZIP)
  • Xploiting Google Gadgets: Gmalware and Beyond (PDF)
  • Evade IDS/IPS Systems using Geospatial Threat Detection (PDF)
  • Password Cracking on a Budget (PDF) Extras (ZIP)
  • Mobile Hacker Space (PDF)
  • New Ideas for Old Practices - Port-Scanning Improved (PDF)
  • WhiteSpace: A Different Approach to JavaScript Obfuscation (PDF) Extras (ZIP)
  • Taking Back your Cellphone (PDF)

Mas presentaciones (incluidas las de eventos anteriores) . . .

sábado, 23 de agosto de 2008

Nuevo golpe a la seguridad de la información en el Reino Unido

Según confirmó el Ministerio del Interior británico, una empresa subcontratada perdió los datos personales de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales. La oposición critica al Gobierno de Brown.

La empresa PA Consulting, consultora que trabaja para el Gobierno, anunció ayer haber perdido el dispositivo de memoria que contenía los datos de todos los presos de Inglaterra y Gales.
Dicho dispositivo guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos
.

El Ministerio del Interior afirmó haber encriptado los datos antes de dárselos a la consultora londinense, que no estuvo disponible para comentar estas informaciones.

El Gobierno ha ordenado una investigación inmediata de la pérdida y se ha alertado a la policía. "Una investigación completa será llevada a cabo," dijo un portavoz gubernamental. "La policía y el comisario de información (Richard Thomas) han sido informados.

"Por su parte, la oposición conservadora ha criticado duramente al Gobierno porque no es el primer incidente de pérdida de información de este tipo que ocurre este año.

El portavoz de Interior del Partido Conservador, Dominic Grieve, ha señalado que "lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad".
A fines del año pasado, se perdieron los nombres y números de cuentas bancarias de 25 millones de personas beneficiarias de un subsidio infantil, contenidos en dos discos, así como los datos de más de 7.600 conductores de Irlanda del Norte y de tres millones de datos de estudiantes de conducción en EE UU.
El Ministerio de Defensa del Reino Unido, por su parte, admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años. Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.

Visto Adnmundo.com

Link relacionado:

viernes, 22 de agosto de 2008

BSQL Hacker - SQL Injection Framework / Tool designed to exploit

BSQL (Blind SQL) Hacker is an automated SQL Injection Framework / Tool designed to exploit SQL injection vulnerabilities virtually in any database.
BSQL Hacker aims for experienced users as well as beginners who want to automate SQL Injections (especially Blind SQL Injections).
It allows metasploit alike exploit repository to share and update exploits.

Key Features

  • Easy Mode:
    - SQL Injection Wizard
    - Automated Attack Support (database dump)
    . ORACLE
    . MSSQL
    . MySQL (experimental)

  • General:
    - Fast and Multithreaded
    - 4 Different SQL Injection Support
    . Blind SQL Injection
    . Time Based Blind SQL Injection
    . Deep Blind (based on advanced time delays) SQL Injection
    . Error Based SQL Injection
    - Can automate most of the new SQL Injection methods those relies on Blind SQL Injection - RegEx Signature support
    - Console and GUI Support
    - Load / Save Support
    - Token / Nonce / ViewState etc. Support
    - Session Sharing Support
    - Advanced Configuration Support
    - Automated Attack mode, Automatically extract all database schema and data mode

  • Update / Exploit Repository Features:
    - Metasploit alike but exploit repository support
    - Allows to save and share SQL Injection exploits
    - Supports auto-update
    - Custom GUI support for exploits (cookie input, URL input etc.)

  • GUI Features:
    - Load and Save
    - Template and Attack File Support (Users can save sessions and share them. Some sections like username, password or cookie in the templates can be show to the user in a GUI)
    - Visually view true and false responses as well as full HTML response, including time and stats

  • Connection Related:
    - Proxy Support (Authenticated Proxy Support)
    - NTLM, Basic Auth Support, use default credentials of current user/application
    - SSL (also invalid certificates) Support
    - Custom Header Support

  • Injection Points (only one of them or combination):
    - Query String
    - Post
    - HTTP Headers
    - Cookies

  • Other:
    - Post Injection data can be stored in a separated file
    - XML Output (not stable)
    - CSRF protection support

Link relacionado:
- New Oracle bugs and BSQL Hacker-

jueves, 21 de agosto de 2008

PorkBind - Escáner de vulnerabilidades DNS

Al al leer la web del "Guru de la informática" me encontre con una herramienta de deteccion de vulnerabilidades para DNS llamada PorkBind muy interesante.

La herramienta una vez descubierta la vulnerabilidad nos indica como solucionarla con su correspondiente link de CVSS v2.0 y OVAL. Entre las vulnerabilidades que chequea se encuentra la popular vulnerabilidad reportada por Dan Kaminsky.

Algunas de las vulnerabilidades que detecta son:

Descarga: La ultima version disponible hasta el 21/Agos/08 es porkbind-1.3 (tar, 43 Kb)


ChangeLog for this version - Porkbind-1.3
- Wrote in-a-bind shell script that scans random domain names from DMOZ
- Implemented recursive query testing
- Changed porkbind.conf to use CVE numbers in addition to CERT alerts
- Modified text displayed on stdout to make it more parsable
- Licensed with GNU Lesser General Public License
- Fixed timeout/concurrency/memory corruption bugs Fixed improper comparison of alpha/beta version numbering bug
- Added typecasts to silence compiler warnings

miércoles, 20 de agosto de 2008

Oracle Auditing Tools (OAT)

OAT es una suite de herramientas multiplataforma para auditar motores de base de datos Oracle.

Algunas caracteristicas:
- Having access to this function makes it possible to execute anything on the server with the same security context as the user who started the Oracle Service. So basicaly all accounts with default passwords, or easy guessable password, having this privelege can do this.
- Have a builtin TFTP server for making file transfers easy. The tftp server is based on the server source from www.gordian.com. The Tools are Java based and were tested on both Windows and Linux. They should hopefully also run on any other Java platform.
- Use CREATE LIBRARY to be able to access the WinExec function in the kernel32.dll in Windows or the system call in libc on Un*x

Herramientas:

. Oracle Password Guesser (opwg) - Used to enumerate a SID/multiple SID's for default usernames and passwords. The in-built accounts.default file contain 120+ username/ password pairs that will be automatically tried.
. OracleQuery (oquery) – With credentials obtained previously from opwg sets up a pl/sql prompt enabling the using to interactively query the Oracle database (a minimalistic command line based sql query tool)
. OracleSamDump (osd) - Connects to the remote Oracle server and executes a TFTP get, to fetch the pwdump2 binary. The server is then pwdump2:ed and the result is TFTP'd back to the SAM folder of the TFTP server.
. OracleSysExec (ose) - Can be run in interactive mode, letting the user specify commands to be executed by the server or in automatic mode. In automatic mode, netcat is TFTP'd over to the Oracle database server and binds a shell to the TCP port 31337.
. OracleTNSCtrl (otnsctl.sh) - is used to query the TNS listener for various information, like the Oracle lsnrctl utility. It is somewhat limited though. Use the help command to see commands curently implemented.

Requerimientos:

- Java Runtime Environment www.javasoft.com/ or your favorite google query
- Oracle JDBC Driver (classes111.zip or classes12.zip), www.oracle.com/ or your favorite google query

Descarga de Oracle Auditing Tools:
- Download oat-source-1.3.1.zip

martes, 19 de agosto de 2008

PCI Security Standards Council emite un resumen de los cambios en la nueva versión de la norma

El PCI Security Standards Council emite un resumen de los cambios en la nueva versión de la norma para la seguridad de la información del pago electrónico (PCI DSS)

El PCI Security Standards Council (Consejo de normas de seguridad de la industria de medios de pago), un organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información en la industria de pagos con tarjeta (PCI DSS) y requisitos de seguridad para los dispositivos de entrada de PIN (PED), así como para la norma de seguridad de la información para las aplicaciones de pago (PA-DSS), anunció hoy la emisión de un resumen de los cambios que se introducirán en la norma PCI DSS, para actualizar la versión 1.1 a la nueva versión 1.2, que fuera anunciada con anterioridad y que se presentará en octubre. Se encuentra disponible una introducción al resumen de los cambios, así como una sección de Preguntas Frecuentes (FAQ) en el sitio Web del Consejo.
Los cambios en la norma PCI DSS incluyen aclaraciones y explicaciones de los requisitos, las cuales ofrecen una mayor flexibilidad para enfrentar los desafíos actuales que presenta el entorno de las transacciones con tarjetas de pago. El documento que resume estos cambios está diseñado especialmente para aclarar los puntos clave de cada requisito. Gracias a estas aclaraciones también se podrán eliminar los requisitos adicionales redundantes, mejorando, a la vez, los requisitos sobre el alcance y el suministro de datos. Cuando se emita la versión 1.2 que incorpora las mejores prácticas existentes, también se actualizarán y consolidarán los documentos para respaldarla. Cabe destacar que la versión 1.2 no agrega ningún requisito importante a los 12 requisitos ya conocidos que han estado en vigencia desde el comienzo del Consejo.

“Gracias a la interacción con la comunidad, las Organizaciones Participantes del Consejo han prestado un servicio invalorable para poder mejorar la norma PCI DSS de modo que cumpla con las necesidades actuales del mercado”, declaró Bob Russo, gerente general del PCI Security Standards Council.
Con la versión 1.2, lo que hacemos no es corregir las prácticas de seguridad que han venido funcionando hasta ahora, sino perfeccionarlas. Además, estamos distribuyendo una sinopsis de los cambios que se introducirán para asegurarnos de que ninguna de estas aclaraciones tome por sorpresa a los accionistas”.
Mediante el resumen de los cambios efectuados en la revisión de la norma PCI DSS, el Consejo les brinda instrucciones a los accionistas para que sepan a qué atenerse cuando la versión 1.2 esté disponible para el público. El Consejo concluirá la revisión de la norma y entregará la versión 1.2 a sus Organizaciones Participantes a principios de septiembre. Las Organizaciones Participantes del PCI SSC y el Comité Asesor del Consejo han estado respondiendo las consultas sobre las revisiones, y el Consejo está ultimando los detalles de la preparación de la nueva norma, así como la documentación que la respalda. Con este proceso se cumple el ciclo de vida establecido para garantizar que la norma PCI DSS se revise y actualice cada dos años. La versión 1.1 de la norma PCI DSS se presentó en septiembre de 2006.

Descarga
PCI DSS Summary of ChangesThe Payment Card Industry Data Security Standard (DSS) v 1.2 will replace the DSS v. 1.1 on October 1, 2008. This Summary of Changes document provides an overview of the significant differences between the two versions.
English: pdf

Visto en Euroinvestor.es

Otros post relacionados

Los 10 peores errores que comete la alta dirección en seguridad de la información

Monterrey, Nuevo León, 11 de junio 2008.- En el marco de la segunda edición del bSecure Conference, ante más de 120 asistentes, Jesús Torrecillas, consultor de Seguridad de Cemex, dijo en su ponencia: “Si no entendemos que nuestra labor es la de invertir en seguridad y no ser ‘compradores’ entonces mejor dediquémonos a vender churros”.
Asimismo, advirtió que el oficial de seguridad es visto como un pistolero venido a más debido a que no sabe vender el modelo de seguridad a la alta dirección, la cual sólo entiende de retornos de inversión y de tranquilidad en el negocio.
Como resultado de más de 15 años de experiencia en seguridad empresarial, Torrecillas ha identificado los 10 errores más frecuentes que cometen los directivos en este terreno.

Primer error: Asignar a gente sin experiencia el mantenimiento de la seguridad informática y no dar formación para aprender en qué consiste la prevención de la fuga de información y los cambios inherentes a la naturaleza del puesto.
“Hay que preocuparse por demostrar que somos directores de seguridad. Aunque el hábito no hace al monje, sí lo condiciona”, dijo Torrecillas.
La “todología” inspiradora no sirve, continuó Torrecillas. Es como poner todos los huevos en la misma canasta. El expositor se mostró en contra de los UTM (Unified Threat Management) appliances. Lo ideal es tener dos antivirus, uno en la PC y otro en el servidor, afirmó.

Segundo error.- Falta de comprensión entre la relación de seguridad de la información con los problemas del negocio.
Informática es un área del negocio, no lo es todo.
¿Sabe Seguridad en qué consiste la operación del negocio? Informática debe ser entendida como área de apoyo a la operación. “Seguridad es un monstruo bicéfalo, pues debe ser el gestor del área física y de la seguridad de información”, apuntó Torrecillas. En cuanto al monto, la seguridad necesaria depende del tamaño de la empresa. Seguridad debe conocer los entresijos de la operación.

Tercer error.- Falta de conocimiento y de compresión sobre los aspectos de la operación de Seguridad de la Información.
Tenemos que tener fluidez para decirle a la alta dirección a qué demonios nos dedicamos, cómo es nuestra operación. ¿Gasto o inversión? Este es el talón de Aquiles de la empresa, aseguró el directivo de Cemex. “Si la dirección no sabe en qué consiste la operación de la seguridad es un desastre. Hay que saber cómo administrar el riesgo de la fuga de información.”

Cuarto error.- Confiar la seguridad de la información solamente en los firewalls e IPS, IDS, UTM, etcétera.
“A este error yo le llamo el fenómeno del año Uno. Pasa el primer año y todo funciona bien, pero si luego ya no tengo dinero para seguir actualizando el firewall o el UTM entonces esos aparatos se convierten en un florero que no sirve para nada. ¿Están seguros de que los cacharros funcionan bien?”
Los firewalls son floreros de lujo porque nadie los pone a prueba y no hay programas de actualización y mantenimiento, porque no se planean o se gasta el dinero al final del año en otra cosa. También se dice que “si funciona ni lo toques”, y entonces ahí se quedan los aparatos.

Quinto error.- Que el departamento de Seguridad de la Información dependa del departamento de Informática.
El departamento de Informática debe contar con herramientas para auto-auditarse para que cuando le toque la auditoría externa resulte más o menos bien.
“Son jueces y partes por el mismo precio, esa es la razón del phishing en los bancos. Es un ahorro mal entendido. La independencia es clave para el buen hacer. Cuando se encuentran en el mismo departamento, se maquillan los hallazgos para la alta dirección, es un fraude interno el maquillar los logs. Deben trabajar los dos departamentos juntos pero no en cohesión, no revueltos”, advirtió Torrecillas.

Sexto error.- Dejar sólo en manos de proveedores externos la operación de la seguridad informática, y la operación crítica de informática.
“¿Toda tu operación informática en manos extrañas? El outsourcing es un riesgo porque ponemos la seguridad en manos de gente mal pagada, que no conocemos. Los mal pagados venden la información estratégica.
”El ponente recomendó buscar el concepto Mobbing, del español Iñaqui Piñuel (www.yahoo.es/), que es la respuesta del empleado a un acosador laboral.

Séptimo error.- No darse cuenta del valor de la posesión de la información y la reputación de la compañía.

Octavo error.- Reaccionar reactivamente, dando soluciones breves o haciendo parches para solucionar problemas que luego se reproducirán periódicamente.
“¿Sabes cuántos intentos de penetración se están produciendo en tus redes? ¿Conoces tu historia? ¿Sabes a qué se parece tu red de datos? ¿Tienes un plan de contingencia frente a eventos? ¿Asegurarías que “todo” está bien en tu red? Estas solas preguntas que tienes que plantearte.”

Noveno error.- Pretender que los problemas no aparecerán si son ignorados.
“Eso le pasa a los más “fregados” yo soy inmune. Provengo de una familia de alto nivel, “eso” no nos pasa.”

Décimo error.- Ocultamiento de problemas entre los departamentos de tecnología informática y de Seguridad de la Información por desviación de presupuestos. (IT versus Seguridad).

Para concluir, Torrecillas afirmó: “La seguridad informática no es patrimonio de unos o de otros, la integridad de la información impacta en los resultados de la operación”.

Visto en netmedia.info/articulo-31-8133-1.html

lunes, 18 de agosto de 2008

ekoparty Security Conference - 4th edition

ekoparty Security Conference - 4th edition
Buenos Aires, 2 y 3 de Octubre del 2008

¿Qué es la ekoparty?

El nombre “ekoparty” significa "Electronic Knock Out Party",
Es una Conferencia Anual de Seguridad Informática, única en su tipo, en América del Sur. Se realiza en la ciudad de Buenos Aires donde diferentes especialistas de toda Latinoamérica y de otros países tienen la oportunidad de involucrarse con técnicas del “estado-del-arte”, vulnerabilidades y herramientas en un ambiente tranquilo y de intercambio de conocimientos.
Este evento nació del Underground de IT, donde consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds y entusiastas de la tecnología se reúnen y disfrutan dos días de los descubrimientos másimportantes en seguridad del año – además de disfrutar del mejor clima del continente.

¿Cuáles son las diferencias entre la ekoparty y otras conferencias de seguridad informática existentes en Argentina?
· Técnicas de primera mano presentadas en español e inglés
· Sin exposiciones comerciales de vendedores o fabricantes.
· Días de entrenamiento con los profesionales en seguridad más importantes.
· Audiencia técnica especializada
· Relevancia internacional
· Ambiente relajado
· Promoción de red social

Speakers de la ekoparty 2008
Dave Aitel - Keynote: Hacking Has An Economy of Scale
Luciano Bello - Maximiliano Bertacchini - Debian's OpenSSL random number generator Bug
Mariano Nuñez Di Croce - SAP Security - PenTest It, Secure It!
Nicolas Economou - Alfredo Ortega - Smartphones (in) security
Nicolas Economou - Code Injection On Virtual Machines
Domingo Montanaro - In-depth Anti-Forensics - Challenges of Steganography on Discovering Hidden Data
Hugo Scolnik - Atacando RSA mediante un nuevo método de factorizació de enteros
Pablo Solé - Adobe javascript al descubierto


Trainings
- Descubrimiento y Explotación de Vulnerabilidades Web
- Unethical Hacking (Version sintetizada)
- Stack Overflows
- Hacking and Defending Oracle Databases
- Network Security COMBAT Training

Web Oficial del evento: www.ekoparty.com.ar/

Link relacionado:
-Presentaciones: ekoparty 3a. edición - Conferencia sobre Seguridad Informática
- EKOPARTY: La seguridad informática, en la lupa de jóvenes expertos

jueves, 14 de agosto de 2008

Propagación de Spam a través de Bluetooth

El teléfono móvil debido a su extendido uso se ha convertido en un objetivo del Spam y gracias a la tecnología Bluetooth, que implementan la mayoría de los teléfonos móviles, convertirse en un Spammer de dispositivos con esta tecnología esta la alcance de cualquiera.

Existen programas que rastrean los dispositivos Bluetooth que están a su alcance y les envían fotos y mensajes. Estés programas se suelen usar para envió de Spam. Su funcionamiento se basa en el empleo del protocolo OBEX que incluye Bluetooth y mas concretamente de los OOP (Obex Object Push) y OBEX-FTP (OBEX File Transfer Protocol) pertenecientes al protocolo OBEX. Existen programas de este tipo para Linux como: Btopush, para Pocketpc: BT Spammer y para Palm OS: BlueSpam.

Para evitar recibir Spam a través de Bluetooth se debe:

  • Inhabilitar Bluetooth cuando no se este utilizando a menos que se este trasfiriendo información o conectado a otro dispositivo.
  • Utilizar Bluetooth en modo oculto, esto le permite conectarse a dispositivos y enviar información, pero su dispositivo no será visible por los otros dispositivos con tecnología Bluetooth.
  • Tener mucho cuidado donde se usa Bluetooth, los lugares públicos son los más peligrosos para la infección de virus o Spam.
  • Utilizar los ajustes del dispositivo para tener más seguridad y ajustar siempre estes a las utilidades que usted solo usa para que el riesgo sea menor. Y sobre todo si el dispositivo tiene cifrado utilizarlo.
- Más información y descarga de Btopush para Linux
- Más información y descarga de BT Spammer para Pocketpc
- Más información y descarga de BlueSpam para Palm OS
- Suite para test de seguridad en Bluetooth

Visto en Guru de la informática

miércoles, 13 de agosto de 2008

Muy pronto se podrán utilizar “contenidos digitales (fotos, mp3s y vídeos)” como contraseñas

Dos informáticos de la Universidad de Carleton creen que muy pronto se podrán utilizar “contenidos digitales como fotos, mp3s y vídeos” para proteger nuestros dispositivos o información confidencial.

La pareja de investigadores cuenta ya con un prototipo que puede probarse aquí. Con este software se puede convertir cualquier “objeto” en una línea compleja única que actúe como contraseña. Los beneficios son múltiples, según sus autores. Para empezar, la memorización es más fácil, los atacantes no podrán utilizar un diccionario de palabras para adivinar la contraseña y será más fácil prestar una contraseña a alguien sin que tengamos que decirlo explícitamente.

Desde luego, no es el sistema perfecto. De hecho, podría ser menos seguro si una persona elige algo obvio como su foto del perfil de Facebook, como muy bien admiten los autores. Aún así, la idea es divertida, ya que siempre será mejor buscar una canción o una foto que nos guste en lugar de tener que andar probando con complicadas combinaciones de cifras y letras.
El prototipo se presentó en la conferencia sobre seguridad HotSec.
Vinculos: NewScientist

Visto en www.theinquirer.es

Presentaciones: HotSec 2008 - 3rd USENIX Workshop on Hot Topics in Security

Los siguientes documentos corresponden con algunas de las actividades realizadas en el tercer USENIX Workshop realizado en San Jose, CA el pasado 29 de Julio de 2008:

Securing Systems:

  • Towards Application Security on Untrusted Operating Systems - Dan R.K. Ports, MIT CSAIL and VMware, Inc.; Tal Garfinkel, VMware, Inc. Paper in HTML PDF
  • Digital Objects as Passwords - Mohammad Mannan and P.C. van Oorschot, Carleton University. Paper in HTML PDF
  • Security Benchmarking using Partial Verification - Thomas E. Hart, Marsha Chechik, and David Lie, University of Toronto. Paper in HTML PDF

Exploring New Directions:

  • Securing Provenance - Uri Braun, Avraham Shinnar, and Margo Seltzer, Harvard School of Engineering and Applied Sciences. Paper in HTML PDF
  • Absence Makes the Heart Grow Fonder: New Directions for Implantable Medical Device Security - Tamara Denning, University of Washington; Kevin Fu, University of Massachusetts Amherst; Tadayoshi Kohno, University of Washington. Paper in HTML PDF
  • Research Challenges for the Security of Control Systems - Alvaro A. Cárdenas, Saurabh Amin, and Shankar Sastry, University of California, Berkeley. Paper in HTML PDF

Adversarial Security:

  • Defeating Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of the Tattling OS and Applications - Alexei Czeskis, David J. St. Hilaire, Karl Koscher, Steven D. Gribble, and Tadayoshi Kohno, University of Washington; Bruce Schneier, BT. Paper in HTML PDF
  • Panic Passwords: Authenticating under Duress - Jeremy Clark and Urs Hengartner, University of Waterloo. Paper in HTML PDF
  • Bootstrapping Trust in a "Trusted" Platform - Bryan Parno, Carnegie Mellon University. Paper in HTML PDF

Network Forensics

  • Towards Quantification of Network-Based Information Leaks via HTTP - Kevin Borders, Web Tap Security, Inc.; Atul Prakash, University of Michigan. Paper in HTML PDF
  • Principles for Developing Comprehensive Network Visibility - Mark Allman, Christian Kreibich, Vern Paxson, Robin Sommer, and Nicholas Weaver, ICSI. Paper in HTML PDF
  • Challenges and Directions for Monitoring P2P File Sharing Networks—or—Why My Printer Received a DMCA Takedown Notice - Michael Piatek, Tadayoshi Kohno, and Arvind Krishnamurthy, University of Washington. Paper in HTML PDF

Link relacionado:
- 2nd USENIX Workshop on Hot Topics in Security (HotSec '07)