Noticias

Acuerdo con VASCO

Lunes, 23 Agosto 2010

VASCO, líder mundial en Autenticación Fuerte y Firma Digital, especializado en cuentas online, identidades y transacciones, alcanza con VASS un acuerdo de colaboración. Como compañía de software global, VASCO ayuda a una base de clientes de más de 9.500 compañías en más de 100 países, incluyendo aproximadamente, 1.450 instituciones financieras y más de 8.000 clientes de otros verticales. Además del sector financiero, la tecnología de VASCO securiza información sensible y transacciones para todos los verticales e industrias como e-commerce y e-goverment.

Alianza con Collab

Viernes, 30 Julio 2010

La alianza con Collab permite a VASS enriquecer la experiencia de nuestros clientes ofreciendo una solución IP multimedia de Contact Center basada en OneContact, que incorpora todas las últimas tendencias tecnológicas del mercado. También nos permite ofrecer una solución de gestión de la fuerza del trabajo mediante OneWorkForce, una herramienta singular en su clase que permite la elaboración de forecast de servicio a partir de los datos de servicio recogidos en periodos anteriores, y que facilita de forma sobresaliente la gestión de los agentes del Contact Center.

Kinamik Data Integrity

Miércoles, 07 Julio 2010

VASS firma una alianza con Kinamik Data Integrity (http://www.kinamik.com), empresa de software especializada en la protección de la integridad de la información en tiempo real. Kinamik cuenta con una solución única que centraliza y preserva la información de logs y trazas de auditoría transformándolas, de manera que evidencian cualquier intento de manipulación, otorgando una prueba fidedigna de que la información no ha sido manipulada desde el momento de su creación. Kinamik Data Integrity es una empresa apoyada por capital riesgo, y tiene a Nauta Capital como su principal inversor.

VASS y SANS firman un acuerdo

Martes, 06 Julio 2010

VASS y SANS (SysAdmin, Audit, Network, Security), empresa líder y de mayor reconocimiento a nivel mundial en formación y certificación  en Seguridad Informática, han firmado un acuerdo de colaboración para la introducción en España de los cursos SEC542 Web App Penetration Testing & Ethical Hacking.
La formación se impartirá del 20 al 26 de Septiembre en las instalaciones de VASS.

Descripción del curso

VASS y SANS convocan el curso en matería de seguridad informatica, dirigido a profesionales, desde auditores y administradores de redes hasta gerentes de sistemas de informacion y cualquier profesional de seguridad informática.

En este curso de nivel intermedio/avanzado se aprenderá el arte de explotar aplicaciones web, de forma que puedan encontrarse vulnerabilidades en las aplicaciones web de la organización antes de que lo haga  un posible atacante. la realización de las pruebas de intrusión de aplicaciones web se dividirá en cuatro fases:

• Se inyectará SQL en bases de datos, profundizando en cómo los atacantes extraen datos sensibles.
• Se utilizarán ataques de Cross-Site Scripting para dominar la infraestructura objetivo en un entorno de prácticas único.
• Se explorarán múltiples otras vulnerabilidades típicas de aplicaciones web en detalle, empleando técnicas de descubrimiento efectivas a través de un proceso de análisis estructurado.
• A lo largo del curso se aprenderán todos los detalles asociados a cada ataque y su contexto, de forma que podrán ser aplicarlos de manera intuitiva en cualquier entorno y aplicación web.

Al final,  se dispondrá de los conocimientos para evaluar las aplicaciones web de la organización y  descubrir las vulnerabilidades más comunes y críticas existentes en entornos web hoy en día

*El curso será impartido en español, con el material en inglés


DÍA 1: EL PUNTO DE VISTA DEL ATACANTE

Visión General de la Web desde la perspectiva del auditor de seguridad. Explorando los diferentes servidores y clientes. Discusión sobre las distintas arquitecturas de la Web. Descubriendo cómo funcionan los diferentes estados de sesión web. Discusión sobre los diferentes tipos de vulnerabilidades. Definición del alcance y proceso de un test de aplicación Web. Definición de distintos tipos de test de intrusión.

DÍA 2: RECONOCIMIENTO Y MAPEADO

Descubriendo la infraestructura dentro de la aplicación. Identificación de las máquinas y los sistemas operativos. Configuración de SSL y sus debilidades. Explorando los hosts virtuales y su impacto en la evaluación. Aprendizaje de métodos para identificar los balanceadores de carga. Descubrimiento de la configuración del software. Explorando fuentes de información externas. “Google hacking”; hacking desde buscadores. Aprendizaje de herramientas de recolección de enlaces web (spiders). Programación de scripts para la automatización de peticiones web. Diagramas de flujo de la aplicación. Análisis de relaciones dentro de una aplicación. Java Script para el atacante.


DÍA 3: DESCUBRIMIENTO DEL SERVIDOR

Aprender métodos para descubrir varias vulnerabilidades. Fugas de información. Técnicas de recopilación de usuarios (“username harvesting”). Inserción de comandos. Inyección de SQL. Inyección ciega de SQL. Vulnerabilidades “Cross-Site Scripting” Falsificación de peticiones a través de Vulnerabilidades “Cross-Site Request Forgery”. Análisis de la sesión y paso de parámetros. Explorando las diferencias entre distintas bases de datos de back-.end. Técnicas de validación con datos aleatorios y herramientas de “fuzzing”. Discusión sobre los diferentes tipos de interfaces que contiene una página Web. Entender métodos para el ataque de Web Services.

DÍA 4: DESCUBRIMIENTO DEL CLIENTE

Aprender métodos para descubrir varias vulnerabilidades. Fugas de información. Técnicas de recopilación de usuarios (“username harvesting”). Inserción de comandos. Inyecciónde SQL. Inyección ciega de SQL. Vulnerabilidades “Cross-Site Scripting”. Falsificación de peticiones a través de Vulnerabilidades “Cross-Site Request Forgery”. Aprendizaje de métodos para descompilar código de lado cliente. Flash,Java, etc. Explorando applets malignos y objetos.

Descubriendo vulnerabilidades en aplicaciones Web a través de sus componentes de cliente. Entendiendo los métodos para atacar Web Services. Entendiendo métodos para comprobar Webs basadas en Web 2.0 y AJAX. Aprendizaje de cómo AJAX y los WebServices afectan a los test de intrusión. La perspectiva del atacante sobre Python y PHP. El uso de estos lenguajes durante nuestro ataque. La habilidad para expandir las herramientas que utilizamos.

DÍA 5: EXPLOTANDO VULNERABILIDADES

Explorando los métodos para convertir los navegadores en clientes zombi (proceso de zombificación). La utilización de zombies para escanear puertos o atacar redes internas.
Explorando “frameworks” de ataque: AttackAPI, BeEF, XSS-Proxy. Ejemplo práctico de un escenario de ataque.

Aprovechando las distintas vulnerabilidades descubiertas.
Sacando provecho de los ataques para obtener acceso al sistema. Cómo moverse en torno a nuestros ataques a través de una aplicación Web. Entendiendo los métodos para interactuar con un servidor a través de la inyección SQL.
Aprovechando aplicaciones para robar “cookies”. Ejecución de comandos a través de vulnerabilidades en aplicaciones Web.

DÍA 6: CAPTURAR LA BANDERA

El último día de clase, los estudiantes realizarán un acceso a lared y tendrán la oportunidad de completar un test de intrusión en su totalidad. El objetivo de esta competición deltipo “capturar la bandera” es que los estudiantes exploren las técnicas, herramientas y metodología aprendidos durante los cinco días anteriores de duración del curso. Los estudiantes podrán usar estas ideas y métodos contra aplicaciones

Web realistas en una intranet. Al finalizar el ejercicio, los estudiantes realizarán un informe verbal de las características y metodología que han utilizado para completar el test. A los estudiantes se les proveerá de una máquina virtual que contiene el entorno de test de intrusión Web SamuraiWTF y podrán utilizar esta herramienta tanto en clase como al finalizar el curso y vuelvan a sus correspondientes trabajos diarios.


Biografía del Instructor

Raúl Siles es fundador y analista de seguridad de Taddong. Sus más de 10 años de experiencia ofreciendo servicios y soluciones avanzadas de seguridad incluyen diseño y revisión de arquitecturas de seguridad, pruebas de intrusión, investigación de incidentes, análisis forense, evaluaciones de seguridad e investigación de seguridad en nuevas tecnologías, como aplicaciones web, wireless, honeynets, virtualización, dispositivos móviles y VoIP.

Raúl es uno de los pocos profesionales que han obtenido la certificación GIAC Security Expert (GSE). Es autor e instructor de cursos del SANS, ponente habitual en conferencias de seguridad, autor de libros y artículos de seguridad, y contribuye a proyectos de investigación y open-source. Le encantan los retos de seguridad, y es miembro de organizaciones internacionales, como el Honeynet. Project o el Internet Storm Center (ISC).
Raúl tiene una Ingeniería Superior Informática por la UPM (España) y un máster de postgrado en seguridad y comercio electrónico.

Más información en http://www.raulsiles.com.


Información sobre el programa “Community SANS EMEA”

La modalidad de enseñanza “Community SANS” en EMEA (Europa, Oriente Medio y África) ofrece los cursos más populares de SANS en tu comunidad e idioma local. Se emplea para ello un formato de clase reducido, con no más de 25 estudiantes. Los instructores son seleccionados minuciosamente de entre los mejores candidatos del programa “local mentor” o son expertos de seguridad cualificados que han superado un proceso riguroso de selección denominado “el tribunal de la muerte”. El material del curso se imparte en días consecutivos, siendo los contenidos exactamente los mismos que se imparten en las conferencias SANS de mayor tamaño. Además del excelente material asociado al curso, no sólo podrá aplicar las habilidades y conocimientos adquiridos en clase tan pronto vuelvas a la oficina, sino que también podrás seguir en contacto con los colegas de tu comunidad que conociste durante el curso, con los que compartes inquietudes e intereses.

-EXCEPCIONALMENTE, ESTE CURSO SERÁ IMPARTIDO POR EL INSTRUCTOR OFICIAL DEL MISMO EN EMEA, Y MIEMBRO DE TU COMUNIDAD LOCAL

Información de Registro

DETALLES DEL REGISTRO: http://www.sans.org/info/60388
COSTE: SEC542: WEB APP PENETRATION TESTING & ETHICAL HACKING = 2.850 €
CONTACTO SANS: Barbara Basalgète, SANS EMEA Director:  +33 6 71 48 24 01  |  bbasalgete@sans.org
CONTACTO VASS: Marlene Sánchez:  +34 91 662 34 04  |  marlene.sanchez@vass.es
Rafael Ausejo Prieto:  rafael.ausejo@vass.es

Lugar de impartición de la formación
VASS Consultoría de Sistemas
Avda. Doctor Severo Ochoa, 25 - 1ª Planta.
28100 Alcobendas (Madrid)
http://www.vass.es

Liferay Spain Symposium

Jueves, 13 Mayo 2010

El pasado 20 de abril, VASS participó como patrocinador en el Liferay Spain Symposium http://www.vass.es/es/actualidad/eventos?view=evento&id=13 , primer suministrador mundial de plataformas web corporativas Open Source. El evento se celebra por primera vez en España, dada la aceleración constante de este negocio en nuestro país y en las comunidades de desarrolladores de Open Source.

La jornada ha contado con sesiones empresariales y técnicas conformándose como una oportunidad única para conocer las tendencias del mercado y las posibilidades que el Open Source ofrece a las empresas para mejorar sus servicios y aplicaciones, como es el caso de Rural Servicios Informáticos (RSI) que ha contado con el soporte de VASS como integrador en la implantación de la solución, ayudando a solventar su problemática y necesidades con gran éxito

Partnership JBilling

Jueves, 13 Mayo 2010

VASS gana posiciones en el mundo Open Source, con la firma de nuevas alianzas que ayudan a fortalecer su presencia en este mercado, para poder abordar nuevos tipos de proyectos en el futuro. Recientemente se ha establecido una nueva alianza con JBilling (http://www.jbilling.com/), que distribuye un sistema de facturación para plataformas Java.

Andanza Technologies

Viernes, 23 Abril 2010

Siguiendo con la línea de alianzas estratégicas con fabricantes que ayuden a la generación de negocio y nuevas líneas de actividad, VASS firma una alianza con Andanza Technologies (http://www.andanzatechnologies.com/ ) , para el desarrollo, distribución y comercialización de productos y soluciones diseñadas para la dotación de acceso multidispositivo a contenidos con interfaz Web (esmeroPlatform) y sus componentes esmeroMobilizer y esmeroFramework. Esmero es una plataforma de estándares abiertos, que facilita el acceso a los contenidos y aplicaciones web desde cualquier lugar y dispositivo.

Acuerdo Compuware

Viernes, 23 Abril 2010

Establecida una nueva alianza con Compuware (http://es.compuware.com/) , centrada en las soluciones que ayudan a optimizar el rendimiento de las aplicaciones extremo a extremo. Gracias a este acuerdo, VASS puede desarrollar proyectos y comercializar las soluciones Vantage y Gomez (empresa adquirida por Compuware).

• Vantage (http://es.compuware.com/solutions/vantage.asp) es una solución enfocada a la gestión de rendimiento y optimización de aplicaciones.
• Gomez (http://es.compuware.com/solutions/advantage.asp) engloba productos para testear y mejorar el rendimiento de portales y aplicaciones web, monitorizar el rendimiento de portales, etc.

 

TyQ

Jueves, 15 Abril 2010

TyQ, nueva línea de negocio de VASS, ofrece un servicio de aseguramiento de la calidad que garantice la satisfacción del cliente.

Leer más: TyQ

VASSLABS

Viernes, 05 Marzo 2010

Leer más: VASSLABS