Innovacion Grupo Gesfor

Nos complace anunciar que la versión final de VulneraNET se encuentra disponible para su descarga.

Esta versión trae como novedades:

• Integración de más herramientas de seguridad: Aparte de con Wapiti, en esta nueva versión está integrado con LAPSE+ y la herramienta de predicción de Vulnerabilidades.
  
• Informes de vulnerabilidades más completos: los informes han sido mejorados con más información, sección de resumen y gráficos estadísticos para ver de forma general el estado de la aplicación.
• Mejora en la integración de las vulnerabilidades y la gestión de incidencias: Desde las incidencias se podrá ver la vulnerabilidad por la cual se abrió dicha incidencia.
• Mejora en la integración con el wiki semántico de vulnerabilidades: los usuarios podrán ir a la página concreta sobre una vulnerabilidad dentro del wiki semántico desde la sección de informes de vulnerabilidades. De esta forma los usuarios podrán encontrar información de esa vulnerabilidad de forma más rápida.

La aplicación y sus manuales pueden ser descargados de las siguientes direcciones:

• Descarga aplicación
• Manual de instalación
• Manual de usuario
• Guía para añadir nuevas herramientas de seguridad

El pasado 1 de octubre fue presentado el artículo artículo "VulneraNET: Técnicas para la resolución cooperativa de vulnerabilidades" dentro de las Jornadas de Ingeniería Telemática (JITEL) 2010 que fueron organizadas por la Universidad de Valladolid.

La presentación del artículo corrió a cargo de David del Pozo González (Germinus XXI), autor del dicho artículo junto a Alberto Pastor Nieto de Germinus XXI, Francisco Javier Blanco de la Universidad Politécnica de Madrid y Ana María Vázquez Pacheco de la Universidad Carlos III de Madrid. Todas estas entidades son integrantes del consorcio del proyecto VulneraNET.

El artículo presenta la propuesta y resultados de VulneraNET, proyecto que mejora la seguridad de las aplicaciones web mediante el uso de procedimientos y herramientas que son utilizados en las diferentes fases del ciclo de vida del desarrollo de las aplicaciones. Además en el artículo se comenta que la plataforma VulneraNET facilita la detección, gestión y resolución de vulnerabilidades mediante técnicas web 2.0 y semánticas, reduciendo el esfuerzo y tiempo de corrección de vulnerabilidades. Las herramientas que provee pueden ser utilizadas a diferentes niveles, de acuerdo a las personas involucradas en el proceso de desarrollo y pruebas de un proyecto (desarrolladores, jefes de proyecto y auditores de seguridad) y sin necesidad de tener amplios conocimientos en el área de la seguridad.

Las Jornadas de Ingeniería Telemática (JITEL) constituyen un foro propicio de reunión, debate y divulgación para los grupos españoles que dan docencia y/o investigan en temas relacionados con las redes y los servicios telemáticos. Con la organización de este evento se pretende fomentar tanto el intercambio de experiencias y resultados como la comunicación y la cooperación entre los grupos de investigación españoles que trabajan en temas relacionados con la telemática.

El pasado viernes Grupo Gesfor realizó una presentación de Wapiti en la VI Reunión del capítulo de OWASP España que tuvo lugar en Barcelona. OWASP (Open Web Application Security Project) es una de las organizaciones más importantes en el campo de la seguridad. David del Pozo González (Grupo Gesfor), como desarrollador de Wapiti, realizó una exposición sobre Wapiti y la aportación del proyecto Romulus a su desarrollo. En la presencación se habló del proyecto Romulus que tiene con uno de sus cuatro objetivos más importantes asegurar la seguridad las aplicaciones web construidas con Roma Metaframework, tarea que se logró en gran parte gracias a Wapiti. En la presentación también mostró las características de Wapiti, cómo funciona, la manera de ampliarlo y un caso práctico de uso. Además como líneas de trabajo futuro se presentó el proyecto VulneraNET que colabora actualmente en la extensión de la herramienta.

El punto más destacable del evento es que se ofreció a la comunidad OWASP la oportunidad de conocer Wapiti y la participación en su evolución. Los asistentes al evento se quedaron una buena impresión de Wapiti.

El evento contó con la presencia entre otros de Richard Stallman quien presentó el "Software Libre, su libertad"; Fabio Cerullo quien presentó "OWASP: El riesgo más importante en las aplicaciones Web de 2010"; David del Pozo González, que presentó "Wapiti: Seguridad para desarrolladores web en el proyecto Romulus", y Christian Martorella que presentó "2010 y aún utilizando la fuerza bruta: Webslayer". Vicente Aguilera Díaz, como presidente del capítulo español de OWASP, hizo la introducción y cierre del evento.

El código fuente del robot de Google Wave vulneranet@appspot.com ha sido adaptado a la versión 2 del API de Java para el desarrollo de robots. La funcionalidad no ha sufrido modificaciones y se ha mejorado su presentación. En el perfil del robot se incluye ahora un logo y una url a la pagina de VulneraNET.

Con esta nueva versión del API de robots para Wave, Google mantiene la funcionalidad pero modifica en gran medida la biblioteca cliente con la intención de facilitar la programación de los robots. El API versión 1 dejará de ser válido el 30 de Junio de 2010.

Recientemente la herramienta OWASP Wapiti ha sido incluida en la distribución Backtrack.

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática.

Se deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX. WHAX es la evolución del Whoppix (WhiteHat Knoppix), el cual pasó a basarse en la distribución Linux SLAX en lugar de Knoppix. La última versión de esta distribución cambió el sistema base, antes basado en Slax y ahora en Ubuntu.

Incluye una larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless. Fue incluida en el puesto 32 de la famosa lista "Top 100 Network Security Tools" de 2006.