?

Log in

Algoritmos de Esteganografía

Hoy me he dado un tiempo para investigar sobre distintos tipos de esteganografía, pues no tenia claro aún cuales eran las fortalezas y debilidades de cada tipo de algoritmos. Investigando encontré el paper "Alternatives for Multimedia Messaging System Steganography" de Konstantinos Papapanagiotou, Emmanouel Kellinis, Giannis F. Marias y Panagiotis Georgiadis. Es un papoer un poco antiguo (2005), pero en el se explica rápidamente las fortalezas y debilidades de los algoritmos en un tabla muy simple, además examina las posibilidades del uso de la esteganografía en mensajes multimedia en mensajes MMS, hoy ya casi no se usan eses mensajes, pues WhatsApp es la moda, pero el principio es el mismo, ocultar un mensaje secreto al interior de una cubierta sin alterar sus propiedades.

Programador

Esos pequeños cortos que se encuentran en internet.

https://youtu.be/ErcV8vlKexE

Conectividad Interna aplicaciones

Cuando di mi última charla de ISSA Chile en el INACAP hablé de los tópicos que debe conocer un CISO para desempeñar su trabajo y como esto se complejizará a medida que la internet y los dispositivos sean más ubicuos.
En aquella oportunidad dije que técnicamente el CISO debías saber de “Arquitectura y administración de sistemas operativos, redes y software de virtualización” y estos días me he estado dedicando a esta tarea y creo que podría explicar un poco en como se podría desarrollar un esquema de conectividad en aplicaciones para uso interno, pues en ocasiones me he topado con arquitecturas que no cumplen con algunos requerimientos mínimos como el cifrado de las comunicaciones, muchas veces, erróneamente se piensa que, porque las aplicaciones están al interior de la red no es necesario cifrar el canal de comunicación. Trataré de ser muy resumido, pues los detalles están muy bien explicados en los manuales de cada dispositivo que elijan utilizar.
Para la conectividad de aplicaciones internas existen diversas tecnologías que se pueden implementar, entre ellas el Estándar JEE de Java. Java Platform, Enterprise Edition o Java EE (anteriormente conocido como Java 2 Platform, Esta plataforma de programación permite utilizar arquitecturas de N capas distribuidas y se apoya ampliamente en componentes de software modulares ejecutándose sobre un servidor de aplicaciones.
Para asegurar los servicios se podría, hacer pasar todas las peticiones de servicio a través del Web Application Firewall que se encarga del balanceo de aplicaciones, aplicar las políticas de seguridad además de proveer un canal seguro de comunicación con el cliente a través de TLS 1.2 o superior. Recordar el SSL pasó a mejor vida.   :)
Es muy importante que las aplicaciones (EAR) rechacen todas las conexiones que no vengan a través de un canal seguro, de los contrario podría ser causa de riesgos cuando se quiera operar los sistemas.
La comunicación entre WAF y el Web Logic Server igualmente se deberá realzar mediante un canal seguro TLS 1.2 o superior mediante un certificado digital.
Oracle WebLogic es un servidor de aplicaciones Java EE (J2EE) y también un servidor web HTTP en el que alojan los distintos aplicativos EAR. Los archivos EAR (Enterprise Archive) son un formato utilizado en la arquitectura JEE para desplegar de manera coherente y simultánea varios módulos en un servidor de aplicaciones. Este contiene archivos XML denominados descriptores de despliegue que describen como desplegar los módulos contenidos en el paquete EAR.
Por otra parte REALM es el encargado de la autenticación de los usuarios autorizados de ingreso a aplicativos consultando al LDAP correspondiente basado en los roles y perfiles asignados, este es un proceso que debe ser bien mantenido al interior de una empresa.
Para mi esta tecnología de Java era desconocida así que por ahora, sigo leyendo la documentación.
http://docs.oracle.com/javaee/6/tutorial/doc/gjjwx.html
http://docs.oracle.com/javaee/6/tutorial/doc/glxce.html

Tags:

Encontré mi lenguaje de programación

Hace bastante tiempo he estado experimentando con distintos lenguajes de programación, pues tengo en mente un proyecto en el que necesito un lenguaje adecuado para su desarrollo.
Algunos se preguntarán ¿y cual es el problema?, el problema es que hace muchos años que no programo, pues normalmente en mi trabajo no lo requiero para mis funciones, solo me limito a leer códigos, básicamente Java Script y encontrar sus vulnerabilidades, también básicamente Cross-Site Scripting (XSS) persistente y reflejado o Cross-site request forgery (CSRF).
Bien, como sea, soy un programador de vieja escuela y los lenguajes que aprendí, primero en el Instituto, fueron Pascal, Cobol, Clipper, Fox Pro y Visual Basic (¡wuaaa1, ¡se me cayó el carnet!) luego en la Universidad trabajé con C/C++ principalmente y algunas líneas de SmallTalk y Eiffel.
En esta búsqueda de un leguaje moderno para mi proyecto estuve trabajando con Free Pascal y Delphi, el primero porque el estilo de Pascal es mi favorito, pero definitivamente este no es un lenguaje moderno y el IDE Lazarus en bien malo para mi gusto, Delphi, me gusta, pero es de pago y mi proyecto es solo por diversión, así que lo descarté. también estuve experimentando nuevamente con Eiffel, sin duda lo mejor en cuanto a orientación a objetos y con el lenguaje de programación Ada, pues como dije, me gusta el estilo Pascal, pero Ada su princial foco de desarrollo en sistemas embebidos y no es lo que busco.
Luego de tomar el curso Software Security de la University of Maryland, College Park a través de Coursera descubrí tres lenguajes de programación, uno que ya había probado antes Swift de Apple, pues lo tengo por defecto en Mac, que me gusta porque es muy bueno y fácil de aprender pero muy centrado en el ecosistema Apple, Go también inspirado en la sintaxis de C y desarrollado por Google y Rust, de propósito general y multiparadigma que está siendo desarrollado por Mozilla.
De todos ellos el elegido es Rust, por varias razones:
Rust es:

  • Multiparadigma, imperativo, orientado a objetos, procedural, concurrente, funcional y compilado.

  • Orientado a la seguridad, es decir, se puede trabajar sn preocuparse por Overflows y esas cosas.

  • Es de código abierto y funciona en todas las plataformas, Windows, Linux, MacOS y OpenBSD... genial :).

Hay una sola cosa que no me gusta, tiene el fatídico estilo de C, pero mejorado :p

Por ahora estoy contento siguiendo el tutorial de http://rustbyexample.com, veremos como se avanza... Tambien miro con buenos ojos a Elm.

Foto: Србија Данас https://flic.kr/p/fd4JpE
El Senado de la República aprobó el Convenio de Budapest sobre ciberdelincuencia, por lo que el proyecto quedó en condiciones de ser ratificado[1].
Por 22 votos** a favor se despachó sin modificaciones a la Cámara de diputados. “El objetivo principal del instrumento internacional es el desarrollo de una política criminal común frente al ciberdelito mediante la homologación de la legislación penal, sustantiva y procesal, y el establecimiento de un sistema rápido y eficaz de cooperación internacional”.
La ratificación de dicho convenio impone la obligación de actualizar la legislación chilena, en razón de, por ejemplo, modificar la ley 19.223 sobre delitos informáticos, tipificar el phishing, establecer responsabilidad penal de las personas jurídicas por ciberdelitos, implementar cambios en el código procesal penal, conservación de datos de tráfico de red etc. Y obligará a una actualización de nuestra legislación respecto de la protección de datos personales, esta es una buena noticia pues hoy en día, es uno de los puntos más débiles del derecho informático[2]. Sin embargo, también existen serios reparos a los aspectos procesales que hacen cuestionable la conveniencia de la adhesión[2].
Votos a favor[3]:
1.      Espina O., Alberto                                    
2.      García Huidobro S., Alejandro                                        
3.      García R., José                                          
4.      Goic B., Carolina                                      
5.      Guillier Á., Alejandro                              
6.      Harboe B., Felipe                                      
7.      Horvath K., Antonio                                
8.      Lagos W., Ricardo                                    
9.      Larraín F., Hernán                                    
10.  Letelier M., Juan Pablo                                        
11.  Muñoz D., Adriana                                  
12.  Navarro B., Alejandro                                          
13.  Ossandón I., Manuel José                                    
14.  Pérez S., Lily                                
15.  Pizarro S., Jorge                                        
16.  Prokurica P., Baldo                                  
17.  Quintana L., Jaime                                    
18.  Quinteros L., Rabindranath                                  
19.  Tuma Z., Eugenio                                    
20.  Von Baer J., Ena                                      
21.  Walker P., Ignacio                                    
22.  Walker P., Patricio


Seminario CIBERSEGURIDAD 2016 ISSA Chile - INACAP



El día lunes estuve participando en el Seminario de Ciberseguridad ISSA Chile - INACAP con la conferencia "Los desafíos del CISO del 2030" en la que se expone los actuales desafíos del CISO y los posibles caminos que nos llevarán por delante durante los próximos 10 años, sin duda, no tenemos idea de como será el futuro pero la mera especulación nos puede orientar en como avanzar en este proceso de hacer más seguros los sistemas de información.
Es así como las tendencias actuales nos muestran que habrá un los temas en los que tendremos que enfocarnos mayoritariamente   son las Tecnologías móviles, Webservices, Cloud computing, Advanced Persistent Threat (APT), Social Networks = Social engineering, SCADA, IoT y el proceso forense digital. Sí, de eso ya nos estamos preocupando pero sin duda los IoT no llevarán a controlar riesgos que hasta ahora no eran importantes para las empresas.
Otra tendencia que debemos enfrentar es la necesidad de profundizar en temas de desarrollo seguro, pues hoy en día si que se necesita de este componente en el proceso de seguridad pues la seguridad en los productos desde el momento de su ceración impactan a toda la cadena de valor, así Gustavo Nieves profundizó en este tema y presentó una interactiva conferencia sobre como auditar un sitio web y en la que con solo revisar el proceso de negocio se encontraron las debilidades del sistema.

Charla en Seminario CIBERSEGURIDAD 2016

La próxima semana estaré dando una charla en INACAP Apoquindo, esto en el marco del desarrollo del primer seminario de cyberseguridad INACAP.
El Seminario se realizará el día Lunes 14 de noviembre entre las 10:00 hasta las 12:30 horas en el Aula Magna de la Sede de INACAP Apoquindo, ubicada en Avenida Apoquindo 7282, Las Condes, Santiago.

* Seminario Sin Costo de Entrada

Decidete

Pretendia ver esta conferencia. Pero me aburri a loa minutos. ¿En que idioma hablas, en castellano o en ingles?, decidete de una vez.
http://youtu.be/6jHXmXU-B20
Tal vez la conferencia era muy buena, pero me aburri. Eso.

De acuerdo al informe de transparencia de la empresa del buscador, en un 42% de los casos se entregó la información requerida, correspondiente al primer semestre de este año.
Según Google, en Chile el gobierno realizó 257 solicitudes correspondientes a 393 usuarios, entregando los datos requeridos en un 42% de los casos. Se trata de la cifra más alta desde 2009, más del doble de lo requerido en aquella oportunidad. Aún así, el 42% de la información ofrecida por Google es una de las más bajas en el mismo período.
Es muy dificil escapar de la mabo de Google y por ende del gobierno.
Por ahora hay tres cosas fundamentales que debes hacer: 1) Si usas Android quitar la opcion de ubicacion, 2) usar Duchduckgo.com como tu buscador 3) Usar TOR.

Según comenta Jon Oltsik Analista senior de ESG solo el Certified Information Systems Security Professional (CISSP) tiene un valor real, el resto solo son certificaciones esotéricas.
Según los datos revelados por la encuenta ESG - ISSA:

  • Algunas certificaciones de ciberseguridad pueden actuar como "escaparate" para los profesionales de la seguridad cibernética, agregar credenciales a sus CVs sin realmente ayudarlos a avanzar sus habilidades o carreras.

  • Los profesionales de la seguridad cibernética a menudo tienen sus certificaciones como una insignia de honor dentro de su comunidad de pares, pero esto puede ser un falso sentido de orgullo.

  • La astucia en ciberseguridad viene dada de la experiencia, asesoramiento y capacitación práctica en lugar del conocimiento de un libro.

  • Los empleadores deben evitar ser seducidos por el número de certificaciones de los postulantes y sesgar sus decisiones de empleo de otros criterios.

  • Los CISOs que quieren ofrecer a los empleados oportunidades de formación deberían hacer hincapié en programas de tutoría sobre certificaciones y cursos de formación.


El artículo pueden encontrarlo aquí.

Sindicar

RSS Atom

Perfil

deoxyt2
Juan Rodrigo Anabalón

Acerca de mi

He estado escribiendo sobre temas de seguridad en Livejournal desde el 2008 y en mi horrible y extinto MSN Spaces desde el 2006. En la actualidad, soy CISO en MonkeysLab y Presidente en ISSA Chile.



Copyleft

Copyleft: Atribuir con enlace.





MonkeysLab






Flickr

Vimeo


ISSA Chile







Visitas

contador de visitas


contadores gratis

Último mes

December 2016
S M T W T F S
    123
45678910
11121314151617
18192021222324
25262728293031

Tags

Powered by LiveJournal.com
Designed by Lilia Ahner