Buscando en la basura. Eliminación segura de ficheros.

Papelera con documentos

El Trashing, o «buscar en la basura» es una táctica muy común entre amigos de «la información ajena», que nos puede dar algún que otro susto. A pesar de ser una técnica que, originalmente se refería a buscar literalmente en la basura «física», debido a la digitalización de la información ahora se suelen incluir soportes digitales desechados, vendidos o traspasados. La eliminación de cualquier soporte, ya sea un CD, DVD, Disco duro o, las cada vez menos usadas, cintas de datos, debe ser una tarea que comporte una serie de precauciones antes de deshacernos de ellas. La principal: «Deberíamos eliminar […]

Leer más Buscando en la basura. Eliminación segura de ficheros.
julio 28, 2011
Publicado en Seguridad, Sistema OSX, Unix
Etiquetas: , , , , , , One Comment

Hoteles con WiFi, hoteles con encanto (maligno)

Logo wifi gratis

Cada vez viene siendo más habitual que tanto hoteles como otros lugares de descanso, ofrezcan a sus clientes la capacidad de conexión a Internet mediante redes WiFi gratuitas (o no). El modo en el que se les ofrece este servicio de conexión, varía según el modelo de implementación que hayan hecho los responsables de esta. En algunos hoteles se trata de uno o varios puntos de acceso WiFi con varias antenas repartidas por las plantas y/o zonas del hotel y en otros se encargan empresas como BT Openzone que implementan Hotspots de acceso mediante usuarios y passwords generados de manera […]

Leer más Hoteles con WiFi, hoteles con encanto (maligno)
julio 22, 2011
Publicado en Seguridad
Etiquetas: , , , , 3 Comments

Wifieando en Verano.

Orejas abiertas

Con la explosión de dispositivos móviles que estamos viviendo, en parte por culpa de las redes sociales y por software de comunicaciones alternativos al clásico SMS (WhatsApp, Ping2, …) o de la llamada en si misma (Tango, Viber, Skype…) es común que busquemos redes WiFi libres o conectarse a redes poco protegidas con el uso de programas de crackeo WEP/WAP. También hay que tener en cuenta los dispositivos que se conectan a la primera red WiFi que detectan libre, sin preguntar y sin tener en consideración su procedencia. Si bien es cierto que también es común que algunos lo hagan […]

Leer más Wifieando en Verano.
julio 6, 2011
Publicado en Seguridad
Etiquetas: , , , , , One Comment

La seguridad física también importa

Casa con sombrilla

Leer un interesante artículo en fawerwayer.com en el cual la empresa Netagard «colaba» un ratón con una memoria USB a la que le habían introducido un troyano, me ha rescatado de la memoria parte de una auditoría que realicé hace años, cuando trabajaba para mi anterior empresa. En esta auditoría, «dejábamos olvidados» encima de la mesa de algunos usuarios, memorias USB de 16 megas, que contenían una versión modificada de VNC con la cual era posible obtener acceso al equipo en remoto y que era lanzada y copiada al equipo huesped, en cuanto el usuario introducía el dispositivo mientras era […]

Leer más La seguridad física también importa
julio 3, 2011
Publicado en Curiosidades, Seguridad
Etiquetas: , , , , , , 2 Comments

Plugins de WordPress posiblemente troyanizados

Imagen de Wordpress Hackeado

Según un escueto comunicado de WordPress.org, algunos de sus plugins más utilizados (AddThis, WPtouch, y W3 Total Cache) han podido verse comprometidos o al menos así lo sospechan. Hasta que esto no se confirme y como medida de precaución, desde la página de WordPress recomiendan el cambio de password de todos los usuarios y en especial del administrador. Hace tiempo que el propio WordPress también tuvo problemas de seguridad que hizo a sus usuarios actualizar urgentemente la versión del mismo. Esta vez le toca al repositorio en el que se almacenan sus plugins. Según el comunicado mencionado, se han encontrado […]

Leer más Plugins de WordPress posiblemente troyanizados
junio 22, 2011
Publicado en Seguridad, Wordpress
Etiquetas: , , , , , , 2 Comments

Smooth-Sec. Instalación sencilla de un detector de intrusos

Logo de Smooth-Sec

De la mano del señor Phillip Baley, creador del proyecto, nos llega Smooth-Sec. Esta distribución de Linux, que viene con Suricata y Snorby integrados de serie y está basada en Ubuntu 10.04 LTS, nos proporciona un sistema robusto de IDS/IPS con el que controlar las actividades sospechosas de nuestra red. Una de las principales ventajas de usar Smooth-Sec, es el ahorro de costes de implementación al poder realizar un despliegue sin necesidad de realizar las tareas de instalación del sistema operativo, securización del mismo e instalación y configuración del software IDS/IPS. Sobre el sistema de IDS/IPS que soporta, Suricata, poco […]

Leer más Smooth-Sec. Instalación sencilla de un detector de intrusos
junio 20, 2011
Publicado en Recursos gratuitos, Seguridad, Unix
Etiquetas: , , , , , , , One Comment

Metodología de auditoría de seguridad, OSSTMM

Logo de OSSTMM

Si hace unos días comentaba OWASP, como metodología de seguridad en el desarrollo de aplicaciones, hoy quiero acercarme a otra de las metodologías que nos pueden ayudar a la hora de mantener nuestros sistemas seguros. Esta metodología, llamada OSSTMM (Open Source Security Testing Methodology Manual, Manual de código abierto para la realización de pruebas de seguridad) nació hace unos añitos de la mano del señor Pete Herzog como piedra angular de un proyecto que se denominó «ideahamster». Como «chascarrillo» y para comprender la esencia del proyecto, los «idea hamsters» (frase hecha del inglés) son personas dedicadas a la inyección de […]

Leer más Metodología de auditoría de seguridad, OSSTMM
junio 16, 2011
Publicado en Recursos gratuitos, Seguridad
Etiquetas: , , , , 5 Comments

Estándar de seguridad en aplicativos web, OWASP

Logo de OWASP

La seguridad en las aplicaciones web, siempre es uno de los puntos mas «delicados» a la hora de establecer características de un desarrollo. A estas alturas del cuento, seguramente ya nos habremos enfrentado a algún lobo feroz, manzana envenenada o bruja malvada y sabemos que el tema de la seguridad es primordial. No obstante, la mayoría de los proyectos que tengo la ocasión de ver, tratan el tema como algo etéreo y muy pocos entran tan en profundidad como pueda verse con otros procedimientos de prueba y control en los que siglas como RUP, Metrica3, UNE-ISO IEC 90003:2005 son utilizadas hasta […]

Leer más Estándar de seguridad en aplicativos web, OWASP
junio 13, 2011
Publicado en Recursos gratuitos, Seguridad
Etiquetas: , , , , , One Comment

Nuevas guías de seguridad para iPhone e iPad

iphone con candado

El IASE, (Information Assurance Support Enviroment, Entorno de soporte para la garantía de la información), dependiente del DISA (Agencia de defensa para los sistemas de informacion, Defense Information Systems Agency) ha publicado con fecha 8 de Junio de 2011, las guias de securización para los dispositivos iPad y iPhone de Apple. Estas guias, denominadas STIG (Guias técnicas de implementación de seguridad, Security Technical Implementation Guides), tienen una completa información de alto nivel técnico para poder implementar en nuestros dispositivos un nivel más que aceptable de seguridad.   Como siempre, el vector de la seguridad suele ser opuesto al de la […]

Leer más Nuevas guías de seguridad para iPhone e iPad
junio 10, 2011
Publicado en Recursos gratuitos, Seguridad
Etiquetas: , , , , , , ,

SUID, SGID, Sticky…Los otros permisos de ficheros.

terminal

Si en el artículo de hace unos días vimos las operaciones con los permisos básicos (lectura, escritura y ejecución) hoy vamos a ver una serie de permisos extras, que podemos asignarles a los ficheros y directorios de nuestro Unix y Linux. Estos permisos nos posibilitan hacer cosas tan interesantes como que un proceso corra con otro usuario diferente al que lo ejecuta o que un directorio tenga permisos un tanto «especiales»   Estos permisos son los siguientes: set-user-ID-on-execution (AKA SUID) permite que, al ejecutarse un fichero, se realice bajo los privilegios del propietario. Por ejemplo, si necesitamos ejercer los privilegios […]

Leer más SUID, SGID, Sticky…Los otros permisos de ficheros.
junio 8, 2011
Publicado en Seguridad, Sistema OSX, Unix
Etiquetas: , , , , , , , ,