Quands.catQuands.cat

«Notes sobre seguretat i altres aspectes de la informàtica»

2 Gener 2008


Llibre sobre AJAX i seguretat

Classificat com a: Publicacions, Seguretat en generalComentaris (0)

A mesura que les aplicacions web han anat guanyant popularitat, la utilització d’Ajax s’ha convertit en quelcom ben normal. És la millor forma d’oferir una capacitat d’interactivitat amb l’usuari i facilitar una forma de funcionament semblant a la que estàvem acostumats en les aplicacions tradicionals.

Però Ajax neix de l’aplicació de múltiples “pegats”… és un autèntic hack on s’utilitzen diverses tecnologies existents des de fa temps pensades per a realitzar altres tasques, però que combinades i utilitzades d’una forma particular permeten una funcionalitat nova i innovadora.

Però tot això també mostra un altre aspecte interessant: la seguretat. Ajax no neix amb un disseny específic i amb totes les consideracions necessàries per a la seguretat.  La simple utilització d’Ajax no implica que una aplicació sigui menys segura. Senzillament, com en tot, cal ser-ne conscients i aplicar tot un seguit de consideracions.

Si a tot això hi sumem el fet que la utilització d’Ajax sovint està emmascarada per la utilització d’entorns de programació i biblioteques de funcions.

El llibre que comento aquí, que encara no he llegit, tracta del tema específic de la seguretat en aplicacions Ajax i del que estic veient força comentaris molt positius:

If you are writing or reviewing Ajax code, you need this book. Billy and Bryan have done a stellar job in a nascent area of our field, and deserve success. Go buy this book. I can’t wait for it to come out.

Is it just a re-hash of old presentations? No. The book breaks some new ground, and fills in a lot of the blanks in all of our presentations and demos. I hadn’t heard of some of these attacks in book form before. The examples improved my knowledge of DOM and other injections considerably, so there’s something there for the advanced folks as well as the newbies.

I really liked the easy, laid back writing style. Billy and Bryan’s text is straightforward and easy to understand. They get across the concepts in a relatively new area of our field.

The structure flows pretty well, building upon what you’ve already learnt … there is advanced stuff, but the authors have to bring the newbie audience along for the ride.

Billy and Bryan spend a bit of time repeating the old hoary “no new attacks in Ajax” meme which is big with the popular kids (mainly because their products can’t detect or scan Ajax code yet and still want money from you), and then spend the rest of the book debunking their own propaganda with a wonderful panache that beats the meme into a bloody pulp and buries it for all time.

1 Gener 2008


Revista online sobre PostgreSQL

Classificat com a: Bases de dades, PublicacionsComentaris (0)

Postgres Online Journal és una nova revista online i gratuïta especialitzada en el gestor de base de dades PostgreSQL.

Aquest primer número tracta aquests temes:

31 Desembre 2007


Llibre: “Cripto. Cómo los informáticos libertarios vencieron al gobierno y salvaguardaron la intimidad en la era digital”

Classificat com a: Criptografia, PublicacionsComentaris (3)
Cripto
Comprar el llibre

La història de la criptografia és una d’aquelles on més clarament es pot apreciar l’esperit dels primers anys d’Internet. L’objectiu d’acostar la criptografia per tal que fos una eina a l’abast de tothom no tenia una mentalitat comercial, sinó de garantir els drets de les persones per damunt les intencions de control i les excuses de “seguretat nacional”.

Cripto és un llibre d’Stephen Levy, un reconegut autor de llibres sobre la cultura i la gent que ha construït la xarxa. El subtítol del llibre ja dóna una molt bona idea del que tracta: “Cómo los informáticos libertarios vencieron al gobierno y salvaguardaron la intimidad en la era digital“. El llibre és doncs l’explicació de la història del naixement de la criptografia pensada per a ser utilitzada de forma general per tothom i no com una eina de guerra per part dels exèrcits i els governs (especialment el govern dels Estats Units, ja que els protagonistes d’aquesta història desenvolupen la seva activitat bàsicament en aquell país).

A Cripto coneixerem com va néixer la criptografia de clau pública, les desventures de les primeres empreses que van comercialitzar productes de criptografia, l’aparició del primer sistema criptogràfic d’ús general (PGP), la resposta de l’administració nord-americana per a impedir que les persones puguin ‘amagar informació (el xip Clipper, un sistema criptogràfic universal però sota el control del govern, que és el dipositari de les claus de forma que el pot intervenir quan vulgui), les restriccions per a l’exportació…

I també al llibre veiem un dels efectes més clars del perjudicial que és l’existència dels exercits amb els seus secretismes i accions fora del coneixement general. La criptografia de clau pública fou descoberta molts anys abans del que tothom s’imaginava per membres de l’exèrcit britànic. Però com això era matèria reservada, no va poder ser coneguda fins molts anys després. Així una investigació pagada amb diners públics va restar oculta i va ser necessari que passessin molts anys per tal que fos redescoberta.

Cripto és un llibre de fàcil i ràpida lectura. No calen coneixements matemàtics per a llegir aquest llibre, ja que no tracta sobre els mètodes de xifrat sinó sobre com unes persones amb uns ideals de llibertat i protecció de la privadesa van esforçar-se per acostar les eines necessàries per a poder fer realitat aquesta llibertat i de privadesa.

Títol: “Cripto. Cómo los informáticos libertarios vencieron al gobierno y salvaguardaron la intimidad en la era digital” (”Crypto. How the Code Rebels Beat the Government“)
Autor: Steven Levy
Traducció: Dimitri Fernández Bobrovski
Alianza Editorial
366 pàgines
Edició 2002
ISBN: 9788420691084

11 Desembre 2007


Guies de configuració de seguretat de la NSA

Classificat com a: Bases de dades, Linux, Publicacions, Unix, WiFi, WindowsComentaris (4)
Guies d’aplicacions Mida Data
PDF icon Oracle Application Server Security Recommendations and DoDI 8500.2 IA Controls 294 KB Desembre 2006
PDF icon Oracle Application Server on Windows 2003 Security Guide 332 KB Desembre 2006
PDF icon Security Guidance for Using Mail Clients 247 KB 01 Febrer 2007
PDF icon Mail Client Security Cheat Sheet 153 KB 01 Febrer 2007
PDF icon Secure Instant Messaging 224 KB 01 Febrer 2007
PDF icon BEA WebLogic Platform Security Guide 840 KB 04 Abril 2005
PDF icon Guide to Microsoft .NET Framework Security 1,995KB 11 Novembre 2006
PDF icon Microsoft Office XP/2003 Executable Content Security Risks and Countermeasures Guide 589KB 10 Febrer 2005
PDF icon CIS Exchange Server 2003 Benchmark, Version 1.0 2,833KB 2005
PDF icon Guide to Secure Configuration and Administration of Microsoft Exchange 2000 4,200KB 15 Desembre 2004
PDF icon Microsoft Office 2000 Executable Content Security Risk and Countermeasures 806KB
PDF icon Guide to Using DoD PKI Certificates in Outlook 2000, version 2.0 800KB
PDF icon Systems Management Server 2003 Security Guide 1,657KB 01 Abril 2005
Documents de suport de les guies Mida Data
PDF icon Web Application Security Overview 2,645 KB
PDF icon How to Securely Configure Microsoft Windows Vista BitLocker 1,049KB
PDF icon Configuring a PC to Remotely Administer a Cisco Router Using the Router Console 233KB
PDF icon Configuring a Cisco Router for Remote Administration Using the Router Console 245KB
PDF icon Biometrics Security Considerations 282KB
PDF icon Disabling USB Storage Drives 295KB
PDF icon The 60 minute Network Security Guide 820KB 15 Maig 2006
PDF icon Outlook E-mail Security in the Midst of Malicious Code Attacks 412KB 18 Abril 2005
PDF icon Defense in Depth 131KB
PDF icon Guide to Sun Microsystems Java Plug-in Security 288KB 01 Abril 2004
PDF icon The Case for Using Layered Defenses to Stop Worms 174KB
PDF icon So Your Boss Bought you a New Laptop…How do you identify and disable wireless capabilities 883KB Maig 2007
PDF icon Enterprise Firewall Types 108KB 01 Agost 2006
PDF icon Desktop or Enterprise Firewall? 72KB 01 Agost 2006
PDF icon Enterprise Firewalls in Encrypted Environments 64KB 01 Agost 2006
ZIP icon Zipped Supporting Documents Security Configuration Guide 4,283KB 13 Setembre 2007
Guies de Solaris Mida Data
PDF icon Guide to Secure Configuration of Solaris 8 558KB 21 Juliol 2004
PDF icon Guide to Secure Configuration of Solaris 9 1,200KB
Apple Mac OS X 10.3 ‘Panther’ Mida Data
PDF icon Apple Mac OS X v10.3.x “Panther” Security Configuration Guide 2533KB
PDF icon Apple Mac OS X Server v10.3.x “Panther” Security Configuration Guide 876KB
Apple Mac OS X 10.4 ‘Tiger’ Mida Data
PDF icon Mac OS X Security Configuration For Version 10.4 or Later, Second Edition 2.98MB
PDF icon Mac OS X Server Security Configuration For Version 10.4 or Later, Second Edition 5.98MB
Red Hat Enterprise Linux 5 Mida Data
PDF icon Hardening Tips for the Red Hat Enterprise Linux 5 239KB 30 Novembre 2007
PDF icon Guide to the Secure Configuration of Red Hat Enterprise Linux 5 996KB 19 Novembre 2007
Windows XP Mida Data
PDF icon NSA Windows XP Security Guide Addendum 50 KB 12 Setembre 2006
Zip icon Zipped Windows XP Security Configuration Guides 980 KB 12 Setembre 2006
Windows 2000 Mida Data
Text icon SCERegVl.INF 13KB 5 Març 2003
Text icon W2kDC.INF 32KB 5 Març 2003
Text icon W2K DOMAIN POLICY.INF 4KB
Text icon W2k Server.INF 32KB 5 Març 2003
Text icon W2k Workstation.INF 31KB 5 Març 2003
Text icon ISA.INF 1KB
PDF icon Microsoft Windows 2000 Network Architecture Guide 227KB
PDF icon Guide to Securing Microsoft Windows 2000 Group Policy 328KB
PDF icon Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Set 1.2.2 755KB 12 Setembre 2006
PDF icon Group Policy Reference 769KB
PDF icon Guide to Securing Microsoft Windows 2000 Active Directory 611KB
PDF icon Guide to Securing Microsoft Windows 2000 DNS 372KB
PDF icon Guide to Securing Microsoft Windows 2000 Encrypting File System 218KB
PDF icon Guide to Securing Microsoft Windows 2000 File and Disk Resources 420KB
PDF icon Guide to Securing Microsoft Windows 2000 Schema 133KB
PDF icon Guide to Securing Microsoft Windows NT/9x Clients in a Windows 2000 Network 231KB
PDF icon Guide to Secure Configuration and Administration of Microsoft ISA Server 2000 1,469KB
PDF icon Guide to Secure Configuration and Administration of Microsoft Windows 2000 Certificate Services 1,432KB
PDF icon Guide to Secure Configuration and Administration of Microsoft Windows 2000 Certificate Services (Checklist Format) 1,167KB
PDF icon Guide to Secure Configuration and Administration of Microsoft Internet Information Services 5.0 1,368KB
PDF icon Guide to Using DoD PKI Certificates in Outlook 2000, version 2.0 800KB
PDF icon Guide to Windows 2000 Kerberos Settings 369KB
PDF icon Microsoft Windows 2000 Router Configuration Guide 688KB
PDF icon Guide to Securing Microsoft Windows 2000 DHCP 337KB
PDF icon Guide to Securing Microsoft Windows 2000 Terminal Services 662KB
PDF icon Microsoft Windows 2000 IPsec Guide 1,330KB
PDF icon Guide to Secure Configuration and Administration of Microsoft Exchange 2000 4,200KB 15 Desembre 2004
Zip icon Zipped Windows 2000 Security Configuration Guides 16,300KB 28 Octubre 2005
Windows Server 2003 Mida Data
PDF icon The Windows Server 2003 - Security Guide, v2.1 4526KB 26 Abril 2006
PDF icon The Windows Server 2003 - Security Guide - Read Me, v2.1 20KB 26 Abril 2006
PDF icon The Windows Server 2003 - Security Guide - Release Notes, v2.1 24KB 26 Abril 2006
PDF icon NSA Windows Server 2003 Security Guide Addendum 49KB 12 Setembre 2006
EXE icon The Windows Server 2003 - Security Guide - Tools and Templates, v2.1 320KB 26 Abril 2006
Windows Vista Mida Data
Text icon Windows Vista Security Guide.msi 1650KB 13 Novembre 2006
Servidors de base de dades Mida Data
PDF icon Guide to Secure Configuration and Administration of Oracle9i Database Server 237KB 02 Octubre 2003
PDF icon Center for Internet Security Benchmark for Oracle 9i/10g Version. 2.0 689KB 2005
PDF icon Guide to Secure Configuration and Administration of Microsoft SQL Server 2000 1,424KB 02 Octubre 2003
ZIP icon Zipped Database Security Configuration Guide 2,847KB 05 Novembre 2003
Encaminadors Cisco Mida Data
PDF icon Router Security Configuration Guide Supplement - Security for IPv6 Routers, Version 1.0 2,681KB 23 Maig 2006
PDF icon Router Security Configuration Guide, Executive Summary 161KB 10 Febrer 2003
PDF icon Router Security Configuration Guide, Version 1.1c 3,042KB 15 Desembre 2005
ZIP icon Zipped Router Security Configuration Guide 4,163KB 26 Maig 2006
Windows com a encaminador Mida Data
PDF icon Microsoft Windows 2000 Router Configuration Guide 688KB
Servidors i clients web Mida Data
PDF icon Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0 version 1.4 1,368KB 20 Agost 2001
PDF icon Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy 147KB
PDF icon Guide to Securing Netscape 7.02 346KB 24 Juny 2003
ZIP icon Zipped Web Servers and Browser Security Configuration Guide 3,126KB 01 Setembre 2005
Xarxes sense fil Mida Data
PDF icon Security Guidance for Bluetooth Wireless Keyboards and Mice 189KB 26 Setembre 2006
PDF icon Guidelines for the Development and Evaluation of IEEE 802.11 Intrusion Detection Systems (IDS) 527KB 01 Novembre 2005
PDF icon Recommended 802.11 Wireless Local Area Network Architecture 395KB 23 Setembre 2005
Switches Mida Data
PDF icon Cisco IOS Switch Security Configuration Guide 647KB 21 Juny 2004
VoIP i Telefonia IP Mida Data
PDF icon Security Guidance for Deploying IP Telephony Systems 872KB 14 Febrer 2006
PDF icon Recommended IP Telephony Architecture 232KB 01 Maig 2006
Informes tècnics de vulnerabilitats Mida Data
PDF icon Data Execution Prevention (DEP) 170KB 25 Octubre 2007
PDF icon Redacting with Confidence: How to Safely Publish Sanitized Reports Converted from Word to PDF 562KB 2 Febrer 2006
PDF icon Center for Internet Security Benchmark for Oracle 9i/10g, v2.0 689KB 2005
PDF icon CIS Exchange Server 2003 Benchmark, v 1.0 2,833KB 2005

14 Novembre 2007


(IN)Secure Magazine 14

Classificat com a: PublicacionsComentaris (0)

(IN)Secure Magazine 14Publicat el número 13 de la revista online (IN)Secure Magazine.

Contingut:

  • Attacking consumer embedded devices
  • Review: QualysGuard
  • CCTV: technology in transition - analog or IP?
  • Interview with Robert “RSnake” Hansen, CEO of SecTheory
  • The future of encryption
  • Endpoint threats
  • Review: Kaspersky Internet Security 7.0
  • Interview with Amol Sarwate, Manager, Vulnerability Research Lab, Qualys Inc.
  • Network access control: bridging the network security gap
  • Change and configuration solutions aid PCI auditors
  • Data protection and identity management
  • Information security governance: the nuts and bolts
  • Securing moving targets
  • 6 CTOs, 10 Burning Questions: AirDefense, AirMagnet, Aruba Networks, AirTight Networks, Fortress Technologies and Trapeze Networks

4 Novembre 2007


10 anys de seguretat per a QMail: programació segura

Classificat com a: Publicacions, Seguretat en generalComentaris (0)

DJB escriu sobre la seva experiència a QMail des d’una perspectiva de seguretat: Some thoughts on security after ten years of qmail 1.0. La seva visió pot considerar-se gairebé un tractat en programació segura.

The qmail software package is a widely used Internet-mail transfer agent that has been covered by a security guarantee since 1997. In this paper, the qmail author reviews the history and security-relevant architecture of qmail; articulates partitioning standards that qmail fails to meet; analyzes the engineering that has allowed qmail to survive this failure; and draws various conclusions regarding the future of secure programming.

16 Octubre 2007


L’amenaça interna

Classificat com a: PublicacionsComentaris (1)

Guia del CERT sobre l’amenaça interna: Common Sense Guide to Prevention and Detection of Insider Threats. L’amenaça interna són les persones que, per la seva feina, disposen d’accés als sistemes d’informació d’una organització i, en conseqüència, necessiten un seguit de mesures de protecció diferent del que s’aplica a les persones que accedeixen de forma remota.

No s’ha de ser paranoic, però cal ser conscient de tot allò que pot succeir com a conseqüència de l’acció d’una persona de l’organització.

Over the past several years, Carnegie Mellon University has been conducting a variety of research projects on insider threat. One of the conclusions reached is that insider attacks have occurred across all organizational sectors, causing significant damage to the affected organizations

(…)

Insiders have a significant advantage over external people who might want to cause harm to an organization. Insiders can bypass physical and technical security measures designed to prevent unauthorized access. Mechanisms such as firewalls, intrusion detection systems, and electronic building access systems are implemented primarily to defend against external cyber threats. Not only are insiders aware of the policies, procedures, and technology used in their organizations, but they are often also aware of the vulnerabilities, such as loosely enforced policies and procedures or exploitable technical flaws in networks or systems.

El document és una mena de guia de tot allò que cal considerar per tal d’identificar les possibles amenaces i com prevenir-los:

This report is written for a diverse audience, outlining practices that should be implemented by organizations to prevent insider threats. Each practice is described briefly in terms of why it should be implemented and one or more case studies illustrate what could happen if it is not implemented, and how the practice could have prevented an attack or facilitated early detection.

12 Octubre 2007


Seguretat a z/VM

Classificat com a: PublicacionsComentaris (0)

Seguretat z/VMRedbook d’IBM dedicat a la seguretat en entorn Mainframe: Security on z/VM. Tracta sobre las característiques de seguretat del sistema operatiu, la gestió d’usuaris amb RACF i LDAP.

El contingut del redbook és el següent:

  1. Seguretat i z/VM
    Conceptes de virtualització, detecció d’intrusions, conceptes generals de RACF i DLAP
  2. RACF en entorn z/VM
    Instal·lació i configuració, gestió d’usuaris, funcions de seguretat, auditoria, autorització.
  3. Servidor LDAP
    Instal·lació i configuració de l’LDAP a l’entorn z/VM. Ús de l’LDAP per a l’autenticació d’usuaris.
  4. Implementació de mòduls PAM als servidors Linux
  5. Integració empresarial
  6. Criptografia en entorn Mainframe
  7. Consol zSecure

9 Octubre 2007


Revista IDP (Internet, Dret i Política) número 5

Classificat com a: Delices informàtics, Privadesa, PublicacionsComentaris (0)

Publicat el número 5 de la revista IDP (Internet, Dret i Política).

Contingut:


Seguretat RFID

Classificat com a: PublicacionsComentaris (0)

Guia del NIST per a la protecció de sistemes RFID: Guidelines for Securing Radio Frequency Identification (RFID) Systems. Analitza les consideracions de seguretat que implica la utilització de l’RFID i l’impacte que tenen dins dels processos funcionals i organitzatius.

For RFID implementations to be successful, organizations should effectively manage their risk.

Like other technologies, RFID technology enables organizations to significantly change their business processes to increase efficiency and effectiveness. This technology is complex and combines a number of different computing and communications technologies. Both the changes to business process and the complexity of the technology generate risk.

  • Business process risk
  • Business intelligence risk
  • Privacy risk
  • Externality risk

8 Octubre 2007


Noves publicacions del NIST

Classificat com a: Mètriques, PublicacionsComentaris (0)

Algunes novetats interessants del NIST:

2 Octubre 2007


Revista SET, número 34

Classificat com a: PublicacionsComentaris (0)

SETPublicat el número 34 de la revista online SET (Saqueadores Edición Técnica).

Contingut:

0×00 Contenidos (007 k) SET 34 SET Staff
0×01 Editorial (002 k) SET 34 Editor
0×02 Inyeccion SQL sobre soft anticuados (047 k) SQL Anonimo
0×03 Bazar de SET (079 k) Varios Varios Autores
3×01 RSA Curiosidades Anonimo
3×02 Escalado de permisos en Symbian Moviles FCA00000
3×03 Diario Sociedad HackMan
3×04 Utilidad para formateo en ASCII Software elotro
0×04 Curso de electronica 04 (022 k) Hardware elotro
0×05 I-O Ileso (020 k) Hacking blackngel
0×06 LiveCD (023 k) Linux blackngel
0×07 La importancia de una buena pass (016 k) Info thenemi
0×08 Inyeccion en SQL (016 k) Hacking thenemi
0×09 Proyectos, peticiones, avisos (009 k) SET 34 SET Staff
0×0A Diez anyos despues (025 k) @rroba SET Staff
0×0B Curiosidades sobre eMule (018 k) Hacking FCA00000
0×0C Unete al Software Libre (FreeCol) (019 k) Soft libre FCA00000
0×0D Overflows en linux (046 k) Linux Raise
0×0E Llaves PGP (008 k) SET 34 SET Staff

26 Setembre 2007


(IN)Secure Magazine, número 13

Classificat com a: PublicacionsComentaris (0)

(IN)Secure Magazine 13Publicat el número 13 de la revista online (IN)Secure Magazine.

Contingut:

  • Interview with Janne Uusilehto, Head of Nokia Product Security
  • Social engineering social networking services: a LinkedIn example
  • The case for automated log management in meeting HIPAA compliance
  • Risk decision making: whose call is it?
  • Interview with Zulfikar Ramzan, Senior Principal Researcher with the Advanced Threat Research team at Symantec
  • Securing VoIP networks: fraud
  • PCI DSS compliance: a difficult but necessary journey
  • A security focus on China outsourcing
  • A multi layered approach to prevent data leakage
  • Safeguard your organization with proper password management
  • Interview with Ulf Mattsson, Protegrity CTO
  • DEFCON 15
  • File format fuzzing
  • IS2ME: Information Security to Medium Enterprise