martes, 4 de diciembre de 2007

SANS Top 20 Security Risks for 2007

Como todos los años el SANS Institute ha publicado la lista de los que a su juicio han sido los "Top 20" riesgos de seguridad durante el año 2007.

Para leer más:

http://www.sans.org/top20/2007/press_release.php
Publicado por en No hay comentarios:

Seleccionado el Comité Evaluador para el evento de Seguridad en LACNIC XI

Felicitaciones a los miembros del mismo:
  • Jose Miguel Parrella (VE)
  • Mónica Ábalo (AR)
  • Leonardo Vidal (UY)
  • Fernando Gont (AR)
  • Cristine Hoepers (BR)
Publicado por en No hay comentarios:

miércoles, 14 de noviembre de 2007

LACNIC XI - Salvador de Bahia, Brasil

Como todos ustedes ya seguramente saben, el próximo LACNIC (LACNIC XI) se realizará en la ciudad de Salvador en Brasil.

Próximamente estaremos realizando en la lista de correo una convocatoria a llamados para trabajos a presentar en dicho evento en el track de seguridad.
Publicado por en No hay comentarios:

martes, 29 de mayo de 2007

LACNIC X - Fotografías de la PGP Keysigning Party

Algunas fotos de la reunión de firma de claves:

Publicado por en No hay comentarios:

LACNIC X - PGP Keysigning Party

LACNIC X - PGP KEYSIGNING PARTY

Este texto es una transcripción del informe que preparé sobre esta reunión para la lista "Seguridad@LACNIC.net"


Durante LACNIC X, realizamos la "PGP Keysigning Party" que habia
sido propuesta en la lista.

El uso de la tecnologia PGP nos proporciona una forma de obtener
confidencialidad en nuestras comunicaciones electronicas y
acreditar la identidad de quienes envian estos u otros mensajes.

Al igual que los certificados X.509, PGP utiliza criptografia de
clave publica para esto, pero no depende de una infraestructura
centralizada como dependen los certificados digitales. Esto
tiene varias ventajas pero presenta un problema fundamental:
¿Cómo podemos estar seguros de la identidad del propietario de
una cierta clave pública sin un tercero que se haga responsable?

En lugar de este rol en PGP tenemos lo que se conoce como la
"Web of Trust", un tejido de firmas mutuas que permite evaluar y
asignar un grado de confianza a la identidad que una cierta
clave publica dice representar.

Cuantas mas "firmas" tiene una cierta clave publica, mayor es la
confianza que podemos tener en la identidad que la misma dice
representar. A su vez, si alguien a quien nosotros conocemos y/o
en quien nosotros confiamos ha firmado una cierta clave, podemos
seguir una cadena de confianza y evaluar la confianza que
podemos tener en la clave de alguien a quien no conocemos
personalmente.

En esta reunion los presentes, previamente acreditar nuestras
identidades mediante algun documento, nos firmamos nuestras
claves PGP, de esa manera incrementando el grado de confianza
que alguien que no nos conozca puede tener en las mismas.

Los participantes (y firmantes) fuimos:

- Nicolás Ruiz
pub 1024D/D641C6FF 2005-05-02
Key fingerprint = CDA7 9892 50F7 22F8 E379 08DA 9A3B 194B D641 C6FF

- Roque Gagliano
pub 1024D/01E96CEE 2007-05-08 [expires: 2009-05-07]
Key fingerprint = E929 06F4 D8CD 2AD8 9365 DB72 9E4F 964A 01E9 6CEE

- Alejandro Jose Araujo
pub 1024D/40F49307 2007-05-02 [expires: 2010-05-01]
Key fingerprint = FB23 7FA1 3409 A880 81EC 1913 31D1 C754 40F4 9307

- Alvaro Sanchez
pub 1024D/D34CA02C 2007-05-24
Key fingerprint = C053 E1E9 CC37 28E5 52A5 9B5C 600F 97AC D34C A02C

- Carlos Martinez
pub 1024D/D51507A2 2007-02-13
Key fingerprint = 14BC 0138 55A2 67FD AA4A 2BB8 2C68 8F6C D515 07A2

slds

Carlos
Publicado por en No hay comentarios:

LACNIC X - Segundo Evento de Seguridad en Redes para America Latina y el Caribe

CONCLUSIONES DEL EVENTO DE SEGURIDAD EN ISLA MARGARITA

El texto que sigue a continuación es una transcripción del informe que realicé para la lista de Seguridad@LACNIC.net

Como todos saben, durante el curso de la reunión anual de
LACNIC, en este caso la décima, que tuvo lugar en Isla
Margarita, Venezuela, realizamos el Segurndo Evento de Seguridad
en Redes para América Latina y el Caribe.

Los ejes temáticos que definimos junto con LACNIC para 2007 fueron

- Lucha contra el Spam y el cibercrimen en general
- Privacidad en Internet
- Aspectos Legales
- Protección de Infraestructura Critica

La agenda del evento fue la siguiente:

- Bienvenida y apertura del evento:
Carlos M. Martinez, ANTEL, Uruguay

- Programa de la OEA de Seguridad Cibernética:
Rómulo Dantas, CICTE, OEA

- Segurança em Brasil:
Raphael Mandarino Junior, Departamento de Segurança da
Informação - DSIC/PR, Brasil

- SpamPots Project: Using Honeypots to Measure the Abuse of End-
User Machines to Send Spam:
Klaus Steding-Jessen, CERT.br, Brasil

- Mejoras de seguridad en el protocolo TCP:
Fernando Gont, Universidad Tecnológica Nacional, Facultad
Regional Haedo, Argentina

- La Praxis del Cracker
Miguel Torrealba, Universidad Simón Bolívar, Venezuela

- Aspectos Clave de la Seguridad en Internet
Mónica Abalo, Consulting Project, Argentina

- Privacidad y Protección de Datos
Jordi Palet, CONSULINTEL, España

- Panel "PKI para Información de Enrutamiento"
Randy Bush, IIJ
Roque Gagliano, ANTEL, Uruguay
Frederico Neves, LACNIC
Paul Wilson, APNIC

Las presentaciones fueron todas de un gran nivel, cosa que se
vió reflejada en el alto nivel de asistencia a las mismas.

Si bien no tengo una evaluación formal del evento, las opiniones
que pude recoger del público me dejan con la sensación de que el
mismo fue un éxito.

Al dia siguiente realizamos también la "PGP Keysigning Party"
tal como fue pedido en la lista. Si bien no fuimos muchos
quienes participamos de la misma, fue una experiencia muy
interesante.

Como moderador de la lista para 2007 - 2008 espero poder hacer
la lista seguridad@lacnic.net mas conocida y elevar el grado de
participacion en la misma.

Como alguien dijo en durante LACNIC X, los paises
Latinoamericanos hemos estado tradicionalmente en paz, pero
tambien hemos estado tradicionalmente aislados entre nosotros.
Creo que debemos profundizar el intercambio entre los
profesionales de la seguridad ya que el aprender de las
experiencias de otros y crear relaciones de colaboracion y
confianza son de particular importancia en una tematica como
esta.

Espero tambien crear algunas herramientas de colaboracion mas
sofisticadas, al menos una pagina web tipo "wiki" que
complemente a la pagina de archivo de la lista.

Quiero mencionar especialmente el tema al que hizo referencia el
panel final del evento, el de "PKI para Enrutamiento". Creo que
este tema encierra grandes promesas pero tambien grandes
desafios. Es un paso fundamental para proteger la
infraestructura de red, pero tambien traera desafios para
administradores de redes, profesionales de seguridad y para toda
la comunidad LACNIC.

Entiendo por ello que es necesario profundizar la difusion del
tema y me comprometo a hacer llegar informacion sobre el mismo.

Personalmente agradezco a todos los que hicieron posible la
realización del evento, en especial al staff de LACNIC, a los
sponsors del evento y a la organización local, CNTI, sin
quienes el mismo el mismo no hubiese sido posible.

Referencias en Internet:

- Link a la página del evento en LACNIC, desde donde pueden
descargar las presentaciones:

http://lacnic.net/sp/eventos/lacnicx/seguridad_en_redes.html

- Este informe en formato "blog" incluyendo fotos de la "PGP
Keysigning Party"

http://lac-sec.blogspot.com
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)