lunes, noviembre 09, 2009

Líneas de Investigación

No es la primera vez que me preguntan sobre qué puede realizar alguien para dedicarse a seguridad, qué debe leer, qué debe estudiar o qué debe practicar. La verdad es que la pregunta no es difícil, pero la respuesta sí que lo es. Dedicarle 25 horas al día suele ser lo más apropiado, estudia todo lo que caiga en tu mano y ya puede ser tu hobby esto de la seguridad informática para que un fin de semana te lo pases haciendo pruebas a cualquier cosa.

Hoy os dejo tres presentaciones que me tienen un poco enganchado con algunas pruebas. Son tres presentaciones muy interesantes que, seguro, seguro, seguro, que si te dedicas a esto, o ya has oído hablar de ellas, o las has leído o estás probándolas.

Unicode Transformations And Security Vulnerabilities

Esta presentación está focalizada en el estudio de las implicaciones de seguridad en el uso de UNICODE en los navegadores hoy en día. Desde los visual spoofings mediante la simulación de URLs usando caracteres distintos en codificación UNICODE pero iguales en representación gráfica, hasta las más divertidas transformaciones de estos cuando su representación debe ser truncada a ASCII. La presentación está disponible en la siguiente URL: Unicode Transformations And Security Vulnerabilities. Hay un preview de un paper sobre Unicode Security publicado en la web de Blackhat, dónde el autor dio una charla anterior sobre este tema, que ayuda a comprender mejor la presentación: Preview of Paper about Unicode Security

Entreprise Open Source Intelligence Gathering

Esta presentación se hizo pública en Ohio, hace apenas una semana. Es una recopilación sobre fugas de datos en la empresa a través de twitts, posts en blogs, facebooks y por supuesto metadata. Me ha gustado mucho la recolección de ejemplos, y reconozco que se me ha escapado más de una sonrisilla con ellos.


Renegotiating TLS

Ésta es la presentación que más polémica está levantando en los últimos momentos. Este trabajo muestra cómo es posible, a través de un fallo en la implementación de la renegociación TLS, de inyectar datos en claro entre el cliente y el servidor en una conexión cifrada y autenticada con TLS. La polémica que está levantando la ha recogido, con su estilo pulcro y acertado, nuestro amigo “Pajarraco” de los Santos en Una-al-día, pero merece la pena leerse el documento publicado y analizar los gráficos para comprender mejor el fallo. Para hacerlo mucho más llevadero, además, se han publicado tramas de red de ejemplo. Todos en la Web de la publicación: Renegotiating TLS.

Tres temas curiosos, que seguro que te aportan nuevas ideas para hacer nuevas cosas. Así funciona esto.

Saludos Malignos!

5 comentarios:

Christian Hernández dijo...

Me ha gustado mucho la Enterprise Open Source Intelligence Gathering, sabes si el audio de la presentación está por ahí?, seguro que aporta más cosas.

Saludos.

Anónimo dijo...

Me gusta que seas claro. Hay mucho prepotente y burro y no sólo en este campo.

Muchos que se creen que las cosas complejas se consiguen sin esfuerzo, y no sé decirlo sin sonar carca y algo casposo, pero aquello de la cultura del sacrificio y del esfuerzo está muy olvidado.

Sí, se necesita mucho trabajo, aunque a veces parece que no te lo valoren, y será culpa nuestra.

Será por eso que todo el mundo quiere ser funcionario.

Chen dijo...

Maligno, supongo que lo que más te ha gustado de Enterprise Open Source Intelligence Gathering es que en la diapo 42 hablen de la FOCA ;-)

@Anónimo

Será por eso que todo el mundo quiere ser funcionario.

Mmmmm me pareces que mezclas churras con merinas. Te aseguro que hay funcionarios que curran un huevo, pero un huevo. Sí también hay otros que se los tocan... Hay de todo! Me imagino que pasará lo mismo en tu empresa, ¿o no hay mataos y perros en tu empresa?

Anónimo dijo...

Chen, sin tratar de herir sensibilidades, pero espero que no intentes discutirme la calidad de vida de un funcionario.

Christian Hernández dijo...

@anonimo: por ejemplo los de prisiones? o los que tratan con los marginados sociales? Seguro que al volver a casa vuelven como rosas, no?

Como dice Chen, hay de todo y no es bueno generalizar, no todos los funcionarios son los que nos renuevan los trámites, ni los cartero...eso si, coincido contigo que la fama la tienen.

salu2

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares