La Comunidad DragonJAR

Constantemente me preguntan ¿como me inicio en la seguridad?.. y aunque no hay una única respuesta a esa pregunta, estoy seguro que todas las respuestas te dirán que se requiere de lectura y practica, es por eso que cuando un autor publica una obra gratuita sobre seguridad, trato de publicarla en la comunidad, por que creo que los libros y la practica son los caminos mas rápidos para alcanzar el conocimiento.

Antes en la comunidad publicamos el libro sobre Hacking Etico de Carlos Tori, una excelente obra que permite entender fácilmente el mundo de la seguridad informática y ahora les traigo un nuevo libro titulado seguridad por niveles publicado por Alejandro Corletti Estrada con licencia Copylef, para tocar el tema de la seguridad en redes. Leer más…

La revista digital de nuestra comunidad, es uno de los proyectos que mas aceptación ha tenido, no solo se puede ver en el numero de descargas obtenidas por cada edición, sino por la difusión que tienen en la red una vez es publicado.

Hoy al publicar el video de Introducción al análisis de Malware donde hacia referencia a nuestro ezine #4 he notado que muchas personas desconocían de su existencia, entonces para  todas estas personas que desconocen la revista de nuestra comunidad, les dejamos los 4 números que hemos publicado hasta el momento para que los visualicen desde su navegador o los descarguen (click en titulo) según sus gustos.

Leer más…

El próximo Sábado 27 de Agosto se realizará  el taller “Más allá del Ethical Hacking” en la Universidad Nacional Mayor de San Marcos, organizado por el Instituto Nacional de Investigación Forense de la mano del instructor Omar Palomino Huamaní.

Este taller tiene como objetivo mostrar las principales características y diferencias de un Pentesting frente a un Ethical Hacking, el taller mostrará la secuencia total de un proceso de pentesting, identificando los diferentes vectores de un ataque real de seguridad  y explotará aquellos que le proporcionen el camino más fácil hacia el control de los principales sistemas de información de una organización. Leer más…

Hace unos meses publicamos en la comunidad un “Curso gratuito de Ethical Hacking y Pen Testing” realizado por Matias Katz que tuvo una muy buena acogida en nuestra comunidad, esta vez Matias ha decidido realizar una capacitación gratuita online y presencial (para quienes esten en cerca), con 2 dias de duracion donde se tocaran todas las temáticas de forma practica. Leer más…

Gracias a juancho1985 miembro de nuestra comunidad me entero que Raphael Mudge creador del jIRCii, Armitage y otros tantos proyecto , ha publicado un curso de Hacking Ético usando Armitage y Metasploit.

El curso esta compuesto por 6 vídeos, donde explican desde el manejo basico de Armitage y Metasploit, hasta las tácticas de equipo para realizar en un test de penetración. Leer más…

CWE (Common Weakness Enumeration) y la SANS han publicado un estudio donde enumeran los 25 errores de programación mas peligrosos en el desarrollo de software para el año 2011, en la lista encontraremos errores que mucha gente toma como inofensivos pero que realmente abren una brecha de seguridad en sus aplicaciones.

El TOP 25 errores más peligrosos en el software es:

• No filtrar propiamente las sentencias SQL (Inyección SQL) (Puntaje 93.8) (ID CWE-89)
• No filtrar las llamadas al sistema de forma adecuada (Inyección en comandos del SO) (Puntaje 83.3) (ID CWE-78)
• No chequear el tamaño de la memoria reservada a la hora de copiar datos (desbordamiento de memoria) (Puntaje 79.0) (ID CWE-120)
• No detectar la inyección de scripting (XSS) (Puntaje 77.7) (ID CWE-79)
• No autentificar en llamada a funciones críticas (Puntaje 76.9) (ID CWE-306)
• No autorización (Puntaje 76.8) (ID CWE-862)
• Usar credenciales estáticos en el código (Puntaje 75.0) (ID CWE-798)
• No cifrado de datos sensibles (Puntaje 75.0) (ID CWE-311)
• No restringir la subida de ficheros a ciertos formatos (Puntaje 74.0) (ID CWE-434)
• Confiar en una fuente de datos no confiable a la hora de tomar una decisión de seguridad (Puntaje 73.8) (ID CWE-807)
• Ejecución con privilegios innecesarios (Puntaje 73.1) (ID CWE-250)
• Cross-Site Request Forgery (CSRF) (Puntaje 70.1) (ID CWE-352)
• No limitar el acceso al sistema de ficheros a directorios restringidos (Puntaje 69.3) (ID CWE-22)
• Descarga de código sin chequear la integridad del mismo (Puntaje 68.5) (ID CWE-494)
• Autorización incorrecta (Puntaje 67.8) (ID CWE-863)
• Permitir la integración de funcionalidades de fuentes no confiables (Puntaje 66.0) (ID CWE-829)
• Asignación de permisos incorrecta a recursos críticos (Puntaje 65.5) (ID CWE-732)
• Uso de funciones potencialmente peligrosas (Puntaje 64.6) (ID CWE-676)
• User un algoritmo de cifrado que ha sido comprometido o roto (Puntaje 64.1) (ID CWE-327)
• Cálculo incorrecto del tamaño de memoria (Puntaje 62.4) (ID CWE-131)
• No restricción a un número de intentos fallidos de acceso (Puntaje 61.5) (ID CWE-307)
• Redirección URL a sitios no confiables (‘Open Redirect’) (Puntaje 61.1) (ID CWE-601)
• Formato de cadena no controlado (Puntaje 61.0) (ID CWE-134)
• Desbordamiento de enterios (Puntaje 60.3) (ID CWE-190)
• Aplicar una función hash sin usar la sal (Puntaje 59.9) (ID CWE-759)

Si cometes por lo menos uno de estos errores en el desarrollo de tus aplicaciones, no dudes en hacer click en su respectivo ID, donde encontraras toda la información necesaria para entender mejor el problema y corregirlo.

Puedes descargar todo el informe en PDF o verla online en la pagina oficial de la Common Weakness Enumeration.

El proyecto Open Web Application Security Project (OWASP), quien constantemente publica informacion, herramientas y pautas para aseguridad nuestras aplicaciones web, comenzó un proyecto llamado “AppSec Tutorial Series” que busca por medio de Video Tutoriales, ayudar a los desarrolladores a conocer, detectar y reparar los errores de seguridad mas comunes en el mundo de las aplicaciones web.

Estos video tutoriales realizados por Jerry Hoof son bastante cortos (10 minutos aproximadamente), pero de forma grafica y muy clara cumplen su objetivo, estaremos atentos a nuevas publicaciones de la serie “AppSec Tutorial” desde la Comunidad DragonJAR y actualizaremos Leer más…

Acaba de salir un nuevo numero de la revista electrónica “El Derecho Informático”, la revista creada por la Red Iberoamericana del derecho y las nuevas tecnologías, para tratar distintos temas del derecho informático.

En esta séptima edición de la revista, se tratan temas muy interesantes, todos relacionados con el derecho informático, los títulos son:

• Ensayo sobre la situación del Hábeas Data en Honduras y América Latina. Por Bach. José Noel Bueso Aguilar
• Teletrabajo, sus aspectos jurídicos y prácticos. Por Abog. Fernando Adrián García
• Tips básicos y particularidades de una instalación de Linux. Por Sergio Mendoza
• Los sistemas de Información y la aplicabilidad de tecnologías de información dentro de la Corte Suprema de Justicia de El Salvador. Por Ing. MBA/CI Edson Alcir Mejía Montoya
• La Privacidad, la reputación y la identidad en la red. Por Abog. Sergio Augusto Ovalle
• - ¿Quién es responsable en Internet?. Por Abog. Alejandro Touriño
• Ley Lleras o la Cesión de la Soberanía a las multinacionales de la Propiedad Intelectual. Por Abog. Carlos Aguirre y Javier Pallero
• Evidencia Digital: Admisibildad y valoración en el derecho procesal civil y penal de la provincia de Mendoza (Argentina). Por Abog. Bárbara Peñaloza
• Sociedades de Gestión de Derechos de Autor. Por Abog. Leonor Guini
• Responsabilidad de los ISP en la propiedad intelectual chilena. Por Abog. Adriana Gonzalez
• El valor de la prueba electrónica en el derecho civil hondureño. Por Abog. Tania Sagastume
• Entrevista a Jerónimo Varela (ESET)

A continuación te dejo el cuarto numero de la revista “El derecho Informático” para que la leas online (click en el centro de la revista,  para ver la revista en pantalla completa)

Descarga el PDF de la Revista Electrónica El Derecho Informático 8 para leerlo offline.

Gracias a un proyecto de Python Argentina ahora es posible acceder a la información de la Wikipedia en castellano aunque no dispongas de una conexión a Internet.

CDPedia es el nombre de este proyecto que ha logrado recoger toda la información de la Wikipedia hasta Febrero del 2011, y plasmarla en un CD/DVD para que personas sin acceso a internet puedan beneficiarse de la mayor enciclopedia libre colaborativa del mundo. Leer más…