de-charleta

De Charleta: «Radare from A to Z» (Sergi Álvarez aka Pancake)

En este video, en lugar de una charla como las que os tenemos acostumbrados, os traemos un taller de Radare2. Os recomiendo que lo veáis con un terminal abierto al lado y aprendáis como usar Radare de la mano de su creador.

Programador autodidacta y apasionado del software libre. Empezó con Radare hace 9 años y día a día sigue mejorándolo y añadiéndole nuevas capacidades.

No cON Name 2015.

Español.

seguro-interesa

¡Seguro que te interesa! – 15

En esta sección os dejamos las noticias que nos han llamado la atención y que consideramos te pueden ser de ayuda. Es por eso que es… ¡seguro que te interesan!

[09/01/2016] El pasado sábado se publicó en Full Disclosure un exploit que deja a los Fortigate 4.3 hasta 5.0.7 vulnerables. El exploit aprovecha unas credenciales hardcodeadas en el firmware, en lo que parece una backdoor en Fortigate.

[12/01/2016] Las versiones 8, 9 y 10 de Internet Explorer ya no tendrán soporte en los sistemas operativos de escritorio Windows 7, Windows 8.1 y Windows 10.

[13/01/2016] Ya tenemos los primeros ponentes confirmados de Rooted CON 2016.

[13/01/2016] Como cada segundo martes de cada mes, Microsoft publica un conjunto de boletines de seguridad que solucionan un total de 26 vulnerabilidades.

[13/01/2016] Nace PrivaTegrity de la mano del renombrado criptógrafo David Chaum, una nueva red anónima que alcanza la misma velocidad que Tor pero que proporciona mayor protección frente a ataques.

[13/01/2016] Adobe publica una actualización que corrige 17 vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas.

¡Feliz fin de semana!

27.001, un vistazo a la terminología antes de empezar

En los próximos meses voy a ir publicando diferentes entradas sobre la norma 27.001 y cómo aplicarla con ejemplos prácticos. Espero que sea un viaje productivo para mí y para vosotros, pero antes quiero sentar unas bases para que estemos todos alineados con lo que iré contando. En esta primera entrada hablaremos de…

Terminología de Seguridad

terminologia-2

27.001 – Seguridad de la información

Es un concepto abstracto, se trata de ofrecer una sensación de protección sobre la información, uno de los activos principales de las organizaciones.

 

terminologia-3

27.001 – Amenaza

Es una acción o evento que puede comprometer la seguridad de la información. Las consideramos como potenciales y su efecto dependerá del entorno en el que puedan convertirse en realidad.

 

terminologia-4

27.001 – Vulnerabilidad

Existencia de una debilidad en un diseño o implementación que puede derivar en un compromiso de seguridad en los sistemas.

 

terminologia-5

27.001 – Exploit

Una forma definida de burlar la seguridad de un sistema a través de una vulnerabilidad.

 

terminologia-6

27.001 – Evaluación del objetivo

Acción de identificar y evaluar un sistema, producto o componente en busca de vulnerabilidades que puedan ser explotadas.

 

terminologia-7

27.001 – Ataque

Un asalto a un sistema. Un ataque es una acción que viola la seguridad de la información.

 

Dominios de seguridad

Para gestionar la seguridad de la información, vamos a trabajar en cuatro pilares básicos que serán el objetivo a mantener:

dominio-2

27.001 – Confidencialidad

Es la propiedad que indica que la información sólo deber ser accedida por personal autorizado.

 

dominio-3

27.001 – Autenticidad

Es la propiedad que permite asegurar el origen de la información, validando al emisor de la misma.

 

dominio-4

27.001 – Integridad

Es la característica que hace que el contenido de la información permanezca inalterado, a menos que sea modificado por personal autorizado.

 

dominio-5

27.001 – Disponibilidad

Es la capacidad de la información de estar siempre disponible para ser procesada por las personas autorizadas.

 

Es muy importante estar familiarizado con estos conceptos para poder abordar las tareas que iré comentando relativas a la ISO 27.001. Si quieres conocer muchos más, no dudes en echar un vistazo a la entrada de «Seguridad de la información» en wikipedia.

En próximas semanas arrancamos, que ahora mismo estoy a punto de ser padre y no dispongo del tiempo suficiente para poder contaros en profundidad. ¡Pero en unas semanas estoy de nuevo con las pilas cargadas!

Como siempre digo, si ves algún error, no estás de acuerdo con lo que cuento o quieres hacer alguna aportación, no dudes en pasarte por los comentarios.

de-charleta

De Charleta: “Hospital central – Historia de una extorsión” (Pedro Sánchez)

Pedro Sánchez contó en Rooted CON 2012 un caso real de investigación basado en un ataque de ingeniería social. Una presentación muy interesante para empezar el Lunes.

Pedro ha trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad especialmente en el sector bancario durante mas de diez años.

Rooted CON 12.

Epañol.