Vídeos de la OWASP AppSecEu 2014
Jul06

Vídeos de la OWASP AppSecEu 2014

OWASP Open Web Application Security Project, y sus guias de pruebas se han convertido en un estándar de facto y muy bien conocido por los que se dedican a la seguridad informática. Esta organización tiene proyectos tan famosos como el OWASP Top Ten. En el que se recogen las 10 vulnerabilidades web mas explotadas. De hecho muchas herramientas de escaneo en los que uno de sus profiles es encontrar vulnerabilidades del OWASP Top Ten. Con W3af, tenemos la opción de seleccionar el tipo de escaneo en el que se probarán las vulnerabilidades. Además de este proyecto del Top Ten, hacen proyectos relacionados con el DNI electrónico, investigación en nuevas tecnologías web y, por si fuera poco, también liberan y patrocinan grandiosas herramientas como el Zed Attack Proxy (ZAP). Se ha celebrado el evento AppSecEu. Y para los que no habéis podido ir, os dejo los videos que han colgado en el canal de Youtube Los videos son: Hemil Shah – Smart Storage Scanning for Mobile Apps – Attacks and Exploit OrKatz – Getting New Actionable Insights by Analyzing Web Application Firewall Triggers Jacob West – Keynote – Fighting Next-Generation Adversaries with Shared Threat Intelligence Lorenzo Cavallaro – Keynote – Copper Droid On the Reconstruction of Android Malware Behaviors Matt Tesauro – Barbican Protect your Secrets at Scale Gergely Revay – Security Implications of Cross-Origin Resource Sharing Simon Bennetts – OWASP ZAP Advanced Features Maty Siman – Warning Ahead Security Stormsare Brewing in Your JavaScript Dan Cornell – Hybrid Analysis Mapping Making Security and Development Tools Play Nice Together StevenMurdoch – Keynote-Anonymous Communications and Tor History and Future Challenges Winston Bond – OWASP Mobile Top Ten 2014 – The New Lack of Binary Protection Category Jerry Hoff – Getting a Handle on Mobile Security AppSec EU 2014 Chapter Leaders Workshop OWASP AppSec Europe 2014 – Frameworks and Theories Track OWASP AppSec Europe 2014 – Builder and Breaker Track OWASP AppSec Europe 2014 – DevOps Track OWASP AppSec Europe 2014 – Security Management & Training Track OWASP AppSec Europe 2014 – Malware & Defence Track OWASP AppSec Europe 2014 – Mobile Track A disfrutar un día de...

Leer Más
¿#Fail de Truecrypt?
Jun09

¿#Fail de Truecrypt?

Desde hace unos años atrás estoy cogiendo realmente pánico a las cosas que están saliendo relacionadas con la seguridad. Están saliendo a la luz ciertos incidentes que hace que te plantees el modo en el que usas la tecnología que te rodea. Por si todavía no os habéis percatado de la noticia, hace unos días se hacía eco de que había algún problemilla con truecrypt. ¿Que ha pasado? Si te dirigías a la página web del proyecto aparecía el siguiente mensaje: “WARNING: Using TrueCrypt is not secure as it may contain unfixed security issuesThis page exists only to help migrate existing data encrypted by TrueCrypt.The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.” Lo mas sorprendente del asunto es que aconsejan usar Bitlkocker. Precisamente creo que si mucha gente usaba Truecrypt era por un tema de filosofía, y que ahora te quieran hacer usar Bitlocker, rompe un poco los esquemas. El proyecto se sometió a una auditoría de código ya que debido a los incidentes que había habido de que existían puertas traseras en software que usaba casi todo el mundo. En la auditoría de código se encontraron varias vulnerabilidades. El reporte está disponible por si alguien quiere leerlo.   El índice del informe es el siguiente: El reporte lo puedes descargar online, Segun las malas lenguas, el proyecto ha sido descontinuado por dos razones: A día de hoy hay otras soluciones de cifrado fuerte en el mercado, además algunas de las soluciones integradas en el sistema operarivo (File Vault, Bitlocker) Servicios secretos y federales han presionado para que dejen de desarrollar la herramienta. Si quieres encontrar el repositorio de código de truecrypt En github, diferentes usuarios han colgado el código para todos. Alternativas a cifrado? Muchas TcPlay,Luksus, Cryptonite (para Android), RealCrypt (un spin-off de TrueCrypt), FreeOTFE,AxCrypt, AESCrypt, etc. Si quieres seguir usando, han abierto un site web truecrypt.ch, en el que han colgado la última versión disponible. Además al parecer seguirán con el proyecto. Más información en...

Leer Más
WordPressa Security Plugin – Un toque de seguridad extra para tu WordPress
Mar25

WordPressa Security Plugin – Un toque de seguridad extra para tu WordPress

¡Saludos comunidad de DragonJAR! Primero que todo nos presentaremos, somos Juanma (@TheXC3LL) y Jorge (@JorgeWebsec), somos lectores frecuentes de la comunidad y por tanto queremos compartir con ustedes desde el caluroso sur de España el último proyecto en el que estábamos trabajando… el WordPressA. WordPressA fue presentado en sociedad el pasado 19 de marzo de 2014 como un plugin de WordPress destinado a la seguridad de este CMS utilizando un enfoque preventivo. WordPressA Security Plugin implementa un sistema de alertas que le informará en tiempo real de qué plugins instalados en su WordPress poseen vulnerabilidades conocidas. Somos consientes que uno de los vectores de ataques mas comunes cuando nos enfrentamos a un CMS como WordPress son los plugins de terceros que no tienen la misma conciencia de desarrollo seguro que si tienen los desarrolladores del staff de wordpress, por eso decidimos lanzar WordPressA y ayudar a los webmasters con la seguridad de sus sitios. El proyecto WordPressA se compone a grandes rasgos en 3 partes diferenciadas, una API, una base de datos que se actualiza periódicamente cada hora y un plugin que interactúa con la API. La base de datos se actualiza procesando el contenido de los principales repositorios de vulnerabilidades y extrae los reportes de plugins WP. De tal forma que detecta el nombre del plugin y la versión y las incluye en la base de datos. Además se introducen de forma manual las vulnerabilidades que nuestro equipo haya encontrado y por lo tanto obtenemos un conjunto de datos único. La API se encarga de recibir por parte del plugin un listado de los instalados en el WordPress y comprueba con la base de datos si alguno es vulnerable. Por lo tanto WordPressA Security Plugin cumple con la función de enviar el listado a la API y mostrar la respuesta. De esta forma en nuestro menú de administración podemos ver esta información de una manera inmediata.   A parte de todo lo mencionado diariamente se envía un correo electrónico (futura configuración) con un informe con el listado de plugins vulnerables que tengas instalados. La siguiente versión que estamos desarrollando va a incluir soporte para la detección de themes vulnerables y un sistema de “auto-parcheado” para facilitar a los usuarios la protección de sus plataformas. Por último decir que existen 2 versiones una de demostración gratuita TOTALMENTE FUNCIONAL y una versión completa de pago que se diferencian, en que la primera, solo realiza un informe a través de las vías anteriormente mencionadas y la de pago es una licencia de 365 días con un sistema de alertas que prevengan de una forma instantánea al usuario de sus riesgos y debilidades...

Leer Más
Protégete en tu entorno mas cercano – Parte I
Mar04

Protégete en tu entorno mas cercano – Parte I

La seguridad informática empieza por protegernos a nosotros mismos y proteger los que nos rodean, para garantizar un entorno seguro y evitar ser victimas de cualquier tragedia informática gracias a un fallo en nuestro entorno mas cercano. Esta entrada es la primera parte de una serie de post donde se pretende dar las pautas para proteger nuestro entorno mas cercano, si deseas realizar cualquier aporte o comentario estamos abiertos para sugerencias ya sea en nuestros comentarios o en el formulario de contacto. ¿Como podemos conseguir eso? ¿Qué debemos de mirar? Una de las primeras cosas que tendremos que mirar es puntos de entrada a casa, normalmente nuestra conexión a Internet. Nuestro proveedor de internet nos hará la instalación pero no nos dejará asegurada la instalación. Hay ciertas cosas que tendremos que tener en cuenta como lo vimos en la entrada “Cómo proteger nuestra red inalambrica de un “vecino hacker”“. Cifrado de la red. Está claro que de las primeras cosas que tendremos que cambiar es el cifrado de la red. Además de poner el cifrado mas alto que nos permita el router, deberemos de poner contraseñas que sean difíciles de recordar y que no sean cosas como tu nombre y cosas similares. Aquí tenemos una tabla de cifrados: La recomendación es utilizar WPA2 con el algoritmo AES. WPS La nueva remesa de routers nuevos es probable que venga con WPS activado por defecto. Ya sabemos que con la herramienta reaver, somos capaces de romper esta seguridad de WPS y conseguir acceso a la red. La recomendación es desactivar WPS. Puertos Una de las cosas que me deja sorprendido es la gestión que realizamos a veces de los puertos del router. Tenemos que tener en cuenta de que estos sirven para dejar salir y entrar conexiones a dentro y fuera de nuestra casa. Si por lo que sea no vamos a usar un puerto es bueno cerrarlo. No se siguen buenas prácticas cuando se dejan abiertos rangos de puertos. La recomendación es cerrar todos los puertos que no usemos y sus servicios ya que pueden o tener puertas traseras o ser vulnerables. Una segunda recomendación que se suele usar es conseguir un router mas robusto y administrable dejando el que nos dio el proveedor en modo puente (bridge), de esta forma el router (normalmente) baja todos sus servicios y solo se encargará de darle Internet a nuestro router robusto. MAC Otra de las cosas que podemos hacer es limitar el acceso por dirección MAC a nuestra red. Esto significará una barrera mas a romper por un posible intruso y aunque puede que requiere una constante actualización si tenemos invitados a...

Leer Más
Agenda Rooted CON 2014
Feb23

Agenda Rooted CON 2014

Ya ha salido pública la agenda de la Rooted CON de este año.  Este año la conferencia toma un cáliz mas importante ya que están de celebración y han incluido novedades como traer ponentes internacionales y la traducción simultánea. Esta es la agenda prevista para el evento: Jueves, 6 de Marzo de 2014 10:15 – 10:30 Organización RootedCON Inauguración Rooted CON 2014 10:30 – 11:00 Francisco Jesús Gómez & Carlos Juan Diaz Sinfonier: Storm Builder for Security Investigations 11:00 – 11:30 Alfonso Muñoz Ocultación de comunicaciones en lenguaje natural 11:30 – 12:00 Pau Oliva Bypassing wifi pay-walls with Android 12:00 – 12:30 DESCANSO 12:30 – 13:30 Antonio Ramos Agilidad. La via a la seguridad 13:30 – 14:00 Valentin Gatejel Por anunciar 14:00 – 15:30 DESCANSO 15:30 – 16:30 Raj Shah The Kill Chain: A day in the life of an APT 16:30 – 17:20 Pablo González & Juan Antonio Calles Cyberwar: Looking for… touchdown! 17:20 – 17:30 DESCANSO 17:30 – 18:20 Alberto Cita Skype sin Levita. Un análisis de seguridad y privacidad 18:20 – 19:10 Jorge Bermúdez Los hackers son de Marte, los jueces son de Venus 19:10 – 20:00 RootedPanel I: Ciberarmas     Viernes, 7 de Marzo de 2014 10:00 – 11:00 Jose Luis Verdeguer & Victor Seva Secure Communications System 11:00 – 12:00 Joaquín Moreno Garijo Forense a bajo nivel en Mac OS X 12:00 – 12:30 DESCANSO 12:30 – 13:00 Jorge Ramió RSA cumple 36 años y se le ha caducado el carné joven 13:00 – 14:00 José Luis Quintero & Felix Estrada Ciberguerra. De Juegos de Guerra a La Jungla 4 14:00 – 15:30 DESCANSO 15:30 – 16:30 Jeremy Brown & David Seidman Microsoft Vulnerability Research: How to be a finder as a vendor 16:30 – 17:20 Chema Alonso Playing and Hacking with Digital Latches 17:20 – 17:30 DESCANSO 17:30 – 17:50 Miguel Tarasco Análisis WiFi de forma nativa en Windows 17:50 – 18:20 Andrés Tarasco Ataques dirigidos con APTs Wi-Fi 18:20 – 19:10 Roberto Baratta Monetización de seguridad: de más con menos a más con nada 19:10 – 20:00 Cesar Lorenzana & Javier Rodriguez Por qué lo llaman APT´s cuando lo que quieren decir es dinero     Sábado, 8 de Marzo de 2014 10:00 – 11:00 Aladdin Gurbanov Magnetic Road 11:00 – 12:00 Youcef Bajaja & Juan Antonio Rivera Vila GiroAirHack capturando radiofrecuencias con BladeRF 12:00 – 12:30 DESCANSO 12:30 – 13:30 José Pico & David Perez Atacando 3G 13:30 – 14:00 Borja Berástegui Handware hacking Si hay un ‘input’ hay peligro 14:00 – 15:30 DESCANSO 15:30 – 16:30 Juan Vazquez & Julián Vilas Tú a Boston Barcelona y yo a California Tejas. A patadas con...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES