En el Bootcamp de Hack By Security impartiendo formación sobre Seguridad en Servers GNU/Linux

Publicado el Por dabo en Dabo | Personal

Mi gran amigo Ángel «Aka Jábali» ;) me dedicó una entrada en su blog que NO merezco, pero que SÍ agradezco enormemente.

Cuando él me planteó entrar en el equipazo de Hack By Security (tengo que buscar otra foto, lo sé ;D) a impartir formación y más en algo que tanto me gusta como GNU/Linux, no dudé en decir «sí», porque para mi, hablando de formación (algo que me tomo muy en serio) es importante saber que la gente que está detrás se lo toma en serio y no juega con las ilusiones y el dinero del alumnado, así de claro.

El temario que impartí en mi bloque de horas fue el siguiente:

Introducción
Amenazas y seguridad web
Servidores Debian GNU/Linux y seguridad
Monitorización de servidores y servicios
Comparativa de paneles de administración web
Servidores web: Apache vs Nginx
Optimización y seguridad en servidores web
Optimización y seguridad de bases de MariaDB
Seguridad y protección contra ataques DoS / DDoS
Firewall y protección de red / portscans
Uso de un IPS / IDS & búsqueda de malware
Conclusiones y buenas prácticas

Para ello, preparé a los alumnos una VM en VirtualBox con una Debian 12 y un entorno de escritorio mínimo a modo de laboratorio de pruebas y en mi caso, para darle un toque más real, contraté un servidor VPS e hice una instalación totalmente desde cero, explicando problemas comunes, otros más complejos (algunos «bastante complejos»;) y sobre todo, aportando soluciones en directo a esos problemas y configuraciones inseguras que íbamos detectando.

El VPS que usé, como se ve, estaba recién instalado con lo míimo (una «netinstall»)

Fue un rol doble por mi parte, ejerciendo de Red y Blue Team, con ataques desde fuera que eran analizados y bloqueados desde dentro del servidor. Partiendo de una mínima configuración, acabé instalando un entorno plenamente funcional y altamente optimizado basado en:

Apache 2.4x en mod-event

MariaDB 10x

PHP-FPM 8x

Memcached

Mostré a los alumnos cómo manejar picos de tráfico legítimo alto, también cómo actuar en caso de una Denegación de servicio, montar un firewall complejo desde cero con la premisa de que al acabar pudieran replicarlo (las clases quedan grabadas), bloqueando ataques de fuerza bruta, portscans, fingerprinting, DoS, etc.

Por mi parte, acabé la formación con la sensación de haberlo dado todo como siempre intento (a pesar de los riesgos del directo, pero eso creo que aporta valor porque así la gente puede ver cómo solucionas sobre la marcha problemas que pueden encontrarse ellos) y ya estoy esperando a la siguiente entrega. Muchas gracias a Ángel y al Staff de Hack By Security y también a los alumnos que asistieron a mi clase (para lo que necesitéis,sólo tenéis que contactar).

Recaudando fondos para la DANA en DanaConSolidario ¿Por qué se cae mi Servidor?

Publicado el Por dabo en Eventos | Prensa, GNU/Linux, SysAdmin

Al igual que sucedió con la COVID, un grupo de personas nos reunimos para hacer un evento online en pro de recaudar fondos para las víctimas y afectados por la DANA los pasados días 9 y 10 de noviembre.

Se superó la barrera de los 30.000 € y la calidad de las charlas fue realmente espectacular. Cabe destacar la gran labor de la organización de danaconsolidario.com que en un tiempo record, hizo algo espectacular. Hubo mucha gente que colaboró, pero especialmente Yolanda Corral y Edu Satoe se salieron del mapa -;).

En mi caso, opté por algo muy descriptivo como ¿por qué se cae mi servidor? recordando los tiempos en los que en mis inicios, intentaba comprender algo que me resultaba realmente difícil debido a la complejidad de ese ecosistema que es el de los Servidores Web GNU/Linux.

Os dejo con el vídeo de mi intervención, aunque os recomiendo repasar todo el material subido (yo desde luego que lo haré para ponerme al día).

Realmente en esta diapositiva está la clave como veréis en el vídeo

 

Para solventar la cuestión de la Concurrencia

 

Tenemos que despejar esta incógnita…e identificar el problema

 

Desde aquí, quería dar las gracias tanto a los compañeros y compañeras que estuvieron dándolo todo en el evento, la gente que lo difundió / apoyó y por supuesto, a cada una de las aportaciones que se hicieron en pro de recaudar esos fondos para la DANA tan necesarios, en una situación lamentable a todos los niveles y que sin duda, estuvo gestionada fatal / peor imposible por quienes supuestamente tienen que velar por nuestras vidas (y no por su beneficio / status como suele pasar).

 

Hablando de Ciber(IN)Seguridad en el IES1 de Gijón

Publicado el Por dabo en Dabo | Personal

Resumen de mi charla sobre Ciberseguridad en Gijón.

Pocas cosas me gustan más que ir a centros de formación (y si es formación profesional, más si cabe) e intentar aportar algo de luz o ayuda en temas de mi día a día con el Hacking y los servidores en APACHEctl y en mis temas como consultor.

En este caso tocaba hablar de Ciber(IN)seguridad en el IES1 de Gijón y cuando sus responsables me propusieron ir, no dudé en aceptar al momento.

Ciberseguridad IES1 Gijón

(La foto es del amigo @eguino, gracias !!!)

Tengo que dar las gracias tanto a la organización como a los asistentes porque me trataron genial y me divertí mucho -:). Si hay que repetir, se repetirá (hubo gente que se quedó sin poder entrar me comentaron).

¿De qué temas hablé? Obviamente de IA y sus sesgos, de cómo hackear a ChatGPT para saltarte ciertos filtros y restricciones en cuanto al contenido (sí, al final nos creó un arma biológica y…poca broma:), de estereotipos, Hackers y Hacktivistas, de brechas de seguridad, desarrollo seguros de Software, OWASP, criptografía, OPSEC, gestión del riesgo, etc.

Seguramente lo que más impacto causó en la audiencia fue una demo de suplantación de identidad vía una llamada de móvil entre dos asistentes (llamando yo con el número de ellos previo permiso explícito).

Voy a compartir alguna de las diapositivas de mi presentación. Aclarar que aunque mi presentación se impartió con Software Libre y mis Debian, los consejos de Ciberseguridad fueron en este caso destinados a Windows.

Para acabar, si estás leyendo esto y quieres que colabore con tu centro público de educación en algún tema de divulgación tipo este, lo haré de forma desinteresada porque al final, la seguridad, es una cuestión que nos afecta a todos.

Galería con parte de la presentación (hay como el doble de diapos pero falta contexto).

 

En el podcast «The Hacker Style» con epsylon

Publicado el Por dabo en Dabo | Personal, Mi Opinión, Sobre DaboBlog

Tras mi participación en el podcast «Código fuente: Podcast de hackers y para hackers» junto a mi amigo epsylon, me invitó a formar parte de su nuevo proyecto «The Hacker Style» ¿De qué hablamos? ta y como podéis ver en la descripción del vídeo:

En este séptimo capítulo hablaremos con David Hernández (Dabo), de hacking y anécdotas del pasado, redes sociales, Twitter, psicología, sociología, ciencia y filosofía, vieja escuela, ajedrez, libros interesantes, 15M, protestas electrónicas (netstrike), historia de Internet, ataques DDoS, LOIC, UFONet, legislación, hacktivismo, periodismo, filtraciones, etc…

Pero también sobre mercado laboral, teletrabajo, empresa, ser autónomo, ciberseguridad, economía doméstica, trabajo, emergencia climática, montañismo, activismo, XR, pseudociencias, dogmatismo, sistema educativo, nativos digitales… y muchos temas más.

Os recomiendo visitar el perfil en YouTube para ver el listado de entrevistas. Ya veréis el nivel y conociendo a epsylon, seguro que llegan nuevas y potentes sorpresas (sí, tengo cierto «hype» por «algo que me ha contado un pajarito» ;D).

Como siempre (y van 3) cada vez que colaboro o hago algo con epslylon a nivel público (en privado colaboramos con otros temas) la comodidad es total y hay una gran sintonía entre ambos, creo que eso es algo que se puede apreciar en el vídeo.

Si me llaman para algo así y acepto, es para dar mi opinión sin tapujos ni equidistancias por aquello del «¿qué pensarán?». Corren tiempos de alzar la voz y seguir defendiendo con firmeza lo que consideras fundamental hablando de Privacidad, Seguridad, Derechos Civiles y ¿humanidad?.

Muchas gracias epsylon por hacer posible un proyecto divulgativo tan bonito y necesario como este, con temáticas tan interesantes como variadas, pero que siempre confluyen -;).

En Hack & Beers Gijón hablando de ataques DoS y optimización de Apache, NGINX y FPM

Publicado el Por dabo en Dabo | Personal, SysAdmin

El pasado Jueves 23 de marzo en el mítico Savoy de la calle Covadonga, tuve la oportunidad de participar de nuevo en una edición de Hack & Beers (la anterior fue en Oviedo).

Compartí evento con un buen amigo (Nacho) y Daniel, a quien no conocía y he decir que fue una grata sorpresa. Estas fueron sus charlas:

–Daniel López(@Bimo99B9): «Web scraping: recuperación de datos»

-Ignacio Alba Obaya (@NachoalbaO): «¿Seguridad domótica?»

Como dije al principio de mi charla y haciendo un guiño: «si no metes alguna mierda de IA o Blockchain, no eres nadie«, de ahí ese ¿título? de la diapo ;D

Atacando (y defendiendo) entornos GLAMP

Hack & beers Gijón 2023

Tuvimos algún incidente con el proyector y monitores que a Cota, el organizador (enorme abrazo desde aquí;) no le quitó ni la sonrisa ni las ganas de remontar la situación.

Gracias Sheila ♡por la foto y todo tu apoyo constante. También fue de gran ayuda tener a mi fiel compañero 0Dest por allí, llevé dos portátiles por si las moscas y las salidas de vídeo y… no nos equivocamos ;).

Luego tuvimos otro incidente (conexión de Red) que no me dejó terminar la demo que estaba haciendo contra un servidor en producción que había preparado para el evento (cosas del directo).

He aprendido la lección, quienes me seguís desde hace años ya sabéis que con las demos siempre me mojo, pero pensando en la audiencia (no iba ni la Red del local ni la conexión 5G de mi móvil), para la próxima grabo una sesión de mi pantalla y lo voy explicando (contra un entorno de producción, realmente es lo mismo).

Por si os sirve de ayuda, os dejo los enlaces que fui mostrando en mis diapositivas:

Ojo con la carga del servidor de la imagen inferior….

¿Qué es el load average en GNU /Linux?

Entendiendo el load Average: https://aplicacionesysistemas.com/load-average-carga-de-cpu-en-linux/

Servicios DDoS bajo demanda: https://www.dailymotion.com/video/x2558pm

UFONet y DDoS en capa 7: https://github.com/epsylon/ufonet

Comparativa planes Cloudflare: https://www.cloudflare.com/es-es/plans/#compare-features

«Hacking DNS» con DNS Dumpster: https://dnsdumpster.com/

OWASP Top 10: https://owasp.org/Top10/es/

Apache 2 y PHP-FPM, seguridad y rendimiento

optimización apache y PHP FPM

Apache 2.4 MPM «Event»: https://httpd.apache.org/docs/2.4/mod/event.html#page-header

PHP Mod-PHP – Fast-CGI vs FPM: https://blog.ahierro.es/php-mod_php-vs-cgi-vs-fastcgi-vs-fpm/

Calculadora de procesos FPM: https://spot13.com/pmcalculator/

Apache 2 y alto rendimiento en FPM: https://medium.com/@sbuckpesch/apache2-and-php-fpm-performance-optimization-step-by-step-guide-1bfecf161534

Varias de las Diapos que presenté:

Como siempre, agradecer a la organización y público el apoyo y compromiso. Para la próxima y como decía, prometo lleva la demo grabada (aunque sólo me dejé como un 30 % pte).

En el Podcast «Código fuente: Podcast de hackers y para hackers» junto a epsylon

Publicado el Por dabo en Dabo | Personal, Hacking | Redes, Mi Opinión, Sobre DaboBlog

Conocí en persona a epsylon en 2013, era un encuentro denominado: «blogueros de Seguridad» dentro de las actividades del 7 ENISE. En esa mesa estaban también Pablo González y José Selvi.

Antes de esa fecha, ambos habíamos coincidido en otros temas como por ejemplo el 15 M (del que hablamos en el audio) y vaya buenos recuerdos por cierto cuando me veo ahí esas fotos de hace 10 años de AcampadaXixón (creo que fue la primera «tienda» que se montó en la plaza).

Tras ese 7 ENISE, surgió una amistad que perdurado estos años y se puede decir eso de: «hemos estado al día» en cuanto a nuestros proyectos y otros temas personales / vitales. Hago este apunte por contextualizar ya que el día de la grabación «se nos fue» un poco la duración y doy las gracias también públicamente a quien ha editado el audio ya que sé bien por mi experiencia con los podcasts, que no es fácil (y yo cometí algún error de novato;).

Podéis ver aquí en qué proyectos está trabajando epsylon actualmente (antes llevaba un «lord» delante-;). Los más conocidos son: «UFONet – Denial of Service Toolkit» y «XSSer«, un framework automático para para detectar, explotar y reportar vulnerabilidades XSS o ECOin (sí, la Mr Robot-;).

Código fuente: Podcast de hackers y para hackers»

El 17 de mayo me llegó un email suyo invitándome a participar en el proyecto que comparte con otra gente que está colaborando. Se trataba del podcast «Código Fuente: Podcast de hackers y para hackers»,con unas preguntas comunes para quienes vamos a participar, varios formatos (a la hora de grabar, en algún caso serán de «texto a voz»)  y con un sentido y objetivo común que  se cumplirá cuando estén completadas todas las entrevistas.

Por aquello de no soltar mucho spoiler ;D, no enumeraré las preguntas y respuestas, pero es interesante escuchar diferentes puntos de vista y respuestas a esos temas comunes. Ahí escucharás cuestiones de la vieja y nueva escuela, hacking, cracking, viring, phreaking, hacktivismo, Software Libre, etc.

También otras más transcendentales o filosóficas, todo ello con licencia con licencia, «Creative Commons Compartir-Igual 2.1» en Ivoox (también se escuchará en plataformas de radio analógicas) y «Dominio Público» en los audios que se están subiendo a archive.org.

En el audio mencioné la charla que di a alumnos de Periodismo en MorterueloCON 2016, hablando de Assange, Wikileaks, privacidad, etc.También de Snowden y Chelsea Manning. Hay una pregunta que no está respondida y que, por lo que comenté al principio y por temas de edición, no está en el audio y es la que «recomienda un libro», respondí «El enemigo conoce el Sistema» de Marta Peirano.

‘El enemigo conoce el sistema’, el sueño roto de una Internet libre

  • «Cada época tiene su propio fascismo, y el nuestro difiere en muchos aspectos del que describe Orwell en los cuarenta (…). A nosotros nadie nos obliga a tener la telepantalla encendida. Nosotros mismos nos esmeramos en llevarla a todas partes, cargarla a todas horas, renovarla cada dos años y tenerla encendida todo el tiempo y programada para no perdernos un segundo de propaganda»

Sinceramente os lo recomiendo y más en estos tiempos que corren de polarización, manipulación, fascismo, populismos y fake news o Periodismo de WC.

Ahí va mi entrevista, os recomiendo prestar atención al feed porque vienen sorpresas ;).

Muchas gracias a epsylon y resto de gente del proyecto por contar conmigo.

Hablando de sorpresas y podcasts, quiero volver a grabar y lo haré cuando despeje algunas dudas y ponga en orden unas cuantas ideas. Lo que me sucede con «Kernel Panic» es que al final me he dado cuenta tras tantos años y 52 episodios que también para mucha gente es el suyo.

Y sí, volveré(mos) con Kernel Panic -;)

Ya tengo desde hace como un mes un grupo en Signal con Diego aka n1mh y forat denominado: «Kernel Panic» y con su ayuda y la colaboración de mucha gente (epsylon por cierto estará ahí;) con la que charlaré sobre diversos temas. El último audio es de 2014, han cambiado unas cuantas cosas en mi vida y daré un nuevo aire al podcast pero con la esencia de siempre.

No es cuestión de Hype, tengo mucho respeto a toda la gente que está esperando que vuelva el podcast y solo quiero aprovechar la ocasión para daros también las gracias por vuestra paciencia y apoyo.

Actualización 11/08/2021, gracias a las chicas de La 9 de Anonymous por aceptar mi invitación para participar en el proyecto    Podéis escucharlas como ellas mismo dicen «enlatadas» ;D y…de todo menos muertas !

 

Seguridad y Optimización en Servers VPS en CoronaCON (vídeo y enlaces)

Publicado el Por dabo en Dabo | Personal

EL pasado 12 de abril tuve el placer de participar en CoronaCON, un evento online destinado a recaudar fondos para Cruz Roja destinados a la lucha frente a la COVID-19.

Con casi 100 ponentes y a través de Twitch con 4 salas simultáneas, se consiguió una importante cifra

A 24/05/2020:

Intervine en el evento en representación de APACHEctl y el objetivo era abordar la problemática y dar soluciones  a los que se enfrenta una PYME o autónomo a la hora de montar un e-Commerce. Bien si está pensando en llevar su negocio a Internet o si ya lo tiene y está teniendo un crecimiento en su tráfico.

Todo ello, intentando a aprovechar al máximo las posibilidades de configuración que tenemos a nuestro alcance y pensando como digo en el vídeo, en el mejor compromiso prestaciones / coste para el cliente, con la premisa de contener el precio mensual de hosting y no sobre-dimensionar  la infraestructura web innecesariamente (como muchas veces sucede).

Desde la organización, han subido a su canal de YouTube todos los vídeos y os recomiendo repasar la lista (que por cierto, yo tengo que ver unos cuantos). Os dejo con mi vídeo:

Seguridad y Optimización en Servidores VPS

Enlaces y recursos mencionados en las diapositivas

6 – Protonmail para empresas | iRedMail | MXToolbox

7 – Cloudflare (planes y precios) | CloudFail | DNSdumpster

9 – Monit | Pandora | Grafana | Munin | Nagios | Icinga

10 – Comparativa de Paneles de Adminstración

12 – Debian GNU/Linux, mi charla sobre «Seguridad y Software Libre»

14 – Apache vs NGINX

15 – MPM Prefork | MPM Worker | MPM Event | Directiva «ListenBacklog»

18 – Cabeceras y Seguridad en Apache: Security Headers

20 – Optimizando con Apache2Buddy | Rel: curl -sL apachebuddy.pl | perl

21 – Optimización de Apache2 y PHP-FPM

22 – Calculando procesos hijo en PHP-FPM

23 – Activando y optimizando OPCache | Funciones en PHP a deshabilitar

disable_functions =
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopp
ed,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_si
gnal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocma
sk,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setp
riority,system, exec, passthru, shell, shell_exec, popen, pclose, proc_nice,
proc_terminate, proc_get_status, proc_close, putenv, pfsockopen, leak,
apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid,
posix_setuid, escapeshellcmd, escapeshellarg, phpinfo, proc_open,
show_source, passthru

24 – Cómo optimizar MySQL con MySQLTunner

26 – Instalar y configurar Mod Evasive | Rel: más info en «The HackerWay»

27 – OWASP Top 10 (PDF) | «Top 10 Web Application Security Risks»

28 – Cómo asegurar SSH (en Kernelwikia) | Seguridad por Oscuridad (ForatDotInfo)

30 –Instalar APF Firewall desde el código fuente  (En Debian o Ubuntu, está vía apt o aptitude install apf-firewall) recomendable leer el «readme» de R -fx Networks, sus creadores.

31 – «Detectando y deteniendo escaneos de Red con Portsentry»

33 – Asegurando VPS con JackTheStripper | Libro Onna Bugeisha

34 –Rkhunter | Unhide | Logwatch | Logcheck | LMDE | Snort | ModSecurity

35 – Automysqlbackup (hay opción de cifrado) | Rsync | Kernel «GRsecurity»

36 – «Seguridad y Optimización de Servidores GLAMP» (pág 40) | Podcast «Especial SysAdmin» | Autobombo !?

También os recomiendo «sí o sí» instalar Fail2ban para parar ataques de fuerza bruta, además de usar los certificados SSL deLet’s Encrypt (junto a Certbot)

Y os recomiendo repasar este post sobre mi intervención en QurtubaCON 2017 en Córdoba.

Espero que toda esta información os resulte de utilidad junto al vídeo. Por mi parte, comentar para acabar que fue un placer participar en este evento y que la mejor noticia sería que no volviese a repetirse nunca (al menos por este motivo -;).

Hablando de (in)Seguridad en Servidores y Aplicaciones Web en La Laboral

Publicado el Por dabo en Dabo | Personal, Eventos | Prensa, Hacking | Redes, SysAdmin

El pasado 4 de noviembre tuve la oportunidad de participar en el evento «Ciberseguridad CIFP La Laboral«, con la colaboración de Fundación Tac e Incibe. Allí hablé de varios temas relacionados con la (in)Seguridad en Servidores y aplicaciones web, desde mi experiencia tanto protegiendo Servers e infraestructuras web en APACHEctl, como desde un enfoque más ofensivo cuando realizo auditorías de Seguridad (por lo general, Pentest caja negra).

Ciberseguridad La Laboral

 

Tal y como se podía leer en la información original del CIFP:

El objetivo es sensibilizar sobre las amenazas a la ciberseguridad, promover la ciberseguridad entre los ciudadanos y las organizaciones y proporcionar recursos para protegerse a sí mismos en línea, a través de la educación y el intercambio de buenas prácticas.

Además de compartir espacio con Maria Goitia, Directora del Centro y Juan Carlos García, Presidente de la Fundación TAC (que hizo una presentación inicial hablando también de cuestiones de Seguridad) e Inés Menendez, profesora del Departamento de Informática del centro que clausuró el evento, tuve el placer de ver en acción al otro ponente invitado, César Granda (@CacharroHacks).

Clic para ampliar

La verdad es que me encantó su ponencia e hizo honor a su nick «Cacharro Hacks» ;) con un maletín lleno de material para Hackear (Piña Wifi, Bad USB, RFID, NFC, etc).

Después fue mi turno para hablar de problemas de seguridad comunes en Servidores y Aplicaciones web. Tras una exposición inicial, luego realice una demo con varios ataques usando tanto la Debian que corre en mi portátil, como otras dos en máquinas virtuales (sí, esta vez no opté por usar algún servidor en producción, sé que le da un toque más «real», pero ciertamente todo se pudo ver perfectamente y en un entorno más controlado).

Clic para ampliar

Creo que lo mejor para que podáis ver el planteamiento y demo que hice, es que os paséis por esta entrada sobre mi participación en Qurtuba Security Congres de hace dos años, donde tenéis la información necesaria para seguir el hilo y poder ver varias de las herramientas y técnicas que expuse (válida hoy en día).

También hice alusión al Software Libre y su seguridad. En este post de mi participación en las pasadas jornadas de Software Libre y Seguridad organizadas por HackLab Pica Pica, podéis ver la presentación en PDF (que contiene varios enlaces dentro) que mostré en mi introducción.

Para acabar, dar las gracias a la organización y asistentes por contar conmigo para estas jornadas de Ciberseguridad, en especial a José Antonio Sánchez que fue quien contactó inicialmente conmigo y con quien tuve el placer de coincidir impartiendo unas horas de formación en el Curso de Experto de Seguridad Perimetral de la Universidad de Oviedo.