Welcome Enjuto!!
Ahhh! Y para los que sois fans de Bill Gates, os dejo este otro video sobre sus nuevas instalaciones… salen unos pueblos muy majos ;)
Security Information - Ethical Hacking - Technology - Audit - Intelligence
13:15 Gmail sigue AFK.
Ahora es cuando me acuerdo de entradas como esta:
http://www.enriquedans.com/2008/10/trucos-para-quien-depende-de-gmail.html
Y de avisos como este:
http://www.securityartwork.es/2008/10/30/%c2%a1esto-es-un-escandalo/
Menos mal que el tiempo da la razón...
Tranquilos niños, encontraremos vuestros datos sanos y salvos.
Respuesta: Ponte los guantes Jimmy, vamos a manipular cadáveres.
Siendo cierto que los Reyes Magos ya pasaron, dejando regalos, betas de Windows 7 y carbón a diestro y siniestro, hoy quiero presentaros un juguetito pensado para intervenir cuando los que no se portan bien hacen de las suyas. El mismo es un kit de análisis forense que permite a nuestros Sherlock Holmes presentarse en la escena del crimen y comenzar a recolectar evidencias que integradas en nuestra “cadena de custodia” y siguiendo los respectivos procedimientos de etiquetado, clasificación, duplicado, etc. pueden ser analizadas en nuestro laboratorio forense.
Salu2!
El poyo está en el horno, repito, el poyo está en el horno.
Respuesta: ¡Abran fuego!
Espera, creo que no me ha entendido nadie, lo diré de otra forma, a ver si con esta pista:
¡Si yo hubiera conocido estas cosas en el insti!
http://en.wikipedia.org/wiki/Steganography
Salu2!
Every day it’s a Zero day.
Response: Yeah
Zumito por aquí, cafetito por allá, y ya habíamos recuperado fuerzas para las dos charlas que nos quedaban:
Microsoft: Plataforma de Seguridad Integrada à En esta charla pudimos conocer al nuevo evangelista de Microsoft que viene a sustituir al llamado “Padre Parada”, era Fernando Guillot (¿o Paulo Dias? La verdad me hago un lio con los nombres, tendré que repasarlo). Allí pude enterarme del nuevo Windows Morro! (Si si, no es coña. Tiene ese nombre :D) Que viene a ser una capa de seguridad adicional y gratuita para nuestros XP, Vista y futuro Windows 7. Añade al WSUS (Parches y actualizaciones de Spectra) y Windows Defender (Firewall + anti spyware) el Windows Live One Care, solo que este ultimo a partir de Junio será gratis (¡aprovechad para comprarlo ahora!). Ello dará al usuario doméstico una suite de seguridad bastante completa de forma “gratuita”. A más altos niveles pude conocer el Microsoft Forefront, que se levanta como plataforma de seguridad unificada para nuestra red, permitiendo seleccionar y configurar las políticas de seguridad aplicables en puestos de trabajo, firewalls, antivirus, servidores, desde la consola central llamada Stirling Forefront, una solución interesante. También tuvimos ocasión de conocer algo de la tecnología GAPA que protege contra vulnerabilidades (incluidas las zero day, o así lo venden) en la capa aplicación del la pila OSI. En resumen un buen repaso a las tecnologías de seguridad de Microsoft, con frases interesantes como gestión de la seguridad de 25.000 equipos con 4 máquinas y la suite Microsoft Forefront, donde dos de ellas son para WSUS (el ISA Server y todo lo demás en las otras 2), escalad (o reducir) y echáis cuentas en vuestra empresa.
Informatica 64: Metadata Security à Cuando nos quisimos dar cuenta entró Chema Alonso con su FOCA, la cual estaba particularmente glotona y se tragaba documentos de 100 en 100. Si alguno no lo sabéis, esta aplicación extrae los metadatos de archivos ofimáticos e imágenes principalmente. ¿Que qué hay en los metadatos? Pues echad un vistazo a las estadísticas de FOCA y haceros una idea, usuarios, impresoras, rutas de red, etc. Con todo ello y el ejemplo de Tony Blair y los archivos de la CIA el hombre de el lado del mal no lo tuvo difícil para ganarse a la audiencia, así nos habló de otras herramientas que extrain metadatos como Libextractor y Meetagoofil, también pudimos ver que la suite de Office 2007 ya permite limpiar los metadatos:
Y de cómo para office 2003 / XP Microsoft publicó la RHDTOOL. Y no dio tiempo para mucho más, luego la “tradicional” ronda de preguntas + chupito que Chema suele contar en su blog. Una mañana bastante productiva la verdad.
PD: El chiste fue, ¿las focas comen pingüinos?
Salu2!
Están son las XBOX que NO nos regalaron :-(
Y este es Dino, a sus 6o millones de años se conserva muy bien.
¡Dios mío! ¡Nuestras BB.DD se están pegando con los OS/390 mientras los Solaris apuestan con los Windows Server!
Respuesta: Permaneced tranquilos, esto es un trabajo para el MetaDirectorio.
Tito GigA, Tito GigA, ¿Qué es un metadirectorio? No te preocupes chiquitín, te lo voy a contar para que me entiendas, ¿te acuerdas de cuando haglamos de la gestión de la identidad?, pues algo tiene que ver…
¿Conoces a los señores de RR.HH?, pues estas personas tienen su directorio,,, ¿recuerdas a los chicos de desarrollo?, ¡también tienen otro directorio!, y a que no imaginas que, los del departamento de facturación tienen uno más. Y así está toda la empresa llena de directorios, aunque no todos tienen uno, los hay que van por libre y no quieren juntarse con directorios, ¿pero sabes que es lo peor?. Que entre todos ellos no se llevan bien, además son tímidos y hablan distintos idiomas (aunque casi todos provienen del antiguo estándar X.500). Menos mal que conocieron al metadirectorio, que es un señor que consolida y almacena información de cada uno de los sistemas de nuestra red, además permite utilizar certificados, cifrado mediante SSL para evitar rumores y malentendidos, escalabilidad para que vengan tantos sistemas como quieran, además la administración basada en roles hace que cada usuario acceda y hable con quien tenga que hablar y acceder.
Como comprenderás, este es un trabajo muy duro, pero el metadirectorio se lo ha montado bien, ha desarrollado su propio interfaz con todos los sistemas que necesita hablarse, lo ha llamado “conector”, y mediante servios XML le publican y se subscribe a todos los eventos que pasan a su alrededor, así siempre se mantiene sincronizado, y habla con todo el mundo. Los metadirectorios son muy enrollados, han realizado conectores para:
PeopleSoft
SAP HR
SAP R/3
SAP Web Application
IBM DB2
Informix
Microsoft SQL Server
MySQL
Oracle
Sybase
JDBC
NIS +
Novell eDirectory
Oracle Internet Directory
Sun ONE Directory Server
LDAP
Microsoft Exchange 2000/2003/2007
Novell GroupWise
Lotus Notes
SUSE Linux Enterprise
Debian Linux
FreeBSD
HP-UX
IBM AIX
Microsoft Windows NT Domain
Red Hat AS y ES
Red Hat
RACF
ACF2
Asterisk
VoiceRD
Etc.
Wooooo, ¡cuantos amigos!!! La verdad es que sí,,, y sin facebook.
Salu2!
PD: Haber como os cuento esto sin que os dé el sueñete ;-)
Hey, tu eres un CISSP!
Respuesta: Sólo al 68%
Por qué me meteré yo en estos fregaos, quien me mandaría a mí, con lo bien que estaría yo haciendo… Son las frases que a un estudiante de CISSP no dejan de pasarle por la cabeza. Pasas una hoja, otra, una más, miras el tocho y dices, ¡esto no se acaba nunca! Supongo que prepararse una certificación como esta es una media maratón, y supongo que los que se meten ese tipo de palizas pensarán cosas así (que yo desde luego no completo una vuelta al Retiro xD)
Como dice el refrán, un grano no hace granero, pero ayuda al compañero, y poquito a poco he superado el ecuador del CISSP-All-In-One, que es un libro escrito por Shon Harris donde explica de la forma más amena posible los 10 CBK Domains, como ellos los llaman. Sin embargo existen otros muchos libros para prepararte esta certificación, algunos de ellos son:
· CISSP Prep Guide Gold Edition
· The HisM Fith Edition Auerbach
· CISSP Study Guide Ed Tittel
· CISSP Training Guide, Roberta Brag
· CISSP Exam Cram
· CISSP for Dummies
· Etc.
Las buenas prácticas recomendarían estudiarse al menos dos de estos libros (por si las flies), pero el tiempo apremia, y muchas veces hay que ser un poquito práctico, asi que entre capítulo y capítulo me voy haciendo algunos test. ¿Dónde? Pues existe una página que es de obligada consulta para esta certificación, se llama www.cccure.org , en ella hay videos comentados por Shon Harris (esta chica da para todo) de cada Dominio del conocimiento, tutoriales, foros, recomendaciones y,,, preguntas, cientos de preguntas donde con solo registrarte tienes acceso de forma gratuita, ¿Qué cómo voy yo? Pues bordeando la delgada línea roja:
Your score: 68% (17 of 25) questions.
Total time used: 11 minutes 47 seconds (average 28 seconds per question).”
Si recordáis es necesario un 70%, y las preguntas no son 25, sino 250, pero todavía estamos a tiempo, ¿verdad?
Happy Lovers Week ;-)
No me gusta nada que mis amigos y conocidos me reenvíen Spam, no acabo de entender como después de darle la paliza a alguien con Seguridad, luego se la cuelen doblá. Por que quien se va a creer que el hombre más rico del mundo esté repartiendo cheques de 1000$ a todo aquel que se lo solicite antes de morir. Digo yo que tendría que ser alguien de la lista Forbes , y saldría en las noticias, ¿no?
Siendo amable con el correo diré que es Spam si, y que trata de engañar al usuario, también. Pero no le roba nada, por que a la frase “pincha en este enlace, introduce tus datos y te mandamos el cheque”, le podemos sacar muchas mentiras, por que no hay donde introducir tus datos, y nadie te mandará nada. ¿Qué ocurre? Que los usuarios que investiguen donde meter sus datos se darán cuenta que no pueden, así que harán clic en alguno de los anuncios que la pagina tiene, entonces el sistema de google-ads tras X visitas proporcionará $$ al autor del blog.
Ingenioso para estos tiempos de crisis…. Pero poco perspicaz, ¿cuánto puede tardar google en descubrir el fraude?… y con todos los datos del usuario en cuestión, solo le falta decir que no tiene abogado :D
Por cierto, ¿conoceis el origen del Spam?
Salu2.