PoisonClub – Bienvenido a mi mundo. — Solo penzar te hace libre

Un poco de Humor! Educación Sexual Versión 2.0

Bueno esto empieza así,

Me llego un mail de un amigo al trabajo con unas imágenes, divertidas y quisimos pasarlas al mundo de la animación asi que el Ratpenat se puso en ello como resultado nos dio un excelente video donde explicamos un poco las tendencias sexuales! aunque claro es un pequeño resumen.

A compartirlo con el mundo.

Cusro de Educación Sexual!

Posted: 19 ene, 2010 | 1 Comment
Categorías: Problemas a diario | Etiquetas: | By: admin.

Salvemos Mysql!!!! Entre todos podemos!

Salvando Mysql Entre todos podemos lograrlo

Salvemos Mysql,

Todo empezó por un mail que me llego hoy 1/1/2010 con el título:
“Help save MySQL; Sign the petition” Pues yo uso Mysql para la mayoría de sitios web y aunque hay muchas opciones más GNU como Firebird y otros más.

Mysql me acompaño siempre desde mis inicios en la programación web, desde el 2000, por lo cual creo que le debo el respeto de intentar protegerlo, por eso comparto con todo el mundo para que apoye la campaña contra la adquisición de Mysql por parte de Oracle y la desaparición de la licencia actual y lo hagan privado. Aunque apoyo más la licencia BSD o Apache, que la GNU, también es un logro para todos que al menos llegue a ser GNU.
Texto del Artículo:
AYÚDENOS
Hay muchas formas de las cuales ud. puede contribuir al éxito de esta petición. Ninguna de las siguientes ideas será nueva para ud.. Simplemente las resumimos como una lista de verificación.
* Por favor cuénteles a sus amigos y colegas que utilicen MySQL, ya sea por email u otros canales de comunicación (como Twitter o Facebook) sobre la situación en general y sobre esta petición en particular.
* Ud. tendrá la oportunidad de generar interés adicional en esta petición en las discusiones en línea sobre las intenciones de Oracle de comprar MySQL. No es necesario decir que esto puede ser muy efectivo, pero debe hacerse de la manera adecuada, no sólo agregando un enlace a la petición, sino participando en las discusiones relevantes y mencionando esta petición.
* Si ud. tiene una página web, por favor considere colocar un enlace a esta página.
* Si hay algo en particular que ud. pueda hacer, le informaremos por medio de un email (a menos que ud. opte por no recibir informaciones nuestras). Puede haber situaciones en las que los residentes de un país específico pueden actuar efectivamente a nivel local.
* También encontrará informaciones sobre novedades en esta materia. Por favor

Enlace a la web: http://www.helpmysql.org/es/promote

Posted: 01 ene, 2010 | No Comments
Categorías: Problemas a diario | Etiquetas: | By: admin.

IBWAS09 – Madrid/Spain 10 y 11 de Diciembre

El próximo mes de diciembre (días 10 y 11) se celebrará en Madrid el primer IBWAS (IBeric Web Application Security Conferences, www.ibwas.com).

En estas conferencias tendrán la oportunidad de debatir, junto a reconocidos expertos a nivel internacional, sobre las nuevas amenazas y soluciones en el campo de la seguridad en las aplicaciones.

Entre los ponentes, contaremos con:

*Keynote Speakers*:

- Bruce Schneier. Chief Security Technology Officer. BT.
Bruce Schneier is an internationally renowned security technologist and author. Described by The Economist as a “security guru,” he is best known as a refreshingly candid and lucid security critic and commentator. When people want to know how security really works, they turn to Schneier. His first bestseller, Applied Cryptography, explained how the arcane science of secret codes actually works, and was described by Wired as “the book the National Security Agency wanted never to be published.” His book on computer and network security, Secrets and Lies, was called by Fortune “[a] jewel box of little surprises you can actually use.” Beyond Fear tackles the problems of security from the small to the large: personal safety, crime, corporate security, national security. His current book, Schneier on Security, offers insight into everything from the risk of identity theft (vastly overrated) to the long-range security threat of unchecked presidential power and the surprisingly simple way to tamper-proof elections. Regularly quoted in the media, he has testified on security before the United States Congress on several occasions and has written articles and op eds for many major publications, including The New York Times, The Guardian, Forbes, Wired, Nature, The Bulletin of the Atomic Scientists, The Sydney Morning Herald, The Boston Globe, The San Francisco Chronicle, and The Washington Post.
Schneier also publishes a free monthly newsletter, Crypto-Gram, with over 150,000 readers. In its ten years of regular publication, Crypto-Gram has become one of the most widely read forums for free-wheeling discussions, pointed critiques, and serious debate about security. As head curmudgeon at the table, Schneier explains, debunks, and draws lessons from security stories that make the news.

- Jorge Martin. Inspector Jefe de la B.I.T. Cuerpo Nacional de Policía.
Jorge Martín is an inspector of the Spanish National Police, and currently the Head of the Logical Security Group from the High-Tech Crime Unit in the Comisaria General de Policía Judicial. He his a Computer Systems Technical Engineer and since five years now dedicates himself to police investigation in the technological area, focusing his activity on crimes related to intrusions, different types of attacks, malware creation and dissemination and other related issues. He has also a large experience on the filed of computer forensics. He has participated on different courses and conferences, both in Spain and abroad. Regularly participates on training initiatives with other law enforcement forces on different countries, several Interpol projects about technological investigation techniques and on different European Union studies on the obtaining and manipulation of digital evidences.

*Panel Speakers*:

- David Rook. Security Analyst. Realex Payments.
“The Principles of Secure Development”
The Principles of Secure Development talk will deliver a unique view on how to build secure web applications. It will bring clarity to an area which desperately needs a clear and simple approach to addressing its biggest pain point – security.
We have seen a dramatic rise in the amount of vulnerabilities being found and exploited in web applications. The two biggest issues facing web applications in recent years are SQL Injection and Cross Site Scripting. They accounted for less than 1% of all CVE numbers issued in 2006 to over 33% in 2009 so far; that represents a 4000% increase in the space of 3 years. The most recent figures show that there are roughly 230,000,000 websites on the internet and it is estimated that over 60% of them have security vulnerabilities. The attackers have changed their focus to web applications as they are now the weakest link in the security chain for most businesses. The Principles of Secure Development is our answer to this weakness, the attackers have changed their tactics and with more businesses web enabling services every day the security and development communities must also change their tactics.

- Justin Clarke. Co-fundador y Director de Gotham Digital Science.
“SQL Injection – how far does the rabbit hole go?”
SQL Injection has been around for over 10 years, and yet it is still to this day not truly understood by many security professionals and developers. With the recent mass attacks against sites across the world, and well publicised data breaches with SQL Injection as a component, it has again come to the fore of vulnerabilities under the spotlight, however many consider it to only be a data access issue, or parameterized queries to be a panacea. This talk explores the deeper, darker areas of SQL Injection, hybrid attacks, SQL Injection worms, and exploiting database functionality. Explore
what kinds of things we can expect in future.

- Dinis Cruz. Chief OWASP Evangelist. Security Consultant.
“OWASP 02 Platform”
O2 is an Open Platform for Automating Application Security Knowledge and Workflows. O2 is a collection of Open Source modules that help Web Application Security Professionals to maximize their efforts and quickly obtain high visibility into an application’s security profile. Originally O2 (OunceOpen) originated from OunceLabs Advanced Research Team (ART) work, and aims to push to the limit the power of multiple Static Analysis engines. These tools have been developed by Security Professionals FOR security professionals, and are designed to automate the security consultant’s brain.

- Luis Corrons. PANDA. International Technical Support Team.
The growth and complexity of the underground cybercrime economy has grown significantly over the past couple of years due to a variety of factors including the rise of social media tools, the global economic slowdown, and an increase in the total number of internet users. For the past 3 years, PandaLabs has monitored the ever-evolving cybercrime economy to discover its tactics, tools, participants, motivations and victims to understand the full extent of criminal activities and ultimately bring an end to the offenses. In October of 2008, PandaLabs published findings from a comprehensive study on the rogueware economy which concluded that the cybercriminals behind fake antivirus software applications were generating upwards of $15 million per month. In July of 2009, it released a follow-on study that proved monthly earnings had more than doubled to approximately $34 million through rougeware attacks distributed via Facebook, MySpace, Twitter, Digg and targeted Blackhat SEO. This session will reveal the latest results from PandaLabs’ ongoing study of the cybercrime economy by illustrating the latest malware strategies used by criminals, examining the changes in their attack strategies over time. The goal of this presentation is to raise the awareness of this growing underground economy.

- Marc Chisinevski. Project lead for the OWASP Logging Project
“The OWASP Logging Project”
The goals of the Logging Project are: To provide tools for software developers in order to help them define and provide meaningful logs, to provide code audit tools to ensure that log messages are consistent and complete (content, format, timestamps), to facilitate the integration of logs from different sources, to facilitate attack reconstruction, to facilitate information sharing around security events. The talk will explore these areas, as well as provide details on existing tools and on related OWASP projects. Research directions for the future will also be discussed.

- Simon Roses. Microsoft ACE Security Services.
“Microsoft Infosec Team: Security Tools Roadmap”
The Microsoft IT’s Information Security (InfoSec) group is responsible for information security risk management at Microsoft. We concentrate on the data protection of Microsoft assets, business and enterprise. Our mission is to enable secure and reliable business for Microsoft and its customers. We are an experienced group of IT professionals including architects, developers, program managers and managers. This talk will present different technologies developed by Infosec to protect Microsoft and released for free, such as CAT.NET, SPIDER, SDR, TAM and SRE and how they fit into SDL (Security Development Lifecycle).

- Dave Harper. EMEA Services Director for Fortify Software.
“Empirical Software Security Assurance”
By now everyone knows that security must be built in to software; it cannot be bolted on. For more than a decade, scientists, visionaries, and pundits have put forth a multitude of techniques and methodologies for building secure software, but there has been little to recommen one approach over another or to define the boundary between ideas that merely look good on paper and ideas that actually get results. The alchemists and wizards have put on a good show, but it’s time to look at the real empirical evidence.
This talk examines software security assurance as it is practiced today. We will discuss popular methodologies and then, based on in-depth interviews with leading enterprises such as Adobe, EMC, Google, Microsoft, QUALCOMM, Wells Fargo, and Depository Trust Clearing Corporation (DTCC), we present a set of benchmarks for developing and growing an enterprise-wide software security initiative, including but not limited to integration into the software development lifecycle (SDLC). While all initiatives are unique, we find that the leaders share a tremendous amount of common ground and wrestle with many of the same problems. Their lessons can be applied in order to build a new effort from scratch or to expand the reach of existing security capabilities.

El evento tendrá lugar en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación (EUITT) de la UPM, y está organizado conjuntamente por OWASP Portugal y OWASP Spain. Se trata de la primera edición de estas conferencias, y una oportunidad única para conocer el presente y futuro de la seguridad en las aplicaciones de la mano de renombrados expertos de la comunidad internacional.

Disponéis de más información sobre las conferencias en: http://www.ibwas.com

La idea es difundir este evento aunque creo que no podre asistir

Posted: 16 nov, 2009 | No Comments
Categorías: Problemas a diario | Etiquetas: | By: admin.

El 9 es el Secreto!!! Cual es la mejor web del mundo ?

Chequea con este test qué pagina web es la mas importante del mundo-

No hagas trampa y no veas las respuestas al final.

Pensá un número del 1 al 9

Multiplicarlo por 3

Sumarle 3

Volvé a multiplicarlo por 3 (espero que no vayas por la calculadora, eh?)

Obtendrás un resultado de 2 dígitos, sumálos entre sí para que quedés con un solo dígito.

LISTO? … Lee mas Abajo…

Ahora revisá en la siguiente lista de personalidades de acuerdo al número que te resulta de estas operaciones, y descubrí quién es tu modelo a seguir:

1. Google.com

2. Microsoft.com

3. Bing.com

4. cnet.com

5. Altavista.com

6. Facebook.com

7. Wikipedia.com

8. Hoteles-bariloche.com

9. Poisonclub.com.ar

10. xvideos.com

Lo se esta web tiene ese efecto en la gente, algún día el resto de web podrán ser mejor no ?

P.D. Dejá de probar con diferentes números… soy tu web! Jaja!

Posted: 16 nov, 2009 | [2] Comments
Categorías: Uncategorized | Etiquetas: | By: admin.

Resumen del meeting de la OWASP Spain 15 de mayo de 2009

Introducción a la OWASP

Logotipo Owasp

La OWASP, fundación sin ánimo de lucro, es una comunidad abierta y libre a nivel mundial dedicada a la seguridad de Aplicaciones Web, sin importar el lenguaje de programación.
Buscan poder compartir su conocimiento sobre la seguridad a las empresas, para que tomen las medidas necesarias a la hora de desarrollar una aplicación.
Además ponen a su disposición, libros y aplicaciones Testing y penetración de sitios para sus pruebas de seguridad.

Sobre el Meeting

Este último evento tuvo grandes cambios, el principal fue el lugar que se eligió: una sala excelente que permitió disfrutar de las ponencias, en el emblemático “Ateneu Barcelonès”.
Hubo sorteos para los asistentes y la gran sorpresa fue la mesa redonda entre los participantes e invitados que fue subiendo de temperatura a la hora de exponer, los diferentes puntos de vista, sobre la calidad de la seguridad y la importancia que le da en las empresas.
Lamentablemente Vicente, quien se encarga de organizar todas estas conferencias y lograr un trabajo eficaz, no pudo asistir.
Para el, mi reconocimiento, porque cada evento al que asistí, ha sido una experiencia enriquecedora.

Las ponencias

La primera ponencia me pareció larga y repetitiva, aunque la idea que nos intento trasladar, sobre como tratar al área de seguridad de una empresa frente a las demás áreas de trabajo y los jefes fue muy buena.
Destacando la importancia del valor de la seguridad cuando el negocio se basa en información electrónica y como tratar de concientizar a los empresarios sobre lo que se pone en riesgo cuando no se evalúa el mismo.
El ponente fue Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM. Miembro del Consejo Asesor. SANS Institute.

La segunda ponencia, fue muy introvertida, divertida por la picardía del ponente, aunque el tema que explica no es de lo mas común en el Hacking cotidiano. Pero supo mostrar con elocuencia lo mal programado del lenguaje de LDAP y como no se tratan las inyecciones de código fuente en las consultas.
Como las distintas empresas que poseen herramientas de LDAP aplican filtros y la lógica de comportamiento, también los beneficios de una base de datos distribuida, lo cual acelera mucho los procesos a la hora de consultar sistemas distribuidos en una sesión de usuario.
Pero no tuvo piedad con nosotros, los programadores que no aplicamos filtros básicos a los códigos.
El ponente fue, José María Alonso. Microsoft MVP Windows Security. Consultor de Seguridad. Informatica64.

La tercera ponencia me sorprendió por lo bien que se dio la charla y como la gente preguntó con entusiasmo,. Quizás la ponencia que tuvo mas participación del público hubo y se quedó corta en tiempo para consultas.
Esta ponencia fue dada por Jorge Martín. Inspector. Jefe del Grupo de Seguridad Lógica. Cuerpo Nacional de Policía, que al principio dio una explicación sobre el organigrama de la policía, para explicar su ubicación, luego su exposición se puso muy interesante, porque representa a La ley y es quien realmente sabe como deberían ser las cosas, a la hora de penalizar los actos vandálicos ocurridos en la Web.
Los cuales en su gran mayoría hoy en día quedan libres de culpa. También comento lo desbordados que están, a la hora de hacer análisis forenses.
Por suerte pude hacer dos consultas que me tienen intrigado al día de hoy, una era la responsabilidad de las compañías de Software, que con sus errores muchas veces se puede hacer daño a otras empresas como las maquinas BOT. Si había alguna ley o algo pendiente sobre esto, a lo cual no pudo darme una respuesta certera y creo que nadie puede.

Sigo creyendo que las responsabilidades de un fallo de seguridad no pueden ser solamente absorbidas por un hacker que la encuentra y la explota y luego las empresas te cobran por tapar su falla, la cual fue la causante de las perdidas.

Y la segunda pregunta era sobre la responsabilidad de tener un ordenador en la casa, o donde sea, y su utilización.
Hoy en día un ordenador es una poderosa maquina de robar o estafar, engañar, hackiar y hacer daño a las empresas o sitios Web y hasta donde llega la responsabilidad del usuario, porque por ejemplo si tu dejas el coche mal estacionado te meten una multa o se lo lleva la grúa, ni hablemos de pisar a un peatón, para ello existen leyes que hacen un protocolo de comportamiento, que busca un orden social para un equilibro en la comunidad. Que pasa cuando un ordenador es infectado por un troyano, virus, y se hace un mal uso del mismo, el rol del dueño de ese ordenador, es responsable de cohecho ¿? Tiene culpa por no cuidar su propiedad y la cual debe ser controlada para evitar actos vandálicos, y me comento algo que fue como mi respuesta, que en un futuro no seria raro que empresas de seguros ofrezcan seguros hogareños para estos casos.

La cuarta y última ponencia previa la mesa redonda, hizo referencia a un software desarrollado por la OWASP para test de seguridad en sitios Web. La aplicación llamada Webgoat y desarrollada en JAVA simula un webserver con sus services y aplicaciones, donde se puede simular ataques de casi todos los tipos conocidos y ver como se comportan ciertos elementos. Creo que es de una gran utilidad y se debería usar en las universidades a la hora de hablar de programación orientada a la web.
La charla no tuvo gran participación ya que mas que nada se trato de aprender sobre la herramienta. la cual fue de un gran interés para todos los visitantes en general.
El ponente fue: Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young

La Mesa Redonda

Como invitados de lujo participaron Francesc Rovirosa i Raduà G.O. d’Integració Tecnològica. UOC. Asociación de Técnicos de Informática (ATI)
En la mesa redonda se habló principalmente sobre como las empresas consideran la seguridad y la responsabilidad de los programadores en el desarrollo de las aplicaciones, donde nadie dejó de exponer sus ideas.

Este el final de el meeting y les recomiendo asistir auque no sean expertos en seguridad, y sobre todo si su entorno de trabajo tiene algo de aplicaciones. Las ponencias dan unas nociones muy buenas sobre la seguridad en la Web.
Link: http://www.owasp.org/index.php/Spain/Meetings
Pongo unas fotografías del evento (las que tuve el privilegio de hacer)