Categoria: Auditoría y Control
ISACA y el ITGI llevan muchos años promoviendo COBIT (Control OBjectives for Information and Related Tecnologies). Para aquellos que aterriceis aquí por casualidad y no conozcan de que va cobit aquí les dejo un extracto del propio documento de COBIT 4.1
"COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los Interesados (Stakeholders). COBIT permite el desarrollo de políticas claras y de buenas prácticas para control de TI a través de las empresas."
Podeis descargarlo desde aquí
Salu2!
viernes, 31 de julio de 2009
Buffer Overflow (I) en CTICRM digital
Categoría: Seguridad Lógica
Desde la asociación murciana Consejo de Tecnologías de la Información y las Comunicaciones de la Región de Murcia llevamos ya casi dos años empujando para que las diferentes soluciones comerciales, así como las líneas de investigación en vigor sobre temas tan de actualidad como IT Governance se acerquen a la sociedad de la Región de Murcia y del resto de España.
Como una de las iniciativas de la actual Junta Directiva se creó una revista de la que soy responsable directo y cuya edición va por el número 3. En este número podéis encontrar artículos realmente interesantes y contamos con nuevos colaboradores, nuevas secciones y también ISSN.
Una de las nuevas secciones es "El tutorial" y he querido inaugurarla con algo que llevo trabajando mucho tiempo; un tutorial completo de Buffer Overflow en el que pretendo exponer como es posible llegar desde el bug al exploit a fondo y de la manera lo más cercana posible. Esto lo he hecho con la intención de que no sea necesario ponerse enfrente del ordenador y seguir todos los pasos sino que con un estudio pormenorizado del tutorial cualquiera con unos conocimientos medianos pueda entender cómo se pueden localizar estos errores y cómo se pueden aprovechar por un tercero.
En este número tan sólo figura la parte I de posiblemente III si me queda el tiempo suficiente para llegar hasta el fondo en este asunto.
Aqui os dejo los enlaces a la página de CTICRM, y a la revista CTICRM digital donde podreis adquirir de manera totalmente libre y gratuita cualquiera de sus números.
Si cualquiera de vosotros quiere colaborar con la revista puede ponerse en contacto conmigo en la dirección hernandezrma@gmail.com
Espero que lo disfruteis.
Salu2!
Desde la asociación murciana Consejo de Tecnologías de la Información y las Comunicaciones de la Región de Murcia llevamos ya casi dos años empujando para que las diferentes soluciones comerciales, así como las líneas de investigación en vigor sobre temas tan de actualidad como IT Governance se acerquen a la sociedad de la Región de Murcia y del resto de España.
Como una de las iniciativas de la actual Junta Directiva se creó una revista de la que soy responsable directo y cuya edición va por el número 3. En este número podéis encontrar artículos realmente interesantes y contamos con nuevos colaboradores, nuevas secciones y también ISSN.
Una de las nuevas secciones es "El tutorial" y he querido inaugurarla con algo que llevo trabajando mucho tiempo; un tutorial completo de Buffer Overflow en el que pretendo exponer como es posible llegar desde el bug al exploit a fondo y de la manera lo más cercana posible. Esto lo he hecho con la intención de que no sea necesario ponerse enfrente del ordenador y seguir todos los pasos sino que con un estudio pormenorizado del tutorial cualquiera con unos conocimientos medianos pueda entender cómo se pueden localizar estos errores y cómo se pueden aprovechar por un tercero.
En este número tan sólo figura la parte I de posiblemente III si me queda el tiempo suficiente para llegar hasta el fondo en este asunto.
Aqui os dejo los enlaces a la página de CTICRM, y a la revista CTICRM digital donde podreis adquirir de manera totalmente libre y gratuita cualquiera de sus números.
Si cualquiera de vosotros quiere colaborar con la revista puede ponerse en contacto conmigo en la dirección hernandezrma@gmail.com
Espero que lo disfruteis.
Salu2!
Etiquetas:
Buffer Overflow,
CTICRM,
CTICRM digital
Xmind, organizando el entorno
Categoría: Gestión
Hola a tod@s de nuevo. Ya estoy aquí para compensar vuestra paciencia por el poco margen de actualización que ha tenido este blog ultimamente. A lo largo de las próximas dos hora os voy a ir poniendo al día de todo aquello que he estado viendo últimamente y que creo que puede ser de utilidad.
Además, he decidido categorizar las entradas para que de un vistazo podais intuir de que va el tema y proporcionaos así más información de primeras.
Voy a empezar esta "puesta al día" por una aplicación que me dio a conocer mi actual compañero de trabajo Carlos de las Marinas y que sin duda alguna ha pasado a formar parte de mi biblioteca de aplicaciones. Este programa es Xmind.
Xmind es una aplicación que nos permite poner en orden nuestras ideas y plasmarlas esquemáticamente, permitiendonos crear diagramas que plasman la realidad en un momento determinado del tiempo. Esto nos permite, por ejemplo, organizar tanto las próximas entradas de este blog como algunas de las categorías sobre las que podrían figurar los post en un futuro. Aqui os dejo el diagrama obtenido y también una captura de pantalla para que tengais una perspectiva visual de qué es lo que nos ofrece.
Esto es solo una pequeñísima muestra de lo que esta aplicación nos puede ofrecer. En el caso de Carlos y mio esto nos ha sido especialmente útil para poner en orden la situación de los diferentes servicios de una organización.
No dudeis en visitar la página principal de XMind porque allí se muestra la potencia de la que dispone esta excelente aplicación.
Ah, se me olvidaba, además es open source.
Un saludo.
Hola a tod@s de nuevo. Ya estoy aquí para compensar vuestra paciencia por el poco margen de actualización que ha tenido este blog ultimamente. A lo largo de las próximas dos hora os voy a ir poniendo al día de todo aquello que he estado viendo últimamente y que creo que puede ser de utilidad.
Además, he decidido categorizar las entradas para que de un vistazo podais intuir de que va el tema y proporcionaos así más información de primeras.
Voy a empezar esta "puesta al día" por una aplicación que me dio a conocer mi actual compañero de trabajo Carlos de las Marinas y que sin duda alguna ha pasado a formar parte de mi biblioteca de aplicaciones. Este programa es Xmind.
Xmind es una aplicación que nos permite poner en orden nuestras ideas y plasmarlas esquemáticamente, permitiendonos crear diagramas que plasman la realidad en un momento determinado del tiempo. Esto nos permite, por ejemplo, organizar tanto las próximas entradas de este blog como algunas de las categorías sobre las que podrían figurar los post en un futuro. Aqui os dejo el diagrama obtenido y también una captura de pantalla para que tengais una perspectiva visual de qué es lo que nos ofrece.
Esto es solo una pequeñísima muestra de lo que esta aplicación nos puede ofrecer. En el caso de Carlos y mio esto nos ha sido especialmente útil para poner en orden la situación de los diferentes servicios de una organización.
No dudeis en visitar la página principal de XMind porque allí se muestra la potencia de la que dispone esta excelente aplicación.
Ah, se me olvidaba, además es open source.
Un saludo.
jueves, 16 de julio de 2009
Inteco pone en marcha la oficina de Seguridad del Internauta
Antes de nada quisiera disculparme por mi ausencia, no, no me he aburrido de escribir aquí, ni mucho menos :). Estoy inmerso en un cambio de proyecto en el trabajo que me lleva un poco ocupado y además... os estoy preparando un primer artículo técnico (seguridad lógica pero no os digo de qué, lo que si os digo es que va a ser largo) de forma que ando realmente ocupado y apenas tengo tiempo para escribir aunque ahora más que nunca, con algún compañero nuevo, en un nuevo entorno y con miles de cosas por aprender se me pasan una idea tras otra para ponerla aquí. Lamentablemente lo que falta es el tiempo para dejarlas plasmadas por escrito pero espero que poco a poco les pueda ir dando salida.
Ahora la noticia...
Desde hace un par de días está disponible desde INTECO la oficina de seguridad del Internauta donde se ofrecen diferentes servicios al ciudadano. Esta iniciativa, en consonancia con el objetivo de Inteco de acercar la seguridad a particulares y PYMES pone en marcha varios servicios entre los que podemos encontrar:
Ahora la noticia...
Desde hace un par de días está disponible desde INTECO la oficina de seguridad del Internauta donde se ofrecen diferentes servicios al ciudadano. Esta iniciativa, en consonancia con el objetivo de Inteco de acercar la seguridad a particulares y PYMES pone en marcha varios servicios entre los que podemos encontrar:
- Pruebas de conocimiento
- Consejos acerca de seguridad
- Atención telefónica
- Atención Online
- Foro
- Avisos de seguridad
- Noticias
- Utilidades Gratuitas
- Glosario de Términos
Etiquetas:
inteco,
oficina de seguridad del internauta
martes, 7 de julio de 2009
Nuevo Máximo responsable del MI6 ve comprometidos sus datos vía Facebook
Ya analicé en su día el peligro de las redes sociales en cuanto a sus políticas de uso (desde mi punto de vista abusivas) y al cuidado que se debe llevar en la utilización de estos servicios. Existe un gran desconocimiento en cuanto a qué condiciones estamos aceptando al utilizar estos servicios de forma que ocurren cosas cómo la siguiente:
Fuente: http://www.fayerwayer.com/
Salu2!
La noticia completa en castellano podeis encontrarla aquí y en inglés en este otro sitio.Al parecer nadie le avisó a la señora de Sir John Sawers que su marido sería nombrado como máximo jefe de los servicios secretos del Reino Unido.
Claro porque fue ella la que subió a su cuenta de Facebook información detallada de su domicilio, lugar donde trabaja, quienes son sus amigos y hasta el lugar donde suelen pasar sus vacaciones en familia. La información estuvo disponible en el sitio sin ningún tipo de restricción, por lo que cualquier usuario de la red podía tener acceso a ella.
A tanto llegó la devoción por su marido que no dudó en publicar algunas fotografías de la familia, incluyendo los mensajes de felicitación que recibieron luego de enterarse del cargo al que sería asignado su flamante esposo. [...]
Fuente: http://www.fayerwayer.com/
Salu2!
Etiquetas:
datos publicados en facebook,
MI6
jueves, 2 de julio de 2009
La Guerra Fría Digital
Hoy en día, no hay ninguna duda de que nos encontramos en una nueva era y una nueva sociedad, la era digital y la sociedad de la información. Tampoco cabe duda de que actualmente sería difícil pensar en un desarrollo vertiginoso de la difusión de conocimientos y la disponibilidad de la información sin una base tecnológica e informática. Las organizaciones dependen de la tecnología hasta el extremo y su información se encuentra albergada en sistemas de cuya seguridad depende el buen funcinamiento de una parte de la organización y en casos muy críticos, de la organización completa. En torno a esta información giran las actividades de negocio, el trabajo de las personas y en última instancia y desde un punto de vista global, la economía de un país.
Por todo lo anteriormente mencionado, resulta interesante reflexionar en el cambio de planteamiento al que estamos asistiendo, podemos decir que desde ya a nivel global, en cuanto a la defensa nacional. Pensando fríamente, con un grupo de Hackers bien confeccionado se podrían plantear objetivos estratégicos (organizaciones guvernamentales, grandes empresas por volumen de negocios, empresas con colaboraciones con defensa, empresas del sector energético y un largo etcétera) que pueden ser dañados vía Internet. El ejército norcoreano dispone de un ejército de 100 Hackers, desde Estados Unidos sonaron declaraciones sobre un posible ataque de un hacker chino al pentágono, también Inglaterra e Israel los han sufrido. Todo aquello que está expuesto a Internet es susceptible de ser atacado y es por ello que se debe analizar aquello que resulta crítico con el objeto de imponer la medidas de seguridad adecuadas para su protección.
Diferentes gobiernos a lo largo y ancho del planeta han creado ya o se disponen a crear ejercitos de hackers y estrategias de ciberdefensa y es que "cuando el río suena, agua lleva". Líderes guvernamentales de todo el mundo comienzan a establecer la cyberseguridad como una de sus prioridades dándole la importancia y atención que merece un elemento básico de un castillo de naipes que si pierde uno de sus pilares clave, la información, caerá pudiendo arrastrar con él parte del sustento económico de la nación.
El ejército Americano dispuso hace bastantes años de un escudo antimisiles con el objetivo de proteger su territorio de posibles ataques externos (principalmente de los rusos) lanzando un mensaje al mundo, "señores, tenemos un escudo antimisiles, si nos atacan, más vale que acierten". La Seguridad Nacional está empezando a contar con la seguridad lógica y por ende la disuasión ha cambiado de ámbito, hace apenas unas semanas Jeff Moss fue nombrado Asesor de Barack Obama pasando a formar parte del Consejo Asesor de Seguridad Nacional de Estados Unidos, también se ha trasladado de escenario; el pasado 10 de Junio el parlamento europeo aprobaba una propuesta para impulsar un plan europeo de ciberseguridad. Y es que, señores, podemos seguir con la filosofía del avestruz y esconder la cabeza bajo tierra o coger el toro por los cuernos y afrontar los riesgos que plantea un entorno dinámico, una sociedad informatizada y una información globalizada. Bienvenidos a lo que es a día de hoy, y esperemos que siga siendo, La Guerra Fría Digital.
Salu2!
Por todo lo anteriormente mencionado, resulta interesante reflexionar en el cambio de planteamiento al que estamos asistiendo, podemos decir que desde ya a nivel global, en cuanto a la defensa nacional. Pensando fríamente, con un grupo de Hackers bien confeccionado se podrían plantear objetivos estratégicos (organizaciones guvernamentales, grandes empresas por volumen de negocios, empresas con colaboraciones con defensa, empresas del sector energético y un largo etcétera) que pueden ser dañados vía Internet. El ejército norcoreano dispone de un ejército de 100 Hackers, desde Estados Unidos sonaron declaraciones sobre un posible ataque de un hacker chino al pentágono, también Inglaterra e Israel los han sufrido. Todo aquello que está expuesto a Internet es susceptible de ser atacado y es por ello que se debe analizar aquello que resulta crítico con el objeto de imponer la medidas de seguridad adecuadas para su protección.
Diferentes gobiernos a lo largo y ancho del planeta han creado ya o se disponen a crear ejercitos de hackers y estrategias de ciberdefensa y es que "cuando el río suena, agua lleva". Líderes guvernamentales de todo el mundo comienzan a establecer la cyberseguridad como una de sus prioridades dándole la importancia y atención que merece un elemento básico de un castillo de naipes que si pierde uno de sus pilares clave, la información, caerá pudiendo arrastrar con él parte del sustento económico de la nación.
El ejército Americano dispuso hace bastantes años de un escudo antimisiles con el objetivo de proteger su territorio de posibles ataques externos (principalmente de los rusos) lanzando un mensaje al mundo, "señores, tenemos un escudo antimisiles, si nos atacan, más vale que acierten". La Seguridad Nacional está empezando a contar con la seguridad lógica y por ende la disuasión ha cambiado de ámbito, hace apenas unas semanas Jeff Moss fue nombrado Asesor de Barack Obama pasando a formar parte del Consejo Asesor de Seguridad Nacional de Estados Unidos, también se ha trasladado de escenario; el pasado 10 de Junio el parlamento europeo aprobaba una propuesta para impulsar un plan europeo de ciberseguridad. Y es que, señores, podemos seguir con la filosofía del avestruz y esconder la cabeza bajo tierra o coger el toro por los cuernos y afrontar los riesgos que plantea un entorno dinámico, una sociedad informatizada y una información globalizada. Bienvenidos a lo que es a día de hoy, y esperemos que siga siendo, La Guerra Fría Digital.
Salu2!
Etiquetas:
ciberdefensa,
Guerra fría digital,
hacker
Suscribirse a:
Entradas (Atom)