La Comunidad DragonJAR

Para este primer artículo quise tocar un tema que me llama mucho la atención y que es un gran reto para los Ingenieros de software y profesionales relacionados en este campo en cuál es la seguridad. Para esto quiero enfatizarme en el ciclo de vida del software el cual es utilizado por los ingenieros de software, arquitectos entre otros profesionales involucrados en la rama, pero que tan efectivo es la metodología usada por estos profesionales en los desarrollos de software que realizan, esto lo menciono porque la mayoría de profesionales en el campo del software nunca piensan en el tema de la seguridad sino en cumplir con su meta u objetivo a alcanzar, pero ¿que tan valido es este punto de vista? en esta época donde la seguridad a tomado mucha importancia para las empresas y personas consientes que saben que la información que manejan es de mayor importancia y no puede ser mostrada divulgada a todo el mundo. Con esto quiero recalcar que la seguridad es importante aplicarla al ciclo de vida del software para con el fin de tener calidad en los productos desarrollados y cumplir con los tres objetivos de la seguridad que son la integridad, confidencialidad y disponibilidad ya que en esta época la tecnología va creciendo donde y encontramos que la información que necesitan las personas ya es accesible desde internet, con esto quiero enfatizar que la seguridad debe ser aplicada en cada fase del ciclo de vida del software para no tener dificultades más adelante en el diseño, arquitectura, pruebas entre otros.

Después de tocar este tema de mayor importancia por los profesionales de seguridad hay dos preguntas que siempre les realizo a los arquitectos y gerentes de proyectos. Leer más…

Abril es el Mes de los niños y es por eso que debemos fortalecer nuestros esfuerzos constantes para evitar los peligros que corren los menores a la hora de navegar por la Web.

Los niños de hoy son fuertes usuarios de Internet y son extremadamente hábiles cuando se trata de usar un ordenador. Es por esta razón que los padres y los profesores deben ser conscientes de los peligros que puede conllevar la mala utilización de la Red -depredadores en línea, ciber-matones, timadores e incluso compañeros, entre otros- y deben hablar con sus hijos / alumnos acerca de cómo evitar esos problemas en el caso de que se den. Leer más…

WM Downloader es un reproductor de Windows y un MP3 Stream Rippe/grabber (No graba directamente los sonidos desde el programa), el cual hace mas fácil descargar streaming de Windows y SHOUTcast Streams. Con este programa puedes descargar de manera muy sencilla todos tus podcast o videopodcast favoritos.

Sin embargo WM Downloader en su versión  3.0.0.9 presenta algunos fallos de seguridad considerables, así lo demuestra DouBle Zer0 Zer0, en un vídeo donde nos  muestra como se puede explotar una vulnerabilidad de tipo “stack overflow” creando archivos m3u corruptos. A continuación el vídeo,  y el exploit lo pueden visualizar desde acá. Leer más…

Con la aparición de las redes y las aplicaciones cliente servidor, se desarrollaron modelos y estándares que todos durante nuestra experiencia académica hemos ido conociendo, es bien conocido por todos el Modelo OSI para todo lo que esta relacionado con las redes y los protocolos de comunicación, pero ¿Sabíamos que también existe La Arquitectura de Seguridad OSI?.

Leer más…

Una de las aplicaciones mas comunes utilizadas en los sitios web,  son las películas y clics hechos en Adobe Flash (antes de Macromedia),  animaciones, slideshows  y anuncios publicitarios en este formato, están a la orden del día por toda la red. La facilidad con la que se crean y la gran cantidad de documentación sobre el uso de Flash, a colaborado para que su uso se extienda a millones de sitios web.

A pesar de ser una herramienta muy útil,  personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores,  la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online,  a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua. Leer más…

Cuando se realiza una auditoria, siempre es recomendable seguir una serie de pasos para no pasar por algo ningún detalle que pueda resultar crucial para nuestra investigación, a continuación les dejo un pequeño listado de las cosas a las que debemos echarle una ojeada cuando auditamos una base de datos oracle.

1). Determinar si en la BD esta activo el modo de operación en ARCHIVELOG o NONARCHIVELOG. Si este no esta activo, la evidencia de ataque o cambios serán sobrescritos por un nuevo redo.

Se puede determinar realizando una sentencia SQL a la BD:

• SELECT VALUE V$PARAMETER WHERE FROM NAME=’archiv_log_start’;

Leer más…

Cuando se piensa en seguridad informática casi siempre nos enfocamos a equipos firewalls, sistemas o software de trafico, IDS, y demás herramientas relacionadas con aquellas actividades que te permiten proteger o en su caso atacar a sistemas de computo vulnerables. Sin embargo poco se habla de los sistemas se seguridad física, los cuales son aplicados en muchos lugares que visitamos sin siquiera percatarnos de que existen o para que nos pueden servir en un enfoque global de seguridad de la información a empresas o entidades.

Si alguna empresa llama a una consultoría para realizar una auditoría para proteger sus sistemas de ataques de hackers, muchas de ellas de no estar bien capacitadas o documentadas se enfocaran al 100% en registrar vulnerabilidades en servidores, servicios y aplicaciones, pero que pasa con la gente? Que pasa con la ingeniería social?; ya no se acuerdan del caso 1 KEVIN MITNICK personaje que además de ser un estupendo hacker montado en su portátil desarrollo una gran habilidad en el ámbito del engaño, habilidad conocida como “Ingeniería Social”, dicen los expertos que no hay mejor manera de hacer una instrusión que utilizar los ojos, la palabra y la mente, esas herramientas son las mas efectivas y letales.

Contemplando este escenario existe equipo que permiten disponer de un control físico de las persona y cosas que ingresan a un lugar donde se puede suscitar algún ilícito como es el robo de información.

¿Que dispositivos conoces?

Te enumerare solo algunos de los que se manejan en un mercado tan cerrado y tan limitado como este.

CCTV . Sistema de Circuito Cerrado de Televisión, este sistema instalado en lugares como bancos, restaurantes, centros comerciales, calles, oficinas, etc; es sin duda unos de los sistemas de vigilancia física más utilizados y comerciales que existen hoy en día, sin embargo es importante conocer qué debemos de contemplar al implementar un sistema como estos, para que en el momento de la verdad, nuestros vídeos muestren las evidencias que necesitamos. Leer más…

Una semana más que finalizamos, haciendo eco a las noticias más relevantes de cada semana.

• Destacamos el lanzamiento de la versión 11 de Fedora (Leonidas), la cual en el transcurso de la semana ha dado mucho de que hablar gracias a sus múltiples mejoras como el soporte de huellas integrado, la integración del proyecto LTSP, DeviceKit (alternativa a HAL), y mucho más.
• Para los usuarios de Drupal se encuentra disponible un libro en el que se explica muchos de los ataques a los que estás expuesto al hacer uso de este CMS y además como evitarlos. El libro se llama Cracking Drupal y aquí encuentras su índice.
• Ya se encuentra disponible la versión 2.6.30 del Kernel Linux, se incluyen múltiples cambios especificados en el ChangeLog. Lo más probable es que la distribución que estés usando se demore para agregarlo a los repositorios así que lo más recomendado es compilarlo por tí mismo.
• Hace algunos días ya, se había hablado de una vulnerabilidad en VMware Workstation que al ser explotada permitía acceso a la máquina anfitrión. Se hablan sobre varias herramientas que facilitan la explotación de la vulnerabilidad.
• Lanzada la versión 1.7 de Kerberos 5. Para los que no saben Kerberos es un protocolo de autenticación de red, diseñado para proveer autenticaciones fuertes para aplicaciones cliente/servidor usando una clave secreta. Más información aquí.

Feliz fin de fin de semana para todos y con la expectativa de una nueva semana llena de muchas sorpresas.

Y despedimos otra semana más acompañado de nuestro habitual boletín de seguridad y alguna otra tendencia. Bastante información compartida en la red esta semana y más de un lanzamiento (que para el que no sabía) le arreglará el día.

Leer más…