Security Art Work

Hoy tenemos un post de Rafa  (@goldrak), en el que nos presenta la tercera edición del Congreso de Seguridad Informática Morteruelo CON, que tendrá lugar los días  12 y 13 de Febrero en Cuenca y del que S2 Grupo es patrocinador.

Las Jornadas de Seguridad Informática MorterueloCon se celebrarán este año en el campus de Cuenca, presentando su tercera edición en los días 12 y 13 de febrero, totalmente gratuitas gracias a nuestros patrocinadores.

Como en años anteriores, tienen como objetivo concienciar a los estudiantes, empresas y usuarios en general de la importancia de utilizar medidas de seguridad cuando se pretende tener presencia en Internet, dando además un enfoque técnico sobre la materia también a profesionales de este sector. Para ello, dispondremos de 13 charlas y 7 talleres donde se hablará de ciberseguridad a diferentes niveles.

[Read more…]

¿Cuántos amigos tienen la clave de tu WiFi? ¿Con cuántos contactos de Facebook no interactúas desde hace años? ¿Haces copias de seguridad de tus datos? ¿De cuándo es la última actualización de tu Linkedin?

Yo hace tiempo me marqué el inicio del año como el momento de poner al día mi vida digital y año tras año la lista de cosas a revisar no ha hecho más que crecer. Sí, ya sé que estamos a 1 de Febrero pero el mes de Enero no cuenta. Entre que te recuperas de la navidad y las rebajas, ya se te ha pasado el mes.

Algunos recordareis que en 2012 y 2013 ya plantee que tomásemos el inicio del año como el momento de la “revisión anual de todo”, así que aprovechando el empuje del año nuevo, os invito a empuñar este post como checklist actualizado de todo aquello que deberíais revisar al menos una vez al año (remarcamos mucho el “al menos”) y os pongáis conmigo manos a la obra.

[Read more…]

En una auditoría, cuando se intenta justificar la existencia de una vulnerabilidad se suele recurrir a una prueba de concepto (también conocida como Proof Of Concept o POC). Dicha prueba en ocasiones suele suponer la dedicación de un tiempo valioso que se le ha de restar a la redacción del informe en su conjunto.

Este artículo se centrará en la vulnerabilidad de clickjacking y en cómo realizar una POC que justifique su existencia de forma rápida y sencilla. Para ello se utilizará Jack (disponible en el siguiente enlace) que fue presentado en el Black Hat EU 2015 Arsenal.

[Read more…]

Por Kranya Berrios y Samuel Segarra:

¡Cumpleaños feliz, cumpleaños feliz, te deseamos todos, cumpleaños feliz! El Día de la Protección de Datos en Europa celebra su décimo aniversario y es por ello que queremos dedicarle la presente entrada (y darle un cariñoso tirón de orejas).

¿Qué celebramos hoy?

No, no es el décimo cumpleaños de la LOPD, tampoco lo es de la directiva 95/46/CE, que nadie se confunda. El DPD (del inglés, Data Protection Day, también conocido como Data Privacy Day en EEUU) es una jornada para difundir entre la ciudadanía los derechos y obligaciones en materia de protección de datos.

[Read more…]

Comienzo el día leyendo este genial artículo en Ars Technica. Genial, por la cantidad de información, fuentes y detalles que aporta sobre la situación actual de la seguridad en dispositivos IoT y de las iniciativas que se están poniendo en marcha para intentar mejorarla.
El artículo lleva como imagen de acompañamiento la foto de un niño durmiendo plácidamente en su cuna (y su título deja claro que la foto no la han hecho ni sus padres ni cualquier otro familiar con la intención de compartirla con los lectores, cosa que ya no es tan genial). La foto se ha hecho desde la webcam que sus padres han instalado en su dormitorio para ver a su hijo, pero la jugada no les ha salido bien porque ahora hay más gente que puede verle también.

[Read more…]

Desde hace siglos, mucho antes de la invención de la informática, el ser humano es consciente de que la información es poder. Desde algo tan breve como una contraseña, a algo tan extenso como puede ser un documento sensible, la preservación del valor de la información que contienen se basa en lo mismo: el secreto. A lo largo de la vida útil de dicha información, seguirá siendo relevante el hermetismo respecto a la misma, ya que en caso de quebrarse, su valor se perdería. No obstante, una vez expira esa vida útil, la importancia de mantener el secreto puede pasar a un segundo plano. Por esta razón, algunos documentos que en su momento eran objeto de celoso secreto, actualmente están desclasificados y a la disposición del público general.

Con este antecedente, se puede comprender la existencia de leyes como la Freedom Of Information Act (FOIA) estadounidense. Promulgada en 1966 por el presidente Lyndon Johnson, permite a los ciudadanos americanos acceder a los registros de las agencias  federales (salvo en una serie de excepciones) en un intento por acercarse a un modelo más abierto de gobierno.

[Read more…]

Retomamos la serie sobre Suricata que iniciamos hace unos meses con dos entradas la presentación de sus principales características y la exposición de algunas de sus funcionalidades de detección de protocolos y extracción de registros adicionales.

En el final de la entrada anterior nos quedamos con un IDS que además de detectar nos ofrecía multitud de registros adicionales de muchos tipos diferentes.

Tanta cantidad de información puede desbordar a cualquier equipo de trabajo que intente procesarla, pero por suerte Suricata también proporciona una forma de unificar toda la información que puede generar para que nos sea más fácil de digerir. Esta forma unificada se llama Extensible Event Format (EVE) y utiliza el formato JSON para presentarnos toda la información disponible.

[Read more…]

Sí, de por vida, como las bodas, hasta que la muerte nos separe. Bueno, o más, porque para parar los matrimonios están los divorcios, pero aquí sólo nos quedaría eliminarle, acabar con él y sacarlo definitivamente de nuestra vida y de nuestro móvil. Aunque dudo mucho que alguien quiera hacerlo, porque desde que nació el 24 de febrero de 2009 nos ha conquistado y muchos de nosotros ya no sabemos vivir sin él. Por si no han caído con el título, hablo de WhatsApp.

El 24 de febrero de 2009 nacía WhatsApp como empresa y producto. Al principio fue una aplicación de pago para la gente de iPhone y gratuita para la gente de Android. Años después los usuarios de iPhone dejaron de pagar y los de Android empezamos a pagar. La cantidad era la friolera cifra de 0.89€/año por persona que hizo que mucha gente se escandalizará; ¿cómo pagar 89 céntimos por una aplicación que uso todos los días por lo menos 10 veces? ¿Qué es eso? Pero bueno, éste es otro tema que generó una gran polémica en 2013.

[Read more…]

El pasado día 16 de Enero, @breenmachine hizo público un POC para realizar una elevación de privilegios en sistemas y servidores Windows 7 y Server 2008 respectivamente en adelante. El ataque está basado en otra idea original del equipo Google Project Zero. Esta escalada de privilegios se consigue aprovechando varios errores de diseño anteriormente conocidos de los protocolos NTLM, NBNS, SMB y WPAD.

Básicamente, el ataque se divide en las siguientes fases:

[Read more…]

Malcom (Malware Communication Analyzer) es una herramienta que uso desde hace tiempo y que, a pesar de estar muy bien documentada en diferentes sitios, he creído conveniente dedicarle una entrada a raíz de sus últimas actualizaciones ya que ha ganado en estabilidad y consistencia.

Su objetivo es  principalmente analizar las conexiones en el tráfico de red de forma gráfica a la vez que cruza datos con fuentes (feeds) de malware públicas o privadas para identificar rápidamente los nodos maliciosos (por ejemplo servidores de C&C); cómo el malware intenta comunicarse con ellos para analizar posibles patrones de comportamiento, entender redes P2P u observar infraestructuras de tipo DNS Fast-Flux.

[Read more…]