Artículos 2011

Revista IAI #98: El Primero en Responder (First Responder)

ISec Lab #16 Seguridad en Android (I).

El País: Un investigador español detecta una seria vulnerabilidad en Facebook.

Revista SIC #95: Retorno de Inversión de PCI DSS.

Revista SIC #94: Controles técnicos de seguridad para la protección de aplicaciones web.

ISec Lab #13 Hardening básico de Linux Permisos y Configuraciones.

PenTest Magazine: PCI-DSS Network Segmentation.


Revista IAI98- Primero en responder - First responder  

Revista IAI #98 El Primero en Responder (First Responder). (Octubre 2011)

Artículo publicado en la revista del Instituto de Auditores Internos que describe, de forma general, la figura del primero en responder ("first responder" en inglés) como elemento clave para desencadenar todo el procedimiento de respuesta a incidentes en una organización y su papel fundamental en la gestión de la cadena de custodia.

 

pdf


ISec Lab #16 Seguridad en Android (I)  

ISec Lab #16 Seguridad en Android (I). (Septiembre 2011)

En esta serie de ISecLabs pretendemos enseñar muchas cosas sobre Android centrándonos en el lado de la seguridad: cómo se implementan los controles de seguridad en este Sistema Operativo, cómo se define o regula la seguridad en el software que podemos instalar en un terminal, analizando de forma global el malware que lo afecta, como crear entornos para el análisis de este malware mediante el SDK de Android y algunos proyectos muy interesantes con cierta solera, pero más desconocidos, como Kirin y otros más recientes sobre los que se ha hablado mucho en el mundo del análisis de malware Android como DroidBox.

 


Presentación Respuestas SIC seguridad aplicaciones  

El País: Un investigador español detecta una seria vulnerabilidad en Facebook. (Julio 2011)

Artículo publicado en el diario El País acerca de una vulnerabilidad de seguridad descubierta en Facebook por parte del Director de Auditoría de Internet Security Auditors, Vicente Aguilera.

 


Presentación Seguridad OWASP PA-DSS  

Revista SIC #95: Retorno de Inversión de PCI DSS. (Junio 2011)

Artículo publicado en el número 95, correspondiente a Junio de 2011, de la revista SIC.
Se analiza en detalle como la disminución del riesgo (en términos económicos) aportada por la implantación de la normativa PCI DSS supera ampliamente a los costes de un potencial incidente de seguridad relacionado con tarjetas de pago. Por lo tanto, la inversión necesaria para adecuar los procesos de una compañía a la normativa PCI DSS tiene un retorno positivo.

 


Presentación OWASP Top10 2010 ADWYS CON'11  

Revista SIC #94: Controles técnicos de seguridad para la protección de aplicaciones web. (Abril 2011)

Artículo publicado en el número 94, correspondiente a Abril de 2011, de la revista SIC.
El artículo muestra, a través de una serie de proyectos OWASP, distintas técnicas de protección de aplicaciones web haciendo hincapié en áreas como arquitectura, autenticación, gestión de sesiones, control de acceso, validación de datos de entrada, codificación de salida, criptografía, gestión de errores y logging, protección de datos, seguridad en comunicaciones, seguridad en HTTP, configuración de seguridad, código malicioso y seguridad interna.

 

 


#ISec Lab #13: Hardening básico de Linux Permisos y Configuraciones.  

ISec Lab #13 Hardening básico de Linux Permisos y Configuraciones. (Marzo 2011)

En esta ocasión nuestro IsecLab tratará sobre un aspecto muy importante a la hora de administrar un servidor, su securización (ing: hardening). Cómo los sistemas operativos de la familia *nix son los más usados y los que nos permiten una mayor configuración, el presente artículo se referirá a dichos sistemas. La configuración de un sistema operativo no es algo trivial y requiere un cuidado minucioso de cada uno de los aspectos. Por esa razón se introducirán los aspectos más básicos como son los permisos y configuraciones base. En el presente texto se intentará dar una explicación detallada de como funcionan los permisos y atributos de los ficheros y como configurarlos correctamente para evitar accesos inapropiados a datos sensibles en el servidor. Asimismo, se hablará de aspectos relacionados con la configuración, tanto del sistema como de posibles servicios que en él se alojen. Se intentará enfocar el texto tanto para el acceso remoto como el local, ya que ambos aspectos son sumamente importantes para el buen funcionamiento de éste.

 


Segmentacion de red para reducir alcance PCI-DSS  

PenTest Magazine: PCI-DSS Network Segmentation.(Enero 2011)

Artículo en inglés publicado en la revista PenTest, en el que nuestro compañero Marc Segarra describe la importancia, desde el punto de vista de la simplificación del cumplimiento de PCI DSS como herramienta, de la reducción del ámbito de afectación y aplicación del estándar siguiendo una pauta de buenas prácticas y una correcta interpretación de los controles de la norma.

  pdf