La Comunidad DragonJAR

Un nuevo fallo en el famoso WordPress, descubierto por el investigador Thomas Mackenzie permitiría a “cualquier” persona los artículos, comentarios y paginas, que hayas borrado y se encuentren en la “papelera”.

Desde la versión 2.9 de WordPress se implementó una nueva característica  llamada “papelera“, con la cual todos los artículos, comentarios o páginas “borradas” pasarían a la “papelera de reciclaje” para prevenir así que sean eliminados de forma accidental.

Lo que descubrió Thomas Mackenzie es que en WordPress decidieron no ponerle restricción de acceso a los contenidos de la “papelera”, por lo que cualquier persona con privilegio 0 (Suscriptor) podría ver todo lo que estuviera almacenado en ella, el único inconveniente (y posiblemente la razón por la que dejaron este nivel de acceso), es que necesitamos conocer la ruta de los contenidos eliminados para poder acceder a ellos… cosa que Mackenzie pudo solucionar desarrollando este script en Python, con el que enumera los contenidos que tenemos en nuestra “papelera”. Leer el resto de la entrada »

BleachBit es una herramienta multiplataforma (tanto Windows como GNU/Linux) que nos permite realizar un borrado seguro evitando dejar algunos rastros. Cabe resaltar que aunque existan este tipo de herramientas, siempre la informática forense estará un paso adelante descubriendo hasta los mas mínimos detalles  de aquellos rastros que son imposibles de borrar. Sin embargo, con este pequeño articulo pretendemos  explicar un poco mas a fondo esta herramienta, la cual es muy útil por que podemos borrar mucha información critica con solo un par de clicks.

La instalación es muy sencilla,  pueden descargar el paquete para su sistema operativo (si es GNU/Linux pueden descargar el paquete según su distribución), o si lo prefieren aquellos usuarios de debian y derivados pueden descargar la herramienta desde los repositorios: Leer el resto de la entrada »

TryeCrypt es una de las mejores soluciones disponibles en el mercado, para cifrar información importante, es gratuita y  multiplataforma (GNU/Linux, Mac OS X, Windows XP/2000/2003/Vista/Seven), es recomendada para proteger tu información sensible y así evitar que personas no autorizadas tengan acceso a ella.

En la comunidad Seifreed ha realizado una serie de manuales muy graficos y paso a paso de TrueCrypt, que van desde su instalación hasta el uso de la herramienta, los dejo a continuación con la primera parte del manual: Leer el resto de la entrada »

Nueva Versión del CAINE, uno de los mejores LiveCD’s para Informática Forense, se diferencia de los demás livecd para forense (Helix FCCU, Deft, etc..) por su entorno de fácil uso para todo este tipo de herramientas y su interoperabilidad a través de diferentes herramientas forenses, ya que proporciona una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, mas informacion del CAINE AQUI.

Estos son los cambios de la nueva versión:

• Se incorpora el WinTaylor, un frontend de analisis forense para entornos windows
• Paginas HTML compatibles con internet explorer para correr herramientas forenses en Windows
• Actualizado el Ntfs-3g a la versión 2009.1.1 (resolviendo un bug del ntfs-3g)
• Nueva opción del menú de inicio: Modo Texto
• Actualizados los paquetes de Ubuntu 8.04 (CAINE esta basado en ubuntu)
• Nueva versión del Firefox 3.0.6
• Nueva herramienta para realizar hashing de archivos (Gtkhash)
• Nuevas opciones en los reportes: se agrego el nombre del investigador y del reporte
• Reportes en múltiples lenguajes: italiano, ingles, alemán, francés y portugués ¿para cuando en español?
• Cuando se inicia Firefox se abre un listado con las herramientas y un breve manual de utilización.

Leer el resto de la entrada »

En Boing Boing, me encontré un vídeo de marzo de este año donde muestran lo BARATO (un sniffer de RFID vale 8 dolares en eBay) y sencillo que resulta capturar información de una tarjeta de crédito RFID con solo estar.

Tendremos que usar ese tipo de billeteras ya que en un metro, transmilenio o cualquier sistema de transporte masivo seria muy sencillo ser victimas del robo de información en tarjetas de crédito RFID.

El alto crecimiento de herramientas malwares preparadas para el robo de información, obtener claves o infectar nuestra maquinas, etc, es un hecho cotidiano. Tras un análisis realizado por la Comisión de Seguridad de la Asociación de Internautas se comprobó el uso de malware por terceros usando simples dispositivos USB preparados para obtener datos de nuestras maquinas, por ello se crea una herramienta gratuita para la prevención de robo de datos por medio de USB.

El siguiente ejemplo encontrado en un foro nos demuestra lo fácil que es crear un dispositivo USB para obtener datos de nuestra maquina sin nuestro consentimiento:

Leer el resto de la entrada »

El Instituto Nacional de Estadística e Informática (INEI), en el marco de Promoción y Difusión de las Nuevas Tecnologías de Información, pone a disposición de las entidades públicas, privadas, estudiantes y público en general, la publicación titulada:
Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información.

La presente publicación forma parte de la colección Seguridad Informática. Hace una breve introducción a los Sistemas de Información que incluye: La metodología práctica para el desarrollo de planes de contingencia de los sistemas de información que comprende: la identificación de riesgos, Calificación de la probabilidad de que ocurra un riesgo, Evaluación del impacto en los procesos críticos y la creación de estrategias de contingencias.

Los Planes de Contingencias le permitirán mantener la continuidad de sus sistemas de información frente a eventos críticos, de su entidad y minimizar el impacto negativo sobre la misma, sus empleados y usuarios. Deben ser parte integral de su organización y servir para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia una solución.

El INEI realiza con esta publicación un aporte muy especial para todos los sectores de nuestro país, para garantizar en todo momento la continuidad de los Sistemas de Información, por ello pone a disposición la presente publicación, esperando una vez más contribuir en el desarrollo de la Sociedad de la Información.

Gilberto Moncada Vigo
Jefe
Instituto Nacional de Estadística Informática

Veamos el contenido
Capítulo I : Definiciones y Alcances
¿Qué es un Sistema de Información?
¿Qué es un Plan de Contingencias?
Objetivos del Plan de Contingencia
Aspectos Generales de la Seguridad de la Información
Seguridad Integral de la Información

Capítulo II: Fases de la Metodología Para el Desarrollo de un Plan de Contingencia de los Sistemas de Información
Planificación
Identificación de Riesgos
Identificación de Soluciones
Estrategias
Documentación del Proceso
Realización de Pruebas y Validación
Implementación
Monitoreo

Capítulo III: Visión Práctica para realizar un Plan de Contingencia de los Sistemas de Información
Análisis y Selección de las Operaciones Críticas
Identificación de Procesos en cada Operación
Listar los Recursos Utilizados para las Operaciones
Especificación de Escenarios en los cuales puede Ocurrir los problemas
Determinar y Detallar las Medidas Preventivas
Formación y Funciones de los Grupos de Trabajo
Desarrollo de los Planes de Acción
Preparación de la Lista de Personas y Organizaciones para comunicarse en Caso de Emergencia
Pruebas y Monitoreo

Capítulo IV. Prueba del Plan de Contingencia
Introducción
Objetivos
Procedimientos Recomendados para las Pruebas del Plan de Contingencias
Métodos para Realizar Pruebas de Planes de Contingencia
Preparación Pre Prueba
Comprobación de Plan de Contingencias
Mantenimiento de Plan de Contingencias y Revisiones
Entorno de las Pruebas del Plan de Contingencias

Más información
Descarga