Search Results for: cloud

Data Protection Day

Por Kranya Berrios y Samuel Segarra:

¡Cumpleaños feliz, cumpleaños feliz, te deseamos todos, cumpleaños feliz! El Día de la Protección de Datos en Europa celebra su décimo aniversario y es por ello que queremos dedicarle la presente entrada (y darle un cariñoso tirón de orejas).img

¿Qué celebramos hoy?

No, no es el décimo cumpleaños de la LOPD, tampoco lo es de la directiva 95/46/CE, que nadie se confunda. El DPD (del inglés, Data Protection Day, también conocido como Data Privacy Day en EEUU) es una jornada para difundir entre la ciudadanía los derechos y obligaciones en materia de protección de datos.

[Read more…]

Queridos reyes magos…

reyes_magos-01-01Nosotros hemos sido muy buenos y nos hemos portado muy bien, o eso creemos. Sin embargo, en el mundo de la ciberseguridad hay otros que se han portado muy mal y según los pronósticos de los expertos, este año que comienza se portarán aún peor. Por eso os pedimos estos regalos para poder hacer frente a las principales amenazas y tendencias que veremos en 2016:... Leer Más

Me pareció ver un lindo patito: USB Rubber Ducky

Hace poco estuve trasteando con un juguetito nuevo que me regalaron y se trata del USB Rubber Ducky. Sí, con qué poco se puede mantener a un friki entretenid@ durante días! (Señores Reyes Magos, este año he sido muy buena también, ejem ejem).

De forma resumida, USB Rubber Ducky es una herramienta hardware de hacking, internamente tiene un procesador, aunque a simple vista parece un USB, aunque emula ser un teclado, de tal forma que cuando se conecta a un ordenador/dispositivo éste lo reconoce como un teclado y ejecuta las instrucciones que tenga cargadas en una memoria SD que lleva.

[Read more…]

Identidad y acceso «inteligentes» para mejorar la eficiencia, la seguridad y la experiencia de usuario

La gestión de identidades y acceso está cambiando. Los sistemas que la soportan manejan datos muy diversos: cuentas, permisos, roles, políticas de acceso, flujos de trabajo y actividad de los usuarios. Los datos de gestión de identidad y acceso están dispersos en distintos sistemas y aplicaciones.  Además si se manejan muchas identidades, roles y perfiles o si estas son muy activas el volumen de datos es importante.

A pesar de ser tan diversos, dispersos y de gran volumen, ha habido grandes avances de interoperabilidad en el intercambio de estos datos, motivados en gran medida por:

  • El uso de las redes sociales que permiten utilizar el perfil personal para acceder a otros servicios, el llamado social login, convirtiéndose en verdaderos proveedores de identidades
  • El e-commerce y los servicios cloud que han motivado el desarrollo de mecanismos de federación de identidades que permiten a distintas empresas disponer de un único punto de autenticación y autorización

[Read more…]

Crónica Navaja Negra & ConectaCon 5º Edición (#nnc5ed)

(Este post ha sido elaborado por integrantes del grupo ENIGMA, el proyecto formativo de S2 Grupo en materia de ciberseguridad. Está integrado por alumnos de último año de carrera o recién licenciados a los cuales se les facilita una beca remunerada que consiste en asistir a un curso de formación presencial impartido en S2 Grupo. Gracias Joan, Jesús, Alberto, Pablo, Vizu, Pedro, Enrique, Asier y Jose G.)


Introducción

nn1Los días 1, 2 y 3 de octubre tuvo lugar en Albacete la 5ª edición de la Convención Navaja Negra, que congregó a unos 650 asistentes entre los que se encontraban tanto expertos como aficionados, estudiantes y profesionales, todos ellos con un denominador común, su pasión por la seguridad informática.

En palabras de cr0hn y s4ur0n, dos de los organizadores y creadores del evento, la idea surgió entre cervezas, como un grupo de gente que se juntaba por su interés común y poco a poco, siguiendo sus principios de humildad, compartir y aprender, fue creciendo hasta convertirse en lo que es hoy. Este año, movidos por esos mismos principios, se unió también la gente de ConectaCon haciendo de este un evento mucho más grande.

[Read more…]

Knocking on servers doors

¿Quién no ha visto en algún tebeo o película al protagonista golpeando unos puntos concretos en la pared o moviendo unos libros de la librería para que mágicamente se abra un acceso oculto? Quizás surgió de ahí la idea de crear Port Knocking, un script cuyo funcionamiento se podría comparar al de una combinación que permite abrir una caja fuerte.

El objetivo de esta herramienta es habilitar de forma temporal el puerto al que se quiere conectar mediante una serie de llamadas previas a otros puertos (knocks) en un orden determinado. El único requisito previo para que funcione es tener instalado un firewall a nivel local, que será quien habilite y bloquee los accesos realmente. En nuestro caso utilizaremos iptables, el cual ya viene incluido en distribuciones como Debian, junto a iptables-persistent para no perder los cambios que vayamos realizando.

[Read more…]

XCodeGhost: Entre fantasmas

Quien más, quien menos ha leído acerca de XCodeGhost. Una reciente bomba informativa que se ha vertido a los medios de comunicación como “App Store Hackeada”, dando a entender que el servicio de compra y descarga de aplicaciones había sido hackeado.

Espera, espera, espera…

[Read more…]

Nueva LOPD. ¿Será un peliculón?

¿Han oído hablar de la nueva normativa europea sobre la protección de datos de carácter personal? Seguramente sí, pero probablemente tengan una imagen difusa sobre el estado de la misma. Al menos, esa es la impresión que yo tengo como interesado en la materia. En cierto modo es como si estuviéramos recibiendo información con cuentagotas: pequeños avances, breves fragmentos del tráiler de una superproducción Hollywodiense Europea que marcará un antes y un después. ¿Creéis que será para tanto?

Dado este escenario, hemos considerado oportuno dedicar el presente artículo a la nueva normativa europea, comentando los cambios más significativos, con la intención de establecer un punto de situación, que ayude a nuestros lectores poner en contexto las noticias que lean sobre el tema y permita aclarar algunas cuestiones al respecto.

[Read more…]

El misterioso caso de las manzanas podridas (V)

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)... Leer Más

El misterioso caso de las manzanas podridas (IV)

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)

Según lo visto en la entrada anterior (ver parte I, parte II y parte III), teníamos a nuestra disposición las siguientes evidencias digitales:

  • Volcado lógico de un iPhone5.
  • Volcado físico de un Samsung Galaxy S5.
  • Imagen forense de un Apple MacBook Pro.

La situación es casi la misma que en el caso de R.G, solo que con un portátil de Apple en lugar de uno de HP. El tratamiento de los móviles va a ser exactamente el mismo, así que nos ponemos rápidamente al lío.

[Read more…]