Enorme cantidad de Labs para Test de Penetración

octubre 22, 2013 § Deja un comentario

Recientemente estaba reuniendo algunos materiales de desarrollo para miembros noveles de mi equipo y me frustré un poco hora tras hora en la búsqueda y recolección de materiales.

(De repente ¡algo increíble apareció!)

Ese algo (para quienes recuerden de mi archivo de casos de aventuras) aparentemente tiene una gran cantidad de cosas que usa en sus cursos y me dejó enlace al sitio de Aman Hardikar con un aparentemente ilimitado mapa mental de bondades de test de penetración.

Esta es una de la lista más completas disponible de enlaces a programas de laboratorios para test de penetración que uno nunca va a encontrar. La tabla al final de la página tiene enlaces bien categorizados para laboratorios para:

  • Sistemas Operativos vulnerables
  • Aplicaciones Web vulnerables
  • Sitios de pruebas de seguridad
  • Sitios para mejorar habilidades de hacking
  • Sitios de CTF
  • y ¡mucho más!

Diríjase aquí al sitio de Aman.

Traducción: Raúl BatistaSegu-Info
Autor: Chief Monkey
Fuente: IT Toolbox.com

Anuncios

Clases gratuitas de Seguridad de OpenSecurityTraining

octubre 2, 2013 § Deja un comentario

Me encanta darle publicidad a material de cursos gratuitos que están bien desarrollados y ponen a los estudiantes en un camino productivo para ser (mejores) profesionales de seguridad informática.

El OpenSecurityTraining tiene algunas clases bien pensadas y bien armadas que están en Internet gratuitas y disponibles para tomar ahora mismo. ¿Les mencioné que son gratis?

Las clases (en inglés) incluyen:

[Principiante]

[Intermedio]

[Avanzado]

Fuente: Toolbox.com Security Blog

Tutoriales sobre identidad digital

febrero 4, 2013 § Deja un comentario

Aunque ninguno de nosotros puede controlar todo lo que se sabe acerca de nosotros en línea, hay pasos que se pueden seguir para entender mejor cómo funciona nuestra identidad en línea y tener la facultad de compartir lo que queramos, cuando queramos.
Internet Society ha desarrollado tres cursos interactivos para ayudar a educar e informar a todos los que quieran aprender más sobre su identidad.

Cada uno de los tutoriales dura 5 minutos y brindan una gran base cuando se trata de tomar decisiones acerca de nuestra identidad en línea.

El primer tutorial explica algunas de las diferencias fundamentales que existen entre la identidad en línea y la identidad “real en la vida física”. Enseña a reconocer la naturaleza de las identidades digitales, y entender la diferencia entre la identidad y la privacidad personal.

Este segundo tutorial explica las principales preocupaciones relacionadas con la privacidad en línea, ayuda a reconocer qué tipo de información del usuario se recoge y por qué. Identifica las mejores formas para controlar la privacidad en línea.

El último tutorial le explicará los retos en la protección de la identidad y le ayudará a reconocer las formas en que puede proteger su identidad en línea.

Fuente: Internet Society

Manejando servicios con PowerShell

febrero 4, 2013 § Deja un comentario

En la web de 4SysOps, han creado una serie de 5 artículos en los cuales nos explican cómo controlar, visualizar y manejar los servicios de Windows desde la consola PowerShell.

Puede que controlar los servicios desde una ventana de comandos como PowerShell te parezca muy complicado, pero en estos artículos nos muestran que no. La mayoría son comandos directos, sin utilizar ningún script (sí que usa pipes) , fáciles de entender.

Aquí tienes los enlaces a los 5 artículos:

Si aún no te has atrevido a usar PowerShell (si eres administrador de sistemas y utilizas sistemas Windows, ya estás tardando en aprender), no te lo pienses más.

Fuente: Cyber Hades

Yahoo! Mail permite acceso web seguro SSL

enero 10, 2013 § Deja un comentario

Después de una larga demora Yahoo! Mail se ha puesto a la par de sus principales competidores (Hotmail y Gmail) al habilitar la posibilidad de configurar el acceso web al correo con cifrado SSL.

Si bien en el proceso de ingreso o login, el ingreso del usuario y la contraseña de la cuenta se realizan con una conexión cifrada:

Una vez que se ingresó al correo, la comunicación que continúa no está protegida, no está cifrada:
Esta deficiencia permite a cualquier atacante conectado en la misma red donde está nuestro equipo, por ejemplo en una red WiFi, interceptar el tráfico no cifrado y leer los correos que recibimos y enviamos. Incluso sin mayores conocimientos usando herramientas como FireSheep.
La buena noticia para los usuarios de Yahoo! Mail es que ahora se puede activar la conexión cifrada para toda la sesión de correo yendo a las Opciones de Correo:
y una vez allí hay que tildar el casillero Activar SSL al final de la página, y luego pulsar el boton Guardar:

Luego de lo anterior observamos que la sesión completa de correo permanece cifrada, como se ve a continuación:

Según informa Yahoo! si se accede al correo usando las apps para iOS, Android y Windows 8 ya están protegídas automáticamente con SSL.

Raúl de la Redacción de Segu-Info

Cómo actuar ante un acoso en redes sociales

septiembre 13, 2012 § Deja un comentario

La proliferación de las redes sociales, especialmente aquellas orientados a la amistad y contactos personales, pueden convertirse fácilmente en un recurso donde personas malintencionadas aprovechen la ocultación de su identidad para llevar a cabo acosos u ofertas delictivas de todo tipo.

Nuestra participación en estas redes sociales siempre debe ser prudente con respeto a la divulgación de nuestros datos personales y la difusión de imágenes y comentarios sobre nuestra actividad cotidiana diaria. Todas las redes sociales tienen herramientas suficientes que permiten configurar en varios niveles de seguridad quién va a recibir esta información y quién no. Nuestro primer consejo es conocer adecuadamente dichas herramientas y configurar nuestros perfiles de modo que siempre tengamos controlado el alcance y audiencia de nuestros mensajes.

Pero es obvio que una de los principales alicientes de estas redes es poder contactar con gente cuyo conocimiento sería improbable en la vida cotidiana. Esta puerta abierta es un filón para la realización de prácticas delictivas por el anonimato que ofrece tras un perfil virtual o avatar. Algunas de las más comunes que llegan a nuestro despacho es la de haber recibido ofertas de empleo a cambio de un contacto personal de carácter sexual u ofertas comerciales que son puras estafas.

Ante una situación de este tipo, os recomendamos las siguientes acciones para frenar a estos delincuentes que aprovechan el anonimato que ofrece Internet:

  • Evidentemente, nuestro primer consejo es cortar inmediatamente la comunicación con el individuo que está haciendo un ofrecimiento de este tipo y eliminarlo de nuestro grupo de contactos. Es inútil recriminar su comportamiento al presunto delincuente, suelen ser gente muy acostumbrada a recibir amenazas de todo tipo y el anonimato bajo el que se esconden les protege de sentirse realmente intimidados.
  • En segundo lugar, se debe denunciar el perfil desde el que se ha recibido el acoso ante los responsables de la propia red social. Todas ellas disponen de un formulario de contacto y un protocolo de seguridad y actuación ante estos casos, por lo que simplemente habrá que informarles del perfil desde el que hemos recibido el acoso, amenaza u oferta delictiva y una prueba del diálogo donde se produjo.
  • En tercer lugar, conviene poner en la situación en conocimiento del GIT, el Grupo de Delitos Tecnológicos de la Guardia Civil. En su web podrás hacerlo de dos maneras:
    • Comunicando una alerta sobre lo sucedido mediante un formulario de contacto;
    • Realizando una pre-denuncia que luego habrá que refutar en una comisaría presencialmente, identificándonos con nuestro DNI.
  • Por último, si crees haber sido ya víctima de uno de estos delitos o existe el nombre de alguna empresa implicado en la transacción que se te ha ofrecido, debes ponerte en manos de unabogado especializado que trate a nivel jurídico el caso.

Fuente: Delitos Informáticos.com

Séptima Lección del Algoritmo RSA en el MOOC Crypt4you de Criptored

agosto 11, 2012 § Deja un comentario

Se encuentra disponible en el Massive Open Online Course MOOC de Crypt4you de la UPM la sexta lección del curso “El Algoritmo RSA“, dedicada a la generación de claves con el software estándar OpenSSL.
Podrás encontrarla desde el acceso directo de la lección:
O bien como lección destacada en la sección “En portada” en la página principal del MOOC:
Esta lección tiene como objetivo mostrar cómo se instala OpenSSL en un entorno Windows, la generación de claves RSA en modo comando y su conversión en formato texto (hexadecimal) para poder observar sus parámetros y utilizarlos con otros programas generadores de claves como genRSA y ExpoCrip. Además, se comprueba el descifrado a través del teorema chino del resto usando los parámetros exponent1, exponent2 y coefficient que nos entrega OpenSSL una vez generada la clave RSA. Por último, se comprobará que OpenSSL no genera todas las claves RSA óptimas, analizando esta situación; para ello se hará uso de la nueva aplicación RSA Manager (http://www.criptored.upm.es/software/sw_m001n.htm) que permite generar hasta 999 claves de forma automática y convertirlas en formato texto.
Lección 7: Generación de claves con OpenSSL
Apartado 7.1. Instalación del software Win32 OpenSSL
Apartado 7.2. Generación de claves RSA y conversión a texto
Apartado 7.3. Generación de múltiples claves con RSA Manager
Apartado 7.4. Parámetros de OpenSSL para su uso en el TRC
Apartado 7.5. Test de evaluación de la Lección 7
Apartado 7.6. Datos estadísticos de esta lección
Apartado 7.7. Encuesta
La próxima entrega de este curso sobre RSA, Lección 8 de título Ataque por factorización, se publicará a partir del mes de octubre de 2012.
Se recuerda la existencia de esta encuesta online:

Autor: Jorge Ramió, Alfonso Muñoz – Equipo Crypt4you
Fuente: Hispasec

¿Dónde estoy?

Actualmente estás explorando la categoría tutorial en Seguridad Informática.