Hablando de Ciber(IN)Seguridad en el IES1 de Gijón

Resumen de mi charla sobre Ciberseguridad en Gijón.

Pocas cosas me gustan más que ir a centros de formación (y si es formación profesional, más si cabe) e intentar aportar algo de luz o ayuda en temas de mi día a día con el Hacking y los servidores en APACHEctl y en mis temas como consultor.

En este caso tocaba hablar de Ciber(IN)seguridad en el IES1 de Gijón y cuando sus responsables me propusieron ir, no dudé en aceptar al momento.

Ciberseguridad IES1 Gijón

(La foto es del amigo @eguino, gracias !!!)

Tengo que dar las gracias tanto a la organización como a los asistentes porque me trataron genial y me divertí mucho -:). Si hay que repetir, se repetirá (hubo gente que se quedó sin poder entrar me comentaron).

¿De qué temas hablé? Obviamente de IA y sus sesgos, de cómo hackear a ChatGPT para saltarte ciertos filtros y restricciones en cuanto al contenido (sí, al final nos creó un arma biológica y…poca broma:), de estereotipos, Hackers y Hacktivistas, de brechas de seguridad, desarrollo seguros de Software, OWASP, criptografía, OPSEC, gestión del riesgo, etc.

Seguramente lo que más impacto causó en la audiencia fue una demo de suplantación de identidad vía una llamada de móvil entre dos asistentes (llamando yo con el número de ellos previo permiso explícito).

Voy a compartir alguna de las diapositivas de mi presentación. Aclarar que aunque mi presentación se impartió con Software Libre y mis Debian, los consejos de Ciberseguridad fueron en este caso destinados a Windows.

Para acabar, si estás leyendo esto y quieres que colabore con tu centro público de educación en algún tema de divulgación tipo este, lo haré de forma desinteresada porque al final, la seguridad, es una cuestión que nos afecta a todos.

Galería con parte de la presentación (hay como el doble de diapos pero falta contexto).

 

En el podcast «The Hacker Style» con epsylon

Tras mi participación en el podcast «Código fuente: Podcast de hackers y para hackers» junto a mi amigo epsylon, me invitó a formar parte de su nuevo proyecto «The Hacker Style» ¿De qué hablamos? ta y como podéis ver en la descripción del vídeo:

En este séptimo capítulo hablaremos con David Hernández (Dabo), de hacking y anécdotas del pasado, redes sociales, Twitter, psicología, sociología, ciencia y filosofía, vieja escuela, ajedrez, libros interesantes, 15M, protestas electrónicas (netstrike), historia de Internet, ataques DDoS, LOIC, UFONet, legislación, hacktivismo, periodismo, filtraciones, etc…

Pero también sobre mercado laboral, teletrabajo, empresa, ser autónomo, ciberseguridad, economía doméstica, trabajo, emergencia climática, montañismo, activismo, XR, pseudociencias, dogmatismo, sistema educativo, nativos digitales… y muchos temas más.

Os recomiendo visitar el perfil en YouTube para ver el listado de entrevistas. Ya veréis el nivel y conociendo a epsylon, seguro que llegan nuevas y potentes sorpresas (sí, tengo cierto «hype» por «algo que me ha contado un pajarito» ;D).

Como siempre (y van 3) cada vez que colaboro o hago algo con epslylon a nivel público (en privado colaboramos con otros temas) la comodidad es total y hay una gran sintonía entre ambos, creo que eso es algo que se puede apreciar en el vídeo.

Si me llaman para algo así y acepto, es para dar mi opinión sin tapujos ni equidistancias por aquello del «¿qué pensarán?». Corren tiempos de alzar la voz y seguir defendiendo con firmeza lo que consideras fundamental hablando de Privacidad, Seguridad, Derechos Civiles y ¿humanidad?.

Muchas gracias epsylon por hacer posible un proyecto divulgativo tan bonito y necesario como este, con temáticas tan interesantes como variadas, pero que siempre confluyen -;).

En Hack & Beers Gijón hablando de ataques DoS y optimización de Apache, NGINX y FPM

El pasado Jueves 23 de marzo en el mítico Savoy de la calle Covadonga, tuve la oportunidad de participar de nuevo en una edición de Hack & Beers (la anterior fue en Oviedo).

Compartí evento con un buen amigo (Nacho) y Daniel, a quien no conocía y he decir que fue una grata sorpresa. Estas fueron sus charlas:

–Daniel López(@Bimo99B9): «Web scraping: recuperación de datos»

-Ignacio Alba Obaya (@NachoalbaO): «¿Seguridad domótica?»

Como dije al principio de mi charla y haciendo un guiño: «si no metes alguna mierda de IA o Blockchain, no eres nadie«, de ahí ese ¿título? de la diapo ;D

Atacando (y defendiendo) entornos GLAMP

Hack & beers Gijón 2023

Tuvimos algún incidente con el proyector y monitores que a Cota, el organizador (enorme abrazo desde aquí;) no le quitó ni la sonrisa ni las ganas de remontar la situación.

Gracias Sheila ♡por la foto y todo tu apoyo constante. También fue de gran ayuda tener a mi fiel compañero 0Dest por allí, llevé dos portátiles por si las moscas y las salidas de vídeo y… no nos equivocamos ;).

Luego tuvimos otro incidente (conexión de Red) que no me dejó terminar la demo que estaba haciendo contra un servidor en producción que había preparado para el evento (cosas del directo).

He aprendido la lección, quienes me seguís desde hace años ya sabéis que con las demos siempre me mojo, pero pensando en la audiencia (no iba ni la Red del local ni la conexión 5G de mi móvil), para la próxima grabo una sesión de mi pantalla y lo voy explicando (contra un entorno de producción, realmente es lo mismo).

Por si os sirve de ayuda, os dejo los enlaces que fui mostrando en mis diapositivas:

Ojo con la carga del servidor de la imagen inferior….

¿Qué es el load average en GNU /Linux?

Entendiendo el load Average: https://aplicacionesysistemas.com/load-average-carga-de-cpu-en-linux/

Servicios DDoS bajo demanda: https://www.dailymotion.com/video/x2558pm

UFONet y DDoS en capa 7: https://github.com/epsylon/ufonet

Comparativa planes Cloudflare: https://www.cloudflare.com/es-es/plans/#compare-features

«Hacking DNS» con DNS Dumpster: https://dnsdumpster.com/

OWASP Top 10: https://owasp.org/Top10/es/

Apache 2 y PHP-FPM, seguridad y rendimiento

optimización apache y PHP FPM

Apache 2.4 MPM «Event»: https://httpd.apache.org/docs/2.4/mod/event.html#page-header

PHP Mod-PHP – Fast-CGI vs FPM: https://blog.ahierro.es/php-mod_php-vs-cgi-vs-fastcgi-vs-fpm/

Calculadora de procesos FPM: https://spot13.com/pmcalculator/

Apache 2 y alto rendimiento en FPM: https://medium.com/@sbuckpesch/apache2-and-php-fpm-performance-optimization-step-by-step-guide-1bfecf161534

Varias de las Diapos que presenté:

Como siempre, agradecer a la organización y público el apoyo y compromiso. Para la próxima y como decía, prometo lleva la demo grabada (aunque sólo me dejé como un 30 % pte).

En el Podcast «Código fuente: Podcast de hackers y para hackers» junto a epsylon

Conocí en persona a epsylon en 2013, era un encuentro denominado: «blogueros de Seguridad» dentro de las actividades del 7 ENISE. En esa mesa estaban también Pablo González y José Selvi.

Antes de esa fecha, ambos habíamos coincidido en otros temas como por ejemplo el 15 M (del que hablamos en el audio) y vaya buenos recuerdos por cierto cuando me veo ahí esas fotos de hace 10 años de AcampadaXixón (creo que fue la primera «tienda» que se montó en la plaza).

Tras ese 7 ENISE, surgió una amistad que perdurado estos años y se puede decir eso de: «hemos estado al día» en cuanto a nuestros proyectos y otros temas personales / vitales. Hago este apunte por contextualizar ya que el día de la grabación «se nos fue» un poco la duración y doy las gracias también públicamente a quien ha editado el audio ya que sé bien por mi experiencia con los podcasts, que no es fácil (y yo cometí algún error de novato;).

Podéis ver aquí en qué proyectos está trabajando epsylon actualmente (antes llevaba un «lord» delante-;). Los más conocidos son: «UFONet – Denial of Service Toolkit» y «XSSer«, un framework automático para para detectar, explotar y reportar vulnerabilidades XSS o ECOin (sí, la Mr Robot-;).

Código fuente: Podcast de hackers y para hackers»

El 17 de mayo me llegó un email suyo invitándome a participar en el proyecto que comparte con otra gente que está colaborando. Se trataba del podcast «Código Fuente: Podcast de hackers y para hackers»,con unas preguntas comunes para quienes vamos a participar, varios formatos (a la hora de grabar, en algún caso serán de «texto a voz»)  y con un sentido y objetivo común que  se cumplirá cuando estén completadas todas las entrevistas.

Por aquello de no soltar mucho spoiler ;D, no enumeraré las preguntas y respuestas, pero es interesante escuchar diferentes puntos de vista y respuestas a esos temas comunes. Ahí escucharás cuestiones de la vieja y nueva escuela, hacking, cracking, viring, phreaking, hacktivismo, Software Libre, etc.

También otras más transcendentales o filosóficas, todo ello con licencia con licencia, «Creative Commons Compartir-Igual 2.1» en Ivoox (también se escuchará en plataformas de radio analógicas) y «Dominio Público» en los audios que se están subiendo a archive.org.

En el audio mencioné la charla que di a alumnos de Periodismo en MorterueloCON 2016, hablando de Assange, Wikileaks, privacidad, etc.También de Snowden y Chelsea Manning. Hay una pregunta que no está respondida y que, por lo que comenté al principio y por temas de edición, no está en el audio y es la que «recomienda un libro», respondí «El enemigo conoce el Sistema» de Marta Peirano.

‘El enemigo conoce el sistema’, el sueño roto de una Internet libre

Sinceramente os lo recomiendo y más en estos tiempos que corren de polarización, manipulación, fascismo, populismos y fake news o Periodismo de WC.

Ahí va mi entrevista, os recomiendo prestar atención al feed porque vienen sorpresas ;).

Muchas gracias a epsylon y resto de gente del proyecto por contar conmigo.

Hablando de sorpresas y podcasts, quiero volver a grabar y lo haré cuando despeje algunas dudas y ponga en orden unas cuantas ideas. Lo que me sucede con «Kernel Panic» es que al final me he dado cuenta tras tantos años y 52 episodios que también para mucha gente es el suyo.

Y sí, volveré(mos) con Kernel Panic -;)

Ya tengo desde hace como un mes un grupo en Signal con Diego aka n1mh y forat denominado: «Kernel Panic» y con su ayuda y la colaboración de mucha gente (epsylon por cierto estará ahí;) con la que charlaré sobre diversos temas. El último audio es de 2014, han cambiado unas cuantas cosas en mi vida y daré un nuevo aire al podcast pero con la esencia de siempre.

No es cuestión de Hype, tengo mucho respeto a toda la gente que está esperando que vuelva el podcast y solo quiero aprovechar la ocasión para daros también las gracias por vuestra paciencia y apoyo.

Actualización 11/08/2021, gracias a las chicas de La 9 de Anonymous por aceptar mi invitación para participar en el proyecto    Podéis escucharlas como ellas mismo dicen «enlatadas» ;D y…de todo menos muertas !

 

Seguridad y Optimización en Servers VPS en CoronaCON (vídeo y enlaces)

EL pasado 12 de abril tuve el placer de participar en CoronaCON, un evento online destinado a recaudar fondos para Cruz Roja destinados a la lucha frente a la COVID-19.

Con casi 100 ponentes y a través de Twitch con 4 salas simultáneas, se consiguió una importante cifra

A 24/05/2020:

Intervine en el evento en representación de APACHEctl y el objetivo era abordar la problemática y dar soluciones  a los que se enfrenta una PYME o autónomo a la hora de montar un e-Commerce. Bien si está pensando en llevar su negocio a Internet o si ya lo tiene y está teniendo un crecimiento en su tráfico.

Todo ello, intentando a aprovechar al máximo las posibilidades de configuración que tenemos a nuestro alcance y pensando como digo en el vídeo, en el mejor compromiso prestaciones / coste para el cliente, con la premisa de contener el precio mensual de hosting y no sobre-dimensionar  la infraestructura web innecesariamente (como muchas veces sucede).

Desde la organización, han subido a su canal de YouTube todos los vídeos y os recomiendo repasar la lista (que por cierto, yo tengo que ver unos cuantos). Os dejo con mi vídeo:

Seguridad y Optimización en Servidores VPS

Enlaces y recursos mencionados en las diapositivas

6 – Protonmail para empresas | iRedMail | MXToolbox

7 – Cloudflare (planes y precios) | CloudFail | DNSdumpster

9 – Monit | Pandora | Grafana | Munin | Nagios | Icinga

10 – Comparativa de Paneles de Adminstración

12 – Debian GNU/Linux, mi charla sobre «Seguridad y Software Libre»

14 – Apache vs NGINX

15 – MPM Prefork | MPM Worker | MPM Event | Directiva «ListenBacklog»

18 – Cabeceras y Seguridad en Apache: Security Headers

20 – Optimizando con Apache2Buddy | Rel: curl -sL apachebuddy.pl | perl

21 – Optimización de Apache2 y PHP-FPM

22 – Calculando procesos hijo en PHP-FPM

23 – Activando y optimizando OPCache | Funciones en PHP a deshabilitar

disable_functions =
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopp
ed,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_si
gnal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocma
sk,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setp
riority,system, exec, passthru, shell, shell_exec, popen, pclose, proc_nice,
proc_terminate, proc_get_status, proc_close, putenv, pfsockopen, leak,
apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid,
posix_setuid, escapeshellcmd, escapeshellarg, phpinfo, proc_open,
show_source, passthru

24 – Cómo optimizar MySQL con MySQLTunner

26 – Instalar y configurar Mod Evasive | Rel: más info en «The HackerWay»

27 – OWASP Top 10 (PDF) | «Top 10 Web Application Security Risks»

28 – Cómo asegurar SSH (en Kernelwikia) | Seguridad por Oscuridad (ForatDotInfo)

30 –Instalar APF Firewall desde el código fuente  (En Debian o Ubuntu, está vía apt o aptitude install apf-firewall) recomendable leer el «readme» de R -fx Networks, sus creadores.

31 – «Detectando y deteniendo escaneos de Red con Portsentry»

33 – Asegurando VPS con JackTheStripper | Libro Onna Bugeisha

34 –Rkhunter | Unhide | Logwatch | Logcheck | LMDE | Snort | ModSecurity

35 – Automysqlbackup (hay opción de cifrado) | Rsync | Kernel «GRsecurity»

36 – «Seguridad y Optimización de Servidores GLAMP» (pág 40) | Podcast «Especial SysAdmin» | Autobombo !?

También os recomiendo «sí o sí» instalar Fail2ban para parar ataques de fuerza bruta, además de usar los certificados SSL deLet’s Encrypt (junto a Certbot)

Y os recomiendo repasar este post sobre mi intervención en QurtubaCON 2017 en Córdoba.

Espero que toda esta información os resulte de utilidad junto al vídeo. Por mi parte, comentar para acabar que fue un placer participar en este evento y que la mejor noticia sería que no volviese a repetirse nunca (al menos por este motivo -;).

Hablando de (in)Seguridad en Servidores y Aplicaciones Web en La Laboral

El pasado 4 de noviembre tuve la oportunidad de participar en el evento «Ciberseguridad CIFP La Laboral«, con la colaboración de Fundación Tac e Incibe. Allí hablé de varios temas relacionados con la (in)Seguridad en Servidores y aplicaciones web, desde mi experiencia tanto protegiendo Servers e infraestructuras web en APACHEctl, como desde un enfoque más ofensivo cuando realizo auditorías de Seguridad (por lo general, Pentest caja negra).

Ciberseguridad La Laboral

 

Tal y como se podía leer en la información original del CIFP:

El objetivo es sensibilizar sobre las amenazas a la ciberseguridad, promover la ciberseguridad entre los ciudadanos y las organizaciones y proporcionar recursos para protegerse a sí mismos en línea, a través de la educación y el intercambio de buenas prácticas.

Además de compartir espacio con Maria Goitia, Directora del Centro y Juan Carlos García, Presidente de la Fundación TAC (que hizo una presentación inicial hablando también de cuestiones de Seguridad) e Inés Menendez, profesora del Departamento de Informática del centro que clausuró el evento, tuve el placer de ver en acción al otro ponente invitado, César Granda (@CacharroHacks).

Clic para ampliar

La verdad es que me encantó su ponencia e hizo honor a su nick «Cacharro Hacks» ;) con un maletín lleno de material para Hackear (Piña Wifi, Bad USB, RFID, NFC, etc).

Después fue mi turno para hablar de problemas de seguridad comunes en Servidores y Aplicaciones web. Tras una exposición inicial, luego realice una demo con varios ataques usando tanto la Debian que corre en mi portátil, como otras dos en máquinas virtuales (sí, esta vez no opté por usar algún servidor en producción, sé que le da un toque más «real», pero ciertamente todo se pudo ver perfectamente y en un entorno más controlado).

Clic para ampliar

Creo que lo mejor para que podáis ver el planteamiento y demo que hice, es que os paséis por esta entrada sobre mi participación en Qurtuba Security Congres de hace dos años, donde tenéis la información necesaria para seguir el hilo y poder ver varias de las herramientas y técnicas que expuse (válida hoy en día).

También hice alusión al Software Libre y su seguridad. En este post de mi participación en las pasadas jornadas de Software Libre y Seguridad organizadas por HackLab Pica Pica, podéis ver la presentación en PDF (que contiene varios enlaces dentro) que mostré en mi introducción.

Para acabar, dar las gracias a la organización y asistentes por contar conmigo para estas jornadas de Ciberseguridad, en especial a José Antonio Sánchez que fue quien contactó inicialmente conmigo y con quien tuve el placer de coincidir impartiendo unas horas de formación en el Curso de Experto de Seguridad Perimetral de la Universidad de Oviedo.

 

Hablando de Software Libre y Seguridad en Oviedo

El pasado 20 de octubre tuve la oportunidad de dar una charla para el HackLab Pica Pica en unas jornadas sobre Software Libre organizadas por ellos (fueron también ellos quienes han hecho posible que venga Richard Stallman en dos ocasiones a Asturias).

Allí hablé de unas cuantas cuestiones sobre Seguridad. Desde planteamientos técnicos a otros más conceptuales. Os dejo un enlace al PDF de mi presentación con varios links dentro de él para que os podáis hacer una mejor idea de los temas que abarqué en el evento.

Un evento muy especial ya que mi hija de 6 meses estaba entre el público ;). La verdad es que con la gente de Pica Pica da gusto hacer cualquier tema. Son personas muy (muy) comprometidas con el Software Libre y a las que hay que apoyar sí o sí. Muchas gracias a ellos y a varios amigos que se pasaron por allí.

Entrevistado en el blog de Ontinet por María José Montes (ESET)

apachectlMi amiga María José Montes, Responsable de Ciberseguridad de ESET y participante activa en múltiples congresos de Hacking y eventos solidarios, me envío una serie de preguntas para el blog del Laboratorio de Ontinet. Hacía alusión a cuestiones profesionales de mi trabajo en APACHEctl y otras de índole más personal.

Sin más, os dejo con la entrevista. Respondí sin pensar mucho y dejándome llevar (que así las cosas salen con más espontaneidad-;).

Gracias amiga !!!