HOLA A TODOS, ESPERO SE ENCUENTREN BIEN.
LES MANDO EL LINK DE DONDE PUEDEN DESCARGAR LA PRESENTACIÓN DE ITIL, ES UN ARCHIVO.RAR SOLO HAY QUE EXTRAER EL CONTENIDO A OTRA CARPETA Y DESPUES EJECUTAR EL ARCHIVO (PRESENTACION2.SWF) QUE SE ENCUENTRA DENTRO.
http://atenas.dcaa.unam.mx/~omar/temas.rar
NOS VEMOS, CUIDENSE
martes, 30 de septiembre de 2008
NUEVO SERVER OCTAVE
Hola.
Este mensaje es para notificar que el apartado de Octave se movió de servidor.
Anteriormente estaba en http://jusanet.homeip.net/tsrs
El nuevo servidor es http://sergiobecerril.homelinux.com/octave
Saludos
Este mensaje es para notificar que el apartado de Octave se movió de servidor.
Anteriormente estaba en http://jusanet.homeip.net/tsrs
El nuevo servidor es http://sergiobecerril.homelinux.com/octave
Saludos
RESÚMEN DE SECCIONES A-F DEL OSSTMM 2.2
SECCIÓN A. SEGURIDAD DE INFORMACIÓN
1. REVISIÓN DE LA INTELIGENCIA COMPETITIVA
Tareas:
*Identificar los directorios del servidor Web, ftp
*Identificar la base de datos WHOIS
*Ver la estructura y roles dentro de la organización
*Investigar en grupos de noticias
*Obtener información de lo que trata el negocio
2. REVISIÓN DE LA PRIVACIDAD
Tareas:
*Ver las políticas que están en práctica
*Identificar los datos
*Comparar las prácticas vigentes con las leyes actuales de privacidad
*Identificar las bases de datos.
*Identificar el almacenamiento de los datos
*Tiempo de expiración de la información y tipo de cifrado
*Fallas de seguridad obtenidas
3. OBTENCIÓN DE DOCUMENTOS
Tareas:
*Examinar las bases de datos
*Investigar las personas clave de la organización
*Obtener información de las personas clave como el e-mail
*Investigar en redes P2P
SECCION B. PROCESO DE SEGURIDAD
1. PRUEBAS DE PETICIÓN
Tareas:
*Solicitar información
*Escoger víctima
*Examinar los métodos para comunicarse con esa persona
*Obtener información de la persona
*Contactar a la persona
2. PRUEBAS DE SUGERENCIAS GUIADAS
Tareas:
*Obtener los puntos de acceso
*Obtener las IP's internas
*Métodos para obtener la información
*Recopilar la información obtenida
3. PRUEBAS DE PERSONAS DE CONFIANZA
Tareas:
*Seleccionar una persona
*Métodos para obtener la información
*Contactar a la persona
*Obtención de la información
*Analizar la información recopilada
SECCIÓN C. SEGURIDAD EN LA TECNOLOGÍA DEL INTERNET
1. TOPOLOGÍA DE RED
Los servicios de una topología de red frecuentemente son utilizados como una introducción al sistema para que sea testeado esto se define de la mejor manera como una combinación de colección de datos, información obtenida y políticas de control.
Con ellos se puede controlar el acceso y denegar determinadas entradas de usuarios, pero la mayoría de las veces sirve como un control de acceso general
Resultados esperados:
*Se espera obtener nombres de dominio
*Nombres de servidores
*Direcciones IP
*Mapa de Red
*Información ISP /ASP, o( información del proveedor de servicios, información del administrador de servicios).
*Propietarios de sistemas y servicios
*Posibles limitaciones de pruebas
Tareas:
*Respuestas de nombres de servidores
*Examinar la información de los registros de dominios para servidores
*Encontrar el segmento de IP al que pertenece
*Consulta primaria, secundaria y nombres de servidores ISP para los host y subdominios.
*Examinar las aéreas externas de la red.
*Uso de múltiples trazas al Gateway, para definir la red externa y routers
*Examinar las pistas de la organización objetivo
*Buscar bitácoras de web y de intrusión
*Búsqueda de tablas de usuarios agregados
*Fugas de información
*Examinar códigos fuentes y scripts de aplicaciones internas
*Examinar cabeceras de email, mails falsos, leídos y recibidos.
*Buscar avisos para encontrar información acerca de la organización objetivo.
*Búsqueda de vacantes dentro de la organización relacionada con IT, y asea hardware o software.
*Búsqueda de conexiones P2P dentro de la organización
2. ESCANEO DE PUERTOS
Encontrar los servicios asociados a esos puertos.
Objetivos:
*Encontrar puertos abiertos, cerrados y filtrados.
*Direcciones IP en uso, sistemas internos , servicios activos y mapas de red
*Descubrimiento de túneles y rutas.
Tareas:
*Revisión de errores, paquetes perdidos, aceptados y rechazados.
*Enumeración de sistemas
*Enumeración de puertos
*Verificación de las respuestas de varios protocolos.
*Verificación de las respuestas del nivel de los paquetes.
3. IDENTIFICACIÓN DE SERVICIOS
Tipo de sistema, actualización e identificar versión de SO, mediante fingerprinting
Objetivos:
Tipo se servicios, aplicaciones y grado de actualizaciones, así como su topología de red.
Tareas:
*Corroboración de cada puertos abierto con sus servicios y protocolos asociados.
*Identificar el tiempo que tiene levantado el servidor, desde la última actualización.
*Aplicaciones detrás de los servicios, actualizaciones por medio de fingerprinting.
*Verificar aplicaciones y versiones.
*Localizar e identificar
4. IDENTIFICACIÓN DE SISTEMAS
Búsqueda de servicios en escucha .
Resultados esperados:
*Tipo de SO
*Actualizaciones
*Tipo de sistema
*Enumeración del sistema
*Direccionamiento interno.
Tareas :
*Determinar el tipo de SO y actualizaciones y secuencias TCP
5. BÚSQUEDA Y VERIFICACIÓN DE VULNERABILIDADES
Resultados esperados:
*Tipo de DOS
*Lista de vulnerabilidades actuales menos falsos positivos.
*Listado interno de DMZ
*Lista de servidor de mails y otras convenciones.
Tareas:
*Escaneo con diferentes herramientas especializadas.
6. PRUEBAS DE APLICACIONES DE INTERNET
Resultados esperados:
*Lista de aplicaciones, componentes, vulnerabilidades y sistemas de confianzas.
Tareas :
*Reingeniería: análisis de código binario, especificación de protocolos, análisis de errores y comportamiento.
*Autenticación: Passwords, ataque de fuerza bruta, analizar políticas de autenticación.
*Administración de sesiones
*Manipulación de entrada y salida y fugas de información
7. TESTEO A LOS ROUTERS
Tareas:
*Verificación de las listas de configuración del router.
8. TESTEO DE SISTEMAS CONFIABLES
Tareas:
*Tipo de sistema y el nivel de servidor
9. TESTEO DE FIREWALL
Lista de paquetes aceptados y rechazados además del nivel de aplicación en que corre el firewall.
Tareas:
*Identificación y tipo de firewall
*Verificar ACL (Listas de Control de Acceso)
*Revisión de los logs de firewall
10. TESTEO IDS
Tareas:
*Identificación y tipo de IDS
*Testeo de la configuración del IDS
*Revisión de los logs del IDS
11. TESTEO MEDIDAS DE CONTINGENCIA
Tareas :
*Verificar recursos disponibles de los subsistemas que son necesarios para las tareas y que recursos son usados por ellos.
*Verificar recursos innecesarios y los que deben de estar disponibles.
*Verificar características del sistema
12. CRACKEO DE PASSWORDS
Obtención de nombres de usuarios, passwords de los diferentes sistemas
Tareas:
*Ataques por diccionario y fuerza bruta
13.TESTEO DE DOS
Verificar la disponibilidad de los servicios
Tareas:
*Revisar la regularidad de los sistemas.
14. REVISION DE POLÍTICAS DE SEGURIDAD
SECCIÓN D. SEGURIDAD EN LAS COMUNICACIONES
1. PRUEBAS PBX
Lograr acceso privilegiado a la central telefónica de la organización.
Se espera:
*lista de los sistema PBX que permiten ser administrados remotamente
*lista de sistemas que permitan acceso de cualquier parte del mundo a la terminal de mantenimiento
*lista de todos los sistemas telefónicos en modo de escucha o de manera interactiva.
2. PRUEBAS DE CORREO DE VOZ
Se busca lograr acceso privilegiado al sistema de correo de voz de la organización objetivo y de su personal interno.
Con ello se espera:
*casillas de correo de voz accesibles desde cualquier parte del mundo
*lista de los códigos de llamadas entrantes a las casillas de correo de voz y número de identificación personal
3. REVISIÓN DEL FAX
Método para enumerar maquina de fax y obtener accesos privilegiados en los sistemas donde se encuentren.
Con ellos se espera :
*lista de los sistemas de fax
*lista de lis tipos de sistemas y los posibles programas de operación
*mapa del manejo de protocolos del fax dentro de la organización
4. REVISIÓN DE MODEM:
Enumerar los modems y lograr accesos privilegiados a los sistemas de modems habilitados en los sistemas de la organización objetivo
Con ello se espera:
*lista de sistemas con modems que se encuentran en estado de escucha
*lista de los tipos de modems y programas de operación
*lista de los logins y passwords de los modems así como el mapa de manejo de protocolos del mismo
SECCIÓN E. SEGURIDAD INALÁMBRICA
1. VERIFICACIÓN DE RADIACIÓN ELECTROMAGNÉTICA (EMR)
Este es un método para verificar la Seguridad de las Emisiones (Emsec) perteneciente a la verificación remota de radiaciones electromagnéticas emitidas por dispositivos de las Tecnologías de la Información.
Tareas:
1.-Este tipo de verificación se reserva a instalaciones de alta seguridad donde la protección de la propiedad intelectual es absolutamente vital. Además, debido a que estos datos puede ser obtenidos desde cualquier dispositivo con capacidad de emitir EMR, es mejor verificarlo en implementaciones diseñadas específicamente para protegerse contra ellas.
2.-La captura de la radiación electromagnética de los dispositivos tales como CRTs, LCDs, impresoras, módems, teléfonos móviles, entre otros y utilizarse para reconstruir los datos mostrados en la pantalla, impresos, y transmitidos.
Formas de protección:
La protección ante intrusiones se realiza habitualmente comprando equipamiento de tipo “Tempest” y colocando todas las maquinas y periféricos dentro de algún tipo de sala blindada, como por ejemplo una Jaula de Faraday y utilizando únicamente fibra o conexiones filtradas o alámbricas hacia y entre todos los dispositivos internos y desde el exterior. Por dicha razón este tipo de protección puede ser prohibitivamente cara.
Para protecciones de bajo coste ante este tipo de intrusiones, ‘PGP Security’ tiene una opción preventiva de supervisión la cual consiste en una pantalla de bajo contraste donde se visualiza el texto para la ofuscación de información. También se puede generar ‘ruido blanco’ para hacer mucho más difícil a un intruso la obtención de datos nítidos.
Resultados Esperados:
*Evaluar las Necesidades de Negocio, Prácticas, Políticas y Ubicaciones de las Áreas Sensibles
*Evaluar el Equipamiento y Ubicación
*Evaluar y Verificar el Cableado y Emisiones
2.- VERIFICACIÓN DE REDES INALÁMBRICAS 802.11
Este es un método para la verificación del acceso a redes WLAN 802.11
Resultados esperados:
*Evaluar los Clientes Inalámbricos.
*Evaluar las Necesidades de Negocio, Prácticas y Políticas.
*Evaluar Equipamiento, Firmware y Actualizaciones.
*Evaluar el Control de Acceso, Seguridad Perimetral y Habilidad para Interceptar o Interferir las Comunicaciones.
*Evaluar el Acceso Administrativo a los Dispositivos Inalámbricos.
*Evaluar la Configuración, Autenticación y Cifrado de las Redes Inalámbricas.
3. VERIFICACIÓN DE REDES BLUETOOTH
Este es un método para la verificación de redes Bluetooth de tipo ad-hoc (piconets). Estas son populares en las redes inalámbricas de área personal (PANs) pequeñas y de poco ancho de banda.
En cuanto a la Seguridad de Datos y Red posee:
1.- Tres modalidades de seguridad (ninguna, a nivel de enlace y a nivel de servicio)
2.- Dos niveles de confianza de dispositivo y 3 niveles de seguridad del servicio.
3.- Algoritmo de cifrado de flujo para confidencialidad y autenticación.
Resultados Esperados:
*Evaluar las Necesidades de Negocio, Prácticas y Políticas.
*Evaluar Equipamiento, Firmware y Actualizaciones.
*Pruebas de Vulnerabilidades Comunes (especialmente en el Red-M 105AP).
*Evaluar el Control de Acceso, la Seguridad Perimetral y la Habilidad para Interceptar o Interferir las Comunicaciones.
*Evaluar la Configuración de Dispositivo (Autenticación, Contraseñas, Cifrado, etc.).
4. VERIFICACIÓN DE DISPOSITIVOS DE ENTRADA INALÁMBRICOS
Esta sección trata de los dispositivos de entrada inalámbricos tales como ratones y teclados.
Resultados esperados:
*Evaluar las Necesidades de Negocio, Prácticas y Políticas.
*Evaluar Equipamiento, Firmware y Actualizaciones.
*Evaluar el Control de Acceso, Seguridad Perimetral y Habilidad para Interceptar Interferir las Comunicaciones.
5. VERIFICACIÓN DE DISPOSITIVOS DE MANO INALÁMBRICOS
Esta sección pretende incorporar todos los dispositivos de mano de forma agregada.
Resultados esperados:
*Evaluar las Necesidades de Negocio, Prácticas y Políticas.
*Evaluar Equipamiento, Firmware y Actualizaciones.
*Evaluar el Control de Acceso, Seguridad Perimetral y Habilidad para Interceptar o *Interferir las Comunicaciones.
*Evaluar la Configuración del Dispositivo (Autenticación, Contraseñas, Cifrado, etc.).
6. VERIFICACIÓN DE COMUNICACIONES SIN CABLE
Este es un método para la verificación de dispositivos de comunicación sin cables que puedan sobrepasar los límites físicos y monitorizados de una organización.
Resultados Esperados:
*Evaluar las Necesidades de Negocio, Prácticas y Políticas.
*Evaluar Equipamiento, Firmware y Configuración.
*Evaluar el Control de Acceso, Seguridad Perimetral y Habilidad para Interceptar o Interferir las Comunicaciones.
7. VERIFICACIÓN DE DISPOSITIVOS DE VIGILANCIA INALÁMBRICOS
Esta sección pertenece a los dispositivos de vigilancia inalámbricos que han empezado recientemente a reemplazar los alámbricos – tales como cámaras, micrófonos, etc. Estos dispositivos permiten a las compañías instalar equipamiento de monitorización en áreas en las que no era anteriormente factible y a un bajo coste.
Resultados Esperados:
*Evaluación de Necesidades de Negocio, Prácticas y Políticas.
*Evaluación de Dispositivos y Ubicación.
*Evaluación del Control de Acceso, Seguridad Perimetral y Habilidad de Interceptar y Interferir las Comunicaciones
8. VERIFICACIÓN DE DISPOSITIVOS DE TRANSACCIÓN INALÁMBRICOS
Este equipamiento se esta utilizando para proporcionar conexión con cajas registradoras y otros dispositivos de punto de venta a lo largo de los comercios.
Resultados Esperados:
*Evaluar las Necesidades de Negocio, Prácticas y Políticas.
*Evaluar Equipamiento, Firmware y Actualizaciones.
*Evaluar la Configuración de Dispositivo.
*Evaluar el Control de Acceso, Seguridad Perimetral y Habilidad para Interceptar o Interferir con las Comunicaciones.
9. VERIFICACIÓN DE RFID
Las etiquetas de RFID (Radio Frequency Identifier) se componen de un circuito integrado (IC), a menudo del tamaño de medio grano de arena, y una antena – habitualmente una espiral de cables. La información está almacenada en el IC y se transmite mediante la antena.
Resultados Esperados:
*Evaluación de Necesidades de Negocio, Prácticas y Políticas.
*Evaluar los Atributos RFID (Autenticación, Cifrado, Propiedades, etc.).
*Evaluar la Ubicación, Scanners y Equipamiento de Seguimiento.
*Evaluar el Control de Accesos, Seguridad Perimetral y Habilidad para Interceptar o Interferir las Comunicaciones.
10. VERIFICACIÓN DE SISTEMAS INFRARROJOS
Este es el método de verificación de dispositivos de comunicaciones infrarrojas que pudieran sobrepasar los límites físicos y monitorizados de la organización.
Las comunicaciones infrarrojas son mucho menos accesibles desde el exterior de la organización en comparación con 802.11 y Bluetooth.
Resultados Esperados:
*Evaluación de Necesidades de Negocio, Prácticas y Políticas.
*Evaluar los Atributos RFID (Autenticación, Cifrado, Propiedades, etc.).
*Evaluar la Ubicación, Scanners y Equipamiento de Seguimiento.
*Evaluar el Control de Accesos, Seguridad Perimetral y Habilidad para Interceptar o Interferir las Comunicaciones.
11. REVISIÓN DE PRIVACIDAD
La privacidad de los dispositivos de comunicación inalámbricos pueden sobrepasar los límites físicos y monitorizados de una organización
Tareas:
1. Verificar el método de autenticación de los clientes
2. Verificar si están en uso de forma apropiada contraseñas robustas
3. Verificar que existe una política de expiración de contraseñas
4. Verificar si el cifrado está en uso y correctamente configurado
5. Verificar que los clientes no pueden ser forzados a volver al modo sin cifrado
6. Comparar la política públicamente accesible a la práctica actual
7. Compara la práctica actual a las leyes u obediencias regionales de fraude y
privacidad
8. Identificar el tipo y tamaño de la base de datos para almacenar información
9. Identificar la información recogida por la organización
10. Identificar la ubicación de la información almacenada
11. Identificar los momentos de expiración de la información
Resultados Esperados:
*Enumerar cualquier revelación.
*Enumerar las anomalías en el cumplimiento entre la política pública y la práctica actual.
*Enumerar las comunicaciones inalámbricas involucradas en la obtención de datos.
*Enumerar las técnicas de obtención de datos.
*Enumerar los datos obtenidos.
SECCIÓN F. SEGURIDAD FÍSICA
1.REVISIÓN PERIMETRAL
Tareas:
*Mapa físico perimetral
*Mapa físico de medidas de protección: cercas, puertas, luces, etc
*Mapa físico de rutas y métodos de acceso
*Mapa de áreas que no cuentan con monitoreo
2.REVISIÓN DE MONITOREO
Tareas:
*Enumeración de los dispositivos de supervisión
*Mapa del trazo de las localizaciones y las rutas utilizadas
*Mapas de áreas no controladas con referencia a las áreas supervisadas
*Pruebas a los dispositivos de supervisión para detectar limitaciones y debilidades
*Pruebas a los dispositivos de supervisión enfocados a la detección de ataques de negación de servicio
3.PRUEBAS DE CONTROL DE ACCESO
Tareas:
*Numeración de áreas de control de acceso
*Examinar los dispositivos y los tipos del control de acceso
*Examinar los tipos de la alarma
*Determinar el nivel de complejidad en un dispositivo del control de acceso
*Determinar el nivel de aislamiento en un dispositivo del control de acceso
*Probar las vulnerabilidades y debilidades en los dispositivos destinados a el control de acceso
*Probar los dispositivos del control de acceso contra la negación del servicio
4.REVISIÓN DE LA ACTIVACIÓN DE ALARMAS
Tareas:
*Enumeración de los dispositivos de alarma
*Procedimientos que ocasionan el disparo en alarmas
*Descubrir a las personas implicadas en el procedimiento de activación de la alarma
*Probar la escalabilidad de alarmas
*Probar la inhabilitación e incapacidad de las alarmas
*Probar las limitaciones y las debilidades para los dispositivos de alarma
*Probar los dispositivos de alarma en presencia de ataques de negación de servicio
*Probar los procedimientos de la alarma en presencia de ataques de negación de servicio
5.REVISIÓN DE UBICACIONES
Tareas:
*Enumeración de las áreas visibles en la organización
*Enumeración de las áreas audibles en la organización (láser o el oído electrónico)
*Pruebas en las áreas de localización de vulnerabilidades y debilidades para suministrar entregas
*Enumeración de las personas y las organizaciones que realizan entregas *Enumeración del personal y las organizaciones de limpieza
*Enumeración de las horas y los días en ciclos de entrega
*Enumeración de las horas y los días en los ciclos de visitas
6.REVISIÓN DEL AMBIENTE
Tareas:
*Examinar las condiciones de desastres natural para la región
*Examinar las condiciones ambientales y sus políticas
*Examinar los procedimientos de respaldo y de recuperación
*Identificar las debilidades y las vulnerabilidades en procedimientos de respaldos y de recuperación
*Identificar ataques de negación de servicio en procedimientos de respaldo y de recuperación
*Examinar las desventajas físicas y eléctricas en varios patrones de tiempo
*Comparar los procedimientos operacionales con leyes, aduanas, y las éticas regionales
lunes, 29 de septiembre de 2008
COBIT 4.1
Hola a todos anexo la url para que puedan checar la información para el resumen que tenemos que entregar el LUNES
http://132.248.54.41/cobit/
La presentación puede visualizarse dando click en el boton rojo de la parte derecha arriba del escudo.
http://132.248.54.41/cobit/
La presentación puede visualizarse dando click en el boton rojo de la parte derecha arriba del escudo.
martes, 23 de septiembre de 2008
Congreso de seguridad
Chavos, los espero jueves y viernes en el palacio de Minería a partir de las 9 y hasta las 6pm.
Sus nombres ya están autorizados en la entrada, sólo tienen que dirigirse con Mayra Velasco o con Célica Martínez y mencionar que son alumnos mios. Me pidieron si podían apoyar ustedes en la logística, aunque de mi parte no es requisito. En tal caso si les piden apoyo por favor que no sea más de una hora, pues la idea es que presencien las conferencias como cualquier asistente al congreso. Por favor comentenle al resto de sus compañeros.
Sus nombres ya están autorizados en la entrada, sólo tienen que dirigirse con Mayra Velasco o con Célica Martínez y mencionar que son alumnos mios. Me pidieron si podían apoyar ustedes en la logística, aunque de mi parte no es requisito. En tal caso si les piden apoyo por favor que no sea más de una hora, pues la idea es que presencien las conferencias como cualquier asistente al congreso. Por favor comentenle al resto de sus compañeros.
lunes, 22 de septiembre de 2008
Primera red de cifrado cuántico
Durante octubre será lanzada la primera red funcional con cifrado cuántico, con lo que comenzaría una nueva era para las comunicaciones seguras.
Científicos adscritos a Austrian Research Center (ARC), presentarán la primera demostración de una red que incorpora cifrado cuántico en Viena el 8 de octubre. La red forma parte del proyecto científico de investigación SECOQC (Secure Communication based on Quantum Cryptography.). Las investigaciones científicas realizadas hasta ahora demuestran que el cifrado cuántico puede funcionar en la práctica. En teoría, los sistemas con cifrado cuántico han sido imposibles de vulnerar. La información es codificada normalmente en fotones, que no pueden ser intervenidos sin destruir el mensaje.
Los algoritmos tradicionales de cifrado están basados en teorías matemáticas, y en principio siempre pueden ser vulnerados si se cuenta con la capacidad de cálculo suficiente.
Los científicos austriacos lograron ya en 2004 realizar la primera transacción bancaria protegida con cifrado cuántico.
SECOQC ha recibido 11 millones de Euros de parte de la Unión Europea y está integrada por 41 entidades provenientes de 12 países, dedicadas al desarrollo de soluciones comerciales con la nueva tecnología.
La red de demostración consiste de 7 enlaces ópticos de una longitud de entre 6 y 82 kilómetros. En cada nodo de la red hay módulos que cifran y descifran el flujo de datos con cifrado cuántico.
Los científicos usan la infraestructura existente propiedad de Siemens entre Viena y la ciudad de St. Pölten para su red experimental.
Científicos adscritos a Austrian Research Center (ARC), presentarán la primera demostración de una red que incorpora cifrado cuántico en Viena el 8 de octubre. La red forma parte del proyecto científico de investigación SECOQC (Secure Communication based on Quantum Cryptography.). Las investigaciones científicas realizadas hasta ahora demuestran que el cifrado cuántico puede funcionar en la práctica. En teoría, los sistemas con cifrado cuántico han sido imposibles de vulnerar. La información es codificada normalmente en fotones, que no pueden ser intervenidos sin destruir el mensaje.
Los algoritmos tradicionales de cifrado están basados en teorías matemáticas, y en principio siempre pueden ser vulnerados si se cuenta con la capacidad de cálculo suficiente.
Los científicos austriacos lograron ya en 2004 realizar la primera transacción bancaria protegida con cifrado cuántico.
SECOQC ha recibido 11 millones de Euros de parte de la Unión Europea y está integrada por 41 entidades provenientes de 12 países, dedicadas al desarrollo de soluciones comerciales con la nueva tecnología.
La red de demostración consiste de 7 enlaces ópticos de una longitud de entre 6 y 82 kilómetros. En cada nodo de la red hay módulos que cifran y descifran el flujo de datos con cifrado cuántico.
Los científicos usan la infraestructura existente propiedad de Siemens entre Viena y la ciudad de St. Pölten para su red experimental.
miércoles, 17 de septiembre de 2008
Acunetix Web Vulnerability Scanner
Atendiendo a la metodología OSSTMM en la Sección C – Seguridad de Internet, en el módulo 6. Pruebas a aplicaciones de Internet existe Acunetix Web Vulnerability Scanner que actualmente se encuentra en su versión 3.0. Este escáner de vulnerabilidades es compatible con los lenguajes ASP, ASP.NET, PHP and CGI, y no solo escanea vulnerabilidades de la pagina Web sino también del propio servidor.
Se puede descargar de la siguiente página:
http://www.acunetix.com/vulnerability-scanner/
Se puede descargar de la siguiente página:
http://www.acunetix.com/vulnerability-scanner/
Educación en Seguridad Informática
Eset (Nod 32) esta trabajando en el proyecto "Educación en Seguridad Informática", el cual esta basado en la publicación en linea de una serie de vídeos sobre seguridad informática, en estos videoa se muestra de manera sencilla algunas situaciones de amenaza que el usuario puede enfrentar y como evitarlas.
Algunos videos hacen referencia a:
Algunos videos hacen referencia a:
- Malware orientado a juegos en línea.
- Malwae en dispositivos USB y en mensajería instantánea.
- Rootkits.
- Phising.
- Archivos MP3 infectados.
Nota: para ver los videos se require de Adobe Flash Player.
jueves, 4 de septiembre de 2008
Develan datos privados en chat del mosaico para adultos de Sky
Rían o lloren...
"Imagínense que en el chat o conversación en el “mosaico” para adultos de una cadena de televisión aparece el nombre de una mujer decente y los números telefónicos de su celular y su casa para que le hablen para pedir favores sexuales.
Bueno, esto ha ocurrido en varias ocasiones en el mosaico de Sky, el sistema de televisión vía satélite de Televisa." (continúa)
"Imagínense que en el chat o conversación en el “mosaico” para adultos de una cadena de televisión aparece el nombre de una mujer decente y los números telefónicos de su celular y su casa para que le hablen para pedir favores sexuales.
Bueno, esto ha ocurrido en varias ocasiones en el mosaico de Sky, el sistema de televisión vía satélite de Televisa." (continúa)
Se descubre primera falla de seguridad de Google Chrome
Hola a todos.
Pues una vez más se da el caso en el que tan solo después de algunas horas del lanzamiento de un producto, se descubren sus primeras fallas de seguridad.
En esta ocasión le toca a Google por medio de su navegador Chrome. Horas después de que fuera liberada la versión Beta del producto, algunos investigadores descubrieron fallas de seguridad en la que el navegador llega a colapsarse. Este fallo se aprovecha de una vulnerabilidad en el archivo chrome.dll version 0.2.149.27 en donde se omiten validaciones que verifican cabeceras indefinidas, es decir, por medio de un link que las contenga, el navegador deja de funcionar.
Como podría imaginarse, con la reputación de Google, Chrome representa una competencia directa con navegadores como Microsoft Internet Explorer o Firefox. Por el momento la versión para sistemas UNIX de Chrome se encuentra en desarrollo.
Ahora es cuestión de tiempo para esperar fallas de seguridad continuas en este Navegador, no por el hecho de un mal diseño, pero así como en el caso de Internet Explorer o Firefox, si Chrome es difundido y adoptado por muchos usuarios, los intrusos se darán a la tarea de buscar incansablemente debilidades que puedan ser aprovechadas para su beneficio.
Saludos.
Pues una vez más se da el caso en el que tan solo después de algunas horas del lanzamiento de un producto, se descubren sus primeras fallas de seguridad.
En esta ocasión le toca a Google por medio de su navegador Chrome. Horas después de que fuera liberada la versión Beta del producto, algunos investigadores descubrieron fallas de seguridad en la que el navegador llega a colapsarse. Este fallo se aprovecha de una vulnerabilidad en el archivo chrome.dll version 0.2.149.27 en donde se omiten validaciones que verifican cabeceras indefinidas, es decir, por medio de un link que las contenga, el navegador deja de funcionar.
Como podría imaginarse, con la reputación de Google, Chrome representa una competencia directa con navegadores como Microsoft Internet Explorer o Firefox. Por el momento la versión para sistemas UNIX de Chrome se encuentra en desarrollo.
Ahora es cuestión de tiempo para esperar fallas de seguridad continuas en este Navegador, no por el hecho de un mal diseño, pero así como en el caso de Internet Explorer o Firefox, si Chrome es difundido y adoptado por muchos usuarios, los intrusos se darán a la tarea de buscar incansablemente debilidades que puedan ser aprovechadas para su beneficio.
Saludos.
Suscribirse a:
Entradas (Atom)