Seguridad en el desarrollo de software


Un nuevo evento se viene para terminar el año, esta vez organizado por la UTN-FRSF (algo que ocurre muy esporádicamente), con el objetivo de hablar un poco sobre la seguridad en el desarrollo de software. Dicho evento se realizará el Jueves 17 de noviembre de 2011 a partir de las 17 hs. en el salón auditorio.

Algunos temas que se van a tratar son:

  • TWC Trustworthy Computing

El panorama de la computación en constante evolución tiene dos principales puntos a nivel macro-evolución: cada vez más personas y empresas confían en la informática, y las amenazas que pueden desprestigiar la confianza en la informática son cada vez más sofisticados y maliciosos. Lo que  llama informática de confianza, a largo plazo, es fruto de la colaboración para crear y entregar experiencias de computación segura, privada y fiable para todos. Como un valor corporativo central, Microsoft se compromete a mejorar continuamente en cuatro áreas clave: Seguridad, privacidad, confiabilidad y prácticas comerciales.

  • Seguridad en la Nube

Introducción al concepto de Cloud  Computing y como preparar la infraestructura para encarar un escenario seguro de Nube Privada y Nube Pública. Riesgos de accesos remotos, que debe tenerse en cuenta a nivel de servicios y como acompañar al negocio con la diversidad de dispositivos del mercado.

  • Seguridad en HTML5

Como proteger los desarrollos desde el lado de la Infraestructura. Sabemos que HTML5 se viene con todo, pero los desarrolladores dejan algunas pistas que pueden ser usadas por intrusos. Puntualmente vamos a ver 5 de las amenazas más visibles de HMTL5.

Enrique Dutra que será el speaker, posee más de 26 años de experiencia en organizaciones de soporte de IT. Especializándose en seguridad y normalización en estándares COBIT, ISO 17799/27001, ISO 20000, MOF e ITIL. Es Profesional 5 estrellas de Technet Ms., Miembro de Criptored,de INETA y Culminis. Posee las Certificaciones MCSE – MCDBA – MCP – MCT 2011. Ha sido distinguido como MVP en Seguridad Windows por Microsoft de 2006 a 2011. Ha certificado como auditor ISO/IEC 27001:2005 por BSI.

Agenda:

16:30 – 17:00 Ingreso y registración

17:00 – 17:15: Presentación del evento (UTN)

17:15 – 18:30: Trustworthy Computing  y Cloud  Computing (E.  Dutra)

18:30 – 18:45: Break

18:45 – 19:30: Seguridad en HTML5

19:30 – 19:45: Reseña de ImagineCup 2012

19.45 – 20:00: Cierre

Más información: capacitacion@frsf.utn.edu.ar

Inscripciones:
http://eventioz.com/events/conferencia-seguridad-en-el-desarrollo-de-software

Actualización:

Debido a una situación de fuerza mayor vinculada a los viajes aéreos, nos vemos en la necesidad de dar por suspendida la Conferencia sobre Seguridad en el Desarrollo de Software, planificada para el día 17/11/2011, puesto que el conferencista Enrique Dutra no pudo llegar hoy a Argentina. Es intención de la Universidad y de las empresas participantes replanificar esta Conferencia para ser realizada de aquí a 7/10 días.

Anuncios

Mini-Post: ¿Cuanto se tardaría en crackear tu password?


Un pequeño post para recomendarles un sitio donde podemos ingresar nuestro password del servicio que sea y nos dira cuanto tiempo se tardaría en descrifrarlo. ¿Y que tal estas mas tranquilo o necesitas cambiar el pass?

http://howsecureismypassword.net/

Visto en un twitt de schuschny

Profesionales Infomáticos Inseguros


Hace poco mas de un año publique el post Integrando la seguridad en el cual exponía las deficiencias del sistema educativo en las carreras de informática con respecto a la Seguridad y que generalmente el aprendizaje corría por cuenta de cada uno.

Hace unos días se llevo a cabo el Rooted Con, un congreso de seguridad informática que reúne a los hackers y especialistas más importantes en la materia y vía el Blog de Segu-Info quería resaltar un comentario de Sergi Álvarez Capilla:

“Tiene que gustarte y engancharte para poder aprenderlo, el componente lectivo que te pueden dar las universidades o las escuelas es una parte pero es bastante básica hasta el punto que si realmente no te interesa no te servirá para mucho. Hay un buen nivel lectivo en algunos cursos y charlas, pero es algo muy estándar y no profundizan demasiado”

Con el cual concuerdo plenamente, por poner un ejemplo a la facultad a la que asisto en materias como Comunicaciones o Redes de Información los contenidos de Seguridad son muy pobres por no decir nada, y creo que eso es algo que debería cambiar para los futuros profesionales, hoy en día la seguridad es algo esencial, cualquier aplicación que diseñemos tiene una utilidad y acceso a internet, el advenimiento de la Web 3.0 y el Cloud Computing lo demuestran. Por el contrario en la ciudad de vez en cuando se realiza algún que otra jornada de seguridad y se puede ver que la convocatoria es muy grande pero como dice Sergi Álvarez los contenidos son los estándares y no se profundiza demasiado, lo cual es coherente sino demandaría mucho tiempo.

Ayer precisamente cursando una de las materias que para Ingeniería en Sistemas no es imprescindible el profesor hacía incapié en que al momento de graduarse uno debe tener conocimiento en muchas áreas como economía, física, química, dibujo y yo decía por dentro ¿la seguridad informática ni ahi no?

Así que por el momento sólo cuenta lo que uno pueda aprender por su cuenta, y si a uno realmente le interesa creo que se puede llegar a buen pueto.

(In)Seguridad en el sistema de gestión de la facultad


Hace un tiempo había instalado en mi máquina el analizador de protocolos Wireshark para probarlo y ver como funcionaba ya que me gusta probar todo ese tipo de herramientas, después de un tiempo lo deje nomas, y quedo ahi instalado nomas. Pero ahora en este nuevo cuatrimestre en la facultad cursando la materia Redes de Información tenemos que utilizarlo para realizar distintas actividades. Y viendo algunas cosas me volvio a la mente algo que había leído hace rato sobre que era posible obtener el usuario y contraseña de un login en un sitio web donde no use cifrado SSL.

Y me acorde que el sistema de gestión de alumnos en internet guarani3w de la facultad no usa cifrado SSL asi que se me ocurrio probar el programa con éste sitio y como era de esperar luego de capturar algunos paquetes de mi interfaz de red mientras me logueba en el sitio aparecio lo que buscaba.

Acá les muestro la imagen, que como veran el paquete corresponde al protocolo HTTP y mas abajo podemos ver que dice Usuario y Clave:

escaneo_login

Así que por lo que tengo entendido cualquiera que se ponga a capturar paquetes en máquinas que comprender la red de la facultad puede obtener el usuario y clave de los que se loguean en el sitio para hacer diferentes consultas, inscripciones, etc.

No creen que debería implementarse el protocolo SSL para éste sitio, quizá es una boludes pero siendo una facultad donde se dicta Ingeniería en Sistemas a mi parecer esto no le da buena imagen que digamos. ¿Ustedes que piensan?

Jornadas sobre Seguridad en Información


Éste viernes 8 de mayo se estará realizando en la FICH (Facultad de Ingeniería y Ciencias Hídricas) de 9 a 14 hs. una jornada sobre seguridad en información denominada “Seguridad de la Información: el desafío de educar para un uso responsable de las tics” y estará a cargo del Licenciado Cristian Borghello, la entrada es libre y gratuita, el año pasado se realizo un seminario sobre seguridad también y estuvo muy bueno y se aprende bastante así que seguro nos vemos allá.

Mas info en http://www.unl.edu.ar/noticias/noticia.php?nid=5972

El día D Conficker


Ya se está comentando en muchos blogs lo que podría ser una activación de una nueva variante del Conficker éste 1º de Abril. Éste tipo de malware luego de infectar miles de equipos en el mundo aprovechando una vulnerabilidad de los sistemas Windows empezando a finales del año pasado todavía hoy se sigue hablando de él mas allá que Microsoft haya sacado un parche para corregir ese fallo.

Pero bueno el hecho es que no se sabe a ciencia cierta que ocurrira ese día, tal es el caso que lo han asociado con el día de los inocentes, aunque según dicen los expertos se piensa que esta variante no cause los mismos problemas que las anteriores.

Para entender mas un poco todo hace tiempo les había dejado un post hablando de esto y con preguntas que todos los usuarios creo deberían hacerse para comprender como se infectan los sistemas y como podemos prevenirlo o remediarlo.

En cualquiera de los casos creo que es una buena oportunidad para migrar a linux y ver realmente las diferencias.

Para mas info les recomiendo que lean los post de el blog Segu-Info y el blog Eset

La crisis del SSL


Hace un tiempo lei una pequeña noticia en la que se hacia mención a que el protocolo SSL (Secure Socket Layer) utilizado en ciertos sitios web y sistemas para cifrar la información que estamos enviando a un cierto servidor estaba pasando por una especie de crisis donde se lo consideraba bastante vulnerable hasta tal punto que hace unos cuantos días se empezo a hablar del famoso ya SSLStrip presentado por Moxie Marlinspike en el Black Hat 2009.

Con esta herramienta como bien demostro su creador se puede hacer pasar un sitio seguro (nos damos cuenta cuando en la dirección del mismo dice HTTPS) como uno que no lo es, en rasgos generales lo que hace es interceptar peticiones https y devolver el mismo sitio pero en su versión http, haciendole pensar al usuario que está frente a un sitio seguro, y en realidad los datos ingresados estan siendo enviados sin cifrado, haciendo una analogía vendria a ser como un policia corrupto, precisamente no te esta protegiendo de los malos sino que te está entregando.

Ahora realmente sabemos que el protocolo SSL está en crisis de verdad y una de las soluciones que se proponen varios seria el cifrado de todas las conexiones http, pero por mas que todo sea cifrado utilizando SSLStrip se obtendrían los mismos resultados, así que de momento está todo muy nebuloso.

Asi que bueno, el post era simplemente para comentarles esto para los que no lo sabían y mientras tanto sigamos confiando un poco en el protocolo.

Para mas info les dejo estos links:

Actualización de seguridad Opera 9.64


Desde Opera Watch nos comentan que hoy salió la versión 9.64 del navegador Opera, en la cual se actualizan temas referentes con la seguridad del mismo y otras pequeñas mejoras.

Dependiendo del SO Descargar Opera 9.64

Integrando la seguridad


Allá por el 2004 cuando empeze la carrera de Ingeniería en Sistemas de Información, la única noción que tenía en cuanto a seguridad en ámbitos informáticos se reducia a poseer un simple antivirus en una computadora, después de unos cuantos años es una locura que alguien pensara eso, pero yo era uno de esos.

En estos cinco años aprendi muchas cosas relacionadas con la informática, muchas de ellas por el hecho de estar cursando la carrera que les mencione y otras por cuenta propia. Como el nombre de la carrera misma lo dice el objetivo de la institución en rasgos generales es formar profesionales que sepan crear, gestionar, implementar y administrar sistemas de información en un cierto espacio de trabajo. Pero creo que falta algo, en éste último tiempo me di cuenta de que se le da muy poca bola, casi nada en realidad, a temas relacionados con la seguridad de la información; veran, dentro de las materias integradoras están aquellas en las que uno aprende a analizar, diseñar e implementar un sistema en distintos ámbitos, así como también la gestión de los recursos para un mejor desempeño en la organización, pero nada sobre seguridad.

Ahora si pensamos un poco en los últimos años, cuanto se ha hablado de seguridad, ya sea en seminarios, charlas, campañas de gobierno, etc., muchas veces no?, ya que el avance de la tecnología va acompañado por una sombra de inseguridad, digo yo ya que no es un tema menor, no creo que es algo que cada alumno deba aprender por su cuenta, aunque no esta mal, pero a lo que me refiero es que debe haber una materia únicamente donde se hable sobre la Seguridad de la Información, y no hablo de que enseñen a “hackear hotmail” (frase malisima por cierto), sino que hablo sobre como implementar sistemas de información seguros donde la seguridad de la organización tenga un cierto grado, sino que sentido tiene implementar sistemas con todo el profesionalismo del mundo sino se tiene en cuenta la seguridad e integridad de la información en la misma, mas allá de que haya personal dedicado a ello.

Pero bueno, esto es lo que pienso yo, si alguno cursa alguna carrera relacionada con la informática y quiere compartir su punto de vista estaría bueno.

Mini-Post: Malware


Durante al año 2008 PandaLabs, el laboratorio de Panda Security, detectó cada día, de media, 35 mil ejemplares de malware, 22 mil de los cuales eran nuevas infecciones.

Que nos deparará el 2009??

Leer mas en el Blog de Segu-Info