Feb 23 2016

Sobre mi participación en MorterueloCON 2016 (recursos y enlaces de interés sobre cifrado, privacidad y anonimato)

Este ha sido mi tercer año en MorterueloCON, y sólo puedo dar las gracias una vez más por la cercanía y el gran trato recibido. En esta edición he participado en el track de Periodismo junto a Rafael Fraguas (impresionante) con una charla técnica titulada: “Cifrando tus fuentes, o el periodismo en tiempos de Snowden”, y también he impartido un taller dentro de los “Ajoarriero Labs” titulado: ¿Apache DoS?.

Además, he tenido la suerte de asistir como alumno a un taller, en este caso de OSINT. Mi chica, que también asistió, os lo cuenta mucho mejor que yo en su blog, pero no hablo sólo del taller, sino de cómo ha vivido su primera MorterueloCON (Hack&Beers incluida): “Entre Hackers, birras y casas colgadas” ;).

“Cifrando tus fuentes, o el periodismo en tiempos de Snowden”.

MorterueloCON 2016El objetivo era primeramente, dar a conocer al alumnado de la Facultad de Periodismo y asistentes a la charla casos como los de Chelsea Manning, Julian Assange y Eduard Snowden , para después, y ya desde un plano técnico – teórico, mostrar una serie de recursos destinados a la defensa digital (y de otras índoles) de Periodistas y sus fuentes con un lenguaje lo menos técnico posible para facilitar su comprensión.

Sobre los casos a los que aludo, hablamos de tres personas que se han jugado / jodido la vida por sus ideales o aquello tan denostado de “la verdad”¿Activistas, “Ciberactivistas” o Hacktivistas? como respondí a dos asistentes a la charla, más allá de etiquetas, son gente comprometida con cuestiones para ellos irrenunciables y que ayer se pudieron expresar en la calle, hoy en La Red y mañana en otro medio, pero seguro que su mensaje y reivindicaciones serán las mismas.

Si os habéis pasado antes por el artículo en Wikipedia sobre Rafael Fraguas, os haréis una idea de lo que supuso ir tras él en la charla. Periodismo comprometido, valiente y del de verdad. Pero no es ya lo que cuenta, sino cómo lo cuenta y ahí Rafa nos dio una gran lección de humildad y humanidad a partes iguales a quienes tuvimos la suerte de verle.

Pienso que la combinación y el orden fueron adecuados ya que él nos habló de lo que supone informar en países y zonas de conflicto, y yo en la seguridad de las comunicaciones centrándome en temas de privacidad, cifrado o anonimato. Pero sin olvidar algo tan olvidado para muchos gobiernos como los Derechos y Libertades Civiles que tanto quieren acotarnos con leyes como la Patriot Act en Estados Unidos, o nuestra Ley Mordaza.

Hice una cronología de los casos de Chelsea Manning y Assange con Wikileaks como nexo, además de algo tan repugnante como “Collateral Murder“. Presenté la plataforma Fíltrala con el leak e intrusión de La 9 de Anon en su última intervención (Hacktivistas por antonomasia, de elevado nivel técnico) en la web corporativa del El Corte Inglés (por cierto, cascos de la 9 estarán online en RootedCON, suerte amigas ;)

Para quienes no estén al tanto, Fíltrala es parte de la red internacional de la Associated Whistleblowing Press (AWP). Se trata de una ONG con sede en Bélgica que se dedica a combatir la corrupción y violación de Derechos Humanos a través del periodismo de investigación.

A continuación, volví con Snowden e hice un repaso cronológico a su caso (que como veréis, tiene mucha miga y está lleno de matices). Allí salieron a la palestra parte de las vergüenzas de Estados Unidos en colaboración con Reino Unido: PRISM, Tempora o XKeyscore. Hablé de las consecuencias de sus filtraciones, las reacciones de gobiernos o compañías , de la persecución al cifrado y también de lo importante que es estar preparado para que si como le sucedió a Glenn Greenwald, una fuente como Eduard Snowden intenta contactar a través de PGP durante casi un año para darte la exclusiva de tu vida y no sabes cómo gestionarlo.

Afortunadamente para Glenn Greenwald y todos nosotros, Snowden contactó con Laura Poitras y ella hizo de puente con un periodista comprometido como pocos como Greenwald que por aquél entonces, e trabajaba en “The Guardian” (ahora están los dos en “The Intercept”, un medio financiado por el fundador de eBay), para hacer públicas sus revelaciones.

Fue el momento idóneo para presentar el oscarizado documental Citizenfour. Un histórico resumen de las más de 20 horas de conversación grabadas en el Hotel de Hong Kong  en el que estuvo Eduard Snowden cuando salió de E.E.U.U por las consecuencias de las filtraciones realizadas. No está de más visualizar una imagen en la que se ve cómo ha afectado a nuestros usos y costumbres de navegación este tema.

Hablé de la importancia del uso de Software Libre como medida fundamental frente a tanto espionaje y seguimientos masivos, para a continuación, ir presentando herramientas, enlaces y recursos en pro de ir solventando problemas en las áreas anteriormente citadas.

Recursos y enlaces para mejorar nuestra Seguridad y Privacidad.

No están todos los que son, pero os dejo una lista de las herramientas que mostré y usé en mi charla, junto a otras que comenté o que se complementan.

Sobre los Passwords: Creando contraseñas seguras | KeePassX | LastPass | KeePass

Alternativas a Google: Disconnect Me | DuckDuck Go | Disconnect Search | DebianHackers

Alternativas a Gmail: Riseup | Protonmail | 10 min mail | OpenMailBox | Dark Mail (ant Lavabit).

Correo cifrado GPG: Thunderbird + Enigmail + GPG creando tu par claves (recordad)

Cifrado de ficheros: Cifrando con GnuPG | Veracrypt en GNU/Linux | Veracrypt en Windows.

Alternativas a Hangout: Pidgin + OTR | Tox | Chat Secure y Private Messaging (móviles)

Alternativas a Skype: RedPhone | Jitsi | Tox | Private Calling | Mumble

Navegación “Segura”: Firefox + HTTPS Everywhere + NoScript + AdBlock + Taco , etc

Navegando con Tor: Vídeo sobre Tor | Usando Tor Browser | Sobre Tor en THW | Orbot (móvil)

Navegando con TAILS: Guía de instalación y uso | Instalación de TAILS en un USB

Navegación con VPN: Comparativa | Torrent Freak 2016 | VPN RiseUP | Ojo con algunas gratuitas

Libros recomendados.

Marta Peirano: El pequeño libro rojo del activista en La Red.

Daniel Echeverry: Deepweb, TOR, FreeNET, I2P, Privacidad y Anonimato.

Javier De La Cueva:  Manual del Ciberactivista.

Mario Tascón y Yolanda Quintana: Ciberactivismo.

De todos modos, no dejéis de pasar por PRISM Break para profundizar en este tipo de alternativas. Viendo las preguntas que se realizaron en el turno de Rafa Fraguas, el “Manual de Seguridad para Periodistas” de Reporteros sin Fronteras es también una lectura muy recomendada si vais a emitir desde zonas de riesgo (que no necesariamente tiene por qué ser a miles de kilómetros). Este apartado de “Seguridad móvil” para Android es más que recomendable para quien quiera profundizar más, al igual que estas “guías paso a paso” y resto de material publicado por “Security in a Box” (en castellano). Para acabar con los recursos web, la información recopilada en la “Operación NewBlood” de Anonymous es también un buen material de referencia en Privacidad, Seguridad y Anonimato.

Muchas gracias a toda la gente de Periodismo por la colaboración, implicación e interés mostrado en nuestro “Track” ;). También por supuesto a Cota y Rafa por el currazo que se pegaron, sin olvidar a resto de asistentes, ponentes y toda esa buena gente que te encuentras en Cuenca. He recopilado en mi cuenta de Twitter unas cuantas fotos tanto del Track de Periodismo como mi Taller, sin olvidar el dibujo que nos dedicó el gran Forges a través de otro grande como Rafael Fraguas ;).

Crónicas relacionadas: Sobre nuestro track en “El Observador” de la UCLM, MorterueloCON 2016 en Makingdos, Tic y Privacidad en MortueloCON por Teresa Sáez, en “The Honey Sec“, crónica de la Morteruelo por Raúl Renares y ya está publicando sus entrevistas para “Palabra de HackerYolanda Corral que se pegó un currazo de los buenos con las grabaciones.

Sobre mi taller Apache ¿DoS?

morteruelocon2016Preparé una máquina virtual con Debian 8.3 y LXDE y fuimos instalando Apache una vez explicados los módulos Multi-Proceso (incluyendo el Event de Apache 2.4) así como otras herramientas que yo también iba instalando en el  servidor VPS de OVH que contraté para el taller. La mayor parte de información de mi PDF de ConcectaCON sigue siendo válida aunque hay cambios ya que está basado en Apache 2.2.

Analizamos cuestiones relativas al tráfico buscando discernir entre el legítimo y otro proveniente de ataques por Bots o de otra índole, implementamos medidas para paliar un DoS y sobre todo, intenté desmitificar ciertos aspectos sobre (algunos) ataques DoS que son más bien la consecuencia de aplicaciones y servicios mal configurados o no preparados para una carga medio alta. Acabamos el taller moviendo en directo un dominio a Cloudflare, usando su SSL gratuito “Flexible” y analizando las diferentes opciones que ofrece.

Por la parte que me toca, comentar que fue muy divertido y didáctico. Estuve haciendo varias pruebas de estrés (o mejor dicho, “DoSeando”;) contra un servidor (mío) en producción llegando a ponerlo con un índice de carga de casi 280, con la inestimable ayuda de esos cracks que asistieron al taller colaborando y participando a tope.

Otros enlaces relacionados:

Apache 2.4 y Mod Prefork | Mod Worker | Mod Event (recordad la mejora en conexiones “keep Alive”).

Instalación de Mod Evasive y Mod Security | Reglas Mod Evasive | Funcionamiento de Cloudflare.

Protegiendo Apache con Fail2ban (recordad mirar bien las “Jails” y sus expresiones regulares).

Instalación de DoS Deflate | “DoS Deflate, mitigando ataques DoS” | Slowloris Attack (y explicación en vídeo)

Ataques DoS con Ufonet v05 invasion | DoS attack Tools | “Free DoS Attack Tools”.

 Vaya desde aquí mi agradecimiento también a toda la gente que asistió al taller (casi 30 personas). ¿Sobre la Morteruelo? sólo comentar que ya falta menos para la edición 2017 ;). Por cierto, he tardado más de lo que pensaba en publicar esta entrada debido al número de enlaces e información que quería incluir, espero que os sea de utilidad. Mucho cuidado ahí fuera !

Tags: , , , , , , , , , , , , , , , , , , , ,


Mar 23 2015

Sobre mi participación en MorterueloCON 2015, e info sobre QurtubaCON (Córdoba, 10 y 11 de abril, inscripción gratuita)

MorterueloCON-2014Como los más cercanos sabéis, el mes pasado repetí participación en MorterueloCON tras una gran experiencia en 2014. Esta vez no iba a ser menos y todo fue sobre ruedas. Y digo eso y no “sobre raíles” porque el único punto negativo fue el viaje. Algo achacable a RENFE por su falta de información y mala gestión de un incidente (temporal de nieve) que si bien es inevitable, debería ser cuanto menos “gestionable”. Pero de las comunicaciones de Asturias con la meseta qué os voy a contar…

Dicho esto, en Cuenca combatimos el frío invernal con calor humano. De eso hubo a montones, también ganas, capacidad e ingenio. Tuve la oportunidad de asistir a las diferentes ponencias de mis compañeros en la Universidad Politécnica y que queréis que os diga, se aprende mucho, coges ideas y te pones al día. Si tenéis la oportunidad de asistir a algún evento de este tipo, no dejéis de hacerlo y más si como en el caso de MorterueloCON, es gratuito.

Gratuito para los asistentes que no para quienes lo organizan. Gran trabajo del pulmón de esta CON (Rafael Otal) y todo su equipo. Una vez más lo han hecho posible y en lo personal, no pude sentirme más respaldado ya que se acercó hasta Cuenca Destroyer con Inma. Uno de los grandes “culpables” de daboweb.com, cajondesastres, etc. Información y PDF (actualizado) como apoyo al taller.

Todo pintaba bien y faltaba ver si se cumplían los objetivos que me había marcado para mi taller: “Hackeando Servidores GLAMP”. Con una veintena de alumnos y 4 horas por delante, fuimos repasando configuraciones esenciales de un Servidor basado en Debian, simulando diferentes escenarios. Ataques DoS, fuerza bruta, escaneos de puertos, revelación de información sensible, etc. El resultado final fue que aprendimos y nos divertimos todos, por lo que me vine a Gijón con un gran sabor de boca. Debajo una foto que hice a parte del grupo de colegas y también adjunto en un album otras que fui publicando en tiempo real en mi Twitter.

morterueloCON_2015

qurtubaCONAhora toca repetir en Córdoba en la QurtubaCON los días 10 y 11 de abril (donde por cierto necesitan patrocinadores tal y como os contamos en Daboweb hace unos días). Estaré en representación de APACHEctl impartiendo en la Universidad otro taller sobre Seguridad y Servidores Web. Ya está desde hace 30 min abierta la inscripción a los diferentes talleres (gratuitos también) y en este momento hay más de 400 personas inscritas. Allí nos veremos -;).

Muchas gracias a la organización, participantes y resto de ponentes por el trato y cercanía, también a todo el personal de la Politécnica de Cuenca y a ese taxista “anónimo” que fue algo más rápido de lo normal para llegar a tiempo a la estación y no perder el Alvia. También a la gente de “Makindos” (que no DoS, muy adecuado el nombre por cierto;) que estuvieron realizando varias entrevistas sobre Seguridad y Privacidad ya disponibles online.

A continuación, la galería de Twitter:

Leer el resto de;”Sobre mi participación en MorterueloCON 2015, e info sobre QurtubaCON (Córdoba, 10 y 11 de abril, inscripción gratuita)”

Tags: , , , , , , , , , ,


Oct 28 2014

En ConectaCON 2014. Sobre mi taller: “Hackeando Servidores GLAMP”.

ConectaCON 2014 (Jaén).Antes de ir a la parte relativa a mi taller, tengo que destacar el esfuerzo, ganas y calidad humana que hemos sentido todos los participantes de la tercera edición de ConectaCON Jaén.

Alguno puede pensar que estás en esa fase de exaltación de la amistad típica de las “CON”, en la que aún están vivos esos momentos (diurnos y nocturnos xD;) y te dejas llevar. Pero no, en Jaén, de nuevo lo han vuelto a conseguir. Más de 400 personas inscritas al evento, una gran asistencia a las diferentes ponencias y los tres talleres que se impartían al 150 % de su capacidad original.

Creo que esas cifras ya dicen bastante de su evolución. Lo que ya es más difícil de compartir son esas conversaciones entre ponencias o tomando unas cañas. Eso forma parte de las “CON”, alguno se quedaría alucinado del concepto de “socializar” que tienen muchos colegas que se pasan por ahí (asociales por naturaleza, más allá de tópicos).

Sobre el evento, se publicarán en la web las diferentes intervenciones, en su Twitter os irán informando.

Material de apoyo para mi taller: “Hackeando Servidores GLAMP“:

¿Qué hicimos en el taller? Partiendo de una (insuficiente) configuración por defecto e instalación mínima, fuimos auditando y asegurando servicios. Ataques de fuerza bruta, búsqueda de posibles puertas traseras, seguridad por oscuridad ocultando versiones de software instalado, ataques DoS, IDS-IPS, firewalls, monitorización, optimización, control de logs, etc.

Os recomiendo (dependiendo del tiempo que tengáis) mi intervención en DRagonJAR TV sobre ataques y defensas básicas en Apache, mi resumen en PDF de ConectaCON 2013 y “DebianHackers Elementals” (acceso al PDF).

También este webcast sobre Seguridad en WordPress, en el que encontraréis un enlace a mi paso por MorterueloCON (repito en 2015;) con extensiones para el navegador web a modo de complemento de otras herramientas que usé en Jaén. Sobre lo más social, en mi Twitter he guardado algún favorito con fotos de esos días. Muchas gracias a todos los asistentes a mi taller por hacerlo tan llevadero (más de 4 horas seguidas, nadie quiso parar). Por supuesto a la organización que tanto se esforzó pensando en cada detalle y al resto de compañeros por tanto buen rollo y ganas de compartir conocimientos estos días en Jáén.

Foto con parte de los alumnos -;)

ConectaCON 2014

Tags: , , , , , , ,


Oct 13 2014

En ConectaCON Jaén, 23 y 24 de octubre. Mi taller: “Hackeando Servidores GLAMP”

ConectaCON 2014 JaénDe nuevo, tengo la suerte de poder participar en ConectaCON. Un evento sobre Hacking con dos ediciones a sus espaldas, que cada vez suena con más fuerza y donde las cosas se hacen pensando a fondo en los detalles (técnicos y humanos).

Si os pasáis por Jaén los días 23 y 24 de este mes, vais a poder percibirlos en grandes dosis. Hoy es el día en el que se abren las inscripciones gratuitas para los talleres (ya estaba activo el registro para las ponencias desde el mes pasado) entre los que podéis ver el que imparto.

“Hackeando Servidores GLAMP”.

¿Qué podéis encontrar en mi taller? en su descripción podéis leer esto:

El taller consistirá en la fortificación de los diferentes servicios de un servidor GLAMP mediante diferentes técnicas. Siempre teniendo en cuenta el punto de vista de un posible atacante, y del responsable de su seguridad. Teniendo como objetivo final la “disponibilidad”. Además, se analizarán los diferentes tipos de hosting y sus problemas más comunes.

Repasando de una forma dinámica y con escenarios reales, fallos o configuraciones por defecto insuficientes en servidores Dedicados, VPS o “Cloud”. Aspectos como la “Seguridad por oscuridad”, ataques de fuerza bruta o contra las aplicaciones web del servidor, cuestiones de optimización y monitorización, servicios críticos, firewalls, etc también tendrán cabida.

Otra forma de explicarlo, sería que voy a intentar hacer una mezcla lo más útil y aplicable posible para quienes asistan al mismo, afrontando cuestiones vitales en un entorno GLAMP, a la vez que fáciles de poner en marcha si te dan alguna pista.

Será más que un mínimo punto de partida, teniendo en cuenta las insuficientes configuraciones de seguridad que vemos en servidores recién instalados. Todo ello basándome en mi experiencia de nuestro día a día en APACHEctl, así como la de otros talleres o charlas en las que participo (siempre teniendo en cuenta que son otras condiciones en cuanto a tiempo, plazas o temario).

Los más fieles al blog recordaréis mi “famoso PDF” (por lo que tardé en sacarlo ;D) de 12 páginas en el que quise resumir aspectos que abordé en mi Demo de ConectaCON 2013. Luego en “DebianHackers Elementals“, incluí herramientas adicionales y revisé algunos temas en pro de dejarlo más pulido.

Voy con un montón de ganas a Jaén y espero veros a muchos de vosotros allí. Os recomiendo visitar la sección de la web dedicada a las ponencias y talleres. Por la parte que me toca, procuraré fuera de mi taller acudir al máximo número de actividades programadas ya que el cartel es un lujazo y si hablamos de un evento gratuito, aún más. Un 10 para la organización y patrocinadores, nos vemos en unos días -;).

Tags: , , , , , , , , , , , , ,


Sep 13 2014

Los 20 vídeos de Rooted CON 2014, “Satellite” (y mi hackeo !? en “Secure Calls” con Pepelux y Linuxmaniac;)

Rooted CONA unos días de que se celebre la “Rooted Satellite” en Valencia (19 y 20 de septiembre, aún estáis a tiempo de registraros a un precio más reducido que la “normal”, 25 y 15 euros, con interesantes charlas y experimentados ponentes ), acabo de ver que se han publicado nuevos vídeos de la pasada Rooted CON celebrada en Madrid.

Como os he comentado varias veces, la de 2014 fue una edición un tanto especial para mi.

¿Por qué? os refesco la memoria. Por un lado, en Rooted 2014 impartí mi Lab sobre: “Seguridad y Optimización en Servidores GLAMP“, una gran experiencia en la que aprendí mucho junto a los asistentes, un fuerte abrazo para todos (por cierto, fue una grata sorpresa para mi que se ocuparan todas las plazas). En la “Satellite”, tenéis dos interesantes Labs también a precios más reducidos que los “Rooted”: “Reversing de aplicaciones y análisis forense en Android” y “Hacking Ético” impartidos por los amigos Luis Delgado y Pablo González.

Por el otro, además de ver a grandes colegas, asistir a casi todas las conferencias y conocer a gente nueva, he sido partícipe de una ponencia muy especial. Hablo de “Secure Calls” (las diapos), un proyecto más que necesario junto a mis amigos Pepelux y Linuxmaniac.

Y hablando de talleres y CON(s), en unos días os comentaré algo sobre el que imparto en ConectaCON 2014, en unas fechas muy complicadas para mi con múltiples “CON” el mismo mes, repito la gran experiencia de la pasada edición en Jaén y me quedo con muchas ganas de impartir uno (o charla) en “Navajas“, Hacking del bueno desde Albacete. Otro año será, compromisos y temas de trabajo me lo impiden. También ir a otras como ponente o asistente y es que cada vez hay más y son mejores. BTW, el 31 de este mes se cierra el CFP de GSICKMINDS en A Coruña, está NcN en Barcelona, Morteruelo, etc.

Sobre “Secure Calls”, además de la temática con la que estoy muy sensibilizado, como muchos de vosotros (privacidad, espionaje masivo, PRISM con todas sus guarradas gubernamentales de las que somos víctimas, etc), era la primera vez que Víctor Seva, o “Linuxmaniac”, como le llamamos sus amigos, hablaba en público. Estrenarse en un aforo como el de Rooted, os podéis imaginar lo que supone…

Fue una gran experiencia repasar la charla con ellos en el Hotel, además de aportar algunos retoques finales, para acabar viendo a Víctor lleno de solvencia y seguridad en el escenario, perfectamente respaldado por Pepelux y esas tablas que se gasta -;).

En el vídeo que inserto a continuación, mis amigos me “hackean” ;D y hasta ahí os puedo contar…

Os recomiendo suscribiros a su canal en YouTube, donde además podéis ver vídeos de anteriores ediciones. Como siempre y al más puro estilo blog personal, además de compartirlo con vosotros, inserto la lista de los 20 vídeos publicados hasta ahora a modo de archivo propio para ir visualizándolos con calma.

Leer el resto de;”Los 20 vídeos de Rooted CON 2014, “Satellite” (y mi hackeo !? en “Secure Calls” con Pepelux y Linuxmaniac;)”

Tags: , , , , ,


Feb 21 2014

MorterueloCON, info sobre herramientas (y demo con parte de mi intervención).

MorterueloCON 2014El pasado fin de semana, tal y como os conté en esta entrada, tuve el placer de participar en las primeras jornadas dedicadas a la (IN) Seguridad Informática organizadas por MorterueloCON en la Universidad Politécnica de Cuenca. La experiencia no pudo ser mejor y sólo puedo dar las gracias a la organización, asistentes y al resto de mis compañeros por el trato recibido y la experiencia a nivel general.

Mi parte iba segmentada en tres secciones. Una introductoria a los tipos de hosting y las problemáticas más comunes (“Alojamiento web, vicios y virtudes“), otra más práctica similar a la demo de ConectaCON (Jaén) de hace unos meses realizando diversos ataques y poniendo en marcha medidas para paliarlos con varios servidores en producción, incluyendo al propio de la web de la organización ¡ gracias Goldrak ! (en las ocho horas del Lab en Rooted CON profundizaré sobre todo ello con una mezcla casi al 50 % Pentesting & SysAdmin) y una tercera dedicada a diversos ataques web, en la que WordPress tenía su protagonismo.

He recibido varios mails preguntándome y hay gente que me ha preguntado vía Twitter por las extensiones que tenía instaladas en el navegador, aparte de otras como NoScript, Adblock Plus, DNT +, Startpage, etc (conecté vía una VPN para después usar Tor Browser) y aquí os dejo la lista:

Show IP, Show my IP, Wappalyzer, Server Spy, Search Status, Hack Search, XSS Me, SQL Inject Me o la HackBar (que no usé al igual que las dos anteriores). Incluyo una colección “must have” que me recomendó el gran Dani Medianero: SecFox.

Añado, en SoydelBierzo, gran y útil post con extensiones similares para Chrome.

Podéis ver varias de ellas en acción aunque no de un modo tan profundo, en el vídeo con la demo del Webcast de Escuela IT dentro del módulo de seguridad en el curso de WordPress. Sólo decir para acabar que espero repetir el año próximo la experiencia ;).

Os dejo una pequeña recopilación de momentos en una foto en modo puzzle.

Leer el resto de;”MorterueloCON, info sobre herramientas (y demo con parte de mi intervención).”

Tags: , , , , , , , , , ,


Ene 24 2014

13 y 14 de febrero, MorterueloCON. Algo de Hosting, Hacking y Servidores web (acceso gratuito).

MorterueloCONCon esta entrada, quería comentaros que en menos de un mes estaré en Cuenca dentro de las jornadas de seguridad que se van a celebrar en la primera MorterueloCON, ubicada en la escuela politécnica. Estaré acompañado de grandes colegas y de alguna forma, el espíritu colaborativo de ConectaCON (jaén), se ha trasladado allí de la mano de Rafael Otal (grande Goldrak;) para la que espero sea la primera de una larga lista de conferencias allí.

También será para mi una buena toma de contacto para terminar de preparar el Lab que impartiré en marzo en la Rooted CON (Seguridad y Optimización en Servidores GLAMP).

Sobre mi participación, primero irá una parte teórica sobre la problemática actual con el hosting y los planes de alojamiento más comunes, para después y en una segunda parte mediante una demo, ver por qué es importante elegir bien la ubicación o servidor si hablamos de (IN) Seguridad y ataques web más comunes. Todo ello partiendo de la base de que hay pocos escenarios tan expuestos como los que comento, veremos en esa demo que una gran parte de esos problemas se pueden evitar con una relativa facilidad. La parte teórica será la que junto a mis compañeros de APACHEctl, expuse en el pasado FIMP con el título: “Alojamiento web, vicios y virtudes“.

En este taller repasaremos las opciones que existen en el mercado para alojar una web. Revisaremos las ventajas e inconvenientes que encontramos en nuestro día a día en nuestra empresa APACHEctl, con el objetivo de evitar pasos erróneos en la contratación de los planes de hosting más comunes. Buscando de ese modo ahorrar tanto en costes como evitar pérdidas de servicio en el futuro.

Dentro de la parte práctica, algo de Hacking web con un target “sin definir” (o sí -;). Y por supuesto, además de mi parte, estaré muy atento a los labs y ponencias de mis compañeros: @lawwait, @dmedianero, @Cirin, @jesusprubio, @pepeluxx y @tr1ana

Sólo recordar que el acceso es gratuito previo registro por cuestiones de aforo y elección de salas (por cierto, a ver si nos vemos en la cena que han organizado para que estemos todos juntos;).

Para estar al tanto de todo lo que engloba MorterueloCON, podéis seguir su cuenta de Twitter.

Tags: , , , , ,


Oct 14 2013

El día 23 de octubre, participaré en el 7 ENISE organizado por INTECO hablando de: «Ciberdelincuencia»

7 ENISE, INTECO LeónEn el año 2011, tuve el placer de participar en el primer encuentro denominado «Blogueros de Seguridad». que organizó INTECO dentro de los actos celebrados en el ENISE (Encuentro Internacional de Seguridad de la Información).

Fue una gran experiencia, allí pude intercambiar puntos de vista sobre cuestiones que no siempre puedes abarcar, además de conocer a grandes profesionales y gente tan interesante como mis compañeros de mesa y otros participantes. El próximo día 23, entre las 15:30 y 17:30h, estaré junto a José Selvi, Lord Epsylon y Pablo González, hablando de «Ciberdelincuencia» en una mesa moderada por Alberto López (Gerente de Consultoría Tecnológica de INTECO).

Un extracto de la temática propuesta para nuestro taller (T2.3):

«La ciberdelincuencia es unos de los ámbitos delictivos de mayor crecimiento durante los últimos años, apoyados en la facilidad, anonimato y rapidez, con el que se pueden realizar los mismos a través de internet. Robo de Información, estafas, phishing, pornografía infantil, redes botnets, terrorismo de estado, son algunos de los delitos que se pueden cometer a través de las redes»

De todos modos, habrá streaming y seguro que salen a la palestra otros temas. También, los componentes de la mesa, hemos cruzado varios e-mails hablando de la temática y por mi parte, sólo os puedo decir lo veo muy homogéneo. Además de los temas propuestos para el encuentro, intentaré aportar algo de mi día a día en APACHEctl con los servidores y los diferentes ataques o consecuencias derivadas de ellos.

También, mi opinión personal sobre hacia dónde va el mundo del Hacking, dentro un marco legislativo que, cada vez con más ahínco, nos pone en el punto de mira, o más bien, la etiqueta protagonista de la mesa, «Ciberdelincuentes» (!). Me refiero a Leyes dictadas por Instituciones o Gobiernos que paradójicamente (o no tanto), espían y vulneran la privacidad de los ciudadanos de forma impune y sistemática…

Muchas gracias a INTECO por invitarme a participar (también a ESET que por cierto me invitó a estar en el «Security Day 2013» y es el mismo día, me hubiese encantado acudir, otro año será). Sobre el 7 ENISE, aquí tienes toda la información, si estás en la Universidad estudiando, el acceso a nuestro taller es gratuito, he preguntado y lo gestionan vía [email protected]

Estoy convencido que aprenderé un montón mis compañeros y participantes del encuentro. Espero veros a unos cuantos en León. Hablando de la entrada al evento, es una lástima que no sea como en 2011, acceso libre, pero para quienes no podáis acudir, siempre nos quedará el streaming -;).

Tags: , , , , , , , , , ,


Página siguiente »