viernes, 26 de marzo de 2010

¡Superadas las 200 descargas de Anubis!

image

Buenas a todos, ya hemos superado las 200 descargas de Anubis!, gracias a todos los que os habéis descargado la herramienta, espero que cumpla todas vuestras expectativas y podáis sacarle el mejor partido posible a sus utilidades.

Desde este post os adelanto como ya he ido insinuando en anteriores, que dentro de mes y medio tendréis disponible la versión definitiva de Anubis, y desde ese mismo momento nos pondremos manos a la obra para desarrollar Anubis II.

Anubis II mantendrá las utilidades de Anubis I, pero irá mas orientada al lanzamiento de ataques, para seguir apoyando las fases Plan y Check del Ciclo de Deming en las labores de implantación de la ISO/IEC 27001.

Ahora andamos estudiando el diseño global de Anubis II y estamos barajando una posibilidad muy interesante, no os puedo adelantar mas datos por el momento, pero os prometo que os gustará muchio, por ahora podéis disfrutar de la beta Anubis b0.94.

Saludos!!

miércoles, 24 de marzo de 2010

¡¡ANUBIS b0.94 PUBLICADO!!

imageBuenas a todos, acabo de publicar en mi web la beta 0.94 de Anubis, la que será, si todo va bien, la última beta antes de la versión final de la herramienta.

En esta versión de Anubis disfrutaréis de muchas novedades. Se mantienen todas las funcionalidades anteriores que poseía, solucionando algunos errores de estabilidad en algunas herramientas y añade numerosas funcionalidades que paso a contaros:

INTEGRACIÓN CON XML

A partir de ahora podréis guardar los mapas de red generados con Anubis (incluyendo IP, Sistema Operativo y Tipo de Maquina) en XML para exportarlos, tratarlos con otros programas, o cargarlos en Anubis posteriormente, por lo que ya no perderéis los datos de una auditoría tras cerrar el programa.

MEJORAS DE USABILIDAD

Otra novedad importante que poseerá Anubis será la mejora en la usabilidad de la pestaña Summary, desde la que contaremos con un buscador de máquinas e IP para facilitar la búsqueda de máquinas cuando la lista aumente de tamaño considerablemente. Además integrará los arboles de dominios con la tabla de máquinas, para que cuando se seleccione una máquina en el árbol, se seleccione inmediatamente dicha máquina en la tabla Summary para poder lanzar nuevos ataques. Finalmente se ha incluido un árbol de direcciones IP con la misma funcionalidad de selección que el árbol del dominio.

BÚSQUEDA AUTOMÁTICA DE VERSIONES DE SERVIDOR Y SISTEMAS OPERATIVOS

Una de las novedades mas importantes y que mas agradeceréis es la automatización de la búsqueda de Sistemas Operativos a partir de un dominio o subdominio. Ahora una vez que tengáis una lista de máquinas buscadas en la tabla summary, con pulsar un solo botón, Anubis realizará un Banner Attack contra todas las máquinas de la lista, buscando sus sistemas operativos y modelos de servidor y actualizando dicha información en la propia tabla summary.

MEJORAS EN LA INTERFACE

He rediseñado la interface de la herramienta, haciéndola algo mas intuitiva asemejándola un poco a los software que estamos acostumbrados a utilizar con las pestañas superiores.

NUEVOS IDIOMAS

Con respecto a los idiomas, Anubis cuenta ya con los idiomas Español e Inglés integrados, y estoy trabajando para tener en la versión final, aunque en esta beta no he tenido tiempo, los idiomas Árabe y Francés.

image

Cuando os descarguéis la herramienta veréis que he modificado alguna cosa mas, pero de poca importancia que iréis descubriendo poco a poco.

La nueva versión de Anubis la podéis bajar desde aquí:

http://elblogdecalles.es/anubis.html

También he actualizado el Manual de Usuario con las novedades que os acabo de comentar:

http://elblogdecalles.es/descargas/manual_anubis.pdf

Al igual que habéis ido haciendo muchos usuarios hasta ahora, si veis algún error o queréis proponerme alguna mejora, dejadme un comentario por favor o enviadme un correo.

Hasta ahora llevamos 184 descargas de Anubis, espero que pronto superemos las 200 :)

Disfrutad de la herramienta, saludos!

martes, 23 de marzo de 2010

Menos requisitos para Windows XP Mode en Windows 7

Windows-7-XP-mode[1]

Buenas a todos, como sabéis Windows XP Mode es una de las herramienta que integra Windows 7 a partir de la versión Professional y que sirve para virtualizar las aplicaciones que utilizábamos anteriormente en nuestro Windows XP pero que son incompatibles con Windows 7.

Durante los últimos meses, algunos usuarios han tenido problemas al utilizar Windows XP Mode por incompatibilidades con el Hardware de sus equipos.

Estos problemas a partir de ahora dejarán de ocurrir ya que Microsoft ha logrado a nivel de BIOS eliminar las limitaciones de la virtualización del hardware, tal y como anunció la semana pasada Gavriella Schuster, Mánager General de Windows Commercial Product Management.

Los usuarios no necesitarán realizar ninguna instalación adicional para disfrutar de esta revisión de la aplicación XP Mode, comentó Gavriella a la prensa. Por lo que si teníais algún inconveniente durante la virtualización por problemas de Hardware ya puedes probar de nuevo a utilizar tus programas de XP.

saludos!

Nueva Actualización de Anubis a finales de semana

anubis Buenas a todos!, el jueves o el viernes publicaré la tercera actualización de la beta del proyecto Anubis, y la que será, si todo sigue su curso, la última beta publicada antes de la versión final.

Esta beta tiene como novedades la integración con XML, a partir de ahora podréis guardar los mapas de red generados con Anubis (incluyendo IP, Sistema Operativo y Tipo de Maquina) en XML para exportarlos, tratarlos con otros programas, o cargarlos en Anubis posteriormente, por lo que ya no perderéis los datos de una auditoría tras cerrar el programa.

Otra novedad importante que poseerá Anubis será la mejora en la usabilidad de la pestaña Summary, desde la que contaremos con un buscador de máquinas e IP, además de la integración de los arboles de dominios con la tabla de máquinas y de la inclusión de un árbol de direcciones IP.

Una de las novedades mas importantes y que agradeceréis es la automatización de la búsqueda de Sistemas Operativos a partir de un dominio o subdominio. Ahora una vez que tengáis una lista de máquinas buscadas en la tabla summary, con pulsar un solo botón, Anubis realizará un Banner Attack contra todas las máquinas de la lista, buscando sus sistemas operativos y modelos de servidor y actualizando dicha información en la propia tabla summary.

Con respecto a los idiomas, Anubis cuenta ya con los idiomas Español e Inglés integrados, y estoy trabajando para tener los idiomas Árabe y Francés para esta beta, sino me diera tiempo los llevará la versión final.

Finalmente he solucionado algunos problemas de estabilidad en algunas de las herramientas como Google Sets y 404 Attack.

Os recomiendo bajaros esta beta, que soluciona errores anteriores y posee novedades bastante chulas :-), cuando la cuelgue pondré un post en el blog.

Disfrutadla, un saludo!

sábado, 20 de marzo de 2010

Security Module (Parte I)

Buenas a todos, hace unos días, en el post sobre los 25 errores de programación mas peligrosos, os comentaba que andaba desarrollando un pequeño módulo para IIS7 e IIS7.5, los servidores web de Vista, 7, 2008 y 2008 R2. Con este módulo trato de mitigar los problemas causados por la mala programación de las aplicaciones web, en concreto, en las vulnerabilidades en el acceso a las BBDD, que permiten que los usuarios puedan inyectar entre otras cosas código SQL en determinados campos de una página web.

Es muy común que algunos desarrolladores no tengan en cuenta la seguridad a la hora de diseñar sus proyectos. Además la revisión y solución de errores de las aplicaciones desarrolladas tras la implantación en la organización puede suponer un alto coste, sobretodo si la cantidad de software inseguro es muy grande. Por ello os proponía el otro día la idea de desarrollar un módulo, en este caso para el servidor web antes comentado y la base de datos SQL Server, con el que realizaría una protección en los accesos a la base de datos, evitando que las inyecciones de código maliciosas lleguen a la Base de Datos.

Para probar el módulo he desarrollado un servicio web, en el que el usuario podrá acceder a un pequeño Excel online, y podrá guardar datos en el y recuperarlos cuando desee.

El sistema podría haberlo simulado con otras tecnología, como Apache, Mysql , etc., ya que IIS7 en adelante y SQL Server son bastante mas seguros que estos y poseen numerosas alternativas ya desarrolladas para securizarlos aún mas, pero he utilizado las de Microsoft porque son con las que mas me manejo, y porque las posibilidades que ofrece la programación de un módulo para IIS, son impresionantes.

En el siguiente gráfico os enseño como sería el proceso de autenticación para acceder al servicio web Excel:

grafico

Como veis, en la primera imagen el usuario se autentica con sus datos para acceder al servicio web, estos datos son enviados a la base de datos, donde se encuentra la tabla de usuarios y contraseñas admitidos, y devuelve al servicio web la respuesta de si tiene acceso al servicio o no.

En la segunda imagen ocurre lo mismo, pero el usuario se ha colado en el sistema utilizando una inyección de código, aprovechándose de una sentencia SELECT mal programada (no parametrizada) en un procedimiento almacenado de la base datos.

En la tercera imagen, se muestra como debería funcionar el módulo, que trataría de frenar la petición del usuario en el servidor web, sin interaccionar nada con la base de datos para protegerla.

En la siguiente gráfica os muestro con mucho mas detalle el sistema que estoy desarrollando.

En primer lugar tenemos al usuario que realiza una petición al servidor web para utilizar un servicio.

En segundo lugar tenemos el servidor web del que cuelgan tres elementos, el servicio web, que será un mini-excel, el “security module”, que será un modulo para IIS7 e IIS7.5 que filtrará todas las queries que contengan las inyecciones SQL que aparezcan en el tercer elemento del servidor web, un Metaservicio XML donde se encontrará un listado actualizado de las posibles queries que podrá lanzar un usuario contra la BBDD.

Finalmente contaremos con la Base de Datos, donde habrá una tabla con los usuarios y contraseñas admitidos en el sistema y una tabla para cada usuario donde se almacenan los datos del Excel.

Diagrama security module

Como se puede intuir, la seguridad del sistema la proporcionará la riqueza de los ejemplos de inyecciones contenidos en el Metaservicio XML, por ello está siendo implementado como un Servicio aparte y no en el propio “Security Module”, para que pueda ser actualizado individualmente por una organización experta y en cualquier momento sin modificar el funcionamiento del modulo.

En próximos post os iré contando mas cosas sobre el proyecto.

Saludos!

jueves, 18 de marzo de 2010

Comienza la Rooted CON 2010 en Madrid

rootedcon[1] Buenas a todos!, supongo que seréis muchos los que como yo, teníais compromisos y no podréis acercaros a la Rooted CON de este año en Madrid. La verdad que promete mucho, sobretodo por la gente que va a impartir charlas, entre los que se encuentran gran parte de los grandes del sector de la seguridad. Yo al menos me tendré que conformar con “seguirla por la radio” :(, pero para los demás, podéis ver aquí el horario definitivo de las charlas: http://www.rootedcon.es/rooted-con-2010/horario.html

Si me dejasen ir a una de las charlas, me sería difícil decidirme, ya que todas prometen mucho, pero creo que me decantaría por la de Rubén Santamarta, "Liberando un 0day en la Rooted Con".

A los que vayáis… disfrutadlo y postear todo lo vivido en vuestros blogs!, saludos!

 

JORNADA I - Jueves 18 de Marzo 2010

08:30 - 09:30
Registro Día I

09:30 - 10:00
Recepción Mañana

10:00 - 10:20
Apertura Rooted CON 2010

10:30 - 10:50
Telefónica

11:00 - 11:20
Jaime Blasco
"Fighting Advanced Persistent Threat (APT) with Open Source Tools"

11:30 - 11:50
Gianluca D'Antonio
"¿Están preparadas las grandes empresas a los desafíos de la Sociedad de la Información?"

11:50 - 12:30
DESCANSO

12:30 - 12:50
Alberto Corsín
"Geeks and Economics"

13:00 - 13:50
Pedro Sánchez || Eduardo Abril
"Autopsia de una intrusión: A la sombra del chacal"

13:50 - 15:30
DESCANSO

15:30 - 16:00
Recepción Tarde

16:00 - 16:50
Alejandro Ramos
"Operación Triunfo Profesional"

17:00 - 17:50
Juan Carlos Ruiloba
"UnderCrime: (D&V) Multitécnicas AntiForensic : abramos la Jaula de Faraday"

17:50 - 19:20
{RootedPanel} - "Nuevo código penal - 2010"
Javier Rivas, Carlos Almeida
Carlos Alberto Sáiz, Francisco Marco
MODERA: Román Ramírez

19:20 - 19:30
Cierre Día I

JORNADA II - Viernes 19 de Marzo 2010

08:30 - 09:30
Registro Día II

09:30 - 10:00
Recepción Mañana

10:00 - 10:50
Javier Medina || Antonio Lopez
"FuckWALL"
(Arranque CTF en sala anexa)

11:00 - 11:20
CCN-CERT
"CCN-CERT, respuesta a incidentes para la administración pública"

11:30 - 11:50
Antonio Ramos
"La seguridad como sistema: Factores limitantes y evolución en el tiempo"

11:50 - 12:30
DESCANSO

12:30 - 12:50
Sergio González
"WifiSlax 4.0"

13:00 - 13:50
Rubén Santamarta
"Liberando un 0day en la Rooted Con"

13:50 - 15:30
DESCANSO

15:30 - 16:00
Recepción Tarde

16:00 - 16:50
Sergi Alvarez Capilla || Roi Martin
"Radare2 Preview"

17:00 - 17:50
Joxean Koret
"Hackproofing Oracle Financials 11i & R12"

18:00 - 19:20
{RootedPanel} - "Hackers Históricos"
MODERA: Security By Default

19:20 - 19:30
Cierre Día II

JORNADA III - Sábado 20 de Marzo 2010

08:30 - 09:30
Registro Día III

09:30 - 10:00
Recepción Mañana

10:00 - 10:50
Javier Moreno || Eloi Sanfélix
"Seguridad y explotación nativa en Android"

11:00 - 11:50
David Reguera García
"New w32 hooking skills"

11:50 - 12:30
DESCANSO

12:30 - 12:50
David López López
"Hackers, encerrados en la viñeta"

13:00 - 13:50
David Barroso
"iPhone + Botnets = FUN

13:50 - 15:30
DESCANSO

15:30 - 16:00
Recepción Tarde

16:00 - 16:50
Chema Alonso
"Presentación de la FOCA v2.0"

17:00 - 17:20
Alfonso Muñoz Muñoz
"Generating Spanish Stegotext for fun and profit"

17:30 - 18:20
Fermín J. Serna
Información no disponible

18:20 - 18:30
Entrega de premios CTF
Clausura Rooted CON 2010

martes, 16 de marzo de 2010

Nueva actualización de Anubis en próximos días

Buenas a todos!, las últimas semanas he estado poniendo las pilas al proyecto Anubis, y le he añadido mejoras de usabilidad que os resultarán muy útiles durante las auditorías. Una de las nuevas características que destacan es la posibilidad de partiendo de la lista de maquinas almacenadas en la tabla Summary, dándole a un solo botón, buscará los sistemas operativos y tipo de servidor de las máquinas analizando el Banner, y actualizará la información en la tabla, así que ya no necesitaréis ir máquina por máquina lanzando el Banner Attack, como podéis ver en la siguiente captura:

1

Por otro lado he incluido un buscador, ya que cuando la tabla se llena con miles de máquinas, algo bastante habitual, era muy pesado andar buscando determinada máquina, por lo que con el buscador por IP o por Máquina, podréis encontrar en un momento la máquina que deseis.

Finalmente he añadido un árbol de IP's, además del árbol de dominio, y si pulsáis sobre una máquina o IP se os seleccionará la fila de la tabla Summary donde se encuentra, muy útil para lanzar determinado ataque sobre cierto rango de IP, etc.

2

En definitiva he intentado mejorar la usabilidad, elementos que se agradecerán tras muchas horas usando la herramienta.

El resto de novedades os las iré desgranando poco a poco :)

saludos!!

El Futuro de la informática, por Steve Ballmer

Corría el año 2006 cuando Bill Gates en una de sus conferencias ponía fecha de caducidad a la interacción humano-PC tal y como hoy la conocemos, con ratón y teclado. En ella predecía el futuro de la interacción con la informática a través de instrucciones verbales, una de las opciones que ya incorpora Windows 7, mediante el tacto, refiriéndose a las pantallas táctiles que ya pueblan el mundo desde los tiempos de Vista y sobretodo con gestos, como ya demuestra el proyecto Natal para la XBOX 360 que a finales de año saldrá al mercado.Bill%20Gates%20se%20despide[1]

El propio Bill Gates en una de sus frases decía: "Todo pupitre, toda mesa de dirección deberá tener  incorporado ese tipo de tecnología", y parece ser que el futuro será así.

Comentaba en la conferencia que en los próximos 10 años estas tecnologías se integrarían y avanzarían de una manera mucho mas veloz que hasta ahora.

Cuatro años mas tarde, Steve Ballmer ha tomado el relevo, tras 10 años al frente de la compañía, y ha sido el encargado de hablar sobre el futuro de la informática en representación de Microsoft.

Ballmer ha anunciado que será natural el uso de una plataforma virtual que unirá radio, televisión e internet y que veremos innovaciones fantásticas. En una entrevista con la BBC comentó: “En primer lugar está la manera en que la gente va a interactuar entre sí, con información, con tecnología. Se va a volver más natural”,

steveballmer1_1218688c[2]Volvió a recordar las palabras de Bill Gates cuatro años después: “Las innovaciones más importantes girarán en torno a este tópico de hacer una interfaz más natural“, una interfaz que se manejaría por gestos, voz y con el tacto.

Por otro lado, Ballmer habló de la tecnología que está hoy en día en boca de todos, el Cloud Computing. En los últimos días líderes de diversas compañías han hablado sobre este tema, unos con mas acierto que otros.

Ballmer continúo diciendo que la Nube, va a ser el conductor clave del futuro, sin duda alguna, y que el mundo de la información y la comunicación se integrará en una única plataforma, en la que solo sea necesario utilizar tecnología con acceso a internet, sin necesidad de la instalación de herramientas cliente. Internet se convertirá en el centro de nuestra vida cotidiana, en la Nube, en la que se integrará casi todo, televisión, radio, voz (teléfono), gracias a programas mas inteligentes e interactivos.

Desde mi humilde opinión creo que el futuro es ya casi un presente, y comienza a ser habitual ver en algunos colegios y universidades pizarras inteligentes, por otro lado los ordenadores táctiles han bajado de precio y comienzan a ser mas accesibles para todos los públicos, también cada vez se utiliza mas la telefonía VOIP y dentro de poco podremos manejar un sistema de entretenimiento solo con nuestros gestos, el proyecto natal en la XBOX 360, el futuro ya casi le tenemos aquí =)

saludos!

lunes, 15 de marzo de 2010

Traductores voluntarios para Anubis

Buenas a todos, como comenté en el post del Viernes gracias a las peticiones de los usuarios Anubis va a ser traducido a varios idiomas, para ello agradezco la colaboración que podáis aportar al proyecto traduciendo los textos de la herramienta a los idiomas que conozcáis. De momento ya me he encargado de los idiomas inglés y español, me gustaría dominar mas idiomas pero ya con el inglés solo me las veo y deseo =). Si queréis participar en la etapa de traducción, deberéis bajaros el siguiente txt, y mandarme en un fichero que lleve por nombre el idioma al que lo hayáis traducido y que no sea ni inglés ni español al correo juanantonio.calles@gmail.com:

http://elblogdecalles.es/descargas/Traduccion.txt

gracias a todos, un saludo!

domingo, 14 de marzo de 2010

Los 25 errores de programación mas peligrosos + Posible Panacea

La segunda semana de 2009 se celebró en Washington D.C. una convección de seguridad en la que se presentó un documento elaborado por SANS y MITRE en la que se analizaban los 25 errores de programación mas peligrosos que solían cometer los desarrolladores.

Este año han actualizado esta lista de vulnerabilidades entre las que se encuentran las conocidas SQL Injection (segundas en la lista), XSS (a la cabeza de la lista), PHP File Inclusion (la 13 en la lista), etc. La verdad este documento da que pensar en que en muchas ocasiones se sigue sin tener en cuenta la seguridad a la hora de desarrollar las aplicaciones. Este documento es una buena recomendación aunque solo sea para comenzar a concienciar a los desarrolladores.

En mi web os he colgado los documentos del 2009 y del 2010 para que podáis comparar la lista del año pasado con la de este, podéis bajároslas desde aquí:

http://elblogdecalles.es/estandares.html

A raíz de este documento he comenzado a desarrollar un entorno de ataque y de securización como proyecto para la asignatura de Arquitecturas de Servicios de Software. En ella estoy programando un servicio web muy parecido a Google Docs, en la que un usuario podrá utilizar un pequeño Excel y almacenar su contenido en una BBDD. Para ello solo necesitará un navegador web como cliente. Este servicio requerirá para entrar pasar un login. El sistema contará con dos usuarios que podrán acceder y utilizar el servicio, un usuario llamado Admin, y un usuario llamado jacalles, con sus credenciales almacenadas en la misma base de datos que la información almacenada del Excel.

Todo el sistema lo estoy programando con vulnerabilidades de SQL Injection, por lo que podremos saltarnos el campo de login inicial y entrar en el servicio con cualquiera de los dos usuarios. Además, desde el propio servicio podremos inyectar queries, con las que podremos entre otras cosas, eliminar la BBDD o generarnos una Shell Remota.

Tras conseguir simular el problema en el que se encuentran aún numerosos servicios web y aplicaciones en general, llega la hora de preguntarse ¿Es necesario modificar el código de estas aplicaciones para tener un sistema seguro?. Hay dos respuestas posibles SI y NO.

Si, ya que las consultas a la BBDD deberían haberse hecho parametrizando las consultas para que las queries inyectadas no se ejecutasen como código y solo fuesen interpretadas como texto, como siempre predica mi amigo Alekuxu en todos los cursos y charlas que imparte. Pero también hay una posible NO, y esa va a ser la que aplique en este proyecto.

La respuesta NO, se tiene en cuenta en el caso de seamos una organización con una gran cantidad de aplicaciones y nos cueste una gran inversión modificar el código de todas estas aplicaciones para securizarlas, es en este caso cuando buscaremos una panacea que nos solucione todas las aplicaciones de golpe.

Una posible panacea y es la que voy a proponer, en este caso para las empresas usuarias de Microsoft Server 2008 o 2008 R2 y IIS 7.0 o 7.5, es la inclusión de un nuevo módulo en el servidor que permita filtrar las peticiones al servidor que tengan de regalo una bonita inyección de código. Para ello, desde el propio módulo, que será un programa mas al fin y al cabo, se buscaría patrones de posibles códigos que pueden formar parte de una inyección en las peticiones que envíe un cliente al servidor y se rechazarán devolviendo un mensaje de error detallado, en el que le comentemos que le hemos cazado =).

Para este proyecto yo me voy a centrar únicamente en la detección de SQL Inyection, que es la única vulnerabilidad que he incluido (al menos que me haya dado cuenta =) ) en el servicio web que estoy desarrollando.

La programación del módulo para el Servidor IIS DE MS Server 2008 es una tarea algo compleja, pero que espero os sea un poco menos con los post que escribí hace unos meses sobre desarrollo de aplicaciones para IIS7:

Programación de módulos para IIS7 (I de IV)
Programación de módulos para IIS7 (II de IV)
Programación de módulos para IIS7 (III de IV)

Os iré comentando en próximos post como va avanzando el proyecto e incluso intentaré colgar las partes mas importantes para que lo simuléis vosotros y podáis trastear con él. De momento os dejo con una captura del login al sistema ;)

Dibujo

saludos!

Clauzcompiutin en NUESTRA red abierta, por César Alierta

Buenas a todos, acabo de ver el video en el blog de Chema y la verdad que no podía dejar de enseñároslo. Ya seáis informáticos a los que os rechine la definición de clauzcompiutin de este señor, o las mil veces que repite “nuestra red” a la red que privatizaron y monopolizaron del Estado Español, usuarios que disfrutéis de 1MB de timofonica a 30€, etc, disfrutaréis con la gran cantidad de memeces que suelta César Alierta en esta comparecencia en la que parece que se había metido un lingotazo antes de salir:

 

 

saludos!

viernes, 12 de marzo de 2010

Anubis multi-idioma

banderas[1]

Buenos días a todos, hoy un usuario que ha probado Anubis me ha pedido desde Venezuela que saque una versión de la herramienta en español.  Es algo que llevo pensando desde hace algún tiempo y ando liando a algunos amiguetes de diversas partes del mundo para que me la traduzcan en su idioma nativo. Además, Anubis está siendo linkada en foros turcos, rusos y de diversas partes del mundo.

De momento os puedo confirmar que Anubis I, la versión final que verá la luz en Mayo, contará con los idiomas inglés, francés y español. Y está por confirmar, aunque intentaré que así sea, que lleve esta versión también los idiomas árabe y chino. Si algún usuario estuviese dispuesto a traducir la herramienta a algún otro idioma, para mi sería un placer pasarle un fichero con los textos de la herramienta y que los tradujese para incorporarlos =)

saludos!

jueves, 11 de marzo de 2010

Triple Ataque: Windows 7 + Office + PC con un 40% de descuento

image

 

Buenas a todos!, desde la página web: http://www.microsoft.com/spain/triplemomento/default.aspx, Microsoft ofrece a los dueños de tiendas de informática la posibilidad de ofrecer a todos sus clientes que adquieran un PC nuevo, un combo Microsoft. El combo se compone del Sistema Operativo Windows 7 y de Office 2007. Si se adquieren ambos productos el cliente se llevará ambos software con un descuento de hasta el 40%, una gran oferta que muchas tiendas no han dudado en aprovechar ya.

Si eres mayorista y aún no conocías esta oferta, desde el link mostrado al principio del post puedes ver las condiciones de la oferta.

Esta campaña lanzada por Microsoft pretende promocionar su nuevo Sistema Operativo, y la adquisición de software original. Además, los compradores de Office 2007 podrán actualizar a Office 2010 de forma totalmente gratuita si lo adquieren entre Abril y Marzo de este mismo año.

saludos!

Superadas las 150 descargas de Anubis b0.82

Buenas a todos, parece ser que Anubis va teniendo muy buena acogida, he podido contar mas de una decena de foros sobre seguridad y hacking donde la han posteado alguno de sus usuarios, incluyendo sitios de habla no hispana y parece que está gustando bastante.

Acabamos de superar las 150 descargas y esperamos pronto duplicarlas.

En la actualidad estoy trabajando en la versión b0.83, que intentaré tener operativa a final de mes. Por el momento estoy algo liado con la Universidad y algunos asuntos personales, pero intentaré tener disponible lo mas pronto posible la actualización b0.83, en la que contaréis entre otros elementos con un automatizador de escaneos. En próximos post os iré contando mas, por ahora, si no lo habéis hecho aún, podéis descargaros la Beta b0.82 de Anubis desde aquí:

http://elblogdecalles.es/anubis.html

saludos!

miércoles, 10 de marzo de 2010

OWASP, Open Web Application Security Project

image

El proyecto OWASP, Proyecto de seguridad de aplicaciones web abiertas, es un proyecto libre dedicado a determinar los factores que hacen que un software sea inseguro.

La comunidad OWASP es una organización sin ánimo de lucro dedicada a la seguridad informática. Entre sus principales labores destaca la redacción de artículos, metodologías, herramientas, documentación y tecnologías que liberan a la comunidad.

Su proyecto más importante es la Guía OWASP, un gran documento que proporciona una guía detallada sobre la seguridad en las aplicaciones web.

También han desarrollado la OWASP Top 10, una lista con las diez vulnerabilidades más críticas que se dan en las aplicaciones web. Además redactaron ISO 17799, un documento de apoyo para las Auditorías de Implantación de la ISO/IEC 27002 también conocida como ISO/IEC 17799.

La guía OWASP y el documento OWASP Top 10 pueden ser de especial utilidad en los procesos de Auditoría de Caja Negra y Test de Intrusión.

Desde el siguiente link de mi web podéis descargaros la guía OWASP:

http://elblogdecalles.es/estandares.html

Disfrutadla, saludos!

martes, 9 de marzo de 2010

Courier, el ebook de Microsoft

El segundo semestre de este mismo año Microsoft podría lanzar su propio e-book. Os copio la noticia directamente que acabo de leer en la web de El Mundo:

 

courier470[1]

Este año parece que será el de las tabletas. A la llegada del iPad se podría sumar para el segundo semestre el lanzamiento de Courier por parte de Microsoft. Engadget ha tenido acceso a información, vídeos y fotografías del nuevo proyecto de la empresa dirigida por Steve Ballmer.

Tiene un diseño que podría ser definido como de "diario electrónico" -parecido al de una libreta Moleskine- y doble pantalla. Lo más sorprendente, según el portal tecnológico, es su pequeño tamaño. Cerrada mide aproximadamente unos 12,7x17,8 centímetros -5x7 pulgadas- y su peso es de unos 500 gramos.

Será un aparato enfocado a la movilidad y con el mismo sistema operativo que Zune HD, siempre según las fuentes citadas por Engadget. El interfaz está basado principalmente en el uso de un lápiz y en el reconocimiento de la escritura manual, tal y como se puede ver en los vídeos.

Según Engadget, el aparato tendrá cámara y será también la principal apuesta de Microsoft como libro electrónico. De lo que no se sabe nada aún es del posible precio del dispositivo. En definitiva, dura competencia para el iPad.

El video en el que muestran como funcionará es impresionante:

 

FUENTE: http://www.elmundo.es/blogs/elmundo/aypad/2010/03/09/microsoft-contraataca-con-una-moleskine.html

Matilda, la musa de la URJC

Buenas a todos!, voy a hacer un poco de propaganda vil y rastrera :-) y mostraros a Matilda, la musa de la semana cultural de la Universidad Rey Juan Carlos, a la que Matzino y yo pasearemos por el campus durante los próximos días haciéndola fotos con tod@s los que se dejen (mas todas que todos :P), iremos colgando las fotos para que las veáis :). Disfrutadlas!

picture

saludos!

OSSTMM: Manual de la Metodología Abierta de Testeo de Seguridad

La guía OSSTMM, Manual de la Metodología Abierta de Testeo de Seguridad [x], es una metodología que describe las pruebas y métricas realizadas durante los procesos de Auditoría de Seguridad. Desarrollada por más de 150 profesionales del sector de la seguridad, supone un referente para cualquier administrador de una organización y para cualquier auditor dedicado a la materia de seguridad.

image

La guía OSSTMM se encuentra en constante evolución, encontrándose actualmente por la versión 3, que se puede adquirir desde la página oficial: http://www.isecom.org/osstmm/

Los casos de prueba explicados en la OSSTMM son los siguientes:

1. Seguridad de la Información

2. Seguridad de los Procesos

3. Seguridad en las tecnologías de Internet

4. Seguridad en las Comunicaciones

5. Seguridad Inalámbrica

6. Seguridad Física

La guía OSSTMM se diferencia frente a la norma ISO/IEC 27001 de la serie ISO/IEC 27000 (ya comentada en el post: http://elblogdecalles.blogspot.com/2010/02/serie-isoiec-27000-isoiec-27001-parte.html)  en que ésta primera se centra en los detalles técnicos de los elementos que deben ser probados, incidiendo en que hacer antes, durante y después de una prueba de seguridad con sus posteriores medidas de resultados, mientras que la ISO/IEC 27001 no utiliza metodologías concretas, es decir, no incide en explicar que herramienta se debe utilizar para analizar una determinada vulnerabilidad en el sistema, sino que se abstrae de esa tarea dejándosela al auditor y se centra en explicar cómo debe estar diseñado un SGSI, como debe implantarse y como debe evaluarse.

Tanto la norma ISO/IEC 27001 como la guía OSSTMM no son sustituibles una a la otra, y es recomendable la fusión de ambas durante la implantación, evaluación y mantenimiento de un SGSI.

En el próximo post trataremos la Guía OWASP para completar así con los post sobre la serie ISO/IEC 27000 y OSSTMM, con las normas y guías de buenas prácticas mas importantes en las auditorías de seguridad informática.

lunes, 8 de marzo de 2010

Serie ISO/IEC 27000: ISO/IEC 27799:2008 (Parte VIII de IX)

La norma ISO/IEC 27799:2008 fue publicada el 12 de Junio de 2008.

enfermeria11[1]Esta norma proporciona directrices para la aplicación de la ISO/IEC 27002 en el sector sanitario, para colaborar en la seguridad de la información de los datos de salud de los pacientes.

Desde el 20 de Enero de 2010, esta norma está publicada en España como UNE-ISO/IEC 27799:2010 y puede adquirirse por internet en la página web de la Asociación Española de Normalización y Acreditación, AENOR.

Futuras normas de la serie ISO/IEC 27000

En la actualidad se encuentran en fase de desarrollo las siguientes normas de la serie ISO/IEC 27000:

    • ISO/IEC 27007
    • ISO/IEC 27008
    • ISO/IEC 27010
    • ISO/IEC 27011
    • ISO/IEC 27012
    • ISO/IEC 27013
    • ISO/IEC 27014
    • ISO/IEC 27015
    • ISO/IEC 27031
    • ISO/IEC 27032
    • ISO/IEC 27033
    • ISO/IEC 27034
    • ISO/IEC 27035
    • ISO/IEC 27036
    • ISO/IEC 27037

Tenéis mas información sobre ellas  en castellano en la web:

http://www.iso27000.es/iso27000.html#section3b

domingo, 7 de marzo de 2010

Se han superado los 90 millones de copias vendidas de Windows 7

windows7 copyCon cifras impresionantes ha arrancado el nuevo Windows 7, si en un solo mes Microsoft logró vender 30 millones de copias de su último sistema operativo, en lo que lleva en el mercado ya ha superado los 90 millones de copias, según anunció hace unos días el presidente financiero de Microsoft, Peter Klein.

Microsoft a pesar de los buenos números de ventas indicó que se espera una gran subida de ventas en lo que queda del primer semestre del año, para posteriormente bajar en el segundo semestre.

Por otro lado se han confirmado los precios de Office 2010, que saldrá al mercado el próximo mes de Junio.

  • Home and Student: $149 dólares y $119 la clave de activación.
  • Home and Bussines: $279 y $199 la clave de activación.
  • Professional: $499 y $349 la clave de activación.
  • Professional Academic: $99.

La clave de activación es para las versiones que vienen preinstaladas en Windows, por lo que de tener un Windows nuevo, solo necesitaríais si tenéis preinstalado Office 2010 la clave de activación.

Las versiones de activación podrán ser usadas en un PC, el resto de versiones podrán ser usadas en 2 ordenadores excepto las licencias Home and Student que podrán ser usadas en 3 ordenadores.

Las instituciones académicas contarán como es habitual con una versión mas económica a $99.

viernes, 5 de marzo de 2010

Serie ISO/IEC 27000: ISO/IEC 27006:2007 (Parte VII de IX)

Prosiguiendo con la cadena de posts sobre la serie 27000 hoy continuamos con la norma ISO/IEC 27006:2007.

iso_iec[1]La norma ISO/IEC 27006:2007 fue publicada el 1 de Marzo de 2007. Esta norma especifica los requisitos para la acreditación de entidades de auditoría y certificación de SGSI.

Es utilizada en conjunto con la norma ISO/IEC 17021 a la que añade los requisitos específicos relacionados con ISO/IEC 27001 y los SGSI. Es decir, no es una norma de acreditación por sí misma, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO/IEC 27001.

Gracias a esta norma la Entidad Nacional de Acreditación, ENAC, puede acreditar en España a los certificadores, garantizando de esta manera la eficiencia de los mismos y permitiendo que los certificadores emitan el sello de la ISO/IEC 27001 a las organizaciones que soliciten el proceso de certificación.

El próximo día finalizaremos las Normas de la Serie 27000 que hay publicadas hasta la actualidad con la ISO/IEC 27799:2008.

saludos!

jueves, 4 de marzo de 2010

Herramienta para Generar Marcas de Agua automáticamente

gma Buenas a todos, en mis colaboraciones con Ebuga, a menudo me toca generar imágenes con una pequeña marca de agua para indicar la procedencia de la imagen, cansado de hacerlas manualmente y como no me gustaban mucho las herramientas que existían y conocía decidí hacerme mi propia herramienta. Para ello consulté el genial post de Joel Neubeck en CodeProject (http://www.codeproject.com/KB/GDI-plus/watermark.aspx) donde cuenta como usar el tratamiento de imágenes en .Net y C# para la generación de marcas de agua. Tras estudiar el código, automatizar algunas cosas y darle una interfaz, el resultado fue el siguiente:

 

image

El funcionamiento es muy sencillo, en primer lugar introducís un texto que queréis que aparezca en la imagen, en caso de que no queráis introducir texto debéis dejar en blanco la casilla:

 

image

Ahora pulsáis sobre la opción “Seleccione una imagen” y elegís la imagen:

 

image

 

Ahora pulsáis sobre la opción “Seleccione una marca de agua” y seleccionáis en el equipo la imagen que será vuestra marca de agua:

 

image

 

Seleccionáis la posición donde irá la marca de agua:

    image

 

Finalmente pulsáis en “Generar”. El resultado lo podréis ver en la carpeta donde se encontraba la imagen inicial:

 

picture

La herramienta os la podéis descargar como Anubis gratuitamente desde mi página web en el siguiente link:

http://elblogdecalles.es/programas_propios.html

Disfrutadlo, un saludo!

Serie ISO/IEC 27000: ISO/IEC 27005 (Parte VI de IX)

Publicada en Junio del 2008 y titulada como: Information technology - Security techniques - Information security risk managemen, la ISO/IEC 27005 supone una guía para la gestión de riesgos en seguridad de la información basándose en principios de las normas anteriores de la Serie 27000.

Ésta norma sustituye las partes tercera y cuarta de la norma ISO TR 13335, Técnicas para la gestión de la seguridad IT y Selección de salvaguardas, respectivamente.

Se ha convertido en el principal arma para el desarrollo de las actividades de análisis y tratamiento de riesgos en un SGSI.

image(Imagen procedente de blog.segu-info.com.ar) 

Proporciona recomendaciones, métodos y técnicas de evaluación de riesgos en soporte de la ISO/IEC 27001, a la que amplía en el apartado 4.2.1, en el que se presenta el análisis de riesgos como la piedra angular de un SGSI.

Es determinante la ayuda que proporciona para quien desee profundizar en los procesos de gestión de riesgos de seguridad de la información.

Esta norma está relacionada con el British Standard BS 7799, parte 3.

miércoles, 3 de marzo de 2010

Serie ISO/IEC 27000: ISO/IEC 27004 (Parte V de IX)

La norma ISO/IEC 27004 se encarga de desarrollar los aspectos necesarios para poder medir el cumplimiento de la ISO/IEC 27001.

objetivos-y-fines-diana-de-eficiencia-energetica[2] Traducido textualmente de la ISO: “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”.

Fue publicada el 7 de Diciembre del 2009. Se basa sobre el modelo PDCA ya comentado en el apartado de la ISO/IEC 27001.

Según este estándar una organización debe desarrollar guías propias que aseguren la relación entre el SGSI y las mediciones con su correspondiente documentación detallada. Los objetivos de estas mediciones son:

· Evaluar la eficiencia del SGSI

· Evaluar la efectividad de la implementación de la ISO/IEC 27001 sobre los controles de seguridad.

· Comunicar a la organización valores de seguridad

· Proporcionar estados de seguridad que guíen las revisiones del SGSI

· Servir como entradas al plan de análisis y tratamiento de riesgos.

Además se debe desarrollar un programa sobre la ejecución de las mediciones anteriores basado en un Modelo de mediciones de seguridad de la información. Este modelo debe describir todos los atributos cuantificables (entidades, procesos, productos, proyectos y recursos) y debe convertirlos a valores que indiquen su estado para la posterior toma de decisiones.

Estos valores deberán ser medidos y valorados con unidades de medición semejantes para uniformar las mediciones.

Las mediciones se programarán con intervalos fijos: Semanal, Mensual, Trimestral, Semestral, Anual, etc.

Finalmente el programa de mediciones será revisado constantemente para verificar el correcto funcionamiento de los atributos antes comentados. En caso de no cumplir las expectativas podrán eliminarse o modificarse las mediciones.

La dirección se encargará de formar y concienciar al personal de la relevancia del programa de mediciones que propone esta norma y de la contribución de ellos mismos como parte de la organización para mantener el SGSI.

martes, 2 de marzo de 2010

¡Acabamos de superar las 100 descargas de Anubis!

100-final ¡Buenas! Acabamos de superar las 100 descargas de Anubis. Gracias a todos por probar la herramienta y enviarme vuestros comentarios. Dentro de poco tendréis una actualización con algunas novedades que os iré adelantando en próximos post. Si todavía no habéis probado Anubis tenéis mas información y el link de descarga en la siguiente web:

http://elblogdecalles.es/anubis.html

saludos!

Serie ISO/IEC 27000: ISO/IEC 27003 (Parte IV de IX)

La norma ISO/IEC 27003 es la norma mas reciente, ha sido publicada el 1 de Febrero de 2010, ayer justamente hizo un mes, con el propósito de servir como guía para la implementación de un Sistema de Gestión para la Seguridad de la Información de acuerdo al estándar ISO/IEC 27001:2005 antes comentado. No es certificable.

pdca[1] Hace especial hincapié en el Ciclo de Deming: PDCA, ya comentado en el post sobre la ISO/IEC 27001, respecto al establecimiento, implementación, revisión y mejora del propio sistema, describiendo el proceso completo de implementación del sistema y prestando ayuda en:

  • 1) La definición del alcance y los límites.
  • 2) La evaluación y tratamiento de riesgos.
  • 3) El diseño del Sistema de Gestión para la Seguridad de la Información.
  • 4) La planificación del proyecto para la implantación.

 

La norma es ya adquirible desde la página oficial de ISO: http://www.iso.org/iso/home.htm

En el próximo post continuaremos viendo la ISO/IEC 27004, un saludo

lunes, 1 de marzo de 2010

Hoy caduca Windows 7 RC

Buenas a todos, este post es un recordatorio sobre la caducidad de Windows 7 RC hoy lunes 01/03/2010. A partir de hoy los sistemas Windows 7 RC comenzarán a reiniciarse cada dos horas hasta el 1 de Junio que dejará de funcionar finalmente.

Si algún usuario posee este sistema aún y desea instalarse la versión final de Windows 7, Microsoft indica que se deberá realizar con una instalación limpia debido a posibles bugs que pueda tener la versión RC y que podrían repercutir en la instalación final de Windows 7, recordemos que al fin y al cabo la RC no era mas que una beta, aunque muy estable.

Si por el contrario sois usuarios de Vista y queréis actualizar a Windows 7 en el siguiente link tenéis la tabla de convalidaciones:

http://windows.microsoft.com/es-ES/windows7/products/upgrade?os=win7

Os la copio a continuación:

 

image

 

Suerte, un saludo!

Serie ISO/IEC 27000: ISO/IEC 27002 (Parte III de IX)

wifi-security[1] Continuando la cadena de posts sobre la Serie ISO/IEC 27000, hoy toca el turno a la ISO/IEC 27002.

La ISO 27002 también conocida como ISO/IEC 17799 es un estándar publicado en el año 2000 con el título Information technology - Security techniques - Code of practice for information security management. Tras cinco años de revisión se volvió a publicar en el año 2005 una actualización a la que se denominó ISO/IEC 17799:2005.

El origen de este estándar proviene de la norma británica BS 7799-1 que fue publicada en 1995.

La ISO/IEC 17799 ofrece distintas recomendaciones sobre mejores prácticas en la gestión de la seguridad de la información. Está dirigida a los encargados de iniciar, implantar o mantener un SGSI.

La seguridad de la Información se define en el estándar como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).

La última actualización de este estándar incluye las siguientes secciones:

  • Política de seguridad
  • Aspectos organizativos para la seguridad
  • Clasificación y control de activos
  • Seguridad ligada al personal
  • Seguridad física y del entorno
  • Gestión de comunicaciones y operaciones
  • Control de accesos
  • Desarrollo y mantenimiento de sistemas
  • Gestión de incidentes de seguridad de la información
  • Gestión de continuidad de negocio
  • Conformidad

Cada sección incluye los controles para la seguridad de la información con sus respectivas guías de implantación.