La Comunidad DragonJAR

El proyecto Open Web Application Security Project (OWASP), quien constantemente publica informacion, herramientas y pautas para aseguridad nuestras aplicaciones web, comenzó un proyecto llamado “AppSec Tutorial Series” que busca por medio de Video Tutoriales, ayudar a los desarrolladores a conocer, detectar y reparar los errores de seguridad mas comunes en el mundo de las aplicaciones web.

Estos video tutoriales realizados por Jerry Hoof son bastante cortos (10 minutos aproximadamente), pero de forma grafica y muy clara cumplen su objetivo, estaremos atentos a nuevas publicaciones de la serie “AppSec Tutorial” desde la Comunidad DragonJAR y actualizaremos Leer más…

Acaba de salir un nuevo numero de la revista electrónica “El Derecho Informático”, la revista creada por la Red Iberoamericana del derecho y las nuevas tecnologías, para tratar distintos temas del derecho informático.

En esta séptima edición de la revista, se tratan temas muy interesantes, todos relacionados con el derecho informático, los títulos son:

• Ensayo sobre la situación del Hábeas Data en Honduras y América Latina. Por Bach. José Noel Bueso Aguilar
• Teletrabajo, sus aspectos jurídicos y prácticos. Por Abog. Fernando Adrián García
• Tips básicos y particularidades de una instalación de Linux. Por Sergio Mendoza
• Los sistemas de Información y la aplicabilidad de tecnologías de información dentro de la Corte Suprema de Justicia de El Salvador. Por Ing. MBA/CI Edson Alcir Mejía Montoya
• La Privacidad, la reputación y la identidad en la red. Por Abog. Sergio Augusto Ovalle
• - ¿Quién es responsable en Internet?. Por Abog. Alejandro Touriño
• Ley Lleras o la Cesión de la Soberanía a las multinacionales de la Propiedad Intelectual. Por Abog. Carlos Aguirre y Javier Pallero
• Evidencia Digital: Admisibildad y valoración en el derecho procesal civil y penal de la provincia de Mendoza (Argentina). Por Abog. Bárbara Peñaloza
• Sociedades de Gestión de Derechos de Autor. Por Abog. Leonor Guini
• Responsabilidad de los ISP en la propiedad intelectual chilena. Por Abog. Adriana Gonzalez
• El valor de la prueba electrónica en el derecho civil hondureño. Por Abog. Tania Sagastume
• Entrevista a Jerónimo Varela (ESET)

A continuación te dejo el cuarto numero de la revista “El derecho Informático” para que la leas online (click en el centro de la revista,  para ver la revista en pantalla completa)

Descarga el PDF de la Revista Electrónica El Derecho Informático 8 para leerlo offline.

Gracias a un proyecto de Python Argentina ahora es posible acceder a la información de la Wikipedia en castellano aunque no dispongas de una conexión a Internet.

CDPedia es el nombre de este proyecto que ha logrado recoger toda la información de la Wikipedia hasta Febrero del 2011, y plasmarla en un CD/DVD para que personas sin acceso a internet puedan beneficiarse de la mayor enciclopedia libre colaborativa del mundo. Leer más…

Hace 3 años Carlos Tori, reconocido profesional Argentino de la seguridad informática, presentó en sociedad su libro “Hacking Ético”, basado en su experiencia y conocimiento del tema, el libro ayuda a sus lectores a ingresar en el mundo del Hacking Ético presentando en los conceptos básicos más importantes, de una forma práctica y eficiente, sin olvidar presentar la profundidad en cada tema.

Ahora recibo un correo del mismo Carlos Tori, anunciando que por diferentes motivos ha decidido publicar gratuitamente su obra y desde la Comunidad DragonJAR queremos compartir este regalo con todos nuestros usuarios y visitantes, para que saquen provecho de su buen contenido.

Puedes ver el libro online desde este artículo:

O descargarlo en tu equipo desde el mirror de la comunidad dragonjar:

Descargar Libro Hacking Etico de Carlos Tori Gratis

El mundo de la seguridad informática cambia constantemente, es por eso que aquellos que trabajamos en él, debemos mantener informados constantemente de estos cambios; Pero es normal que dispongamos  de poco tiempo para mantenernos al día y ademas realizar nuestro trabajo diario, por eso una de las mejores formas de resolver este problema, es aprovechar los “tiempos muertos” que tenemos durante nuestras jornadas laborales, (esos periodos de tiempo donde nos encontramos esperando para realizar un proceso, transportandonos en servicio publico, alimentandonos, etc…) y la mejor forma de aprovecharlos es haciendo uso de los podcast y video podcast.

No hace mucho era bastante difícil conseguir buena documentación en español sobre seguridad informática en estos formatos (Audio y Video) y poder aprovechar los tiempos muertos; Pero ahora la situación es diferente y existen varios proyectos muy buenos en nuestro idioma cubriendo el vacío que existia, a continuación listaré solo algunos de ellos para que los agregues a tu lista y disfrutes de ellos en tu reproductor preferido.

Podcast de Seguridad Informática

El Guardian es uno de los podcast sobre esta tematica mas viejos que existe y un referente sobre el tema.

PaulDotCom es uno de los podcast mas importantes sobre seguridad informática en Ingles, y ahora que ha salido su version en español no podria dejar de recomendarlo

Podcast de threatpost en español con la amable voz de Nadia Molina con las ultimas noticias de seguridad.

Mundo hacker es un podcast sobre seguridad informática con una gran trayectoria, que luego se convertiría en un excelente VideoPodcast.

Seguridad Informática desde un enfoque de negocios enfocado a productos Cisco.

Podcast de ESET Latinoamérica con contenido en audio orientado a usuarios hogareños y corporativos.

Entre hackers es un podcast enfocado en teoria a la seguridad informática, aunque los pocos episodios que he visto están orientados mas que todo al software libre, espero que esto cambie pronto.

Algunos Podcast aislados relacionados con la seguridad.

• Iniciación a la seguridad informática con @daboblog en El Arca De La Alianza
• Seguridad Informatica Parte I de Radiofayl.com
• Peliculas donde se tratan temas de seguridad informatica.
• Seguridad informática
• ZIP PODCAST # 25: Leyendas urbanas de la Seguridad Informática, MySQL y Oracle
• ¿Que son los Sniffers?
• ¿Que es la Ingeniería Social?
• ¿Que son los Firewalls?
• ¿Que son los Proxies?
• Las Debilidad en Protocolos

Video Podcast de Seguridad Informática

IntyPedia ese una Aula Virtual en la que por medio de vídeos de corta duración, acompañados siempre con su respectiva documentación, se habla sobre temáticas relacionadas con la seguridad de la información.

MundoHackerTV es una evolucion al VideoPodcast de MundoHacker, un excelente proyecto con buena información sobre seguridad informatica.

LemonTV es un VideoPodcast especialmente dedicado a la informática en general, pero realizó varios programas enfocados en la seguridad informática que comparto con ustedes.

Video Podcast de la Universidad Nacional de Mexico, donde publican las charlas del Día Internacional de la Seguridad en Cómputo que realizan en ella.

DragonJAR.tv es nuestra apuesta por un VideoPodcast de seguridad con contenidos faciles de digerir para cualquier persona, el cual espero poder continuar (y financiar) en unos meses cuando termine mi carrera universitaria.

Si conoces de algún otro proyecto que hable sobre temas de seguridad, dejalo en los comentarios que tan pronto pueda lo agregaré para ir mejorandola.

Hablando con varios amigos, sobre el problema que uno de ellos tenia para auditar un sistema SAP y al buscar para ayudarle con ese problema, nos dimos cuenta de la poca documentación existente para realizar un Pentesting de manera metódica en un sistema SAP, no encontramos fácilmente una guía o checklist a seguir para auditar efectivamente estos sistemas.

Aunque conocíamos buenas herramientas como Sapyto, un framework para auditoria de sistemas SAP del que ya habíamos hablado en la comunidad, y una excelente charla que dio Mariano Nuñez Di Croce, su creador, donde habla de pentesting a sistemas SAP, seguíamos sin encontrar una metodología a seguir, por eso decidimos preguntar en Twitter si alguien conocía alguna metodología para realizar un pentest en sistemas SAP y la respuesta fue tan buena que dio lugar a la creación de este post, donde pretendemos reunir en un solo lugar, los mejores recursos que puedas llegar a necesitar cuando realices una auditoria a sistemas SAP.

El primer recurso que les comparto es la charla de Mariano Nuñez sobre Pentesting en Sistemas SAP:

En los aportes que nos realizaron se encuentra la Guía de Seguridad para sistemas SAP NetWeaver, pero también unas directrices para auditar SAP ECC creado en el 2009 por Nishant Sourabh un empleado de IBM, que eran justo lo que necesitábamos:

Descarga las directrices para auditar SAP ECC de este enlace

Pero también documentación creada por la misma SAP con lineamientos para auditar SAP R/3 que nos ayudaran mucho en la tarea de auditar sistemas SAP.

Descarga los lineamientos para auditar SAP R/3 creados por SAP

En español encontramos un portal dedicado enteramente a la seguridad SAP llamado SeguridadSAP.com, el cual recomendamos totalmente desde La Comunidad DragonJAR, también agradecemos  Space Cowboy (@EspeisCouboi) y Alberto Hil (@bertico413), por su colaboración.

Mariano Nuñez (creador de sapyto) ha compartido con nosotros mas información y herramientas para ampliar nuestra lista:

• Bizploit el primer framework open source para realizar Penetration testing a un ERP

Descargar Bizploit v1.00-rc1 para Windows
Descargar Bizploit v1.00-rc1 para Linux

• Onapsis Integrity Analyzer for SAP, una solución que permite detectar modificaciones sin autorización a los programas ABAP en la plataforma SAP.

Download Integrity Analyzer for SAP (Oracle databases)
Recomendamos leer la guia de instalación en la carpeta “Doc”.

• Seguridad SAP en profundidad, serie de artículos donde explican los pasos a seguir para revisar la seguridad de un sistema SAP en profundidad.

  Volume I: The risks of downwards compatibility
  Volume II: SAP Knowledge Management – The risks of sharing
  Volume III: The Silent Threat: SAP Backdoors and Rootkits

muchísimas gracias por el aporte y mariano.

Si tienes mas aportes en esta materia dejalos en los comentarios, para que juntos construyamos un buen listado de recursos para auditar sistemas SAP.

Después de publicar el Curso Backtrack 5 en Español y la documentación para dominar el Metasploit Framework Bernabé Muñoz ha querido compartir con nosotros un laboratorio/taller de auditoria y pentest utilizando herramientas como Nessus, NMap,Whireshark, Metasploit y Armitage.

Los dejo con el aporte de Bernabé Muñoz, para visualizar online:

O si prefieres descargarlo, puedes hacerlo desde este enlace

Si te interesan este tipo de laboratorios, deberías pasar por los laboratorios de nuestra comunidad, con explicaciones paso a paso de distintas temáticas relacionadas con la seguridad informatica.

La mayoría de personas que llevamos un tiempo ya surfeando la red, seguramente hablamos a diario sobre alguno de estos temas, Internet, Hackers o Software Libre (en muchos casos de todos juntos), y es por eso que quiero compartir con todos este libro que incluyen múltiples textos de varios personajes, que si no has leído te recomiendo que lo hagas.

El libro lleva ya unos años rodando por la red, pero como puedes ver en la siguiente tabla de contenidos, el material no pierde vigencia… Leer más…

Acaba de salir un nuevo numero de la revista electrónica “El Derecho Informático”, la revista creada por la Red Iberoamericana del derecho y las nuevas tecnologías, para tratar distintos temas del derecho informático.

En esta séptima edición de la revista, se tratan temas muy interesantes, todos relacionados con el derecho informático, los títulos son: Leer más…