El día 16 de Junio del 2009, se otorgo el Certificado de aprobación acompañado de un reconocimiento como profesional en Auditoria de Sistemas de Información (ASIC).

Su funcionamiento es muy simple, descargamos la versión de Adeona para nuestro sistema operativo, realizamos la instalación y en esta se nos solicita una clave y se genera un archivo que identifica nuestro portátil con el servicio OpenDHT, adeona queda instalado como servicio en nuestra maquina y cuando deseamos obtener los datos de nuestra maquina, solo tendremos que ejecutar el Adeona Recovery, especificar el archivo que generamos e ingresar la clave que pusimos en la instalación.

A diferencia de prey que solo funciona en GNU Linux y Mac, Adeona funciona en Windows, GNU Linux y Mac OS X.

Descargar Adeona

OBJETIVO:
Formar especialistas en AUDITORIA DE SISTEMAS DE INFORMACION, en su versión VIII, alineados a técnicas  y metodologías internacionales, cuyo reconocimiento le permitirá alcanzar opcionalmente prestigiosos programas (CISA, CISM de ISACA), con mejores posibilidades en su aprobación.

MODALIDAD: PRESENCIAL (SOLO SANTA CRUZ)
                           
MODULOS:

FACILITADORES: PROFESIONALES ACADEMICOS, CON CERTIFICACIONES INTERNACIONALES Y NACIONALES: CISA, CISM, CFE, FCA, CEH, CISO, ASIC, CISSP, ETC.

OBJETIVO Y CONTENIDO MINIMO (referencial) DE CADA MODULO:
Ver: http://www.soyasic.com/content/view/20/49/

HORARIOS: martes y miércoles de hrs. 18.00 a hrs. 21.00 FECHA DE INICIO: 16 DE JUNIO DEL 2009 ¡50 HORAS DE CLASES PRESENCIALES Y 50 HORAS AULA VIRTUAL!!!	INVERSION: $US. 380.- Opciones de pago: Al contado: Hasta el 31.05.2009: 10% de descuento. En cuotas: (sin descuento) En 2 pagos: (50% al la inscripción y saldo para el 4to. Modulo)
El pago COMPRENDE:Nota Fiscal, Material impreso y digital, Libro Guia de Auditoria de SI,  Pack de Videos, Banco de Pruebas on line, refrigerios, examen final de certificación ASIC.
PLAZAS LIMITADAS!!!! INCRIPCIONES: c/Bolívar Esq. 24 de septiembre No. 23 – Edificio Torrico Saucedo 2do. Piso Oficina No. 12. – TELF: 3303374 www.cosim-ti.com, www.soyasic.com SANTA CRUZ – BOLIVIA

“ LA CONFIANZA ES BUENA……PERO, EL CONTROL ES MEJOR!!!!!” 

En diciembre les comentaba sobre una versión Portable del Metasploit Framework para Windows que había descubierto gracias a la eckoparty, hoy y gracias a la misma lista, descubro una nueva versión de esta excelente herramienta para realizar test de penetración desde nuestra memoria usb en entornos windows.

Los Cambios en esta versión fueron:

• Se actualizo la versión del Metasploit Framework a la 3.2.
• Se bajo el  consumo del cpu considerablemente.
• Se depuro el código para optimizar algunas funciones.

La opción mas esperada por todos, poder utilizar el MSF en modo consola, no pudo realizarse  “ya que como se explica en la documentación del msf en el ruby de windows es inestable usar una consola directamente, por eso no la trae el msf por defecto” dice DSR!, autor de la herramienta.

Descargar Metasploit Framework 3.2 Portable para Windows

Clave: www.dragonjar.org

Descripción del Pipper por su autor Alberto Moro (aka Mandingo)

La idea de crear este programa surge como necesidad a la hora de automatizar peticiones en aplicativos Web. El programa en sí resulta lo suficientemente genérico como para llevar a cabo multitud de acciones que hasta ahora se realizaban mediante la creación de diversos “scripts” o bien, el uso de múltiples herramientas.

Este programa no pretende ser la solución a todos los problemas de auditoría Web, pretende ser más bien una ayuda adicional a los auditores de este tipo de aplicativos, ya que se presupone un conocimiento previo de las tareas que se realizan comúnmente; Pipper únicamente muestra información numérico-visual (códigos de error, número de líneas y palabras devueltas, textos coloreados, etc.), tal y como se verá más adelante. Esta información deberá de ser interpretada posteriormente por el auditor, el cual tendrá que ser capaz de diagnosticar “qué está ocurriendo”.

Un buen uso de este programa reducirá notablemente los tiempos de prueba/error dedicados a “bruteforcear” variables/cookies/credenciales, búsqueda de ficheros (páginas, cgi’s, etc…), localizar fallos de “Cross-Site Scripting”, “SQL Injections”, etc.

La herramienta que es bastante útil cuenta con una interface de fácil comprensión, haciendo uso de colores como se muestra a continuación:

En la pagina personal de Mandingo se encuentra disponible unos muy buenos ejemplos de uso, ademas de explicar mas a fondo la aplicación.

Descargar pipper v1.23
Descargar Manual Pipper
Manual Online y Descarga

Muchas veces escuchamos cuando ocurre alguna “situación” en una determinada empresa, que la misma se debe a la falta de controles y empezamos a hacer nuestras propias conjeturas respecto al hecho.

Efectivamente los controles internos en una empresa, han sido provistos para garantizar en forma razonable que los objetivos trazados sean alcanzados y que los eventos de riesgo sean evitados, detectados o corregidos.

Es en ese sentido que básicamente los controles los clasificamos en: Preventivos, detectivos y correctivos.

Los controles preventivos denominados también controles de entrada, son aquellos que anuncian la causa del riesgo, pero no la evitan, por ejemplo: Un letrero de NO FUMAR, es un control preventivo, porque asume un posible riesgo de incendio, contaminación, etc., pero no impedirá que puedan fumar.

Los controles detectivos o controles de proceso, son aquellos que detectan la causa del riesgo, alertan sobre la misma y tampoco la evitan. Como ejemplo, siguiendo el anterior, tenemos los detectores de humo, que podrían detectar en el momento que alguien quiera o este fumando, pero ya encendió el cigarrillo y no se pudo evitar. Otros ejemplos serian las: alarmas, cámaras, etc., en seguridad física de accesos, doble verificación de cálculos, puntos de control en producción, reportes periódicos, actividades de auditoría interna, mensajes de error, que pueden detectar el riesgo cuando esté ocurriendo.

Finalmente tenemos los controles correctivos o de salida, que podríamos considerar la última línea de defensa frente a los posibles riesgos, teniendo la finalidad de eliminar o minimizar. Ejemplo de estos tenemos los Planes de Contingencia, los backups, controles de acceso lógico (claves), antivirus, etc. Si volvemos al ejemplo de los 2 puntos anteriores, tendríamos que suponer que en el Plan de Contingencia, se ha considerado como un riesgo, un posible incendio, por tanto se tiene establecidos cuales serian las acciones a tomar, como ser el uso de los extintores, evacuación o llamar a los bomberos, etc.

Con esta clasificación podríamos deducir el tipo de control que ha sido establecido en una determinada empresa y para un determinado objetivo.

Si aplicamos en los sistemas de información, por ejemplo de una entidad financiera que presta sus servicios mediante los ATMs (cajeros automáticos) que día a día vemos el incremento de los riesgos de fraude, podríamos indicar que la publicidad que hacen, los bipticos, las recomendaciones de cómo usar la tarjeta y su respectiva clave son controles preventivos. El mejoramiento de los accesos físicos a los puntos ATMs, las cámaras de video, etc. Son los controles detectivos y los controles de acceso lógico al cajero automatico se constituyen en los controles correctivos.

Corresponde a partir de esto a los Auditores de SI, evaluar la fortaleza de los CONTROLES INTERNOS, considerando a los mismos, como: controles fuertes, controles débiles, controles compensatorios y controles solapados, puntos que los ampliaremos en el siguiente capítulo.

Escrito por el Lic. Hugo Rosales Uriona, CPA, ASIC, FCA, CISO.