Inicio / Blog / Filtro / Blog
Suscribirse a CERTSI - Blog RSS

Blog

Blog especializado con contenidos de carácter divulgativo destinados a un público con marcado perfil técnico, con el objetivo de mejorar el conocimiento y crear una cultura acerca de la seguridad en Internet.
Artículos relacionados con: Software
Bases de datos NoSQL. Rendimiento y ... ¿seguridad?

Bases de datos NoSQL. Rendimiento y ... ¿seguridad?

Publicado el 03/02/2015, por Antonio López (INCIBE)
La última década ha supuesto una explosión de datos con las redes sociales, foros, comercios y plataformas de contenidos online. Con ello se han disparado las tecnologías de análisis de datos (bigdata), las cuales traen de la mano el uso de bases de datos NoSQL. Conozcamos los retos de seguridad se presentan.
Autenticación

Autenticación basada en contraseñas

Publicado el 22/01/2015, por Jesús Díaz (INCIBE)
El uso de contraseñas sigue siendo el mecanismo más extendido de autenticación. No obstante, los interminables casos de compromisos de contraseñas son, por lo menos, indicativos de que hay que tener cuidado a la hora de implementar un mecanismo u otro. En este post se describen algunas de las alternativas más relevantes.
SELinux

SELinux y control de acceso obligatorio

Publicado el 29/12/2014, por Antonio López (INCIBE)
En el anterior artículo sobre mecanismos básicos de control de acceso, introducíamos el control de acceso obligatorio, Mandatory Access Control o MAC como mecanismo más preciso y granular que el tradicional DAC. A continuación describimos SELinux, una implementación MAC para Linux que nació de una iniciativa de la Agencia de Seguridad Nacional de Estados Unidos.
Acceso denegado

Mecanismos básicos de control de acceso

Publicado el 27/11/2014, por Antonio López (INCIBE)
El control de los permisos de usuario así como el acceso a los recursos de un sistema, constituye el pilar básico de seguridad de cualquier sistema informático. En este artículo, se describen los tres tipos principales de mecanismos de control de acceso y sus particularidades.
Trusted timestamping

Trusted timestamping

Publicado el 18/11/2014, por Jesús Díaz (INCIBE)
El sellado temporal confiable, o trusted timestamping, es una funcionalidad criptográfica con casos de uso más limitados que los de primitivas más comunes como el cifrado y cálculo de hashes. No obstante, pueden ser muy útiles en múltiples ocasiones. En este post se verán casos prácticos de varios sistemas en funcionamiento.
Conferencia Navaja Negra

Merovingio: Engañando al malware

Publicado el 06/11/2014, por Adrián Pulido (INCIBE)
En la pasada edición de Navaja Negra celebrada en Albacete, los días 2, 3, y 4 de octubre tuve la oportunidad de presentar la herramienta que, desde INCIBE, venimos desarrollando desde hace meses. Esta herramienta, Merovingio, es un analizador de aplicaciones para determinar si una aplicación es legítima o por el contrario es maliciosa.
Etiquetas: 
Desarrollo seguro de aplicaciones para dispositivos móviles

Desarrollo seguro de aplicaciones para dispositivos móviles

Publicado el 16/09/2014, por Asier Martínez (INCIBE)
En la siguiente entrada se hace hincapié en la importancia de utilizar metodologías seguras a la hora de desarrollar software, centrándonos en el desarrollo de aplicaciones para dispositivos móviles. Así mismo, se detallan los riesgos y controles recogidos en la metodología «OWASP Mobile Security Project» al ser la que tiene un uso más extendido.
Etiquetas: 
Análisis de tráfico SSL

Análisis de tráfico SSL

Publicado el 06/08/2014, por Jesús Díaz (INCIBE)
En esta entrada veremos distintas opciones para descifrar tráfico SSL, con el fin de analizar la información transmitida por medio de este protocolo. Esto puede ser muy útil a la hora de hacer auditorías de aplicaciones y páginas web, e incluso para el análisis de incidentes en una red local. Al mismo tiempo, se verá de qué depende que en unas ocasiones se pueda actuar de una forma o de otra.
Etiquetas: 
logo_e2e

End-To-End: el cliente web de Google para PGP está de camino

Publicado el 11/06/2014, por Jesús Díaz (INCIBE)
El pasado 3 de junio Google hizo público un nuevo proyecto: End-to-End. En forma de extensión para Chrome, End-to-End es la propuesta para integrar, de manera sencilla y usable, la funcionalidad de cifrado y firma digital en los correos electrónicos. La motivación de esta extensión es uno de los principales asuntos pendientes para conseguir comunicaciones seguras. Y es que, como indica Google...

Páginas