L’home dibuixat

• Attack simulation and threat modeling
  a book that explores the abundant resources available in advanced security data collection, classification, processing and mining. It attempts to give insight into a number of alternative methods of security and attack analytics that leverage methodologies adopted from various other disciplines in extracting valuable data to support security research work and chart a course for enterprise security decision making.
   
• Security analysis and data visualization
  This is not a book on information security assessment methodologies, neither is it on penetration testing techniques: it is however, about a subtle combination of the core elements of both, but this time employed in the process of interactive security analysis and statistical graphics.

Els dos llibres es distribueixen amb una llicència GNU FDL.

VMware ha publicat unes guies d'enfortiment de VMware ESX/vSphere.

Security for Linux on System z

Redbook d'IBM sobre com enfortir la seguretat del sistema operatiu Linux que s'executa a les màquines virtuals d'un System Z.

Contingut:

Chapter 1. Introduction
Chapter 2. The z/VM security management support utilities
Chapter 3. Configuring and using the z/VM LDAP server
Chapter 4. Authentication and access control
Chapter 5. Crypto hardware
Chapter 6. Physical and infrastructure security on System z
Chapter 7. Best practices
Appendix A. Using z/OS features in a Linux environment
Appendix B. z/VSE Security and Linux on System z
Appendix C. Additional material

The WASC Threat Classification v2.0 és una taula, desenvolupada pel The Web Application Security Consortium per tal de classificar i organitzar les amenaces de seguretat d'un lloc web

Guia de l'OWASP per a l'enfortiment de la seguretat del servidor d'aplicacions Tomcat.

Vist a What's in Your Folder: Security Cheat Sheets, una col·lecció de fulls de referència ràpida sobre seguretat informàtica:

Security Guidance for Critical Areas of Focus in Cloud Computing v2.1 és una guia preparada per la Cloud Security Alliance sobre les consideracions de seguretat al núvol, tant a nivell d'arquitectura com de proveïdor de hostalatge.

La NSA ha actualitzat la Guide to Secure Configuration of Red Hat Enterprise Linux 5, que tracta sobre l'enfortiment de la configuració de Red Hat Enterprise Linux 5 –i, per extensió del CentOS 5.x.

IBM ha publicat una guia amb recomanacions de seguretat per a Cloud Computing:

Cloud Security Guidance IBM Recommendations for the Implementation of Cloud Security

Cloud computing is a flexible, cost-effective, and proven delivery platform for providing business or consumer IT services over the Internet. Cloud resources can be rapidly deployed and easily scaled, with all processes, applications, and services provisioned "on demand", regardless of user location or device. As a result, cloud computing gives organizations the opportunity to increase their service delivery efficiencies, streamline IT management, and better align IT services with dynamic business requirements. In many ways, cloud computing offers the "best of both worlds", providing solid support for core business functions along with the capacity to develop new and innovative services.

In addition to the usual challenges of developing secure IT systems, cloud computing presents an added level of risk, because essential services are often outsourced to a third party. The "externalized" aspect of outsourcing makes it harder to maintain data integrity and privacy, support data and service availability, and demonstrate compliance.

The security measures discussed in this IBM Redpapers™ publication represent best practice implementations for cloud security.Cloud Security Guidance IBM Recommendations for the Implementation of Cloud Security

Ahir el butlletí "Una al día" d'Hispasec, on vaig col·laborar durant força temps, va fer onze anys d'existència… i com a regal han alliberat el PDF del llibre editat fa un any per commemorar el desè aniversari.

El llibre, fins ara només disponible en paper a través de Lulu.com, recull alguns dels butlletins més destacats de cada època. Entre aquesta selecció n'hi ha tres que vaig escriure jo: "¿Cuánto se tarda en resolver una vulnerabilidad?" (15−02−2004), "Cambios en la arquitectura de los PC" (28−02−2004) i Informe: comparando la seguridad de Windows y Linux" (24−10−2004). També hi ha entrevistes amb gent com Bruce Schneier, Juan Carlos García Cuartango o Eugene Kaspersky, entre d'altres.

Ara el llibre també està disponible en format PDF. De totes formes, si no ho heu fet mai, us animo a comprar-lo a Lulu… Veureu com, per un mòdic preu, obteniu un llibre amb un acabat professional i que no es diferencia dels llibres de les editorials tradicionals. Va ser una sorpresa en aquest sentit.

This monograph presents the results of a fiscal year 2008 study, “Defining and Implementing Cyber Command and Cyber Warfare.” It discusses the use and limits of power in cyberspace, which has been likened to a medium of potential conflict, much as the air and space domains are. The study was conducted to help clarify and focus attention on the operational realities behind the phrase “fly and fight in cyberspace.”

La visió d'Internet que té l'exèrcit dels Estats Units i els potencials perills per a una "ciberguerra".

Inclou perles de l'estil:

The following hints may be indicative. Private hackers are more likely to use techniques that have been circulating throughout the hacker community. While it is not impossible that they have managed to generate a novel exploit to take advantage of a hitherto unknown vulnerability, they are unlikely to have more than one.

Alguns continguts gratuïts de la revista "BSD Magazine": instal·lació del NetBSD, xifrat del disc dur en *BSD, NetBSD, OpenBSD, FreeBSD…

Guia de seguretat de l'IBM i

El sistema operatiu IBM i és el nom actual del successor de l'antic i5/OS i de l'OS/400, el sistema operatiu utilitzat als ordinadors de la sèrie AS/400 i, posteriorment els servidors de les sèries System p i System i. Jo no he treballat mai amb ells, excepte en determinats projectes molt específics així com en alguna auditoria de seguretat. També vaig tenir alguna relació amb el tallafocs que incorpora

He trobat la recent publicació d'un redbook que tracta sobre la configuració de seguretat d'aquest sistema operatiu: Security Guide for IBM i V6.1. Dóna la sensació de ser un entorn força complet i potent…

 The IBM® i operation system (formerly IBM i5/OS®) is considered one of the most secure systems in the industry. From the beginning, security was designed as an integral part of the system. The System i® platform provides a rich set of security features and services that pertain to the goals of authentication, authorization, integrity, confidentiality, and auditing. However, if an IBM Client does not know that a service, such as a virtual private network (VPN) or hardware cryptographic support, exists on the system, it will not use it.

In addition, there are more and more security auditors and consultants who are in charge of implementing corporate security policies in an organization. In many cases, they are not familiar with the IBM i operating system, but must understand the security services that are available.

This IBM Redbooks® publication guides you through the broad range of native security features that are available within IBM i Version and release level 6.1. This book is intended for security auditors and consultants, IBM System Specialists, Business Partners, and clients to help you answer first-level questions concerning the security features that are available under IBM.

The focus in this publication is the integration of IBM 6.1 enhancements into the range of security facilities available within IBM i up through Version release level 6.1. IBM i 6.1 security enhancements include:
– Extended IBM i password rules and closer affinity between normal user IBM i operating system user profiles and IBM service tools user profiles
– Encrypted disk data within a user Auxiliary Storage Pool (ASP)
– Tape data save and restore encryption under control of the Backup Recovery and Media Services for i5/OS (BRMS) product, 5761-BR1
– Networking security enhancements including additional control of Secure Sockets Layer (SSL) encryption rules and greatly expanded IP intrusion detection protection and actions.

DB2® for i5/OS built-in column encryption expanded to include support of the Advanced Encryption Standard (AES) encryption algorithm to the already available Rivest Cipher 2 (RC2) and Triple DES (Data Encryption Standard) (TDES) encryption algorithms.

Nmap Network Scanning

Guia oficial per a l'NMap 5.0, disponible en edició en paper i, en versió reduïda, online de forma gratuïta:

• Primeres accions amb l'NMap
• Obtenir, compilar, instal·lar i esborrar l'NMap: Unix, Linux, Windows, Solaris, Mac OS X, FreeBSD/NetBSD/OpenBSD, Amiga, HP-UX, IRIX
• Descobriment de hosts (modalitat ping)
• Detecció de ports
• Optimització
• Detecció de serveis i aplicacions
• Detecció del sistema operatiu remot
• NMap Scripting Engine

Article que tracta sobre l'experiència de Google arran el desenvolupament i distribució del Google Chrome, Browser Security: Lessons from Google Chrome. Escrit per tres dels principals programadors responsables del Chrome,  analitza els tres factors clau:

Generally speaking, the danger posed to users comes from three factors, and browser vendors can help keep their users safe by addressing each of these factors:

• The severity of vulnerabilities. By sandboxing their rendering engine, browsers can reduce the severity of vulnerabilities. Sandboxes limit the damage that can be caused by an attacker who exploits a vulnerability in the rendering engine.
• The window of vulnerability. Browsers can reduce this window by improving the user experience for installing browser updates, thus minimizing the number of users running old versions that lack security patches.
• The frequency of exposure. By warning users before they visit known malicious sites, browsers can reduce the frequency with which users interact with malicious content.

El llibre "La protección de datos personales. Soluciones en entornos Microsoft. Versión 2.0" és una guia gratuïta (requereix registrar-se… encara que podeu provar si aquest enllaç us dóna accés directe al PDF).

Els temes relacionats amb la legislació de protecció de dades no són pas una de les meves especialitats (ni tinc un interès especial en el tema). L'he fet un cop d'ull per damunt i, sincerament, m'ha semblat força complet i entenedor.

El contingut:

1. Breve historia de la protección de datos de carácter personal
2. Legislación vigente
3. Datos de carácter personal
4. Obligaciones básicas
5. Los derechos de los titulares de los datos
6. Tratamientos especiales
7. La autorregulación: los códigos tipo
8. Infracciones y sanciones
9. Los órganos de control
10. La seguridad en sistemas Microsoft
11. La aplicación del reglamento de seguridad en los sistemas Microsoft
12. La aplicación del reglamento de seguridad en SQL Server
13. Implementación de la LOPD sobre SQL Server (SQL Server 2005–2008)
14. Política de seguridad

Malgrat ser un llibre publicat per Microsoft i que tracta de les tecnologies de Microsoft, la major part del llibre es pot considerar com genèrica i, per tant, aplicable a qualsevol entorn.

Contingut:

1. Psychological Security Traps.
2. Wireless Networking: Fertile Ground for Social Engineering
3. Beautiful Security Metrics.
4. The Underground Economy of Security Breaches.
5. Beautiful Trade: Rethinking E-Commerce Security.
6. Securing Online Advertising: Rustlers and Sheriffs in the New Wild West.
7. The Evolution of PGP’s Web of Trust
8. Open Source Honeyclient: Proactive Detection of Client-Side Exploits.
9. Tomorrow’s Security Cogs and Levers.
10. Security by Design.
11. Forcing Firms to Focus: Is Secure Software in Your Future?
12. Oh No, Here Come the Infosecurity Lawyers.
13. Beautiful Log Handling.
14. Incident Detection: Finding the Other 68%.
15. Doing Real Work Without Real Data
16. Casting Spells: PC Security Theater.

Seguridad y propiedad intelectual en Internet relaciona los campos jurídicos que protagonizan el marco científico y tecnológico de la sociedad de la información y del conocimiento. En ellos encontramos, de una parte, el derecho regulador de las creaciones intelectuales de los autores, respecto de sus obras y materiales (científico, empresario, profesional, en relación con sus libros, imágenes, diseños, etc.). De otra, el derecho común o universal en Internet, que regula los nombres de dominios, el comercio electrónico y las firmas electrónicas.

Las materias investigadas son objeto de permanente discusión en congresos, foros y otros tipos de encuentros entre profesionales o dirigidos al público en general y usuario de Internet. Todos están interesados en conocer: ¿cómo saber que la web a la que me dirige el navegador es la que figura en el nombre de dominio que aparece en la URL?; ¿cómo conocer que el diseño, la imagen o el material que se encuentra en una web pertenece realmente a la persona que dice ser su autor?; ¿cómo identificar si la utilización de un determinado material está permitida o prohibida en función del acceso restringido o abierto del entorno electrónico?; ¿qué derechos se reconocen respecto de los diseños y materiales de docencia e investigación creados por cada autor? A estas preguntas, dudas y problemas se responden en el libro Seguridad y propiedad intelectual en Internet. Las soluciones ofrecidas para el Derecho español se apoyan en las pautas que guían los sistemas y modelos más representativos a nivel mundial (Derecho Federal norteamericano, textos del UNCITRAL y directivas de la Unión Europea). 

M.ª de la Sierra Flores Doña i Ruth Navarro Costa (dirs.)
Editorial Complutense, 2008
216 pàgines
17 x 24 cm, Rústica
ISBN: 978−84−7491−941−7
20,00 euros

Queda poca estona, però us aconsello que aprofiteu l'oportunitat.

Fins a les 12.00 de la nit d'avui 23 de desembre, podeu baixar gratuïtament el número de gener.

Per accedir-hi demanen una adreça d'email, però podeu ficar-ne qualsevol (sigui vàlida o no…).

Google ha publicat el "Browser Security Handbook", un document de 60 pàgines on s'analitzen els mecanismes de seguretat en els navegadors web més utilitzats, amb comentaris addicionals especialment adreçats als programadors d'aplicacions per tal de fer-ne un ús correcte i poder garantir la seguretat dels seus programes.