Mercadona ha abierto hoy una vacante en su portal de empleo para seleccionar un Técnico en Seguridad Ofensiva que actúe como hacker, poniendo a prueba los sistemas de la compañía. Los ataques de ransomware y otros vectores están a la orden del día teniendo como objetivo las grandes empresas y la cadena de supermercados quiere tener a un aliado experto entre sus filas. mercadona.avature.net/es_ES/Careers/JobDetail/T-CNICO-A-SEGURIDAD-OFEN

La gente de Offensive Security, creadores de Kali Linux, han sacado una nueva certificación. Con ella podras demostrar que eres un experto usando la distribución de seguridad de Kali Linux, no es una certificación de seguridad como puede ser OSCP, pero si certifica que eres habil usando Kali. Lo bueno de esta certificación, es que el curso es gratis, solo hay que pagar el examen.

Cómo funciona y qué fases tiene el pentesting para la ciberseguridad empresarial, un proceso muy utilizado en las auditorías de seguridad informática.

Malware Hunter, la nueva herramienta Shodan encontrar servidores C&C de malware para detectar servidores de C&C para malware creados por cybercriminales. Esta nueva herramienta permite detectar servidores que C&C de Malware y ayudar a los analistas de seguridad informática a detectar estos servidores y bloquearlos en los sistemas de seguridad de la empresa e intentar evitar que si tenemos el malware ya instalado en nuestros equipos, se puedan conectar a los C&C para conseguir la clave para cifrar nuestros ficheros.

La técnica del Pass the Hash está con nosotros desde hace muchos años, quizá 1999, pero no ha dejado de ayudar a los pentesters y auditores en su día a día. ¿Qué es eso del Pass the Hash? Para que todos nos entendamos es así de sencillo: ¿Para qué crackear e intentar averiguar la contraseña que se esconde detrás de un hash conseguido en un sistema Microsoft Windows owneado si podemos usar el hash directamente para autenticarnos o pasar un proceso de autorización? Microsoft lleva más de 15 años luchando contra esta técnica, y proteger los hashes

La evaluación automatizada de vulnerabilidades es, aunque pueda sonar un tanto extraño, un mal necesario. Un mal porque al preguntar por este tipo de herramientas de evaluación automatizada, los que nos dedicamos a estos menesteres solemos incidir en sus defectos. Que por otra parte no se puede negar que existen: que si las tasas de detección no son todo lo óptimas que debieran, que si el control de falsos positivos es mejorable, que sí... Sin embargo, sin duda alguna, estas herramientas también son algo necesario...

Kali-Linux es una distribución de GNU/Linux para pentesting y análisis forense basada en Debian...

La gente de Sucuri Malware Labs (labs.sucuri.net) ha desarrollado una aplicación de lo más curiosa, URLFind (urlfind.org) que permite obtener diferentes direcciones de páginas Web en función de diversos criterios de búsqueda como, por ejemplo, el proveedor del hosting dónde residen las páginas

El objetivo que se fija un pentester a la hora de hacer un test de intrusión se resumiría básicamente en intentar saber hasta donde es capaz de llegar. En el artículo se demuestra la fragilidad de los password en windows. Blog de Seguridad de la Informacion de S2 Grupo

Tanto si eres un "hacker pastelero", como si te dedicas a la seguridad informática, no te voy a descubrir nada nuevo acerca de esta maravillosa distribución de Linux: BackTrack 3 Pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general, no siempre colma los deseos de todos los usuarios, y si bien incluye casi todas las herramientas necesarias, siempre hay alguien que puede añorar algunas herramientas u opciones que no incluye. Pues bien, Gene Bransfield Jr. se ha puesto manos a la obra ...

"El artículo muestra un aumento constante en el riesgo durante los cuatro años del estudio y un abrumador porcentaje de aplicaciones web susceptibles de sufrir robo de datos (sobre el 57%), perjuicios económicos (sobre el 22%), denegación de servicio (11%) y ejecución de código (sobre el 80%). El artículo analiza los resultados de las pruebas de penetración realizadas de forma repetida con el fin de comprobar la evolución de la seguridad de las aplicaciones web durante el tiempo del estudio, cuatro años". Informe en inglés.

Sectoo (www.sectoo.org/overview_why.php) es un interesante Live-CD basado en Gentoo, enfocado a pruebas de penetración en redes y dotado de multitud de herramientas (www.sectoo.org/overview_tools.php)

La Comisión de Seguridad de la Asociación de Internautas acaba de publicar un extenso informe, elaborado tras varios meses de investigación por Hugo Vázquez (Director Técnico de la empresa PENTEST) y certificado por el esCERT, en el que se hace una completa revisión sobre la seguridad de la banca online en España. El informe, dividido en cinco partes, está disponible en la web de la AI (seguridad.internautas.org/)