lunes, 21 de septiembre de 2020

ISecAuditors de nuevo en el GEAR 2020-22 del PCI SSC

 El GEAR (Global Executive Assessor Roundtable) se creó el año 2018, fecha desde la cual hemos formado parte de este grupo internacional de asesores, para obtener recomendaciones y aportaciones de los altos directivos de las empresas de asesoría de seguridad de pago acreditadas por el PCI SSC. Esta iniciativa ha permitido a los altos ejecutivos de las empresas asesoras en Normas PCI de todo el mundo proporcionar asesoramiento, retroalimentación y orientación al PCI SSC sobre las cuestiones y preocupaciones relacionadas con las evaluaciones y los programas de evaluación, representando las perspectivas de las regiones y clientes dónde y con los que trabajan.

El hecho de ser la única empresa Iberoamericana con presencia en el GEAR demuestra el posicionamiento y relevancia de Internet Security Auditors en el entorno de Normas PCI y el valor que considera el PCI SSC que tiene la compañía en las regiones donde trabaja desde hace más de 12 años, ayudando a sus clientes en la consecución del cumplimiento de las diferentes Normas PCI como uno de los líderes indiscutibles y reconocimiento por la calidad de su trabajo.

Más información en el microsite de GEAR del PCI SSC:
https://www.pcisecuritystandards.org/get_involved/global_executive_assessor_roundtable

lunes, 17 de agosto de 2020

Charlas, Eventos y Entrevistas

Aún en estos meses de verano nuestro responsable de ciberinteligencia, Carlos Seisdedos, no para ni un momento. Desde Cifal Málaga han publicado el Libro Blanco de Reflexiones y Propuestas para una Nueva Sociedad post Covid19, en el que un centenar de expertos han participado exponiendo sus soluciones a los retos y desafíos a los que se enfrenta el mundo debido a la pandemia.

Entre ellos, Carlos Seisdedos, con un artículo sobre ciberinteligencia frente al cibercrimen en el COVID-19

Carlos también participará como ponente en la DragonJar Security Conference que se celebrará los días del 4 al 6 de septiembre, este año de forma online y gratuita.

Desde reKnowledge, empresa dedicada a la fabricación de software para análisis de inteligencia han publicado un artículo en su blog en el que recomiendan el perfil de Twitter de Carlos cómo uno de los “especialistas” en OSINT a los que seguir.

Y para finalizar, el pasado 13 de agosto la cadena de TV La Sexta Noticias entrevistó a Carlos Seisdedos, dónde estuvo hablando sobre la nueva aplicación del gobierno, Radar, en la investigación y rastreo de personas con covid.

martes, 14 de julio de 2020

SQLi y “Cleans URLs”

Cada vez es más común ver URL menos sofisticadas, entendibles para el usuario, llamadas Search Engine Optimization Friendly URL (SEO-Friendly URL). Si recordamos un tiempo atrás, cuando alguien nos enviaba una URL prácticamente podíamos reconocer el nombre del dominio.

        https://myforo.com/path/doit&post=172356&comment=213

Ahora rara vez encontramos ese tipo de enlace con parámetros en la petición GET, sino que lo encontramos de una forma más entendible y bonita, incluso el propio enlace contiene el título de la página.

        https://mytsite.com/path/172356/213/my-post-title

Este cambio en las URL se debe a los motores de búsqueda y el posicionamiento de las páginas webs, un estudio demostró que cuanto más corta es la URL y más descriptiva del contenido del post es, Google te muestra en mejor posición.

lunes, 29 de junio de 2020

Análisis PCI Contactless Payments on COTS (CPoC™)

El pasado 4 de diciembre de 2019 el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) tres nuevos documentos relativos al programa CPoC - Contactless Payments on COTS (Commercial Off-The-ShelfDispositivos de caja cerrada):



jueves, 25 de junio de 2020

Kerberos: El perro de tres cabezas

Un entorno muy común que nos encontramos durante la realización de pentest internos es encontrarnos un Directorio Activo (DA). Es un servicio de directorio para su uso en un entorno de Windows Server. Se trata de una estructura de base de datos distribuida y jerárquica que comparte información de infraestructura para localizar, proteger, administrar y organizar los recursos del equipo y de la red.

Active Directory (AD) o Directorio Activo (DA) utiliza un protocolo llamado Kerberos para la autenticación de los clientes en la red.

lunes, 22 de junio de 2020

Posibles sanciones en caso de incumplir PCI DSS

Nota preliminar

Todo el contenido del artículo se menciona con fines meramente informativos. Las versiones de los documentos referenciados, y los requerimientos exigidos por las marcas de pago, pueden haber cambiado desde la última fecha de revisión del presente artículo. Adicionalmente, hay información que no puede hacerse pública, por lo que pueden existir requerimientos y/o sanciones adicionales a las explicadas en el mismo. Es por este motivo que se recomienda contactar con la entidad financiera prestadora de servicios, con el fin de obtener información vinculante y actualizada.

miércoles, 17 de junio de 2020

Novedades y actualizaciones de PCI DSS 4.0

El pasado día 29 de mayo, el PCI SSC actualizó en su blog la información relativa a la versión 4.0 del estándar PCI DSS.

La actualización de la información coincide con la revisión de los comentarios generados a raíz del ‘Request for Comments’ (RFC) que tuvo lugar entre octubre y diciembre del año pasado. Según indican, aún se encuentran revisando dichos comentarios. Como ya adelantaron el año pasado, habrá 2 rondas de RFC para la versión 4.0 del estándar, estando planeada la segunda a partir de septiembre u octubre del presente año.

De esta forma, también aprovechan para actualizar las fechas de lanzamiento de la versión 4 del estándar, planificándola para mitad del año 2021. Aunque la primera fecha que se indicó fue finales de 2020, ya se dijo que sería el mejor de los escenarios.