Un grupo de gente se ha juntado para generar documentación sobre cómo funcionan las técnicas de exploiting. Bajo el título de Overflowed Minds están empezando a generar documentación para que se cree una comunidad y poder aprender de los conocimientos de los demas.

Read the rest of this entry »

El esc

áner de vulnerabilidades Nessus tiene una alta velocidad de descubrimientos, auditoria de configuración, perfilado de activos, descubrimiento de información sensible y análisis de vulnerabilidades del punto de vista de la seguridad de la organización. Tenable ahora ofrece esa misma tecnología como un SaaS o modelo alojado para un despliege más sencillo y rápido y provee auditorias de terceros de las infraestructuras conectadas a Internet.

Read the rest of this entry »

Según Kaplan y Norton, no se puede gestionar lo que no se puede medir y no se puede medir lo que no se puede describir; si trasladamos este enunciado a la Seguridad quedaría algo así como: “no se puede gestionar la Seguridad de nuestra empresa si implementamos controles de Seguridad que no pueden ser medibles”.

Read the rest of this entry »

Aprovechando que va quedando menos para el fin de año, aquí os dejo algunas ideas para el 2011. Algunas están estrictamente relacionadas con la seguridad, otras sólo en parte. No deja de ser un ejercicio en que se pretende arrojar ideas, las cuales sois libres de comentar

Tranquilos, que no son muchas, y están escritas en un tono coloquial para no parecer muy dramático. Allá vamos.

Read the rest of this entry »

Introducción

De acuerdo con un nuevo informe de la agencia europea de seguridad ENISA (European Network and Information Security Agency), el spyware, la mala limpieza de los datos al reciclar dispositivos o la pérdida de los mismos son los principales riesgos de seguridad a los que se enfrenta el uso masivo de los smarphones.

Read the rest of this entry »

Increíble pero cierto, después de todo el histórico revuelo mediático alrededor de las filtraciones de WikiLeaks, resulta que la NASA, ha revelado que, dentro de su programa de reciclaje de equipos informáticos, vendió diez ordenadores sin haber eliminado previamente los datos que éstos almacenaban, que por cierto, estaban catalogados como información sensible; y a punto estuvo de salir un ordenador más con información relativa a los transbordadores espaciales, si no llegan a inspeccionar el contenido de éste. Este caso, que bien podría parecer sacado de una película de espionaje de serie B, es totalmente verídica y supone un espectacular fallo de seguridad.

Read the rest of this entry »

A continuación dejo una lista de aplicaciones web vulnerables que han sido creadas para ser utilizadas para aprender sobre errores en el desarrollo:

Read the rest of this entry »

Fuente:DragonJar

The Social-Engineer Toolkit mas conocido como SET, es un conjunto de herramientas especialmente diseñadas para realizar ataques de Ingeniería Social en procesos de auditorias en seguridad, esta programado en Python por David Kennedy (ReL1K), quien hace poco publicó su versión 1.0 con grandes cambios y por esta razón, decidimos que era momento de dedicarle un articulo a esta excelente herramienta dentro de nuestra comunidad.

Read the rest of this entry »

Tener todas las herramientas que puedas necesitar a la mano, siempre te facilita y agiliza la tarea que estés desempeñando, esto es algo acertado en todas las profesiones y en la seguridad informática es igual, si no contamos con las herramientas necesarias, un proceso puede atrasarse tiempo indeterminado o simplemente no se podría realizar.

Read the rest of this entry »

Impresionante término acuñado por Stephen Baker en su libro “Los Numerati. Lo saben todo de ti“. El propio título no deja indiferente al lector.

Read the rest of this entry »

el 14 de agosto de 2003, una gran cantidad de infraestructuras críticas dejaron de funcionar en Estados Unidos y parte de Canadá. La carencia de suministros básicos de agua, electricidad, teléfono, etc… afectaron a 50 millones de personas, algunas de las cuales quedaron varadas en aeropuertos o encerradas en el metro o en ascensores. La versión oficial fueron unos árboles que se habían caído sobre unas líneas de electricidad pero se barajó una teoría diferente: Blaster, como causa o como suma a la causa. Tres días antes, el 11 de agosto de 2003, el gusano Blaster fue lanzado a Internet y su propagación fue increible como ya había ocurrido anteriormente con otro malware. Blaster infectó cientos de miles de ordenadores causando daños valorados en billones de dólares con una expansión similar a la que ya produjo el gusano “Code red”.

Read the rest of this entry »

Los Kits de exploits son programas automatizados que recogen todos los exploits públicos – y si pagas bastante los no publicados – que se venden con el fin de realizar infecciones masivas para así poder crear botnets. Hasta no hace demasiado tiempo, en estos kits de infección sólo se solían incorporar exploits para sistemas Windows, pero eso ya cambió.

Hoy vamos a hablar sobre un comportamiento de IIS6 no conocido que considero interesante y puede ser útil a la hora de realizar auditorías de seguridad. Se trata de un artículo sobre cómo funciona IIS6 a la hora de trabajar junto con aplicaciones de terceros que realicen operaciones sobre el sistema de ficheros (creación de directorios, upload de ficheros) tales como gestores de ficheros en web.

Read the rest of this entry »

Comienza el mes de Octubre, y os dejo aquí la lista de los eventos en los que andamos liados, por si queréis/podéis u os dejan participar en algunos de ellos.

Read the rest of this entry »

Read the rest of this entry »