Prev

Next

Cybersecurity Awareness ConferenceCybersecurity Awareness Conference ISACA-RUM, Infragard-FBI, Dra. Aury Curbelo, Digetech.net, en conjunto National Cyber Security Alliance (NCSA) les invitan a la conferencia sobre Seguridad en Informática que se llevará a cabo el Lunes 15 de Octubre 2012 a partir de las 8am-1:00pm en las facilidades del Salón de Usos Múltiples de la Universidad Interamericana...

Read more

Cybersecurity Awareness Campaign for Teens in Puerto Rico Cybersecurity Awareness Campaign for Teens in Puerto... En technosavvypr.net y Digetech.net nos preocupamos por la juventud de Puerto Rico, principamente por el uso que le dan a las tecnologías de comunicación de hoy día.  Si bien la tecnología es un excelente medio de comunicación tambien trae consigo serías concecuencias si no es bien utilizada. Durante más de un...

Read more

Contraseñas segurasContraseñas seguras Me parece que todos hemos escuchado y leído  los típicos consejos sobre contraseñas: ....tienen que tener símbolos, números, letras mayúsculas y minúsculas, no hay que repetirlas en diferentes sitios... Esto es muy correcto a continuación reseño algunos consejos desarrollados por Genbeta: Algoritmos...

Read more

Herramientas de control parentalHerramientas de control parental Herramientas control parental son herramientas que permiten a los padres asegurarse que sus hijos naveguen protegidos en el mundo del Web.  Aquí les presento alguna de estas herramientas. Window Live Family Safety- http://explore.live.com/windows-live-family-safety    es un servicio de control parental gratuito...

Read more

Consejos de seguridad informática para padresConsejos de seguridad informática para padres La educación ejerce  un papel muy importante en la prevención de los más sofisticados ataques informáticos.  Según un estudio realizado por la compañía de seguridad informática ESET, entre más de 1.500 millones de usuarios en todo el mundo, el 25.9% considera que se trata de la “mayor amenaza” para...

Read more

twitter

Contraseñas seguras

Category : Contraseñas, contraseñas seguras, Guías/Manuales, Noticias, password, password seguros

Me parece que todos hemos escuchado y leído  los típicos consejos sobre contraseñas:

….tienen que tener símbolos, números, letras mayúsculas y minúsculas, no hay que repetirlas en diferentes sitios…

Esto es muy correcto a continuación reseño algunos consejos desarrollados por Genbeta:

Algoritmos para crear contraseñas

Puede ser el método más sencillo y del que más fácil nos acordemos. Simplemente tenemos quecrear un pequeño algoritmo para usar en cada sitio en el que nos registremos. Vamos a poner un ejemplo como si nos estuviésemos registrando en Genbeta:

    1. Las dos primeras letras de la contraseña serán las dos primeras del sitio donde nos registremos. Por lo tanto, nuestra contraseña empieza con ge.
    2. Seguiremos la contraseña con las dos últimas letras del nombre de usuario. Si nos registramos como pepito, ya tendremos geto.
    3. Lo siguiente será el número de letras del nombre del sitio. Genbeta tiene siete, así que seguimos añadiendo: geto7.
    4. Si el número anterior es impar, añadiremos un símbolo de dólar. Si es par, una arroba. Como el 7 es impar, nos queda geto7$.
    5. Cogemos las letras del medio de la contraseña y las volvemos a escribir usando la letra siguiente del alfabeto. Lo entenderéis con un ejemplo: si tenemos geto, reescribimos las dos del medio usando las siguientes letras del alfabeto, y nos queda fu. De esta forma, nuestra contraseña queda geto7$fu.
    6. Contamos el número de vocales que hay en la contraseña, le sumamos tres, y lo escribimos pero pulsando la tecla Shift, de forma que nos salga un símbolo. En este caso, tenemos 3 vocales, así que el símbolo será &, que está encima de la tecla 6.

 

Al final, nos ha quedado una contraseña compleja (geto7$fu&), y que podremos recordar en cualquier momento. Este método tiene la ventaja de que, al ser un algoritmo, podemos crear sin mucha complicación un pequeño programa que nos cree estas contraseñas. La desventaja es que quien adivine el algoritmo tendrá acceso a todos nuestras cuentas, ya que es un método fijo.

Crear una contraseña compleja a partir de una base

Ahora lo que vamos a hacer es crear una contraseña compleja pero fácil de recordar a partir de una base sencilla. Por ejemplo, vamos a usar como base pepe1234.

    1. Pulsa la tecla Shift carácter sí, carácter no. Con sólo esto, ya tenemos PePe!2·4, bastante más segura.
    2. Une elementos de tu contraseña con símbolos. Por ejemplo, para añadir tu ciudad natal a la contraseña anterior: PePe!2·4@bcn.
    3. Puedes añadir tu fecha de nacimiento pero sumándole uno a cada cifra. Por ejemplo, si hemos nacido el 9 de diciembre de 1980, se lo podemos añadir a la contraseña quedando así:PePe!2·4@bcn101381.
    4. Y el último, ya el colmo de la complicación: ¿Por qué no escribir la contraseña al revés? Eso sí, ya empezaríamos a tardar demasiado en escribirla, pero, ¿quién adivinaría una contraseña como183101ncb@4·2!ePeP?

 

  1. Otros trucos pueden ser cambiar cada letra por la de la izquierda del teclado, cambiar las letras por números y símbolos parecidos, o cualquier cosa que se os ocurra. De hecho, cuanto más surrealista e idiota parezca esa idea, mejor.

Herramientas de Encriptación para USB

Category : Guías/Manuales, Hacking, Herramientas, Informes, Malwares, Noticias, Seguridad Web, Spam, Troyanos, USB, Virus

 

 

 

 

 


ISO 27001: Sistemas de Gestión de la Seguridad de la Información

Category : Guías/Manuales, Noticias


ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Más información: http://www.iso27000.es/iso27000.html

Serie 800 del NIST

Category : Guías/Manuales, Noticias

De acuerdo a Segu-Info:

 

La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la Información. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y organizaciones académicas para todos los interesados en la seguridad.

Además las guías también pueden consultarse por Categorías y Productos y Templates de Políticas.

Me parece que si alguien desea conocer de seguridad estas guías y documentos te pueden ayudar a entender el proceso de seguridad.

Enlace: http://csrc.nist.gov/publications/PubsSPs.html

Enlace: http://www.segu-info.com.ar/guias/nist.htm

Backtrack!!! Cuidado hay viene Firefox- Serie de extensiones que lo convierten en una poderosa herramienta para Ethical Hacking….

Category : Backtrack, Esteganografía, Forense, Guías/Manuales, Hacking, Herramientas, Ingeniería social, Noticias

De un artículo de Security-Database encontré una poderosa información que ha hecho que piense dos veces el usar Backtrack como mi herramienta favorita para hackeo  y forense.

De acuerdo al artículo Firefox, si… si… Firefox!! contiene una basta lista de extensiones que lo puden convertir en una poderosa herramienta para llevar a cabo pruebas de penetración (pen tester).  He descargado alguna de esas herramientas y me han parecido muy muy buenas. Tal vez su mayor ventaja es que son en vivo y los resultados son sorprendentes.

Veamos algunas de ellas:

Information gathering

  • Whois and geo-location
    • ShowIP : Show the IP address of the current page in the status bar. It also allows querying custom services by IP (right mouse button) and Hostname (left mouse button), like whois, netcraft.
    • Shazou : The product called Shazou (pronounced Shazoo it is Japanese for mapping) enables the user with one-click to map and geo-locate any website they are currently viewing.
    • HostIP.info Geolocation : Displays Geolocation information for a website using hostip.info data. Works with all versions of Firefox.
    • Active Whois : Starting Active Whois to get details about any Web site owner and its host server.
    • Bibirmer Toolbar : An all-in-one extension. But auditors need to play with the toolbox. It includes ( WhoIs, DNS Report, Geolocation , Traceroute , Ping ). Very useful for information gathering phase
  • Enumeration / fingerprinting
    • Header Spy: Shows HTTP headers on statusbar
    • Header Monitor : This is Firefox extension for display on statusbar panel any HTTP response header of top level document returned by a web server. Example: Server (by default), Content-Encoding, Content-Type, X-Powered-By and others.
  • Social engineering
    • People Search and Public Record: This Firefox extension is a handy menu tool for investigators, reporters, legal professionals, real estate agents, online researchers and anyone interested in doing their own basic people searches and public record lookups as well as background research.
  • Googling and spidering
    • Advanced dork : Gives quick access to Google’s Advanced Operators directly from the context menu. This could be used to scan for hidden files or narrow in a target anonymously (via the scroogle.org option) [Updated Definition. Thanks to CP author of Advanced Dork]
    • SpiderZilla : Spiderzilla is an easy-to-use website mirror utility, based on Httrack from www.httrack.com.
    • View Dependencies : View Dependencies adds a tab to the “page info” window, in which it lists all the files which were loaded to show the current page. (useful for a spidering technique)

- Security Assessment / Code auditing

  • Editors
    • JSView : The ’view page source’ menu item now opens files based on the behavior you choose in the jsview options. This allows you to open the source code of any web page in a new tab or in an external editor.
    • Cert Viewer Plus : Adds two options to the certificate viewer in Firefox or Thunderbird: an X.509 certificate can either be displayed in PEM format (Base64/RFC 1421, opens in a new window) or saved to a file (in PEM or DER format – and PKCS#7 provided that the respective patch has been applied – cf.
    • Firebug : Firebug integrates with Firefox to put a wealth of development tools at your fingertips while you browse. You can edit, debug, and monitor CSS, HTML, and JavaScript live in any web page
    • XML Developer Toolbar:allows XML Developer’s use of standard tools all from your browser.
  • Headers manipulation
    • HeaderMonitor : This is Firefox extension for display on statusbar panel any HTTP response header of top level document returned by a web server. Example: Server (by default), Content-Encoding, Content-Type, X-Powered-By and others.
    • RefControl : Control what gets sent as the HTTP Referer on a per-site basis.
    • User Agent Switcher :Adds a menu and a toolbar button to switch the user agent of the browser
  • Cookies manipulation
    • Add N Edit Cookies : Cookie Editor that allows you add and edit “session” and saved cookies.
    • CookieSwap : CookieSwap is an extension that enables you to maintain numerous sets or “profiles” of cookies that you can quickly swap between while browsing
    • httpOnly : Adds httpOnly cookie support to Firefox by encrypting cookies marked as httpOnly on the browser side
    • Allcookies : Dumps ALL cookies (including session cookies) to Firefox standard cookies.txt file
  • Security auditing
    • HackBar : This toolbar will help you in testing sql injections, XSS holes and site security. It is NOT a tool for executing standard exploits and it will NOT learn you how to hack a site. Its main purpose is to help a developer do security audits on his code.
    • Tamper Data : Use tamperdata to view and modify HTTP/HTTPS headers and post parameters.
    • Chickenfoot : Chickenfoot is a Firefox extension that puts a programming environment in the browser’s sidebar so you can write scripts to manipulate web pages and automate web browsing. In Chickenfoot, scripts are written in a superset of Javascript that includes special functions specific to web tasks.

- Proxy/web utilities

  • FoxyProxy : FoxyProxy is an advanced proxy management tool that completely replaces Firefox’s proxy configuration. It offers more features than SwitchProxy, ProxyButton, QuickProxy, xyzproxy, ProxyTex, etc
  • SwitchProxy: SwitchProxy lets you manage and switch between multiple proxy configurations quickly and easily. You can also use it as an anonymizer to protect your computer from prying eyes
  • POW (Plain Old WebServer) : The Plain Old Webserver uses Server-side Javascript (SJS) to run a server inside your browser. Use it to distribute files from your browser. It supports Server-side JS, GET, POST, uploads, Cookies, SQLite and AJAX. It has security features to password-protect your site. Users have created a wiki, chat room and search engine using SJS.

- Misc

  • Hacks for fun
    • Greasemonkey : Allows you to customize the way a webpage displays using small bits of JavaScript (scripts could be download here)
  • Encryption
    • Fire Encrypter : FireEncrypter is an Firefox extension which gives you encryption/decryption and hashing functionalities right from your Firefox browser, mostly useful for developers or for education & fun.
  • Anti Spoof
    • refspoof : Easy to pretend to origin from a site by overriding the url referrer (in a http request). — it incorporates this feature by using the pseudo-protocol spoof:// .. thus it’s possible to store the information in a “hyperlink” – that can be used in any context .. like html pages or bookmarks

Fuente: http://www.security-database.com/toolswatch/Turning-Firefox-to-an-Ethical.html

Fuente: http://www.security-database.com/toolswatch/IMG/pdf/Turning_Firefox_Ethical_Hacking_Platform.pdf

¿Qué son las brechas de información y cómo evitarlas?

Category : Amenazas humanas, Brechas de información, Espionaje, Guías/Manuales, Noticias, Políticas de Seguridad

Data leak mod 2a copy ¿Que una brecha de información? Se denomina brecha de información “al incidente (tanto interno como externo, y a la vez intencional o no) que pone en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma.”

Ejemplo de situaciones:

Un empleado vendiendo información confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida de una laptop o un pen drive, así como también el acceso externo a una base de datos en la organización o un equipo infectado con un Spyware que envíe información a un delincuente.

En esos  ejemplos anteriores  tienen en común que la información confidencial de la empresa cae en manos de terceros que no debería tener acceso a la misma.

A nivel tecnológico existen medidas tecnológicas como:

1. Data Loss Prevention (DLP),

2. Data Leak Prevention (también DLP),

3. Information Leak Detection and Prevention (ILDP),

4. Information Leak Prevention (ILP),

5. Content Monitoring and Filtering (CMF)

6. Information Protection and Control (IPC),

Este tipo de medida tecnológica   pueden prevenir  las brechas de información pero deben ser minuciosamente configuradas, para lo cual se requiere previamente conocer el valor de la información, que se obtiene luego de realizar un estudio de valuación de activos, de manera que se sepa cuánto valen los activos que se desean proteger.

Más allá de esto, la información se debe clasificar en función de su nivel de requerimientos de confidencialidad, integridad y disponibilidad, cosa que también ayudaría a implementar un sistema como los mencionados. Todo lo antedicho está incluido en la implementación de normas de seguridad de la información, como serie la ISO 27000.

Fuente: http://blogs.eset-la.com/laboratorio/2010/04/16/la-serie-de-normas-iso-27000/