martes, 30 de septiembre de 2008

Certificaciones de desarrollo seguro

Leo hoy vía segu-info que ISC ha lanzado una nueva certificación de seguridad, en este caso, de desarrollo seguro, denominada Certified Secure Software Lifecycle Professional. Tengo que decir: ¡ya era hora!.

Ni una sola certificación de las demandadas habitualmente hasta la fecha es específica de desarrollo de aplicaciones, sino que todas son de redes, de sistemas propietarios (Microsoft, Cisco,...) o de gobierno TI (tipo CISA, CISM).

Había un hueco por cubrir, creo que eso está claro (y si me equivoco por favor deja caer un comentario), dado que ahora mismo, por ejemplo, los problemas en aplicaciones web son los más explotados, como dicen muchas estadísticas, por ejemplo el informe que nos hizo RedIris a principios de año, con los datos del 2007.

Parece ser que han dividido el temario en siete temas:
  • conceptos de software seguro
  • requisitos de seguridad en el software
  • diseño de software seguro
  • implementación/codificación segura
  • chequeos de seguridad en el software
  • aprobación del software
  • implantación, operación y mantenimiento del software
El primer examen será en Julio 2009.

Mientras, Microsoft ha anunciado que pondrá a disposición de los usuarios, para descarga, su SDL, según nos dicen en Securityfocus. Asimismo, también lanzará una certificación que acredite el conocimiento y experiencia en dicho SDL, dentro de su programa "SDL Pro Network", así como una metodología de análisis de amenazas (threat modeling) basado en este SDL, según nos dice Microsoft en su sitio web.

A mí me parece que ambas certificaciones prometen, la verdad. Pero espero que no se conviertan en otra medalla más, sino que sea algo realmente útil.
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 1 comentario:
Etiquetas: , , , ,

jueves, 25 de septiembre de 2008

La palabra "hacker"

Sobre el significado de la palabra "hacker" en los medios, y qué actitud adoptar frente a ello. ¿Aceptarlo o insistir aún más?

He leído estos días algo sobre eso de que han hackeado la cuenta de Sarah Palin, de que han hackeado el LHC (la web), y en fin, pues que tampoco es para darle tanto bombo y platillo.

Hombre, la verdad es que sí, que no es para darle bombo y platillo, como bien nos dicen en muchos sitios. Personalmente, el caso Palin me parece que es para sacarlo a los periódicos, por mema. La cosa es que esto me ha hecho reflexionar un poco, acerca de talibanizarse con el uso de la palabra "hacker".

Está muy bien y me parece loable, escribir para dejar bien claro cuándo una vulnerabilidad no es tal, pero ya es mejor dejar aparte el uso desde nuestro punto de vista inadecuado de algunas palabras. A la gente le da lo mismo el nivel técnico que tenga el problema que se haya explotado, porque la gente de a pie no tiene cultura de base al respecto.

Así, el significado de la palabra "hacker" se generalizó, no ahora sino hace mucho tiempo, lo mismo que hablamos de "médicos" y no siempre concretamos su especialidad o su nivel de sabiduría, usando la palabra "médico" por igual para referirse al que pasa consulta en un pueblo pequeño que el que hace operaciones de neurocirugía en el hospital más grande que se pueda imaginar. Absorbió también a todo aquello que los que entienden de seguridad informática no identifican con "hacking", sino con el cracking y otras muchas palabras que orbitan alrededor de la de "hacker". Por eso alguien se inventó esa cosa del "hacking ético" (sí, ya lo se, lo pongo en la cabecera del blog).

Sólo a la gente que se preocupa de temas de seguridad, le preocupa el significado original y genuino de la palabra "hacker", y a los demás pues no. Como muestra de que no hay cátedra al respecto, aunque sea sólo aquí en España, sólo hay que ir a donde se pone por escrito el significado de cada palabra: !al diccionario!, que es donde va a mirar la gente normal. Al diccionario, no a la wikipedia. He aquí:

No dice nada. La palabra ha evolucionado sola, y me parece que ya es hora de aceptar que se usará, ahora y siempre, esta palabra como lo que todo el mundo comprende. Podemos seguir eso de "Perdónalos, porque no saben lo que hacen". O podemos aceptar que el lenguaje ha evolucionado, aunque sea de una manera que no nos gusta un pelo. En cualquier caso, creo que ya vale de insistir en lo mismo.

Por cierto, si a quien redacta una noticia se le pide un poco de investigación y hablar con propiedad... más importante todavía me parece que algunos conceptos comiencen a aparecer en los sitios más básicos. Señores de la RAE, elijan por favor significado para la palabra "hacker": ¿va a tener el genuino, el que tuvo en un principio y después fue deformado según su uso, o el digamos "deformado", pero que es el que entiende la gente de a pie?. Y no me digan que la palabra no es ya de uso común...

A todo esto, que yo sepa, no hay un equivalente en español para la palabra "hacker". ¿Me equivoco?.

Slds!

P.D. perdonadme que esta vez no ponga enlaces a otros blogs: no quisiera que nadie se diera por aludido. Respeto las opiniones de todo el mundo, y no quisiera que este post-reflexión que quiero compartir, fuera tomado como una crítica particular a nadie.
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 2 comentarios:
Etiquetas:

lunes, 22 de septiembre de 2008

Blog services

Para crear un blog (particularmente de seguridad informática) de calidad, hay más de una estrategia a seguir... este post habla de algunas que he encontrado últimamente, y que vale la pena promocionar.

Una de las cosas que todo buen blogger hace en primer lugar, es aprender de blogs con éxito cuáles son las razones por las que son visitados. Un novato cree que consiste en decirle a todo el mundo que tiene blog, pero en dos días entiende que eso no sólo no es suficiente por muchos amigos que tengas, y además es probable que el tema del que escribas les importe un carajo.

Así, pronto aprendes lo que hace de un blog, un buen blog: contenido de calidad. Sobre todas las cosas, eso: lo que escribas tiene que poder interesar a la gente. Es más, para mí, un blog sirve en primer lugar para saber si uno es capaz de escribir (bien) sobre un determinado tema, lo que significa conseguir que sea útil, divulgativo u original. Después, a mi modo de ver, que sea un blog temático ayuda, no me gustan los sitios que tan pronto me hablan de informática como me ponen las fotos de Angelina Jolie o la tía buena del momento. Publicitarlo también ayuda, y rápidamente se entera uno de lo que es un planet, de servicios como technorati y bitacoras.com.

Otra manera de hacer que tu blog resulte atractivo es proporcionar servicios a los demás. Por eso la gente comparte sus enlaces de delicious (que tanto nos recomienda lonifasiko) o indica en algún apartado dónde ha comentado últimamente, así da publicidad a otros blogs, cumpliendo con los mandamientos del buen blogger: hay que referenciar a otros de cuando en cuando (pondré algo de esto en breves, lo prometo). Pero no quiero centrarme en este tema, pues hay muchos otros sitios donde se puede encontrar información mejor que la yo pueda dar sobre cómo hacer un buen blog (a mí me gusta mucho DailyBlogTips).

El caso es que algunos llegan un poquito más allá, y por eso os escribo esta entrada: para dar publicidad a algunos que me han parecido originales, y que he visto en blogs sobre seguridad informática y/o de la información (que como decíamos antes, para mí no son lo mismo).

El primero es el bot de los compañeros de SecurityByDefault: puedes hablar con él tanto en gtalk como en messenger, y te dice cuáles son las últimas novedades en una lista de blogs seleccionados, entre otros servicios. Sencillamente agregar sbd.bot@gmail.com a gtalk, o sbd.bot@hotmail.com al messenger. Para utilizarlo, el comando "help" dirá cuáles son las opciones que permite utilizar. [Bueeeeeeeeeeeeeno, se me ve el plumero, ¿no?, ayer me preguntaban si me importaba que Informático y "Segurata" fuera uno de los blogs que presentan ;) Es por esa invitación que se me ha ocurrido escribir este post].

En otros sitios fomentan el encuentro de personas con intereses similares, creando foros y comunidades virtuales. Tenemos por ejemplo, en el blog Apuntes de seguridad de la información, un foro de seguridad en el que el autor participa, y enlaza en su sitio web con los últimos comentarios del foro. Otros sitios web crean comunidades virtuales, es el caso de logadmin, que hace poco anunció el lanzamiento de House of sysadmins. O, mirando a blogs de habla inglesa, la comunidad creada por el autor de Gnucitizen, House of hackers.

El último servicio blogger lo veía hace unos días en GobiernoTIC (un blog que acabo de descubrir), y me parece una idea increíble: tener una barra propia de búsquedas para Google, de forma que se puedan personalizar los resultados que presenta.

Parece una chorrada, pero si lo pensamos dos veces, puede ser bastante útil. En realidad, buscar bien en Google y similares no es tan fácil: no siempre sabemos expresar correctamente los términos de la búsqueda. Incluso, una vez hemos encontrado lo que buscábamos, ¿por qué no afinar la búsqueda, para obtener los mismos resultados o similares en otras ocasiones, descartando más fácilmente positivos del buscador que en realidad no nos valen?.

Resumiendo: tres tipos de servicios que se pueden dar en un blog, que van más allá de lo que la mayoría de la gente suele hacer, en este caso, blogs relacionados con la seguridad informática. Me ha quedado un post un poquito largo... si habéis llegado hasta el final, será porque os ha gustado :)

Slds!
Si efectivamente te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 9 comentarios:
Etiquetas:

SQL Smuggling

Visto en Yoire.com este paper sobre SQL inyection, titulado SQL Smuggling ("to smuggle" puede traducirse como "pasar de contrabando", o colarse sin ser visto) de la empresa Comsec: es un compendio de técnicas para camuflar ataques de SQL Injection, de forma que se puedan sobrepasar las defensas establecidas a nivel de aplicación o en un WAF.

Y hablando de todo un poco, veía esta entrada en Slashdot, sobre el ataque de inyección SQL que ha sufrido BussinessWeek, y que ha debido convertir su web en un nido de malware...
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en No hay comentarios:
Etiquetas: ,

jueves, 18 de septiembre de 2008

Enlaces a P2P

Enlazar a redes P2P no es delito. Sin más comentarios. Espero que me perdonéis por no hacer un post más largo, con opinión, comentario, o similar, pero hoy, sencillamente, estoy que me caigo de cansancio...
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS... [bueno, por esta entrada particular quizás no, pero alguna de las anteriores puede que te parezca buena]
Publicado por en 2 comentarios:
Etiquetas:

miércoles, 17 de septiembre de 2008

Micro y macro... seguridad

Curiosa e interesante comparación en el blog de Javier Cao, del mundo de la seguridad informática con el de la economía. O mejor dicho, de la seguridad de la información, pues no hay que confundir el continente con el contenido: queremos proteger, principalmente, el contenido, es decir la información, que es lo que vale.

Nos explica (resumiendo, leer su texto que es más amplio y está muy bien) dos conceptos:

Si la microeconomía habla de la economía en relación con acciones individuales (de un comprador, un fabricante, una empresa), la microseguridad nos hablaría de las acciones y decisiones en seguridad de la información en el día a día: tecnología que utilizamos para solucionar un problema, por ejemplo.

Si la macroeconomía se refiere al estudio de la economía de una región o un país, empleando magnitudes colectivas o globales, la macroseguridad tratará también de los problemas y decisiones en seguridad de la información a tomar a nivel global en una organización (empresa, institución, gobierno...). Objetivos, planificación, estrategias, estarían dentro de este concepto.

¿A qué es mejor dedicarse, o qué es más interesante? En este blog, mi intención es anotar y compartir lo que aprendo según esta definición de microseguridad (categoría "Aprendiz de hax0r") y lo que aprendo según esta definición de macroseguridad (categoría "Traje y corbata"). ¿Debería cambiar estas etiquetas a nombres más serios?.

Slds!

P.D. véase también el blog de Paloma Llaneza, para temas de macroseguridad. El contenido del post de Javier salió originalmente en el blog de Paloma Llaneza, que tiene artistas invitados en una categoría de entradas llamada "Aquí un amigo". Me parece una idea muy original :)
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 3 comentarios:
Etiquetas: , ,

martes, 16 de septiembre de 2008

Gestión de riesgos y CVSS

En risktical.com nos hacen una interesante serie sobre gestión del riesgo y CVSS. Realmente, son los pensamientos del autor sobre por qué CVSS puede ser útil para quien haga un análisis de riesgos sobre una nueva vulnerabilidad, y cuáles son las diferencias con respecto al análisis completo. Particularmente, lo relaciona con una metodología de análisis de riesgos denominada FAIR.

Nos hace, entre otras reflexiones, una muy importante, para no confundir términos. Yo los confundía cuando empecé en estos temas, por lo que me parece interesante plasmarlo aquí. Y es que el resultado de la métrica no es una medida real del riesgo que una organización corre, pues hay otros factores a tener en cuenta para calcular la severidad real de una vulnerabilidad para una organización.

Con CVSS, la valoración de una vulnerabilidad no tiene en cuenta las salvaguardas que una organización ya tuviera desplegadas y que pueden servir para mitigar o incluso impedir un posible ataque. Tampoco la frecuencia con la que se tienen pérdidas debido a un ataque realizado con éxito, o el coste de las salvaguardas. Por tanto, es obvio que la medida final que se obtiene con CVSS no es lo mismo que el riesgo real que supone la vulnerabilidad medida. Y sin embargo, en CVSS Guide se indica que uno de los beneficios es obtener un nivel de riesgo priorizado.

Por tanto, CVSS debería ser usado como lo que es, es decir una métrica para valorar una vulnerabilidad por sí misma, y no el riesgo que supone para una organización. Hay que tener en cuenta, además, que el cálculo realizado por CVSS podría variar con el tiempo, pues uno de sus grupos de métricas, "temporal", refleja datos que pueden cambiar, por ejemplo, si hay un exploit efectivo disponible públicamente (en sitios como milw0rm). Por lo que la valoración de la vulnerabilidad en un momento dado, puede no ser la que haya que tener en cuenta finalmente para el análisis de riesgos. O podría requerirse una segunda iteración de este análisis.

Creo que podría ser interesante ver otros mapeos de CVSS con respecto a metodologías de análisis de riesgos.

Aquí van los enlaces a las cinco entradas de que consta la serie, como os digo, muy interesante:
Risk and CVSS - parte 1
Risk and CVSS - parte 2
Risk and CVSS - parte 3
Risk and CVSS - parte 4
Risk and CVSS - parte 5

Entradas relacionadas:
Measurable security: sobre CVSS y otros proyectos de FIRST

Slds!
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 1 comentario:
Etiquetas: , , ,

domingo, 14 de septiembre de 2008

Labo doméstico

Supongo que todos tenemos (o deberíamos tener) la necesidad de cacharrear, de probar cosas, de instalarnos la última distro, el último server, jugar con el último programa o la última herramienta de la que hemos tenido noticia, o probar la última técnica publicada en algún sitio. A mí me pasa, desde luego. Todo esto necesita para empezar tiempo, que es desde luego un bien escaso y además del tiempo, necesitamos algo de infraestructura en casa, si no tenemos la fortuna de que nos la den en el trabajo (cosa que le pasará a pocos, me parece a mí).

Hace unos días salió un hilo en la lista "pen-test" de Securityfocus, sobre los requisitos para montar un laboratorio doméstico. No puedo dejar de reproducirlo aquí en mi blog, pues me parece un tema de interés. Tener un labo de una vez por todas, siempre puesto, para llegar, y sin más, juguetear... qué gran tentación :) . Se propusieron varias opciones:

opción 1 - una única máquina con varios sistemas operativos instalados

Para los que se van a meter menos con temas de redes, y sólo desean tener instalados dos o tres sistemas operativos. Bien si sólo queremos experimentar un poco con aplicaciones, pero creo que se queda un poco pobre en general. Para ir jugando, nos recomiendan damnvulnerablelinux, las aplicaciones para aprender hacking de Foundstone (estos los conocía). También los livecd de De-ICE y un repositorio de software antiguo.

opción 2 - virtualización

En principio, la opción que yo veo como ideal, si no quieres gastar prácticamente nada de dinero. Requiere una o varias máquinas potentes, al menos, con una cantidad de memoria RAM considerable (yo pondría unos 4GB, para ir bien). Sin embargo es muy versátil, ya que puedes crearte redes de máquinas virtuales todo lo complejas que se desee. Hace poco tuve noticia de NetInVM, una red de máquinas virtuales con UML instalado (visto en RaDaJo), que tiene muy buena pinta. Otra opción es usar Netkit.

opción 3 - red doméstica

Para los más exigentes, sin duda. Ideal para todo tipo de pruebas (networking, kernel hacking...) que podrían salir mal por trabajar con máquinas virtuales, pero la opción más cara. Aunque digan por ahí que se puede conseguir con poco dinero, habría que preguntar cuánto dinero es poco dinero. Los requisitos que se detallan son bastante completos:

- dos PCs, configurados para arrancar desde discos duros extraíbles. Cada uno de estos discos tendría varios sistemas operativos, gestionando el arranque con un gestor como LILO o GRUB. Ambos tienen además tanto tarjetas ethernet como wireless, para poder montar todo tipo de escenarios.
- un portátil, que es de donde se lanzarían los ataques
- dos discos duros de gran capacidad compartidos en red (NAS) proporcionan almacenamiento extra a todos los equipos que se instalen. Todas las utilidades de hacking, datos que estas necesiten (diccionarios de contraseñas, por ejemplo), plantillas de configuraciones... serían algo así como nuestra caja de herramientas.
- para preparar redes con arquitecturas diferentes, hará falta al menos un router (se mencionaba un Cisco 2610), más de una tarjeta de red en alguno de los equipos, por si hace falta usarlo para montar un firewall o un IDS... en fin, esto irá en cada uno. Incluso más de una línea ADSL u otra conexión de banda ancha. Esto es lo que realmente vale dinero, me parece a mí.

Además, un pequeño detalle que no se menciona: ¡espacio!. Pues en alguna parte habrá que guardar tanto trasto... y, todo hay que decirlo, no todo el mundo lo tiene.

Conclusión...

¿Y por qué me ha venido a la cabeza escribir un post como este, indicando (con recursos de otros) cómo hacer un laboratorio propio? Pues porque he visto esta entrada en gurú de la informática, sobre honeyd, que llama mucho la atención. Nos explica cómo enmascarar el sistema operativo, para que tenga otro fingerprint. ¿No os apetece probarlo? ¿No apetece tener algo montado ya para probar cualquier cosa, y dejar de pensar "y si tuviera..."?. Por favor, sentíos libres para contar aquí con qué opción os quedais vosotros: la mía, de momento, es la opción 1, pues no hay presupuesto ni espacio para nada más.

Slds!

Actualización: Antonio en WanLinkSniper nos hablaba hace unos días de algo de esto: el concurso de redes domésticas de Cisco.
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 3 comentarios:
Etiquetas: ,

miércoles, 10 de septiembre de 2008

Estadísticas de seguridad web

Se acaban de hacer públicas las nuevas estadísticas de seguridad web que elabora el Web Application Security Consortium (WASC), pueden verse aquí. Son interesantes no sólo porque nos dicen cuáles son los ataques o problemas de seguridad web más comunes, sino porque también evalúan cuál es la manera más efectiva de detectarlos: análisis automáticos, pruebas de caja negra, o pruebas de caja blanca.

Algunas cosas ya las sabíamos, creo yo. Por ejemplo, que los análisis automáticos son representativos, o efectivos, primordialmente en aplicaciones "normales" abiertas a Internet. O que el XSS es el problema más detectado. Otros, sin embargo, no se mencionan tanto comúnmente, por ejemplo, de los datos analizados, puede verse que es mucho más probable detectar posibles fugas de información mediante pruebas de caja negra o blanca que mediante pruebas automáticas.

Se sigue verificando la regla de que las herramientas automáticas aún no pueden sustituir a la experiencia del pen-tester. En la detección de vulnerabilidades de nivel de riesgo bajo, las herramientas de análisis automático son más efectivas, pero cuando nos metemos con los problemas graves o sólo medianamente graves, hay que buscar a mano.

Lectura recomendable :)

Slds!
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en No hay comentarios:
Etiquetas: , ,

lunes, 8 de septiembre de 2008

Confianza

Hurgando el viernes en el trabajo entre los enlaces a recursos que voy leyendo sobre todo esto del problema del DNS descubierto por Kaminsky (no pongo referencia, se ha hablado tanto que sobra) dediqué cinco minutos al sitio de web de Steve Friedl: unixwiz.net. Steve escribió un texto de gran claridad acerca del DNS y el famoso problema, que fue referenciado por el propio Kaminsky en su sitio. Es lo que llama un TechTip.

Bueno, pues hay otro de estos TechTip, escrito hace algunos años, bajo el enlace So you want to be a consultant... que está pero que muy bien. Son sus ideas acerca de cómo hacer las cosas bien cuando te dedicas profesionalmente a la consultoría informática, y me he sentido identificado con bastantes. Habla desde el punto de vista del profesional que trabaja por cuenta propia, no por cuenta ajena, pero la mayoría de los consejos son totalmente aplicables en cualquier caso.

Todos los consejos están orientados a conseguir que aquél que le contrata tenga lo que llama "The warm fuzzy feeling" (ni idea de cómo traducirlo en castellano sin que suene un poco ridículo o sea un chiste guarro) , es decir, una sensación de confianza plena no sólo en las capacidades técnicas de la persona que ha contratado, sino en la persona en sí misma, en que va a responder porque se va a dejar la piel para sacar adelante el proyecto que le hayan asignado. Y también para que uno esté a gusto con lo que hace.

Algunas frases son increíbles, y en general, los consejos son muy buenos. Uno de los que más me ha gustado es el de "Promotion&Advertising", que en realidad, se aplica a todo blogger... En esencia: que la mejor publicidad es la publicación de contenido original y técnico. Y que la habilidad de comunicar bien debe ser entrenada duramente, porque es difícil de alcanzar. Amén a eso. Es complicado y requiere mucho trabajo, es cierto, pero... en ello estamos :) . Las estadísticas de este blog están subiendo, lo que debe querer decir que vamos en el buen camino.

¡Muchas gracias a todos los que leéis Informático y "Segurata"!.

nota: hace años fue slashdoteado ;)
Publicado por en 4 comentarios:
Etiquetas:

domingo, 7 de septiembre de 2008

HackStory

Por cultura general, esto es algo a lo que prestar atención: HackStory. Un wiki creado con la intención de recopilar todo lo posible sobre la historia del hacking.

Lo anuncia su autora, Mercè Molist, en su blog. Otros sitios se hacen eco, por ejemplo, Microsiervos o Yoire.

Ya había olvidado que quería referenciar directamente, en este blog, enlaces a sitios e información sobre el mundo del hacking. La categoría "Aprendiz de hax0r" también estaba para esto... para tener algo de información y aprender sobre los que realmente saben y son hackers de verdad.

Slds!
Publicado por en No hay comentarios:
Etiquetas: ,

jueves, 4 de septiembre de 2008

Deep SQL Injection

Sólo un pequeño apunte, para dejar(me) un enlace a un paper de Ferruh Mavituna, sobre SQL Injection basado en tiempos, que fue lanzado mientras estaba aún en vacaciones...

Me encanta su trabajo, que sigo con atención desde el XSS Shell. Habrá que probar también BSQL Hacker, ¿no?.

Slds!

Actualización a los 5 minutos de poner este post: visto también en elladodelmal
Publicado por en 2 comentarios:
Etiquetas: , , , ,

miércoles, 3 de septiembre de 2008

¿Qué hace falta para ser un Tigre?

Mi amigo oben me pasa este enlace a "How to get a job with pen-testing team", una sátira, aguda y muy divertida, acerca de los tiger-team... ¡Buenísima!. Y ya que me he reído un rato, ¿cómo no compartirla con vosotros?.

Slds!
Publicado por en No hay comentarios:
Etiquetas:

martes, 2 de septiembre de 2008

Nmap en BlackHat

Las últimas novedades de Nmap (versión 4.68 ahora mismo) fueron presentadas en las conferencias BlackHat. Daniel Miessler nos hace un pequeño resumen en su blog, y la ppt se puede descargar por ejemplo en insecure.org. Principalmente:

--reason: la razón por lo que te dice que un puerto está abierto o cerrado.
--top-port: escanear sólo los puertos más utilizados.

Hay que destacar además el nuevo motor para identificar el sistema operativo de la máquina escaneada, el lenguaje de scripting que incorporó en las últimas versiones, y además, la nueva interfaz gráfica, que puede generar un mapa de la red escaneada similar al que hace Cheops (nos indica dmiessler).

Nota final: en septiembre se espera el lanzamiento del libro "Nmap Network Scanning", que promete ser algo a tener en la estantería. Explicará no sólo las opciones de Nmap, sino como aplicarlas adecuadamente en la realización de tests de intrusión, realización de inventarios de red, detectar accesos wireless y proxies abiertos, etc.
Publicado por en 2 comentarios:
Etiquetas: , , , ,

lunes, 1 de septiembre de 2008

Captcha con más de una utilidad

Un captcha puede ser algo más que una medida de protección.

Mi amigo Francisco me escribió un comentario hace unos días, en la entrada en que hablaba de Ibercivis, mencionando otro proyecto interesante: reCAPTCHA, que merece entrada propia, creo yo. La idea de este proyecto también es hacer computación distribuida, con la diferencia de que no será el ordenador el que trabaje en el tiempo en que el usuario no le de caña, sino que sea el usuario el que trabaje directamente, pero sin que se note. ¿Cómo?. Pues usando el sistema de captchas para digitalizar libros escritos antes de que el uso de computadoras se hiciera popular.

Cada una de las imágenes mostradas como captcha en un sitio web (por ejemplo) es una palabra no reconocida adecuadamente por un sistema de reconocimiento óptico de caracteres. Si bien la digitalización de una palabra no es un gran esfuerzo, la combinación del pequeño esfuerzo de millones de personas es más que considerable.

Es un proyecto de la Universidad Carnegie-Mellon, realizado, además, utilizando únicamente software libre. Existen plugins y módulos para un buen número de lenguajes de programación y plataformas de creación de blogs y similares, como nos indican aquí.

En fin, que no hay excusa para no poner un buen captcha en una aplicación de web, cuando hay buenos sistemas para generarlos como el que estamos comentando. Al próximo que vea tan tuzo como para generar un colección de quince o veinte imágenes y que esas sean las únicas que usa su sitio web, permitiendo encima que se puedan descargar todas directamente del mismo sitio, le... le... [contenido violento censurado].

Escribían sobre este y otros proyectos de computación distribuida en Science Daily [gracias Francisco :) ]

Slds!
Publicado por en No hay comentarios:
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)