El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) es una comunidad abierta dedicada a facultar a las organizaciones a desarrollar, adquirir y mantener aplicaciones que pueden ser confiables. La fundación OWASP es una entidad sin ánimo de lucro para asegurar el éxito a largo plazo del proyecto. Casi todos los asociados con OWASP son voluntarios, incluyendo la junta directiva de OWASP, comités globales, líderes de capítulos, los líderes y miembros de proyectos. Apoyan la investigación innovadora sobre seguridad a través de becas e infraestructura.
No hay Comentarios.
Proteger Dropbox. Cómo cifrar Dropbox y evitar ojos ajenos.
En esta entrada os mostraré cómo proteger vuestra cuenta Dropbox, de forma gratuita, a medida y mediante el empleo de trucos y consejos aplicables de forma sencilla. Dropbox permite dejar archivos en la nube, y trabajar de forma realmente cómoda desde diversas ubicaciones y dispositivos. Es una servicio de calidad, bastante difundido, siendo en mi opinión el software de almacenamiento en la nube más empleado. Pero existe un gran problema, aunque se emplean conexiones seguras, no se cifran los datos e información en cada dispositivo que usamos y aun menos en la nube (remotamente). Es decir, en un equipo sobremesa, cualquiera puede acceder a la información de la carpeta personal dropbox, una vez hemos validado en el sistema. Además los datos que se depositan en esa carpeta no están cifrados. Cualquiera que pueda acceder a la cuenta mediante el navegador (por un fallo de seguridad, robo de credenciales, etc) podría consultar la información que depositamos en los servidores de dropbox, exponer nuestros datos, un problema bastante «genérico» con el almacenamiento cloud. Si disponemos en el equipo de un sistema de cifrado Bitlocker (disponible en versiones de sistemas Ultimate y Enterprise de Windows) o chip TPM , no habría en principio ese «problema» localmente, pero remotamente los datos almacenados no quedan cifrados. Veamos como crear un propio sistema de cifrado y como proteger los terminales para ojos extraños…
VPN en la nube, privacidad sin complicaciones técnicas.
En esta entrada os voy a proporcionar una serie de utilidades en la nube que os permitirán asegurar nuestras conexiones, ofreciendo cifrado y muchos mecanismos más de seguridad. Todo ello sin necesidad de disponer de conocimientos técnicos. Como anexo se definen una serie de conceptos. Son VPNs privadas autogestionadas por terceros, a modo renting mensual, y en la nube. No es necesario disponer de conocimientos técnicos para usar estos servicios de seguridad proporcionados por estos proveedores VPN Muchas son herramientas de privacidad en línea y seguridad. Mediante el uso de escudos, se intenta que nadie pueda espiar nuestra identidad en línea o robar nuestros datos. Mediante IPs privadas camufladas y cifrado de datos se protege nuestra identidad, pudiendo conectarnos incluso a redes wifi no seguras.
Instalar y ejecutar un antivirus remotamente en Linux.
En esta entrada os voy a mostrar cómo instalar y ejecutar un antivirus gratuito de forma remota en un servidor dedicado Linux. Distribución Centos Veamos cuales son los pasos necesarios.
El Sandbox, Aislamiento de procesos locales y web. Herramientas para desarrolladores.
En el complejo mundo de la seguridad informática, se conoce como el aislamiento de procesos o sandbox (caja de arena) al mecanismo para ejecutar aplicaciones con seguridad de manera independiente y separada. A menudo se utiliza para ejecutar código nuevo, software de dudosa procedencia o poco fiable. Este aislamiento permite controlar más al detalle los recursos proporcionados a las aplicaciones «cliente» a ejecutarse, tales como espacio temporal en discos y memoria. Habitualmente se restringen las capacidades de acceso a redes, la habilidad de inspeccionar la máquina host y dispositivos de entrada entre otros. En este sentido, el aislamiento de procesos es tipo específico de virtualización. La virtualización consiste en emular procesos, aplicaciones sistemas sobre o contenido en un ente físico. Seamos algo más sobre este concepto.
La sangrante herida de FileZilla
En esta ocasión os voy a exponer uno de los graves problemas que continúan existiendo en el cliente FTP más extendido en la actualidad. Hablamos de FileZilla. La gravedad del asunto padece que a los propios creadores del programa no les preocupa, la reconocen, dejan en manos del usuario la corrección, y no hacen nada para evitarlo. Sepamos cual es el problema. Es necesario darlo a conocer.
Pasos para recuperar un site infectado por un virus. El ataque PHP eval
Esta semana estamos acudiendo a un ataque masivo de websites. El comportamiento existente una vez infectado se detecta con el erróneo funcionamiento de webs, creación de archivos ocultos, substitución de index.php en distintas carpetas, etc … Estas son infectadas con archivos que poseen un código en formato base 64 similar a este:
Proteger un PDF de forma fácil, gratuita. Firma digital y Permisos
Os dejo un software gratuito que he desplegado para proteger archivos PDF, considero que es muy útil. Su nombre es MyPDFtreasure (PDF mi tesoro) y permite crear documentos PDF protegidos y con firma digital. De esta forma aseguraremos nuestros trabajos. Posee numerosas características , veamos como proteger nuestros tesoros… Ventajas. Gratuito. Castellano. Documentos generados compatibles con todos los lectores PDFs existentes. Nunca se pierden los originales. Respeta los documentos fuente. Permite firmar digitalmente un documento PDF. Personalizar logo, texto, firma, posición, etc. Permite proteger un documento PDF. Diversas opciones de protección. Edición, lectura, impresión. Consola de acciones visible en todo momento. Evita tener que instalar software costoso para realizar estas tareas. Protege los trabajos, añadiendo auditoria al mismo. Ideal para gestoras, consultoras, LOPD. Asegura la identidad del firmante y garantiza que los documentos no han sido modificados desde su firma. Fácil de usar.
Crear un certificado personal desde Windows
Esta entrada pretende ser una ayuda para aquellas personas que quieran iniciarse con los certificados. Os mostraré como crear uno, propio, personal, sin necesidad de acudir a una entidad de certificación. Este certificado os podrá servir para firmar archivos, PDFs, documentos, etc, y acreditar que son vuestros, ya que podréis crear firmas con ellos. Aunque lo más correcto es poseer uno profesional emitido por una autoridad competente (FNMT – CERES) http://www.cert.fnmt.es/index.php?cha=cit&sec=4&page=34&lang=es Será necesario exportar la clave privada para que quede almacenada, todo ello, de forma sencilla, con las utilidades del sistema operativo Windows (desde XP en adelante). No se necesita más que hacer los siguientes pasos para la obtención de una acreditación desde el propio sistema. Comencemos …
Ataque Zero Day, ¿Qué es exactamente ?, explicación del fallo de Microsoft
La imagen del libro Zero-Day Exploit: Countdown to Darkness (Cyber-Fiction), de Rob Shein del títular del post lo resume perfectamente. «Fallo Zero Day, la cuenta atrás a la oscuridad.» Pero el titular tecnológico de hoy a nivel mundial es: Microsoft advierte de un fallo de seguridad en Internet Explorer. El fallo de seguridad afecta a cientos de millones de usuarios. Las vulnerabilidades denominadas ‘zero-day’ son raras, sobre todo porque son difíciles de identificar, exige ingenieros de ‘software’ altamente cualificados o piratas informáticos con un montón de tiempo para analizar códigos que pueden ser explotados para lanzar ataques. Los expertos en seguridad sólo descubrieron ocho de las principales vulnerabilidades ‘zero-day’ en todo el 2011, según Symantec. ¿ Donde viene ese término? y ¿ Qué es exactamente ?
Usuario, cuidado con los enlaces. Ataque XSS Cross Site Scripting.
Cross Site Scripting es el nombre que recibe una vulnerabilidad que afecta no tanto a los servidores como a los usuarios que navegan a páginas de Internet. La causa de la vulnerabilidad radica en la pobre verificación por parte de los sitios web de las cadenas de entrada enviadas por los usuarios a través de formularios, o directamente a través del URL. Estas cadenas, en el caso de ser maliciosas, podrían llegar a contener scripts completos. Cuando esta entrada se le muestra dinámicamente a un usuario dentro de una página web, en caso de contener un script, éste se ejecutará en el navegador del usuario dentro del contexto de seguridad de la página web visitada. Como consecuencia, podrá realizar en el ordenador del usuario todas las acciones que le sean permitidas a ese sitio web, como por ejemplo interceptar entradas del usuario víctima o leer sus cookies. Profundicemos en este tipo de ataque …
El HACKER maldito.
Hacker, persona o individuo que perpetúa un daño. No, No, No… ¡¡¡ Craso error !!!., rebobinemos y comencemos. Esta definición errónea, y algo más compleja de lo que parece , se ha generalizado y extendido a lo largo de su corta historia, padeciendo una horrible conspiración perpetrada por la ignorancia de los medios, el «periodismo erróneo», y la falsa imagen, distorsionando la faceta investigadora y científica de los hackers. Para mi, un hacker es una persona que posee conocimientos avanzados de tecnología y los emplea al servicio de los demás. Posee aptitudes con un mero objetivo: «El conocimiento«. Son personas ansiosas de averiguar el funcionamiento y el por qué de las cosas, la curiosidad es su gran afición. No se dedican a destruir, ni a causar estragos entre lo que se conoce como sus víctimas. No roban, ni chantajean, no vacilan, por contra, advierten de las debilidades de un sistema, y en contrapartida, pagan un precio generalmente, y es que nos dedicamos a denunciarles, perseguirles e insultarles. Sepamos algo mas de ellos …
La Esteganografía, el viajero ‘oculto’ de la Criptología. Historia aplicada a la informática. Casos prácticos.
La esteganografía (del griego στεγανος (steganos) :cubierto u oculto, y γραφος (graphos): escritura), es la parte de la criptología en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. La ventaja de la rama de la ciencia, en comparación con la sola criptografía, está que los mensajes elaborados por la esteganografía no atraen atención a sí mismos. Los mensajes cifrados, aunque robustos, engendran sospechas y pueden ser incriminatorios en países donde la criptografía es ilegal. Por lo tanto, mientras que el cifrado protege el contenido de un mensaje, puede decirse que la esteganografía protege mensajes y ambas las partes de la comunicación. Es decir, se trata de ocultar mensajes dentro de otros y de esta forma establecer un canal encubierto de comunicación, de modo que el propio acto de la comunicación pase inadvertido para observadores que tienen acceso a ese canal. En este Post veremos sus utilidades y como implementar dichos algoritmos …
¿ Qué es el hacking ético ?, utilidades.
Ethical hacking. Este concepto incluye las denominaciones vulnerability scanning y penetration test, denominado también network security assessment. La ética hacker es una ética de tipo axiológico, es decir, una ética basada en una determinada serie de valores. Himanen rescata algunos fundamentales, a saber …
