ACTUALIZADO: Este articulo fue citado por la W Radio en Colombia, además del periódico El Diario y Opinion de Bolivia, por tanto lo dejo de nuevo en portada para facilitar su búsqueda a los posibles lectores de esos medios.

También les cuento que de momento la herramienta esta teniendo problemas para autenticarse ante twitter, por lo que se recomienda seguir los pasos sugeridos por el autor de la misma en este enlace.

La geolocalización esta en auge, todos quieren saber donde están sus amigos y gustosos dan su información en sitios como Foursquare, DiOui o Facebook Places para no estar fuera de la “moda”, pero… ¿sabes quien ve realmente esta información?, muchas veces quienes publican estos datos en la red, no son conscientes de las consecuencias que esto puede acarrear.

Secuestradores, Violadores, Ladrones y demás delincuentes ya hacen uso de las nuevas tecnologías y la información que publicas en internet, para llevar a cabo sus delitos, como en el famoso caso de Lisa Montgomery; por eso debes ser consciente que la información que publicas en la red la puede ver CUALQUIER PERSONA y te recomendamos seguir los consejos que constantemente ofrecemos en nuestra comunidad, para estar un poco mas seguros en la red.

Esta información es especialmente sensible cuando quien la publica, no es consciente que lo está haciendo, como es el caso de las fotos en cuyo interior (sus metadatos) se encuentra almacenada la ubicación GPS de donde fue tomada, una característica adoptada cada vez en mas cámaras, especialmente las integradas a teléfonos celulares inteligentes.

Gracias a El Maligno, me entero que Yiannis Kakavas ha desarrollado una herramienta llamada Cree.py, que automatiza el proceso de extracción y localización de la información GPS publicada en las fotos por un usuario de Twitter o Flickr, dejándola a la mano de cualquier persona.

La herramienta programada en Python y de código abierto, es muy fácil de utilizar, cuenta con versiones para Windows, GNU Linux y si resolvemos unas cuentas dependencias, podemos hacerla correr en Mac OS X.

Para este articulo analizaremos 2 de los famosos colombianos, que mas publican fotografías por Twitter…. @juanes y @Shakira

Lo primero que hacemos es abrir la herramienta, escribir la cuenta de Twitter o Flickr que queremos analizar (podemos usar un buscador también) y después presionar “Geolocate Targe”, esperamos unos minutos mientras se procesa la información…. obteniendo un mapa como el siguiente, donde podemos ver los puntos geolocalizados de las fotos obtenidas desde el perfil publico de @juanes

Para confirmar la información almacenada analizaremos las fotos descargadas por el Cree.py, con la FOCA, herramienta que permite analizar metadatos a imágenes y documentos.

Fotos bastante personales de @Juanes con su esposa Karen Martínez mientras estaban de viaje por Londres.

La ubicación de la oficina donde posiblemente produzcan los discos del artista

Haciendo arreglos a las canciones o las pistas…

Fotos del parque que se observa claramente en Creppy

Segunda foto del Hyde Park

Como podemos ver no es poca la información que cualquier persona puede obtener de la cuenta publica de Juanes, ¿los paparazzi sabrán de esto?, seguramente les sería de mucha utilidad….

Ahora pasamos a otra de nuestras celebridades… @shakira quien tampoco sabe que al publicar fotografías por Twitter, también esta publicando su ubicación, para ello seguimos el mismo procedimiento que con @juanes, buscamos su cuenta oficial, damos click en el botón “Geolocate Target” y esperamos que Cree.py haga su trabajo…

Después de esperar un poco, podemos ver algunas locaciones como el Coca Cola Park en South Africa.

Algunas direcciones en New York…

Y para corroborar el trabajo de cree.py de nuevo pasamos la FOCA a todas las fotos, logrando reconocer algunas de ellas.

Shakira con su novio de turno…

Foto del escenario antes de la presentación…

Ubicación de su camerino… ya sabes por si quieres darle un saludo…

En un late night show…

Algunos apuntes poco interesantes… ¿o no?

Detrás del telón…

En el escenario..

Como pueden ver obtener la ubicación de los famosos no es nada complicado, pero es igual de fácil obtener la tuya; Por eso es tan importante que sigas los consejos que constantemente ofrecemos en nuestra comunidad, para estar un poco mas seguros en la red y seas mas cuidadoso con tu información.

Mas Información:
Pagina oficial del Proyecto Cree.py

También puede interesarte...

• Ubicando a los dueños de un iPhone o iPad
• ¿Cómo Configurar la Privacidad en las Redes Sociales?
• ¿Cómo Recuperar una Cuenta de Twitter?
• Recupera tu Password de Twitter
• Nuevo Gusano en Twitter
• WarGame Reto Panda 2010
• La Policía Nacional Colombiana en las Redes Sociales
• Revisa tu privacidad en Facebook

Hackers Are People Too es un documental que reivindica no solo a los hackers, sino también al hacking como actividad, reclamando los espacios que se han ganado en los adelantos tecnológicos e informáticos de la actualidad. Un documental que intenta luchar contra la ignorancia y el miedo sembrado por los medios, que los ha mostrado sea como seres malvados capaces de violar bebés ciegos o como nerds vírgenes mantenidos por sus madres. Pero los hackers también son personas, y nosotros reflexionamos un poco sobre el tema.

Hackers Are People Too fue inspirado por una “conversación” que Ashley Schwartau, el director del documental, tuvo con uno de sus profesores. Al pedirle permiso para faltar un día para ir a Shmoocon, una conferencia hacker, el “catedrático” se escandalizó. “¿¡HACKERS!? ¿Como en….*suspiro dramático* hacker de ordenadores? ¿Tienen CONFERENCIAS? ¿Y qué hacen ahí? ¿Tratan de hackear los bancos y entrar en redes para robar tarjetas de crédito?” Ashley, en ese momento, se dio cuenta que debía poner su granito de arena para rectificar la cosa. Y así nace su crónica, que puedes ver debajo.

Encontre unos subtitulos de mala calidad en español, pero para quien no tienen mucha idea del ingles, le puede ser util, sirven para este archivo de bittorrent.

Más información>>

También puede interesarte...

• En busca de Hackers, documental
• ¿Hackers en Colombia?
• Las mejores 20++ películas Hackers
• Libro: Internet, Hackers y Software Libre
• Ciberguerra
• Documental sobre Arduino en Español
• Documental Wikileaks en Español
• Hacking Ético de Vídeo Juegos

Si, los hay y muy buenos. Pero primero tengo que partir desde la definición de Hacker para poder acertar en mi afirmación.

Esta entrada fue escrita originalmente por 4v4t4r el 2 septiembre 2008 para dejar claro a los medios de comunicación la diferencia entre un Hacker y un Delincuente informático, aunque en la comunidad muchas veces se ha intentado aclarar las cosas con textos como “Hacker”, la palabra de moda, De independencia, Medios de Comunicación, Twitter y Facebook, publicando documentales como  Los Hackers también son personas, en entrevistas y cualquier espacio que tenemos con periodistas para hacerles caer en cuenta que HACKERS != DELINCUENTES.

Pero poco o nada ha cambiado desde que se escribió originalmente esta nota hace casi 3 años y su contenido sigue siendo totalmente vigente, solo que ahora hay grupos de personas que intentan llamar la atención por medios informáticos, a los cuales se les atribuye “el termino de moda hacker”, haciendo que grandes iconos de esta cultura prefieran ser referenciados como profesionales de la seguridad informática que como hackers.

Hacker según la Wikipedia

Hacker es el neologismo utilizado para referirse a un EXPERTO en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker.

El término “hacker” trasciende a los expertos relacionados con la informática, para también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión, ya que en la descripción más pura, un hacker es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas.

Hacker según Richard Stallman

Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar la inteligencia para hacer algo difícil. No implica trabajar solo ni con otros necesariamente. Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu del hack, usa el ingenio para sorprender al homenajeado, no para molestarle.

¿Claro?

Parece que no, y menos en Colombia donde llamamos Hackers a criminales comunes dedicados a robar y clonar tarjetas de crédito de restaurantes y almacenes.

• Cayó Red De ‘Hackers’ Más Grande Del País

Encontrarse con titulares de este tipo genera malestar cerebral, aún más cuando una semana después nos encontramos con titulares como este:

• Rey de los hackers, Kevin Mitnick, estará en Foro Internacional de Seguridad Informática Empresarial (Bueno… ¿o es el “diablo” en persona o el salvador/rey de los hackers?¿Buenos, Malos?, ¿Traen con honores a un delincuente? o a un Experto en Seguridad Informática)

y no es para menos, pues no me imagino a 25 supuestos “hackers” trabajando como meseros en un restaurante dejando caer intencionalmente una tarjeta de crédito para luego pasarla por un escáner atado a su pierna. Mucho menos a un Hacker experto, minimizado únicamente a realizar transferencias electrónicas desde/hacia diferentes cuentas en el país. Estas son obras de algunos delincuentes más en Colombia, delincuentes que hacen uso de herramientas informáticas para realizar sus actos criminales.

¿Deberíamos entonces llamar soldados a los terroristas de las FARC? ¡Las cosas por su nombre!, Hackers a los expertos en construir, investigar y mejorar el mundo, la seguridad informática, programación, redes, bicicletas, etc. Delincuentes informáticos, a los ladrones que instalan keyloggers en los café internet, los que envían exploits de falsificación de correos para obtener una contraseña, a los que clonan tarjetas de crédito, a los que extorsionan por medio de e-mails, a los que se dedican al phishing para robar dinero, etc.

¿Culpables?

Los culpables de esta desinformación seriamos casi todos, solo bastan algunos minutos en internet para encontrarse con todo tipo de contenido referente a Hacker/Hacking.
Veamos algunos desastres de información en Internet:

• Desmantelan en Colombia banda de hackers que logró robar USD 3,4 millones
• Hackers colombianos atacaron la página de Rafael Correa
• Hackean su página web y le borran todo (Página web de la senadora Piedad Córdoba)

Según estas “joyitas” de titulares un Hacker se dedica a realizar Defacing a páginas web. Pero, ¿cómo culpar a los medios, si en internet es posible encontrar páginas web de supuestos “hackers” que ofrecen servicios desde 10 dólares para “hackear” cuentas de Hotmail, Hi5, facebook y cualquier servidor de internet? ¡¡¡Pero venga!!! Que no hay que ser un experto para enviar un keylogger por internet, un exploit que imita la interface de un servidor de correo, o un enlace a un servidor preparado para imitar a tu banco en línea. Solo basta navegar en este tipo de servicios “mágicos-elites de la súper muerte” para echarse a reír, con sus fondos negros, con publicidad de un servidor gratuito, un subdominio gratuito y lleno de java script alertando del peligro de navegar en esas aguas de “profesionalismo”.

La desinformación y la ignorancia están por todos lados

Es que ahora ningún medio se salva de desinformar, lo hacen los periódicos tradicionales, los noticieros, las universidades, etc. Nuestro mundo está tan contaminado de desinformación que ahora podemos encontrar anuncios como estos:

necesito un “hackers” para sacarme de datacredito en Colombia

Ojalá todo parará allí, pero es común encontrar en la bandeja de entrada correos como “plis ayuda!!! Necesito saber la contraseña de correo de mi novio/a, me pone los cachos”, “no es con fines maliciosos, solo es para saber la verdad de si me engaña o no”, y un largo etcétera. Foros donde se pasan la vida debatiendo sobre quien en más súper H4x00r-Elite-Hacker-Gurú-Lammer-phreaker-Cracker de la hyper muerte.

Este tipo de discusiones son más comunes en internet. Foros hay y muchos, algunos buenos otros no, pero los “buenos” le restan credibilidad a su contenido cuando se dedican a limitar sus mentes a hablar mal de las personas que tratan de hacer lo mismo “una Colombia con cultura informática”.

Pero que podemos hacer si la red es una extensión más de nuestra cultura, donde hay diversidad de pensamientos y acciones. Simplemente nos queda respetar las diferencias y tratar de comprender sus diminutos cerebros.

No todo está perdido

Cito “Si, los hay y muy buenos”, muchos “hackers” trabajan sin parar, para lograr de nuestra Colombia un país mejor. Crean, investigan, desarrollan, proponen y unen esfuerzos.

Trataré de mencionar algunos grupos relacionados con la seguridad informática que se destacan en Colombia, donde tal vez o no, se reúnen algunos hackers reales, o simplemente algunos entusiastas del conocimiento compartido y la investigación :

• LowNoise Hacking Group
• hackStudio
• NonRoot
• SinfoCOL

Y por supuesto nuestra querida Comunidad DragonJAR

Acercándonos a ese “extraño” mundo

Ahora algunos salen del montón y dejan atrás a los demás en su ignorancia y desinformación, ahora podemos gracias a ellos acercarnos a este mundo de “Hackers”. Constantemente algunas instituciones académicas realizan diferentes eventos relacionados con la seguridad de la información, donde se explica el modo de actuar de algunos delincuentes informáticos, se explica diferentes métodos de prevención para este tipo de ataques y las diferentes investigaciones y soluciones desarrolladas por nuestros Colombianos.

Algunos ejemplos son:

• ACIS
• ACK Security Conference
• InForce Technology
• Security Zone

Solo queda concluir con la invitación a comentar sobre el punto de vista que consideres sobre la realidad o no de “¿Hackers en Colombia?”.

4v4t4r - Labs.DragonJAR.org

También puede interesarte...

• Registraduría Nacional de Colombia.. ¿DoS o Negligencia?
• “Hacker”, la palabra de moda
• Talleres de Matias Katz en el ACK Security Conference
• Taller de Carlos Mario Penagos en el ACK Security Conference
• Taller de Lorenzo Martinez en el ACK Security Conference
• Taller de Leonardo Pigñer en el ACK Security Conference
• Taller de Deviant Ollam en el ACK Security Conference
• Call for Papers abierto para el ACK Security Conference

Hace ya algo de tiempo había venido experimentando algunos reboots injustificados en mi laptop al momento del inicio de sesión en SXCE b83. Cuando el escritorio empezaba a cargar, repentinamente se congelaba todo el laptop y se reiniciaba el sistema luego de unos segundos después de quedar sin vida. Al principio no le pare bolas, ya que no tenia tiempo para ver que es lo que estaba pasando, sin embargo, ahora que me volvió a pasar (de hecho, de manera más frecuente) y dada la oportunidad que no tengo nada que hacer esta tarde, me puse en la tarea de diagnosticar la razón de las fritadas.

En Solaris (por ende, OpenSolaris), los logs de los crashes son guardados en /var/crash/`hostname` y dependen de la configuración del dump facility, que se configura con dumpadm. En el momento en que el sistema va a colapsar, dependiendo de la configuración del volcado, el servicio SMF de dumpadm guarda una copia en el disco de la memoria física del equipo antes de que este se muriera, y luego de que el dump haya sido guardado, el servicio continua con el reboot del sistema.

# dumpadm
Dump content: kernel pages
Dump device: /dev/dsk/c1t0d0s1 (swap)
Savecore directory: /var/crash/futurisk
Savecore enabled: yes
#


Pero, ¿que podemos diagnosticar de los volcados?. Utilizando nuestro buen amigo mdb y teniendo los dos archivos requeridos para diagnosticar el problema, podemos ver en que estado estuvo la maquina antes de que se reiniciara el equipo; los archivos son vmcore.X y unix.X, donde vmcore es el archivo que contiene todos los datos del volcado del crash y unix es el que tiene los datos de los módulos que estaban cargados en el kernel al momento de la pataleta.

# mdb unix.0 vmcore.0
Loading modules: [ unix genunix specfs dtrace cpu.generic uppc pcplusmp scsi_vhci ufs ip hook neti sctp arp usba uhci s1394 fctl nca lofs zfs random audiosup sppp ptm crypto ipc md cpc smbsrv fcip fcp logindmux nsctl sdbc sv ii rdc ]
> ::status
debugging crash dump vmcore.0 (64-bit) from futurisk
operating system: 5.11 snv_83 (i86pc)
panic message: BAD TRAP: type=e (#pf Page fault) rp=ffffff0005403600 addr=ffffff015134c6e2
dump content: kernel pages only
>

Genial, ahora sabemos que es un page fault. Por lo general esto indica problemas de software, entonces puedo descartar la posibilidad de que mi laptop se este dañando. Sin embargo, ya entrando en gastos con mdb, veamos que otro tipo de información podemos obtener.

> ::panicinfo
cpu 0
thread ffffff014b54e940
message BAD TRAP: type=e (#pf Page fault) rp=ffffff0005403600 addr=ffffff015134c6e2
rdi ffffff015134b000
rsi 0
rdx 40000
rcx 5dae00
[más y más registros...]


Y ahora con la dirección del thread que se estaba ejecutando en el momento del crash, podemos ver el contenido de lo ultimo que paso.

> ffffff014b54e940::findstack
stack pointer for thread ffffff014b54e940: ffffff0005403190
ffffff00054031c0 apic_intr_exit+0x30()
ffffff0005403220 hilevel_intr_epilog+0x11c()
ffffff0005403270 do_interrupt+0xeb()
ffffff0005403280 _sys_rtt_ints_disabled+8()
ffffff0005403460 as_fault+0x6d8()
ffffff00054034e0 die+0xea()
ffffff00054035f0 trap+0x13b9()
ffffff0005403600 0xfffffffffb8001d9()
ffffff0005403720 oss_memset+0x37()
ffffff0005403760 audio_reset_adev+0xfd()
ffffff00054037f0 oss_audio_ioctl+0x1d2()
ffffff0005403830 stop_engines+0x92()
ffffff0005403890 vmix_close+0x124()
ffffff00054038d0 oss_audio_release+0x10b()
ffffff0005403920 oss_close+0x16a()
ffffff0005403950 dev_close+0x40()
ffffff00054039a0 device_close+0xd1()
ffffff0005403a30 spec_close+0x168()
ffffff0005403ab0 fop_close+0x6e()
ffffff0005403b10 ldi_close+0xc2()
ffffff0005403b50 sadasupport_close+0x14b()
ffffff0005403bc0 qdetach+0xbf()
ffffff0005403c60 strclose+0x357()
ffffff0005403cb0 device_close+0xb8()
ffffff0005403d40 spec_close+0x168()
ffffff0005403dc0 fop_close+0x6e()
ffffff0005403e00 closef+0x59()
ffffff0005403ea0 closeandsetf+0x458()
ffffff0005403ec0 close+0x14()
ffffff0005403f10 _sys_sysenter_post_swapgs+0x14b()


Y ese es el ejercicio de hoy. Hasta el momento el problema parece ser de OSS, sin embargo, ¿algún tip de lo que podría estar matando al sistema?

También puede interesarte...

• SeguriSemanal II

• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• Instalación de TFS, SQL Server 2008 y SDL
• Requerimientos para Security Development Lifecycle de Microsoft

En esta entrega pablo nos trae una presentación que realizó para un diplomado, donde nos explica cuales son los dilemas actuales de la seguridad en el desarrollo de software, los modelos de desarrollo seguro y las amenazas mas comunes.

Escrito por:
Pablo Andrés Garzón Vera
Ingeniero de Sistemas (Universidad Manuela Beltrán)
Magister  en Dirección Estratégica en Ingeniería de software (Universidad de León).
Para La Comunidad DragonJAR

También puede interesarte...

• Requerimientos para Security Development Lifecycle de Microsoft
• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Instalación de TFS, SQL Server 2008 y SDL
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• SeguriSemanal I
• Video Tutorial de Nessus y Baseline Security Analyzer
• Webcast de Microsoft sobre Seguridad Informática
• Mundo Hacker TV

Continuando con la colección de extensiones Firefox imprescindibles para mejorar nuestra navegación, veremos hoy algunas de las mejores enfocadas a la seguridad en la red. Ayer veíamos addons sobre Privacidad, pero como resalté anteriormente la privacidad es sólo uno de los tantos aspectos de los que debemos preocuparnos al utilizar Internet. Lastimósamente, la red está plagada de Malware y no sólo tener un buen antivirus y un firewall te mantendrá protegido (aunque si ayudan) ya que en la mayoría de los casos la desinformación del usuario (capa 8 ) es la responsable de la no filtración del contenido al que accede.

Quizás la herramienta más usada a diario es nuestro navegador Web por este motivo es muy importante tener un balance entre usabilidad/seguridad para posiblemente ahorrarnos más de un dolor de cabeza.

AI Roboform Toolbar for Firefox: Funciona como barra de herramientas con RoboForm para administrar y proteger tus contraseñas.

Dr.Web anti-virus link checker: Verifica que los archivos no tenga virus antes de descargarlos, lo mismo para los sitios web.

FirePhish Anti-Phishing Extension / iTrustPage / Personal Anti-Phishing Sidebar / PhishTank SiteChecker: Extensiones que te permiten estar alerta sobre el ingreso a un sitio web con contenido falsificado (Phising) haciendo uso de bases de datos que contienen URLs identificadas de este tipo.

FormFox: Al poner el cursos sobre un formulario, te muestra haciendo donde vá la información que estás escribiendo.

KeyScrambler Personal: Encripta lo que escribes para protegerte de keyloggers.

Link Alert: Cambia el color de tu cursor para indicar visualmente lo que hace el link que estás apuntando.

Magic Password Generator: Haciendo uso de una contraseña maestra genera contraseñas únicas para cada sitio. También auto-rellena direcciones de correo electrónico y nombre.

NoScript: 100% RECOMENDADA. Bloquea cualquier código malicioso de páginas que no estén en la lista blanca de sitios en los cuales usted confía. Más información sobre NoScript aquí.

Password Exporter: Permite importar y exportar tus contraseñas entre diferentes copias de Firefox.

Password Hasher: Genera automáticamente contraseñas fuertes, permite actualizarlas y cambiarlas mucho más rápido.

PasswordMaker: Ayuda a encriptar y almacenar las contraseñas.

PopupMaster: – Agrega un bloqueador de popups a la barra de estado.

QArchive.org web files checker: – Instálalo y con un simple clic derecho puedes realizar un escaneo de malware, virus, troyanos, etc. antes de descargar.

QuickJava: – Dá la posibilidad de activar/desactivar Java por medio de un botón.

Secure Login: – Almacena información de login y llena los formularios con un clic.

SecurePassword Generator: – Generador de contraseñas fuertes.

SignupShield Passwords: – Administrador de contraseñas (1-Click), rellena formularios, tiene control anti-spam y anti-phising.

SplitLink: – Elimina símbolos especiales en las URLs para que puedas saber mejor hacia que

VeriSign EV Green Bar Extension: – Verifica la información de los certificados seguros y pone la barra de direcciones de color verde para hacértelo saber.

FireGPG: Sugerida por mi amigo Vierito. Esta extensión provee una interfaz para encriptar, desencriptar, firmar o verificar la firma de algún sitio web usando GnuPG.

Y tú, ¿Que otra extensión usas?

También puede interesarte...

• Las mejores extensiones de Firefox para mejorar tu privacidad
• Infección Virus a través de Redes Sociales
• NoScript
• Samurai, Entorno de trabajo para el testing de seguridad a aplicativos Web
• Descarga Firefox 5 Estable
• Qué hace realmente Espia F a c e.com
• Recupera tu Password de Facebook
• Presentación de conceptos básicos en Seguridad Web

A la hora de usar Internet se presentan muchos factores que resultan ser muy importantes para poder realizar una navegación segura. Uno de ellos es la privacidad, a la que podríamos definir como la capacidad de controlar quien puede tener acceso a la información que posee un determinado usuario. Sin darnos cuenta, mientras navegamos, dejamos información sobre nosotros, nuestros hábitos en la red, y muchos más datos que segúramente quisiéramos proteger.

Una de las tantas capacidades de Firefox es la posibilidad de agregar extensiones, las cuales amplían la funcionalidad del navegador. Conozcamos algunas de las mejores que nos permiten mejorar notablemente nuestra privacidad.

Add ‘N’ Edit Cookies: Editor de cookies que permite editar “sesiones” y cookies guardadas.

Anonymization Toolbar: Barra que permite navegar anónimamente en Internet, también permite borrar inmediatamente tus datos sensibles (cache e historial) con una simple combinación de teclas.

BrowseAtWork: Permite abrir la página actual, o un enlace en la página actual, anónimanente con BrowseAtWork.com agregando un acceso directo al menú contextual.

BetterPrivacy: BetterPrivacy es un protector de cookies (también de cookies de Flash). Bloquea cookies de Youtube, Google, Ebay, por nombrar unos pocos. Trae bastantes opciones de configuración lo cual la hacen una completa extensión.

Close’n forget: Extensión muy simple que al momento de cerrar una pestaña hace que Firefox olvide la visita (borrando las cookies de la página realacionada, limpiando el historial del navegador, y mucho más).

CookieCuller: Mantén las cookies que quieras, borrar automáticamente el resto.

CookieSafe: Permite fácilmente controlar los permisos de las cookies. Aparece en la barra de estado y para usarlo bastaría con hacer clic en el botón permitir, bloquear, ó permitir que temporalmente el sitio use cookies.

CookieSwap: Posibilita intercambiar todas las cookies de manera que por ejemplo puedas estar logueado fácilmente en múltiples cuentas de correo electrónico (como Gmail, Yahoo!) con diferentes usuarios al mismo tiempo y fácilmente cambiar entre ellos.

Distrust: Mientras está activada la extensión irá almacenando todo el historial de la navegación, al desactivarla, se borrará todo lo que almacenó.

Extended Cookie Manager: Dá acceso rápido al control de las cookies y permite cambiar los permisos.

FoxTor: Te permite “enmascararte” y “desenmascararte” a medida que vás navegando en la web.

FoxyProxy: Avanzado gestor de proxies que reemplaza completamente las limitadas capacidades de Firefox. Ofrece aún más capacidades queSwitchProxy, ProxyButton, QuickProxy, xyzproxy, ProxyTex, TorButton, etc.

Gish It! / Temporary Inbox / Spamavert.com / MailNull Now!: Estas extensiones te permiten proteger tu bandeja de entrada de Spam, haciendo uso de direcciones de correo temporales para ser usadas en la web, en los formularios de registro de sitios web que no estás seguro de que son.

Ghostery: Te alerta sobre los sitios webs que están guardando registros tuyos.

hideBad: ¡ÚTIL! Esconde cosas malas Guarda todas las pestañas, las cierra y abre la página de inicio. Te permite borrar el historial, las cookie, caché y contraseñas y después restaurarlas.

Panic: Permite cerrar instantáneamente todas las pestañas abiertas y reemplazarlas por otra de tu escogencia. Así que la próxima vez que llegue tu jefe y tu estés en Facebook simplemente presiona Alt + ` y serás llevado a la página predefinida en un segundo.

SafeHistory: Restringe la aparición de determinados sitios en el historial.

ShowIP: Visualiza la dirección IP de la página que estés visitando, mirar su hostname y hacer una cosulta whois.

Stealther: Desactiva temporalmente las cookies, el historial de navegación y mucho más para no dejar ninguna huella de tu navegación mientres esté activa.

TabRenamizer / Page Title Eraser: La primera permite renombrar las pestañas de tu navegador a nombres aleatorios. La segunda eliminará el título y el favicon de una pestaña de manera que nadie pueda saber que hay abierto en todas tus pestañas

Torbutton: Botón que con un clic activa y desactiva el uso de Tor para una navegación segura.

Unhide Password: Si estás en un entorno seguro y privado puede desactivar el ****** al escribir contraseñas.

View Cookies: Te muestras las cookies que aloja en tu navegador el sitio web que estás visitando.

¡También puedes ver una lista con las mejores extensiones Firefox para mejorar tu Seguridad!

También puede interesarte...

• Las mejores extensiones de Firefox para mejorar tu seguridad
• Cómo conservar la privacidad en las redes sociales
• Descarga Firefox 5 Estable
• Qué hace realmente Espia F a c e.com
• Recupera tu Password de Facebook
• Recupera tu Password de Twitter
• La Policía Nacional Colombiana en las Redes Sociales
• Forzando Conexiones SSL por defecto v2

Esta es la cuarta entrega de la serie de seguridad Informática en la ingeniería de software que nos envía el amigo Pablo Andrés Garzón, si no has leído los anteriores artículos, te invito que lo hagas.

• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• Instalación de TFS, SQL Server 2008 y SDL

El tercer artículo cubrirá el primer nivel tratado en el SDL el cual se enfoca en la necesidad de considerar los aspectos de seguridad en una fase temprana del ciclo de vida, ya que es fundamental para el desarrollo de un sistema seguro, para esto se debe definir en la fase de la planificación ya que permite que los desarrolladores y arquitecto identifiquen los principales problema que se pueden presentar en la implementación de los controles de seguridad y así tener medidas que controle atrasos en la integración con los diferentes módulos desarrollados por el equipo.

Los análisis de requisitos enfocados con la seguridad permiten conocer cómo será el diseño de la aplicación contemplando los requisitos de seguridad mínimo que se debe tener, también contempla como será su comportamiento en un entorno operativo planificado y como se manejara el temas de las vulnerabilidades para el control y seguimiento de estas recordando que el temas de control de bugs es de gran importancia para el ciclo de vida del software ya que una mala implementación de este nos podría producir costos elevados en tiempo y en dinero lo cual sería un problema para la empresa u organización.

Calidad Gates/Barra de Errores

La barra de error es una de las tareas más difíciles que puede enfrentar un equipo de desarrollo de software durante la evolución de ciclo de vida, para esto decidir el nivel de importancia que se le dará a un error y la probabilidad de que ese error no se pueda corregir en el tiempo de entrega de la versión puede tener muchos problemas que afecta al grupo de desarrollo.

Aunque uno de los puntos más difíciles de tratar es que los programadores, arquitectos y otros miembros del grupo tienen diferentes puntos de vista de la clasificación del error o la probabilidad de poder gestionarlo en la fase de entrega de la versión, pero estos grupos cometen errores en sus decisiones de clasificación por factores individuales o por la experiencia ya tratada en una anterior clasificación recordando que la clasificación de un error puede variar dependiendo el proyecto a realizar y sobre esto se enfocan en los siguientes puntos como:

• Cuánto código tendría que regresión-probarse una vez realizada la corrección.
• Cómo cerrar para liberar el proyecto es.
• ¿Cuántos usuarios se verían afectados por el cambio.
• Si el error está bloqueando otros problemas de ser probado o fijo.

Antes que toquemos la barra de error es importantes conocer una de las anteriores propuestas de Microsoft en la clasificación de errores de seguridad: Dread que significa en su acrónimo:

• Daño potencial.
• Reproducibilidad.
• Capacidad de aprovechamiento.
• Usuarios afectados.
• Capacidad de descubrimiento.

Para este a cada parámetro del DREAD se le debe asignar un valor de 1 a 10, siendo el más grave el 10 y el 1 el menor. Después de esto se promedian para general la calificación DREAD.

Para esto describiremos la siguiente tabla donde se detalla la clasificación mencionada a continuación.

Aunque recordemos que un evaluador pude ver diferente la asignación de la clasificación de errores propuesta en un inicio, entonces nos podríamos preguntarnos cuál de las clasificaciones realizadas por cada miembro es la mejor para el DREAD o como podremos controlar la variabilidad de los valores subjetivos.

Después de conocer la anterior forma de trabajar de Microsoft en la clasificación de seguridad enfoquémonos en el actual que es la barra de error de seguridad la cual clasifica las vulnerabilidades según su efecto, para esto la persona encargada de clasificar el error asigna un valor de efecto de seguridad de una lista de valores STRIDE la cual es una tecla de acceso, para este caso se utiliza para clasificar las amenazas encontradas en el ciclo de vida del desarrollo de seguridad y es unos de los componentes básicos de varias herramientas que gestionan el SDL, los valores STRIDE son:

• Suplantación
• Manipulación
• Repudio
• Revelación de información
• Denegación de servicio (DoS)
• Elevación de privilegios (EoP)

Aunque la categoría de STRIDE no es suficiente para clasificar un error, Debemos tener en cuenta el entorno donde se aplica el código ya que este puede afectar al cliente o al servidor, por ejemplo un ataque de denegación de servicios que toma un único usuario no sería tan elevado como dejar fuera un servidor donde varios usuarios realizan operaciones de tiempo continuo como son las aplicaciones provistas por entidades bancarias o del estado, también debemos considerar quien puede ejecutar el ataque como una personas con autenticación en el sitio o una persona anónima que no posee una acceso de privilegios a esta para este caso tendría mayor elevación la persona que realiza el ataque anónimamente que la persona autenticada.

Al contar con la clasificación provista por STRIDE y las características de ámbito adicionales la persona encargada de clasificar el error puede dar más detalle del valor a dar para la barra de error.

La siguiente tabla nos muestra una barra de error de seguridad la cual define cuatro niveles de gravedad:

• Critica.
• Importante.
• Moderada.
• baja.

Seguridad y evaluación de riesgos de privacidad

Antes de tocar el tema de evaluación de riesgos en el ciclo de vida del software conozcamos el concepto general aplicado en seguridad el análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurra cosas negativas en un proceso o en algún evento.

Los puntos que debemos considerar en el análisis de riesgos son los siguientes:

• Obtener una evaluación económica del impacto de los sucesos,
• Tener en cuenta la probabilidad de que ocurran los problemas posibles.
• Conocer que es lo que más queremos proteger asegurando que obtendremos un beneficio y no una pérdida, para esto se debe identificar los recursos (software, hardware, información, personal, etc.) y considerar las posibles amenazas que se pueden encontrar.

Para aclarar más el concepto tomemos en cuenta la siguiente tabla donde podremos entender el funcionamiento que se aplica en el análisis de riesgos.

Por último el enfoque del análisis de riesgos en el ciclo de vida del software debe identificar las funciones de software a las cuales se le debe aplicar una revisión más profunda para esos se debe incurrir en los siguientes aspectos.

• Que parte del proyecto requerirá modelo de amenazas.
• Que parte del proyecto requerirá el diseño de seguridad.
• Que parte del proyecto requerirá pruebas de penetración las cuales las puede realizar una empresa externa a la involucrada al proyecto.
• qué es la evaluación de impacto de privacidad?

La respuesta a esta pregunta se basa en las siguientes directrices:

• Alto riesgo de privacidad de P1. La función, producto o servicio almacena o transfiere PII, cambios de configuración o asociaciones de tipo de archivo o instala el software.
• Riesgos de privacidad mod P2. El comportamiento único que afecta a la intimidad en la función, producto o servicio es una transferencia de datos anónimos, iniciado por el usuario, de una sola vez (por ejemplo, el usuario hace clic en un vínculo y el software va a un sitio Web).
• P3 bajo riesgo de privacidad. No comportamientos existen dentro de la función, producto o servicio que afectan a la privacidad. No se transfiere ningún dato personal o anónima, no IPI se almacena en el equipo, ninguna configuración de cambian en nombre del usuario y no está instalado ningún software.
• La necesidad de pruebas adicionales que podría considerar el analista para así mitigar los riesgos de seguridad.
• Ámbito específico de la aplicación enfocado en las pruebas de requisitos

ROSI (Retorno de Inversión en Seguridad de la Información)

Para terminar hay una de las cosas que nunca eh escuchado mencionar en el SDL y me parece importante ya que se puede aplicar y es la implementación del ROSI el cual es bien conocido como el retorno de inversión en seguridad de la información el cual garantiza la continuidad de negocio a medio y a largo plazo, Centrándonos en ROSI, la esencia del cálculo se basa en calcular los costos ahorrados como consecuencia de evitar incidentes de seguridad o de mitigar los efectos de los mismos en caso de ocurrencia. Es por esto que en ROSI el beneficio es en realidad el ahorro conseguido (además de otro tipo de beneficios como pueden ser mejorar la imagen de la empresa consiguiendo así nuevos clientes), algunos se preguntaran porque mencione el rosi o porque se podría aplicar es tan sencillo que teniendo en cuenta la implementación de controles de seguridad y la continuidad de la seguridad en cada fase del ciclo de vida del software podremos manejar un nivel de costos los cuales podrían favorecer o a su vez o no favorecer en niveles de tiempo y dinero así manejando la definición de ROSI la cual trata cuanto no pierdo por implementar controles de seguridad es tan interesante que debería ser considerada en SDL y demás enfoques o metodologías enfocadas en la seguridad del ciclo de vida del software teniendo en cuenta que la mayoría de proyectos que fracasan son por términos de mal manejo en definiciones y controles de seguridad a implementar por esto es tan necesario que se tenga en cuenta el rosi no solo en la seguridad de la información si no también en la seguridad del ciclo de vida del software y en los demás campos que se pueden aplicar.

Para mayor información diríjase a los siguientes links.

• http://pastorcortes.net/crear_valor/rosi_return_on_information_security_investment_/
• http://www.microsoft.com/security/sdl/

Escrito por:
Pablo Andrés Garzón Vera
Ingeniero de Sistemas (Universidad Manuela Beltrán)
Magister en Dirección Estratégica en Ingeniería de software (Universidad de León).
Para La Comunidad DragonJAR

También puede interesarte...

• Dilemas de la seguridad en el desarrollo de software
• Formación de Seguridad con Security Development Lifecycle de Microsoft
• Instalación de TFS, SQL Server 2008 y SDL
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• SeguriSemanal I
• Video Tutorial de Nessus y Baseline Security Analyzer
• Webcast de Microsoft sobre Seguridad Informática
• Mundo Hacker TV

Esta es la tercera entrega de la serie de seguridad Informática en la ingeniería de software que nos envía el amigo Pablo Andrés Garzón, si no has leído los anteriores artículos, te invito que lo hagas.

• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• Instalación de TFS, SQL Server 2008 y SDL

El tercer artículo cubrirá el primer nivel tratado en el SDL el cual se enfoca en la capacitación de seguridad que deben tomar los miembros de un equipo de Desarrollo (Software) pero que tan cumplido es esto si tenemos en cuenta que la mayoría de proyectos no cubren este aspecto de capacitación a sus miembros en temas de seguridad ya que en la mayoría de veces la excusa es la falta de tiempo o la prioridad a otras fases del proyecto, pero estos equipos no saben el gran error que están cometiendo ya que en cada fase se incrementara el tiempo ajustado al cronograma que se tenía estimado.

Pero que debe conocer el equipo de Desarrollo de software en temas de seguridad para esto los grandes aspectos a considerar y tener en cuenta por el equipo son los siguientes.

Conceptos Básicos:

Seguridad de diseño, que incluye los siguientes temas:

• Superficie de reducción de ataque.
• Defensa en profundidad.
• Principio de privilegios mínimos.
• Valores predeterminados de seguridad.

Modelado de amenazas, incluyendo los siguientes temas:

• Visión general de modelado de amenazas.
• Diseño de un modelo de amenazas.
• Codificación a un modelo de amenazas.
• Pruebas para un modelo de amenazas.

Segura de codificación, incluidos los temas siguientes:

• Saturaciones de búfer.
• Errores de entero aritméticos.
• Cross site scripting.
• Inyección de SQL.
• Criptografía débil.
• Cuestiones de código administrado (Microsoft .NET y Java).

Pruebas de seguridad, incluidos los temas siguientes:

• Pruebas frente a pruebas funcionales de seguridad.
• Evaluación del riesgo.
• Metodologías de prueba automatización de pruebas.

Privacidad, incluyendo los siguientes temas:

• Tipos de datos de privacidad.
• Las mejores prácticas de diseño de privacidad análisis de riesgos.
• Mejores prácticas de desarrollo de privacidad.
• Pruebas de las mejores prácticas de privacidad.

Para estos temas se recomienda la guía de OWASP donde cubre los aspectos en temas de seguridad en aplicaciones webs donde se tratan algunos temas de los mencionados anteriormente y ya que es la guía fundamental en temas de seguridad por la comunidad involucrada en software.

Por lo general los equipos de software no manejan la mayoría de temas básicos en seguridad llegando así a cometer errores en diseño, Arquitectura y codificación produciendo un nivel bajo en nivel de calidad teniendo en cuenta que un producto de calidad debe tener los aspectos de seguridad cubiertos en cada proceso realizado.

Conceptos Avanzados:

Definición de arquitectura y diseño en temas de seguridad.

• Arquitectura y diseño de seguridad
• Diseño de la interfaz de usuario
• Problemas de seguridad en detalle
• Procesos de respuesta de seguridad
• Aplicación de factores atenuantes amenaza personalizado

Los temas avanzados en seguridad deberían ser manejados y conocidos completamente por los arquitectos de software ya que ellos deben cubrir estos temas en sus definiciones para así llegar a tener una arquitectura que respete cuanto temas de negocio, técnicos y de seguridad pero esto no quiere decir que los otros miembros del equipo deben desconocer estos conceptos ya que cualquiera puede realizar la implementación de cada tema de seguridad y no estaría bien solo conocer el aspecto técnico, negocio si no también la parte de seguridad avanzada.

Tratando este tema y teniendo en consideración los grandes aspectos en cuanto a seguridad en el ciclo de vida del software cada equipo de Desarrollo debe contar con un analista de seguridad en software para la realización de las pruebas, manejo y definición de las diferentes métricas para tener en cuenta en cada ciclo de vida del software, cubriendo aspecto tanto técnicos, arquitectónico y conceptuales que mejoren el nivel de calidad del producto de software a desarrollar por el equipo.

En la anterior imagen podemos observar las grandes estimaciones de corrección de código que se realiza después de su liberación en la cual puede tener a lugar a 30 veces el costo de las revisiones realizadas durante la fase de diseño, pero que pasaría si implementamos sdl las vulnerabilidades tienen más posibilidad de ser encontradas antes de su implementación lo que reduciría el costo total del desarrollo.

Pero para mas consideración observemos la siguiente imagen donde podemos concluir que después de tres años de la liberación de SQL Server 2005 Microsoft solo ah publicado tres boletines de seguridad reduciendo la complejidad que se tenía en temas de seguridad en su motor de base de datos, con esto podemos analizar las mejoras que se ah tenido con la implementación de SDL en los productos Microsoft de acuerdo a esto los arquitectos, gerentes de proyectos, Desarrolladores deberían implementar el sdl en sus proyectos de software para así reducir la complejidad que se han presentados en temas de seguridad.

Escrito por:
Pablo Andrés Garzón Vera
Ingeniero de Sistemas (Universidad Manuela Beltrán)
Magister en Dirección Estratégica en Ingeniería de software (Universidad de León).
Para La Comunidad DragonJAR

También puede interesarte...

• Dilemas de la seguridad en el desarrollo de software
• Requerimientos para Security Development Lifecycle de Microsoft
• Instalación de TFS, SQL Server 2008 y SDL
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• SeguriSemanal I
• Video Tutorial de Nessus y Baseline Security Analyzer
• Webcast de Microsoft sobre Seguridad Informática
• Mundo Hacker TV

Para este primer artículo quise tocar un tema que me llama mucho la atención y que es un gran reto para los Ingenieros de software y profesionales relacionados en este campo en cuál es la seguridad. Para esto quiero enfatizarme en el ciclo de vida del software el cual es utilizado por los ingenieros de software, arquitectos entre otros profesionales involucrados en la rama, pero que tan efectivo es la metodología usada por estos profesionales en los desarrollos de software que realizan, esto lo menciono porque la mayoría de profesionales en el campo del software nunca piensan en el tema de la seguridad sino en cumplir con su meta u objetivo a alcanzar, pero ¿que tan valido es este punto de vista? en esta época donde la seguridad a tomado mucha importancia para las empresas y personas consientes que saben que la información que manejan es de mayor importancia y no puede ser mostrada divulgada a todo el mundo. Con esto quiero recalcar que la seguridad es importante aplicarla al ciclo de vida del software para con el fin de tener calidad en los productos desarrollados y cumplir con los tres objetivos de la seguridad que son la integridad, confidencialidad y disponibilidad ya que en esta época la tecnología va creciendo donde y encontramos que la información que necesitan las personas ya es accesible desde internet, con esto quiero enfatizar que la seguridad debe ser aplicada en cada fase del ciclo de vida del software para no tener dificultades más adelante en el diseño, arquitectura, pruebas entre otros.

Después de tocar este tema de mayor importancia por los profesionales de seguridad hay dos preguntas que siempre les realizo a los arquitectos y gerentes de proyectos.

1. (Arquitecto) ¿En qué fase del ciclo de vida del software contemplan la seguridad?
2. (Gerentes de Proyectos) ¿En los cronogramas donde se estima el tiempo para pruebas de seguridad?

Para la primera pregunta la mayoría de arquitectos responde las pruebas son realizadas al final del desarrollo ya que en ese momento podemos detectar los bug y corregirlos, pues lastimosamente para estos arquitectos la respuesta es incorrecta ya que las pruebas de seguridad deben estar en cada fase del ciclo de vida del software ya que entre más temprano encontremos problemas de seguridad más rápido podemos abordarlas y tendremos menos costo.

La segunda pregunta es una de mis favoritas porque la mayoría de gerentes de proyectos se queda callados como si les estuviera haciendo una pregunta para medirlos que tanto saben, pero no es así, esta pregunta la realizo porque en ningún cronograma que allá visto en mi vida como ingeniero de software exponen un tema de pruebas de seguridad, ¿pero a qué se debe esto? Una de las razones es la falta de conciencia y la metodología de enseñanza que aplican las universidades donde nunca abordan este tema y que es de mayor importancia para todo el mundo no solo para los profesionales involucrados con las NTIC .

Después de haber Mencionado estos aspectos y en mi poca experiencia profesional como ingeniero de software recalco una de las mejores guías o estándares que me he encontrado en temas de seguridad y que debería utilizar todos los ingenieros de software y personas involucrados en estas ramas el cual es OWASP donde el punto vital de ellos es demostrar que la seguridad de la información y el software puede operar junto para poder tener un producto de software que tengan los más grandes estándares de calidad esto se obtiene realizando las pruebas de seguridad que se le debería realizar a todos nuestros productos donde esté involucrado el software.

Buenos para los que no conocen que es owasp le dare una breve introduccion sacada de internet la cual dice que OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. .

La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.
Por último y unos de mis favoritos es el Top 10 del 2010 que saca OWASP encontramos:

1. Inyecciones: Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.
2. Cross-site Scripting: Una de las vulnerabilidades más extendidas y a la par subestimada.
3. Gestión defectuosa de sesiones y autenticación: Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.
4. Referencias directas a objetos inseguras: Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
5. Cross-site Request Forgery.: Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.
6. Ausencia de, o mala, configuración de seguridad.: Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.
7. Almacenamiento con cifrado inseguro: Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.
8. Falta de restricciones en accesos por URL: Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.
9. Protección insuficiente de la capa de transporte: Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.
10. Datos de redirecciones y destinos no validados: Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

Bueno para finalizar quiero retar a los lectores que utilicen las métricas provistas por OWASP y categoricen en cuál de las 10 posiciones de vulnerabilidades se encuentran, y si su respuesta es ninguna le aconsejo que realice las pruebas con más detalle ya que los que estamos en el mundo de la seguridad y el software sabemos que un producto no es 100% seguro, como lo hacemos ver.

Pablo Andrés Garzón
Estudiante de Maestría en Dirección Estratégica en ingeniería de Software
Colombia

También puede interesarte...

• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Curso en el Sena Virtual sobre Auditoria en Seguridad
• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• Cursos Gratis de Seguridad Informática Online
• Curso Gratuito de Ethical Hacking – Presencial y Online
• Podcast y Video Podcast de Seguridad Informática en Español
• BackTrack 5