Posted on

CSIRT-CV imparteix un curs sobre ‘Desenvolupament segur d’aplicacions’ en l’IVAP

El Institut Valencià d’Administració Pública (IVAP) ha organitzat un curs sobre ‘Desenvolupament segur d’aplicacions’, que ha sigut impartit per personal del CSIRT-CV.

L’objectiu d’esta formació és, d’una banda, conscienciar als desenvolupadors i donar a conéixer les males praxis en estes aplicacions mitjançant la realització d’exercicis pràctics.

I, per un altra, entendre els riscos de seguretat que es corren en un desenvolupament insegur en l’actualitat, així com donar a conéixer estàndards i metodologies per a la seua mitigació en este àrea.

El curs de 30 hores lectives, que consta d’una part teòrica i una altra pràctica, ha comptat amb l’assistència de 20 empleats públics de la Generalitat Valenciana.

El contingut impartit s’ha centrat en quatre blocs: Fonaments de la seguretat de la informació; Introducció al procés de desenvolupament segur; Desenvolupament web i d’aplicacions i Anàlisis de la seguretat.

Estes formacions, dirigides al personal de la Generalitat Valenciana, formen part de Pla Especial de Formació del CSIRT-CV.

Per a més informació sobre els cursos disponibles del CSIRT-CV, pots consultar la pàgina de concienciaT.

Posted on

Butlletí d’octubre 2023

Final de mes i amb això, un nou butlletí, el d’octubre. En aquest lliurament, destaquem el Mes Europeu de la Ciberseguretat, el llançament de la nova campanya de conscienciació del CSIRT-CV  ‘Para. Pensa. Connecta. Sigues més intel·ligent que un hacker’, així com  algunes de les vulnerabilitats més rellevants que han ocorregut en les últimes setmanes. Comencem!

 

Mes Europeu de la Ciberseguretat

Cada any, durant el mes d’octubre, se celebra el Mes Europeu de la Ciberseguretat. Una iniciativa, organitzada per la Comissió Europea i l’Agència de la Unió Europea per a la Ciberseguretat (ENISA), que persegueix ajudar tant a ciutadans com a empreses a mantindre’s informats i conscienciats de les novetats i riscos en l’àmbit de la seguretat informàtica.

Enguany, ENISA ha centrat la seua campanya de conscienciació en l’enginyeria social i el lema triat ha sigut ‘#BeSmarterThanAHacker’. En aquesta pàgina pots trobar una gran varietat de continguts, així com activitats organitzades per diferents països, materials de ciberseguretat i, fins i tot, una prova per a descobrir quin és el nivell de coneixement en matèria de ciberseguretat, etc.

En la mateixa  línia d’ENISA, s’han basat la resta de campanyes orquestrades pels diferents organismes dedicats a la ciberseguretat i la seguretat en la xarxa per a reforçar el mateix missatge entre la població europea.

En aquest sentit, a Espanya comptem amb el Departament de Seguretat Nacional (DSN), a més de l’Institut Nacional de Ciberseguretat (INCIBE) que, juntament amb l’Oficina de Seguretat de l’Internauta (OSI), ha llançat la seua campanya centrada en la suplantació d’identitat.

D’entre les seues activitats programades, ressalta el seminari web ‘Suplantació d’identitat i robatori de comptes’, que se celebrarà dilluns que ve, 30 d’octubre, via en línia. Si estàs interessat en la matèria, no perdes l’oportunitat i punxa ací per a inscriure’t en aquest taller d’una hora de duració i impartit per Ruth García, tècnica de coneixement i conscienciació per a ciutadans i menors, de l’INCIBE.

‘Para. Pensa. Connecta. Sigues més intel·ligent que un hacker’

Des de CSIRT-CV, com a organisme dedicat a garantir la seguretat en la xarxa en la Comunitat Valenciana, també hem volgut sumar-nos a aquesta causa i hem llançat la nostra pròpia campanya de conscienciació, dirigida a tots els ciutadans, a través de les nostres xarxes socials (Facebook i X) i del nostre portal de concienciaT amb el títol ‘Para. Pensa. Connecta. Sigues més intel·ligent que un hacker’.

Per a aquesta campanya, ens hem centrat en quatre escenaris com són les xarxes socials, el correu electrònic, la identitat digital i les ciberestafes, susceptibles de patir atacs emmarcats dins de l’enginyeria social. En tots aquests casos, hem identificat els principals problemes als quals ens podem enfrontar i hem descrit una sèrie de recomanacions per a mantindre’ns cibersegurs. Accedeix a la nostra campanya per a ampliar aquesta informació i descobrir les infografies elaborades. I recorda: davant qualsevol situació, encara que desconegues si estàs davant una ciberamenaça, segueix aquests tres passos senzills: para, pensa i connecta. Segur que així et lliures de caure en les xarxes dels atacants.

 

Dia Internacional del Docent i Dia Internacional del Correu

El mes d’octubre va arrancar amb el Dia Internacional del Docent (5 d’octubre). En la nostra infografia ‘Menors i ciberseguretat creixen junts’ pots trobar alguns suggeriments dirigits als professionals de l’Educació sobre el bon ús d’internet o el bullying, a més d’altres recursos recollits en la nostra campanya ‘Ciberseguretat, una assignatura pendent’.

Així mateix, coincidint amb el Dia de la Comunitat Valenciana, també celebrem el Dia Internacional del Correu. Per a aquesta ocasió recordem una sèrie de consells sobre ciberseguretat per a no baixar la guàrdia ni en festes a través d’aquesta  infografia. Recorda que els ciberatacants estan sempre a l’aguait i no es pot baixar la guàrdia.

 

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que el nostre equip tècnic publica periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les tres alertes de seguretat més rellevants del mes:.

      • Actualitzacions crítiques en Oracle. Oracle ha publicat una actualització crítica en la qual es resolen 387 vulnerabilitats, algunes d’aquestes crítiques.
      • Vulnerabilitat en VMware vCenter Server. VMware ha emés actualitzacions de seguretat per a corregir una vulnerabilitat crítica relacionada amb un actor malintencionat amb accés a la xarxa a VCenter Server, que pot desencadenar una escriptura fora dels límits que podria conduir a l’execució remota de codi. Les versions afectades són la 8.0 i 7.0.
      • Desbordament de memòria en llibreria glibc de distribucions Linux. Una vulnerabilitat de severitat alta, que afecta la llibreria glibc, nom comú utilitzat per a GNU C Library. L’explotació d’aquesta vulnerabilitat podria permetre un escalat local de privilegis que otorgara privilegis complets de root.

T’animem a compartir aquest butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en aquesta àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ així com a seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).

Posted on

CSIRT-CV posa en marxa hui la ‘Para. Pensa. Connecta. Sigues més intel·ligent que un hacker’

Octubre és el mes dedicat a la ciberseguretat i, igual que en anys anteriors, des del CSIRT-CV ens sumem a aquesta iniciativa de l’Agència de Ciberseguretat de la Unió Europea (ENISA) que és l’encarregada de coordinar aquest esdeveniment anual.


En aquesta edició, ENISA ha centrat la seua campanya de conscienciació sota el lema ‘Be smarter than a hacker(Sigues més intel·ligent que un hacker).


Per part nostra, posarem en marxa una nova campanya de conscienciació dirigida a tots els ciutadans sota el lema ‘Para. Pensa. Connecta. Sigues més intel·ligent que un hacker’.


Al llarg d’aquest mes, proporcionarem consells per a identificar i per a saber actuar en diferents escenaris: xarxes socials, correu electrònic, identitat digital i ciberestafes.


L’objectiu és que tots incorporem en el nostre dia a dia una sèrie de bones pràctiques en l’entorn digital que ens eviten ser víctimes de possibles ciberamenaces.


Pots ampliar aquesta informació a través de la següent pàgina de GVA, així com en el nostre apartat de campanyes ací en concienciaT, on s’aniran publicant els consells i materials relacionats amb aquesta campanya.


A més, recorda que s’aniran publicant consells a través de les nostres xarxes socials de Facebook i Twitter. No te’ls perdes!

Posted on

Butlletí de setembre 2023

Tornem de les vacances d’estiu amb un nou butlletí en el qual recollim els principals esdeveniments del mes de setembre i un resum de les vulnerabilitats detectades. En aquesta ocasió, tenim una vulnerabilitat especialment important, ja que la seua detecció ha sigut per part del nostre equip de Red Team.

Durant el mes de setembre, el CSIRT-CV ha llançat diverses comunicacions relacionades amb els esdeveniments que podeu conéixer tot seguit.

Dia Internacional del Teletreball

El passat 16 de setembre es va celebrar el Dia Internacional del Teletreball, una efemèride que hauria passat desapercebuda si no haguera sigut per la pandèmia de la COVID-19, que va estendre la seua implementació al llarg del planeta.

Implementar el teletreball suposa grans beneficis per a la plantilla, com la conciliació familiar o disposar de personal en diferents llocs geogràfics, però també pot comportar riscos per a la privacitat i la seguretat de la informació de la mateixa empresa.

Per això, en CSIRT-CV hem elaborat una guia de seguretat perquè pugues treballar de manera segura sempre que et trobes fora de l’oficina.

Accedeix al nostre portal de concienciaT i coneix el nostre comunicat complet.

Red Team del CSIRT-CV ocupa la primera posició del rànquing de CCN

Gràcies a reportar vulnerabilitats, dos companys del Red Team del CSIRT-CV, Pablo Arias Rodríguez i Jorge Alberto Palma Reyes, han aconseguit el primer lloc del rànquing d’investigadors amb 16 vulnerabilitats reportades fins ara.

El Red Team (Equip d’Atac) del CSIRT-CV participa, des de 2020, en el programa CVE coordinat pel CNA d’INCIBE com a investigadors de problemes de seguretat.

Cal ressaltar que les vulnerabilitats reportades estan solucionades en l’última versió del producte afectat.

Coneix més detall sobre aquest esdeveniment a través del següent enllaç.

Alertes de seguretat

Finalment, recollim les tres alertes de seguretat més destacables en aquest mes:

      • Vulnerabilitats en ARCONTE Áurea: Arconte Áurea és un programari per a l’enregistrament, emmagatzematge i gestió de tota la informació generada en els tribunals judicials, desenvolupada per Fujitsu. L’equip del CSIRT-CV ha detectat 5 vulnerabilitats, que ja van ser reportades i sobre les quals es va saber que afectaven les versions del producte inferiors a la 1.5.0.0. Actualment, totes aquestes es troben solucionades, inclosa la versió 1.6.2.3.
      • Programari Pegasus en iPhones: Aquest programari maliciós és conegut per ser un programari espia capaç de llegir missatges, rastrejar telefonades i recopilar contrasenyes, entre altres. Apple va llançar dijous actualitzacions de seguretat d’emergència per a iOS, iPadOS, macOS i watchOS per a abordar dues fallades de dia zero que han sigut explotades. La companyia recomana als seus usuaris aplicar les actualitzacions disponibles per a tots els dispositius i sistemes operatius.
      • Omissió d’autenticació en Cisco BroadWorks i serveis Xtended: Cisco ha publicat una vulnerabilitat de severitat crítica que podria permetre que un atacant remot, no autenticat, falsifique les credencials necessàries per a accedir a un sistema afectat. La vulnerabilitat afecta Cisco BroadWorks Application Delivery Platform i Cisco BroadWorks Xtended Services Platform si s’executa una versió vulnerable de Cisco BroadWorks. Per això, Cisco ha llançat actualitzacions de programari gratuïtes que solucionen la vulnerabilitat.

T’animem a compartir aquest butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una Cultura de la Ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tens cap inquietud sobre ciberseguretat o necessitat de formació en aquesta àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).