sábado, 31 de julio de 2010

Samurai Web Testing Framework, otra imprescindible en auditoría de seguridad

samurai_2[1] 

Buenas a todos, hoy me gustaría hablaros de una de las distribuciones de linux mas destacables en seguridad informática, Samurai Web Testing Framework. Ésta distribución de Linux basada en Ubuntu se centra en los test de penetración a aplicaticiones web.

Samurai es un LiveCD que se carga directamente desde un CD, pero también puede ser instalado como una distribución normal de linux.

samurai1[1]

Como podéis ver en la captura anterior contiene un listado bastante importante de herramientas libres destinadas a los penetration test hacia aplicaciones web.

Entre las herramientas mas destacadas que incluye se encuentran numerosas aplicaciones clásicas como Zenmap, la versión con interface gráfica de Nmap para el Fingerprint en busca de puertos abiertos y Sistemas Operativos, incluida en Anubis 1.0, Maltego y Fierce domain Scanner, que intentan hacer un poco el trabajo de Anubis 1.0 también pero para generar un mapa de la red objetivo, la gran WebScarab que tanto conocerán los fans de la metodología OWASP de la que ya he hablado en el blog en numerosas ocasiones, etc.

Un aspecto que me pareció muy interesante es la inclusión de una wiki de serie para poder ir almacenando la información que se vaya obteniendo durante la auditoría.

Creo que es una distribución de las indispensables en seguridad, así que si aún no la tenéis, la podéis conseguir aquí.

Además de Samurai, como muchos ya sabréis, tenemos otras distribuciones de linux muy importantes orientadas a auditoría de seguridad como Backtrack para auditoría genérica, Wifiway o Wifislax para auditoría Wifi, desarrollo en donde Anelkaos, antiguo compi, ha tomado parte.

saludos!

miércoles, 28 de julio de 2010

Descarga gratis el Generador Automático de Cartas y Certificados, por Juan Antonio Calles

Buenas a todos, en numerosas ocasiones en vuestros trabajos os encontraréis con la necesidad de enviar ciertos documentos de manera repetida a varias personas, estos documentos a veces deberán ir personalizados con el nombre de la persona a la que va dirigida el documento, lo que retrasa en gran medida estas labores, haciendo que un procedimiento sencillo como es el generar una carta, un certificado, etc., pueda llevar ciertas horas.

Como solución, he desarrollado una pequeña herramienta a la que pasándole una sencilla plantilla con un marcador y una lista de los nombres de las personas a las que queremos enviarles un documento personalizado, nos generará de manera automática en unos pocos segundos todos los documentos.

Su funcionamiento es el siguiente:

En primer lugar deberemos hacer una plantilla del documento que queremos enviar de manera personalizada a los usuarios. Esta plantilla deberá contener un “Marcador” llamado “nombre” donde el programa agregará el nombre del usuario en cuestión.

image image

Una vez generada la plantilla deberá guardarse en formato *.dot

En segundo lugar se abrirá la herramienta Generador-Cartas-y-Certificados.exe:

image

Éste es el aspecto del programa, sencillo ¿no?:

image

En tercer lugar agregaremos los nombres de los usuarios a los que le queremos enviar el documento. Los nombres deberán ir colocados uno por línea, sin espacios, ni tabulaciones:

image

Una vez introducidos los nombres se escogerá la plantilla que generamos antes:

image

Y finalmente se pulsará sobre el botón “Generar”:

image

Y en unos segundos (depende del número de documentos) se nos habrán generado los certificados/cartas/etc. de manera automática:

image

image

El programa, como habitualmente, lo he colgado en mi web para que lo descarguéis gratuitamente. Lo podéis conseguir en el siguiente enlace:  

http://www.elblogdecalles.es/descargas/Generador-Cartas-y-Certificados.zip

En unos días publicaré el código fuente del programa para que podáis trastear con el programa y adaptarlo mejor a vuestras necesidades.

La herramienta requiere el Net Framework 3.5. Está desarrollada en C# íntegramente.

Cualquier error que os diese, comentádmelo, para estudiarlo y ponerle solución de la manera mas temprana posible.

Espero que os sea útil y os haya gustado.

saludos!

lunes, 26 de julio de 2010

Diferencias entre la serie de normas ISO/IEC 27000 y las metodologías OWASP y OSSTMM

Buenas a todos, en los últimos meses he estado analizando numerosas normas internacionales, en éstos procesos he recopilado bastante información sobre estándares, metodologías y modelos aplicables al sector TIC, que poco a poco os iré comentando en el blog.

Cyber_Security[1]Entre las mas importantes se encuentran la norma ISO/IEC 20000, la norma ISO/IEC 15504, la norma ISO/IEC 12207 y la serie ISO/IEC 27000. De ésta última lancé una cadena de post hace algunos meses y aprovechando la inauguración de la nueva web, he recopilado toda la información sobre esta serie de normas ISO/IEC y os la he colgado en mi web para que la tengáis a mano siempre que la necesitéis. Podéis acceder desde aquí.

Además, en este otro link, también en mi web, encontraréis información sobre metodologías utilizadas en seguridad para la realización de los procesos de auditoría de seguridad, en concreto las metodologías OWASP y OSSTMM, junto con algún otro documento. Todas ellas podréis descargarlas desde mi web.

Me gustaría aprovechar el post también para contestar una duda, que planteó un usuario en el foro de iso15504.es en éste hilo, y que probablemente pueda ser extrapolable a otras dudas que puedan poseer otros usuarios.

En éste hilo, se preguntaba sobre las diferencias de la guía OWASP y la norma ISO/IEC 27001 y sobre cual era mejor de ambas. En este punto me gustaría aclarar un par de cuestiones, y es que hay que tener muy clara la diferencia entre Norma y Guía de Buenas Prácticas o Metodología.

owasp[1] La norma ISO/IEC 27001 forma parte de la serie 27000, con esta serie se pretende poseer un marco común con las definiciones sobre lo que se considera como sistema seguro y sobre lo que se debe hacer para llevar a cabo la securización del mismo. La diferencia entre la norma ISO/IEC 27001 y la OWASP es que la primera es una norma internacional, y la segunda es una guía de buenas prácticas.

No se puede decir que una sea mejor que otra ya que no son comparables, ambas son necesarias y recomendables para la securización de un sistema. Metiéndonos mas en profundidad en el tema, la norma ISO/IEC 27001 se centra en temas como que para que un servidor de una empresa sea seguro debe poseer una política de backup, deben realizarse auditorías de seguridad cada x tiempo para analizar vulnerabilidades o que el servidor debe estar protegido ante accesos físicos de una determinada manera, es decir, se mantiene a un alto nivel de abstracción, pero definiendo todos los aspectos que se deben tener en cuenta para mantener un sistema seguro.

La guía OWASP por el contrario baja a nivel técnico, es decir, nos dirá por ejemplo como deberemos realizar las auditorías de seguridad que en la norma ISO/IEC 27001 se nos indica que realicemos. Se puede resumir por tanto que la Norma ISO/IEC 27001 define el QUÉ y las guías de buenas prácticas definen el CÓMO. Ésta última frase les sonará familiar a los usuarios que estén metidos en el mundo de CMMI, ISO/IEC 15504 y las metodologías ágiles como SCRUM.

osstmm_blue_200[1] Si os interesa este tema, otra metodología importante en seguridad es OSSTMM, es equivalente a la OWASP, e igualmente genial, pero con una diferencia y es que pronto, si todo sigue su curso y por los rumores que corren, va a convertirse en Norma ISO oficial, lo que facilitará su integración con la actual serie 27000 como es intuible.

Su nombre será ISO Hacking Standard. Y de momento ya se han realizado varias reuniones para darle forma, la última reunión se realizó hace tres meses en Malaka (Malasia). Dentro de poco haré un post para hablar mas sobre esta nueva norma internacional.

Finalmente, y como muchos ya sabéis desde mi web también os podéis descargar gratuitamente una herramienta para auditoría de seguridad que puede serviros de apoyo a las distintas metodologías y normas de seguridad que se han comentado en éste post, se llama Anubis 1.0, y la podéis encontrar aquí.

saludos!

Hoy se nos va una leyenda…

raul-capitan-espana2[1]

Hoy se nos va una leyenda, para todo madridista aficionado al futbol, hoy será un día de luto porque se nos va el mejor jugador de la historia del Real Madrid y de la selección española. A la que por cierto, desde aquí pido a Vicente del Bosque que le convoque al menos a un partido amistoso para que le permita despedirse con “la roja” de su afición.

Adiós al jugador con los mejores números en el futbol del último siglo en el equipo merengue, tras 16 años en el club, el pichichi blanco deja paso a la “juventud” para pasar sus últimos años de futbol en el Schalke 04 alemán.

Raúl ha sido todo para el Real Madrid, luchador, un jugador siempre bien colocado, fiel a su equipo, correcto, educado y todo corazón, sin polémicas, el prototipo a seguir para las futuras leyendas del futbol. Para los que nos criamos literalmente viendo sus goles en la década de los 90, ha sido el mayor exponente de nuestro club.

Raúl Gonzalez, te apoyaremos allá donde vayas, así que este año seguiremos la bundesliga.

saludos de un madridista raulista, que el último mes se ha paseado por España con tu camiseta de la selección:

jacalles

miércoles, 21 de julio de 2010

Arreglado el link de descarga de Anubis 1.0

Hola a todos, algunos de vosotros me habéis comentado por correo que el link de descarga de Anubis 1.0 no funcionaba, al parecer había sido un problema con mi hosting, ya está solucionado y podéis descargar Anubis normalmente desde aquí:


un saludo

jueves, 15 de julio de 2010

Con los teléfonos Windows 7 no tendrás que preocuparte de cómo coger el teléfono

El jefe de Operaciones de Microsoft, Kevin Turner, fue el encargado de promocionar el nuevo Windows Phone 7 durante la Conferencia Mundial de Socios de Microsoft.

Entre las muchas cosas de las que habló mencionó el polémico lanzamiento de iPhone 4 y sus problemas de recepción y aseguró que los usuarios de terminales con Windows Phone 7 no deberán preocuparse de cómo sujetarlo (ironic mode off =)).

Palabras textuales de Kevin Turner:   "Una de las cosas que quiero que sepáis es que vais a ser capaces de utilizar cualquier teléfono que funcione con Windows Phone 7 sin preocuparos de cómo sujetarlo. Según parece, iPhone 4 va a ser el Vista de Apple y estoy de acuerdo con esta afirmación", dijo Turner celebrada este jueves.

Andy Lees, fue el encargado de mostrar a los partners los nuevos servicios “conectados” que ofrecerá el nuevo SO para móviles. Una verdadera bestia de la conectividad. Además anunció la inmediata disponibilidad de las herramientas beta de desarrollo para Windows Phone 7.

Los aspectos a destacar mas importantes que se hablaron en la conferencia fueron:

  • Mejora de la experiencia de Windows Phone 7 a través de conexiones entre el teléfono y el PC, la Web y otros servicios de movilidad, con una nueva web Windows Phone Live y la funcionalidad Find My Phone, que permitirá a la gente localizar y gestionar un teléfono perdido en un mapa, hacerlo sonar, bloquearlo y eliminar capacidades directamente desde sus PCs.
  • Conexión de Zune en el PC mediante Wi-Fi para gestionar música, vídeo y fotografías.
  • Integración con correo y calendario basados en web como Windows Live, Gmail, Exchange (Outlook).
  • La Web también hospeda el Marketplace de Zune para música y vídeos, así como para el contenido de Xbox Live.
  • Proporcionará un servicio de notificación para permitir a las aplicaciones a enviar actualizaciones en tiempo real en el teléfono a través de los 'live tiles'.
  • Integración con otros servicios de Microsoft como SharePoint Server, Exchange Server, Microsoft Office y la Suite Business Productivity Online (BPOs), para comunicarse y colaborar mediante el 'smartphone', su PC o su navegador.

Fuente: Europa Press

miércoles, 14 de julio de 2010

¡Publicada la nueva Web del Blog de Calles!

Buenas a todos!, estoy aquí de vuelta de un período de relax bloggero que he necesitado para poder realizar varios proyectos en los que ando metido actualmente. Uno de ellos hoy por fin va a ver la luz, y es la salida de una nueva web para El Blog de Calles (la web donde almaceno los contenidos mas interesantes que van saliendo a lo largo del tiempo en este blog) y desde la que además de acceder al contenido que había antes, podréis encontrar muchas otras novedades que descubriréis en cuanto entréis.

Espero con una frecuencia semanal ir añadiendo mas contenido a la web poco a poco, y si recibo apoyos y algunos de vosotros os animáis a echarme un cable respondiendo a la gente no descarto la idea de abrir un foro para que realicéis preguntas sobre cualquier tema relacionado con las tecnologías de la información.

He querido darle a la web un diseño moderno, mas acorde con los días en los que estamos. El resultado lo podéis ver aquí:

image

Además, he diseñado un formulario para que podáis descargaros Anubis, indicando (si así lo deseáis) una dirección de e-mail para poder avisaros cada vez que corrija algún bug, o publique una nueva versión para descargar:

image

¡Disfrutarla!, podéis acceder desde aquí:

www.elblogdecalles.es

Si tenéis alguna sugerencia sobre posibles mejoras, estoy abierto a cualquier opinión =)

saludos!!

lunes, 12 de julio de 2010

¡De camino a la Castellana a celebrarlo con la Selección Española!

Con esta foto quiero dar la enhorabuena a la selección española y a todos los españoles por la victoria en el campeonato del mundo de South Africa!:

1278886168_extras_portada_0[1]

Uis.. no… que despiste… quería decir con esta otra =)!:

1278882881_extras_portada_2[1] 

Felicitar también a Casillas ¡como no!, Mostoleño como un servidor y que siempre está a pie de cañón. ¡Disfrútalo!

 

saludos españolistas!

viernes, 9 de julio de 2010

Anubis 1.0 recibe la Mención de Honor del Máster TISI de la Universidad Rey Juan Carlos

Buenas a todos, hoy tengo el placer de escribir esta entrada dedicándosela a mi proyecto Anubis, que tantas alegrías me está dando en los últimos meses.

Hace ya casi dos meses que presenté a  Anubis como proyecto final del postgrado MTISI en la Universidad Rey Juan Carlos, donde me nominaron a Matrícula de Honor, y como proceso largo que es, ha llevado bastante tiempo recibir el veredicto final del tribunal.

Había varios nominados a matrícula, algo que sin duda denota el gran nivel que los alumnos de la URJC poseen en proyectos de I+D y hubo que pasar un segundo tribunal, esta vez no fue presencial, y tuve que demostrar de manera documental los beneficios que ha dado Anubis a la comunidad, donde todos vosotros jugasteis un gran papel.

Así que parte de ésta Mención de Honor os la debo a todos vosotros, que habéis descargado mi herramienta, la habéis probado y la habéis recomendado a vuestros amigos y compañeros, a los foros, web y blogs, españoles, chinos, turcos, rusos y holandeses que me han linkado y a toda la gente que me ha escrito reportando bugs y proponiéndome mejoras y que formáis parte de las casi 600 personas que han descargado Anubis.

Gracias a todos, esta Mención va dedicada a todos vosotros!

saludos!

lunes, 5 de julio de 2010

Ausencia de post por mini-vacaciones y proyectos varios: KILA, ANUBIS y una nueva Web

kila10[1] Buenas a todos, llevo ya varios días sin colgar nada en el blog, pero no os asustéis, no os abandono ;).

He estado unos días desvinculado por unas mini-vacaciones que necesitaba. Además me encuentro ahora mismo en tres proyectos que me quitan bastante tiempo, el primero, KILA, del que en menos de un mes calculo comenzaré a hablaros a fondo y del que supongo tendréis intriga de ver de que se trata. El segundo, la evolución de Anubis, que se que mas de uno espera con ganas, pero es un proyecto que va con tranquilidad, no quiero apresurarme a sacarlo rápidamente, seguramente veáis la siguiente versión a finales de este año. Y el tercer proyecto y que lanzaré en unos días es una nueva página web para www.elblogdecalles.es, mas acorde a la época en la que estamos y con nuevos contenidos mas actualizados.

Así que dentro de poco tendréis nuevas noticias sobre KILA y la nueva página web, y entre medias intentaré sacar tiempo para escribir algún post.

saludos!