Nov 02 2017

El jueves 9/11 estaré en Hack&Beers Oviedo con: “GLAMP Exposed”

Category: Eventos | Prensa,Hacking | Redes,SysAdmindabo @ 5:00 pm

Asistí como público al primer Hack&Beers Oviedo y, además de quedar encantado con lo que vi (Tunelko es un lujo en cualquier evento y Jesús Vega hizo una exposición muy correcta de un tema tan preocupante como el de la NSA y las escuchas ), salí de allí con el compromiso / amenaza de mi gran amigo “El Jabato” de participar en el próximo.

Y allí estaré, el jueves 9 de noviembre en el Restaurante Flandes con una birra en una mano y la otra en el teclado hablando de problemas de seguridad en Servidores Web con “GLAMP Exposed”. Me pidió Ángel para “Seguridad Jabalí” una descripción y esto fue lo que le mandé:

Partiendo de una instalación por defecto de un servidor GLAMP (GNU/Linux, Apache, MySQL y PHP), la charla abordará la problemática de un escenario de este tipo en producción, algo tan común como potencialmente peligroso para los sitios web y datos alojados en él.

El enfoque será desde ambos lados, tanto desde el punto de vista de un posible atacante, como de quien es responsable de proteger el servidor, con técnicas de ataque y consejos de “hardening” básicos que ayudarán a mejorar esa situación de exposición

También será para mi un buen “teaser” de mi segunda participación en la QurtubaCON 2017  los días 17 y 18 de noviembre en Córdoba. Muchas gracias por invitarme a participar, intentaré estar a la altura.

Más información en “Seguridad a lo Jabalí” y entradas en Eventbrite. nos vemos el día 9 -;)

Tags: , , ,


Jun 01 2017

En el ESET Security Day 2017 con “PYMES Exposed”

Category: Dabo | Personal,Hacking | Redes,SysAdmindabo @ 11:05 am

ESET Security Days 2017 | Live the ExperienceEl pasado 10 de mayo tuve la oportunidad de participar en el ESET Securiy Day 2017 que se celebró en Bilbao. Ya era como la tercera vez que se me ofrecía la posibilidad de participar en un Security Day y tocaba acudir a la llamada del amigo Josep -;).

Su planteamiento inicial  fue contar cuales son los principales problemas a los que se puede exponer una PYME si no gestiona bien sus servidores, o que servicios pueden verse afectados caso de ser comprometidos.

Y después de pensar en lo que podía necesitar saber algún responsable de IT en una PYME  a la hora de contratar un alojamiento web y basándome lo que me comentaba Josep, quise dar respuesta en la medida de lo posible con esta propuesta:

En esta charla se enumerarán las amenazas a las que se enfrenta la empresa cuando externaliza los servicios de hosting, así como la problemática generada de la confusión entre los diferentes tipos de alojamiento (servidores compartidos, VPS, dedicados, Cloud, etc). Para ayudar a su comprensión se expondrán varios ejemplos basados en casos reales, uno desde el punto de vista de la seguridad web y el acceso a información no autorizada, y el otro más orientado a la continuidad de negocio, o más bien la discontinuidad por una falta de disponibilidad del servidor web en un momento clave para la empresa.

También hablé de WordPress y el peligro de no tener las versiones actualizadas (aquí podéis ver info de releases según ramas), de ataques DDoS y UFONet (muy recomendable), metodologías como OWASP y su Top 10 pensando en un desarrollo lo más seguro posible desde el inicio y de otras cuestiones relacionadas.

Tuve la ocasión de compartir ponencias con gente tan profesional como el propio Josep Albors, Carlos Tortosa, Ignacio Lassa Bellet, Mónica Valle, Pablo F. Burgueño, Garikoitz Merino y todo el equipazo de ESET que se desplazó a Bilbao a quien mando un fuerte abrazo y por ese gran trato y cercanía que tuvieron en todo momento. Aquí tenéis los vídeos de la jornada y aquí enlazo al de mi intervención.

Tags: , , , ,


Sep 30 2016

En “Palabra de Hacker” hablando de ataques DDoS

Category: Hacking | Redes,Seguridad Informatica,SysAdmindabo @ 1:09 pm

En junio, Yolanda Corral me invitó a participar en un debate online sobre Ataques DDoS junto a @BTshell, @caar2000, @dsespitia y @franttwit. Un tema el de los ataques Dos / DDos complejo y donde caben muchos matices. A continuación, os dejo con el vídeo del evento.

Enlace al post del debate con toda la información. Por cierto, os recomiendo encarecidamente la herramienta UFONet creada por mi amigo Epsylon si queréis poner a prueba medidas para mitigar un DDoS (si sois capaces de parar a ese ejército de zombies-;). En “el Hacker” encontraréis un buen tutorial sobre su uso.

Tags: , ,


Ene 22 2015

Participando en el curso: “Seguridad en el Desarrollo Web” de escuela IT

Category: GNU/Linux,Hacking | Redes,SysAdmindabo @ 9:52 pm

Escuela ITEl martes pasado, estuve a modo de presentación del curso en un Hangout junto a mis compañeros de APACHEctl  Aj y Oreixa, con Miguel Ángel Álvarez , responsable de Desarrolloweb y escuela IT (el año pasado hicimos otro sobre WordPress).

Se trataba de un #ProgramadorIO con el título: “Desarrolladores Vs SysAdmins“. Allí hablamos de problemas comunes de nuestros clientes de APACHEctl que se dedican al Desarrollo, poniendo una atención especial en la Seguridad.

Y hablando de seguridad y servidores, estaré mañana viernes y el lunes 26 impartiendo dos clases del curso “Seguridad en el Desarrollo Web” de Escuela IT (aún hay alguna plaza si estáis interesados). En mi caso, hablaré en una de las clases de configuraciones de Apache inadecuadas y ataques DoS, y en la otra de ataques y defensas básicas en Servidores GLAMP.

Podéis consultar el programa completo en PDF, o pasaros por la web del curso si queréis más información.

Tags: , , , , , , , , ,


Oct 28 2014

En ConectaCON 2014. Sobre mi taller: “Hackeando Servidores GLAMP”.

ConectaCON 2014 (Jaén).Antes de ir a la parte relativa a mi taller, tengo que destacar el esfuerzo, ganas y calidad humana que hemos sentido todos los participantes de la tercera edición de ConectaCON Jaén.

Alguno puede pensar que estás en esa fase de exaltación de la amistad típica de las “CON”, en la que aún están vivos esos momentos (diurnos y nocturnos xD;) y te dejas llevar. Pero no, en Jaén, de nuevo lo han vuelto a conseguir. Más de 400 personas inscritas al evento, una gran asistencia a las diferentes ponencias y los tres talleres que se impartían al 150 % de su capacidad original.

Creo que esas cifras ya dicen bastante de su evolución. Lo que ya es más difícil de compartir son esas conversaciones entre ponencias o tomando unas cañas. Eso forma parte de las “CON”, alguno se quedaría alucinado del concepto de “socializar” que tienen muchos colegas que se pasan por ahí (asociales por naturaleza, más allá de tópicos).

Sobre el evento, se publicarán en la web las diferentes intervenciones, en su Twitter os irán informando.

Material de apoyo para mi taller: “Hackeando Servidores GLAMP“:

¿Qué hicimos en el taller? Partiendo de una (insuficiente) configuración por defecto e instalación mínima, fuimos auditando y asegurando servicios. Ataques de fuerza bruta, búsqueda de posibles puertas traseras, seguridad por oscuridad ocultando versiones de software instalado, ataques DoS, IDS-IPS, firewalls, monitorización, optimización, control de logs, etc.

Os recomiendo (dependiendo del tiempo que tengáis) mi intervención en DRagonJAR TV sobre ataques y defensas básicas en Apache, mi resumen en PDF de ConectaCON 2013 y “DebianHackers Elementals” (acceso al PDF).

También este webcast sobre Seguridad en WordPress, en el que encontraréis un enlace a mi paso por MorterueloCON (repito en 2015;) con extensiones para el navegador web a modo de complemento de otras herramientas que usé en Jaén. Sobre lo más social, en mi Twitter he guardado algún favorito con fotos de esos días. Muchas gracias a todos los asistentes a mi taller por hacerlo tan llevadero (más de 4 horas seguidas, nadie quiso parar). Por supuesto a la organización que tanto se esforzó pensando en cada detalle y al resto de compañeros por tanto buen rollo y ganas de compartir conocimientos estos días en Jáén.

Foto con parte de los alumnos -;)

ConectaCON 2014

Tags: , , , , , , ,


Oct 13 2014

En ConectaCON Jaén, 23 y 24 de octubre. Mi taller: “Hackeando Servidores GLAMP”

ConectaCON 2014 JaénDe nuevo, tengo la suerte de poder participar en ConectaCON. Un evento sobre Hacking con dos ediciones a sus espaldas, que cada vez suena con más fuerza y donde las cosas se hacen pensando a fondo en los detalles (técnicos y humanos).

Si os pasáis por Jaén los días 23 y 24 de este mes, vais a poder percibirlos en grandes dosis. Hoy es el día en el que se abren las inscripciones gratuitas para los talleres (ya estaba activo el registro para las ponencias desde el mes pasado) entre los que podéis ver el que imparto.

“Hackeando Servidores GLAMP”.

¿Qué podéis encontrar en mi taller? en su descripción podéis leer esto:

El taller consistirá en la fortificación de los diferentes servicios de un servidor GLAMP mediante diferentes técnicas. Siempre teniendo en cuenta el punto de vista de un posible atacante, y del responsable de su seguridad. Teniendo como objetivo final la “disponibilidad”. Además, se analizarán los diferentes tipos de hosting y sus problemas más comunes.

Repasando de una forma dinámica y con escenarios reales, fallos o configuraciones por defecto insuficientes en servidores Dedicados, VPS o “Cloud”. Aspectos como la “Seguridad por oscuridad”, ataques de fuerza bruta o contra las aplicaciones web del servidor, cuestiones de optimización y monitorización, servicios críticos, firewalls, etc también tendrán cabida.

Otra forma de explicarlo, sería que voy a intentar hacer una mezcla lo más útil y aplicable posible para quienes asistan al mismo, afrontando cuestiones vitales en un entorno GLAMP, a la vez que fáciles de poner en marcha si te dan alguna pista.

Será más que un mínimo punto de partida, teniendo en cuenta las insuficientes configuraciones de seguridad que vemos en servidores recién instalados. Todo ello basándome en mi experiencia de nuestro día a día en APACHEctl, así como la de otros talleres o charlas en las que participo (siempre teniendo en cuenta que son otras condiciones en cuanto a tiempo, plazas o temario).

Los más fieles al blog recordaréis mi “famoso PDF” (por lo que tardé en sacarlo ;D) de 12 páginas en el que quise resumir aspectos que abordé en mi Demo de ConectaCON 2013. Luego en “DebianHackers Elementals“, incluí herramientas adicionales y revisé algunos temas en pro de dejarlo más pulido.

Voy con un montón de ganas a Jaén y espero veros a muchos de vosotros allí. Os recomiendo visitar la sección de la web dedicada a las ponencias y talleres. Por la parte que me toca, procuraré fuera de mi taller acudir al máximo número de actividades programadas ya que el cartel es un lujazo y si hablamos de un evento gratuito, aún más. Un 10 para la organización y patrocinadores, nos vemos en unos días -;).

Tags: , , , , , , , , , , , , ,


Oct 09 2014

Sobre mi colaboración con la Universidad de Deusto y su postgrado en Seguridad Informática

DESI Seguridad DeustoPor poneros en antecedentes, comentaros que este pasado verano, he tenido el placer de impartir el módulo de “Seguridad en Servidores Web” del antiguo “MUSI” (Máster en Seguridad de la Información) que ahora pasa a denominarse “DESI” (Diploma de Especialización en Seguridad de la Información).

No puedo estar más agradecido con el trato, la flexibilidad y confianza depositada. Había una hoja de ruta que cumplir, e intenté en colaboración con Carlos Laorden, Borja Sánz y Patxi Galán, preparar un temario lo más actual, real o “aplicable” posible. Hace unos días me han confirmado que pronto lo impartiré de nuevo, y estoy encantado de volver a mi Bilbao natal a repetir la experiencia.

Otros profesores y colaboradores habituales, son gente que conocéis muy bien los seguidores del blog. Hablo de grandes profesionales y amigos como David Barroso, Josean Koret o “Txipi”, a quien tuve el placer de conocer personalmente en mi paso por s3lab de Deusto.

Un lugar el S3lab en el que cuando entras allí (teniendo en cuenta el panorama actual) y ves los proyectos que llevan adelante, percibes algo que te suena tan lejano como “eso del I+D“. Podéis ver su presentación.

Con la resaca y éxito de Navaja Negra (abrazos:) y a dos semanas para que viaje a Jaén y repita también en ConectaCON (muchas ganas, el lunes amplío info en otro post) esta vez impartiendo el tallerHackeando Servidores GLAMP“, me ha venido muy bien leer de nuevo a Patxi y sus dos entradas sobre mi colaboración con Deusto. Tanto para repasar algún tema que tocaré en Jaén, como para ver con los ojos de quien estaba al otro lado de la sala lo que mostré allí, por aquello tan sano de no perder la perspectiva.

Patxi asistió a mi módulo como alumno, y fue una suerte contar con él realizando ciertos ataques que requerían algo de colaboración, al llevar una propuesta formativa con un enfoque que los que me conocen saben que suelo poner en práctica.  “Demo” total y servidores en producción para ver datos reales.

Cierto es que en mi día a día dentro de APACHEctl, realizo ese tipo de tareas de auditoría cambiando el lado o el color según necesidades (ataque y defensa), pero no es lo mismo transmitirlo a otros y lógicamente, uno siempre quiere aprender y mejorar.

Es por ello que me quedo con estas palabras de Patxi:

Al final, a lo tonto, aprendí bastante sobre los servidores, el poco tiempo que se les dedica para ponerlos en condiciones, lo sencillo que es configurarlos, los diferentes tipos de ataques que se realizan contra ellos y los potentes y necesarios que son los sistemas de logs.

También aprendí bastante sobre las diferencias entre los tipos de servers, conceptos como escalabilidad o disponibilidad y la importancia tanto de elegir una buena base para el servidor en el proceso del desarrollo web, como la importancia de saber auditar no sólo de forma externa mediante herramientas Software, sino también configuraciones críticas del server.

No sabes Patxi lo importantes que son para mi, lejos de autobombos y miradas hacia el ombligo. Daremos el objetivo por cumplido, y ahora sólo pienso en mejorar de cara a la siguiente vez allí. Lo dicho, un placer y muchas gracias a los responsables y alumnos por ayudarme tanto impartiendo mi módulo -;).

Sin más, os dejo con sus posts: “Auditando un Servidor con Dabo” Parte IParte II.

(Actualización 12-10-2014) Muchas gracias a toda la gente del S3 por vuestras palabras !

Tags: , , , , , , , , , , ,


Sep 13 2014

Los 20 vídeos de Rooted CON 2014, “Satellite” (y mi hackeo !? en “Secure Calls” con Pepelux y Linuxmaniac;)

Rooted CONA unos días de que se celebre la “Rooted Satellite” en Valencia (19 y 20 de septiembre, aún estáis a tiempo de registraros a un precio más reducido que la “normal”, 25 y 15 euros, con interesantes charlas y experimentados ponentes ), acabo de ver que se han publicado nuevos vídeos de la pasada Rooted CON celebrada en Madrid.

Como os he comentado varias veces, la de 2014 fue una edición un tanto especial para mi.

¿Por qué? os refesco la memoria. Por un lado, en Rooted 2014 impartí mi Lab sobre: “Seguridad y Optimización en Servidores GLAMP“, una gran experiencia en la que aprendí mucho junto a los asistentes, un fuerte abrazo para todos (por cierto, fue una grata sorpresa para mi que se ocuparan todas las plazas). En la “Satellite”, tenéis dos interesantes Labs también a precios más reducidos que los “Rooted”: “Reversing de aplicaciones y análisis forense en Android” y “Hacking Ético” impartidos por los amigos Luis Delgado y Pablo González.

Por el otro, además de ver a grandes colegas, asistir a casi todas las conferencias y conocer a gente nueva, he sido partícipe de una ponencia muy especial. Hablo de “Secure Calls” (las diapos), un proyecto más que necesario junto a mis amigos Pepelux y Linuxmaniac.

Y hablando de talleres y CON(s), en unos días os comentaré algo sobre el que imparto en ConectaCON 2014, en unas fechas muy complicadas para mi con múltiples “CON” el mismo mes, repito la gran experiencia de la pasada edición en Jaén y me quedo con muchas ganas de impartir uno (o charla) en “Navajas“, Hacking del bueno desde Albacete. Otro año será, compromisos y temas de trabajo me lo impiden. También ir a otras como ponente o asistente y es que cada vez hay más y son mejores. BTW, el 31 de este mes se cierra el CFP de GSICKMINDS en A Coruña, está NcN en Barcelona, Morteruelo, etc.

Sobre “Secure Calls”, además de la temática con la que estoy muy sensibilizado, como muchos de vosotros (privacidad, espionaje masivo, PRISM con todas sus guarradas gubernamentales de las que somos víctimas, etc), era la primera vez que Víctor Seva, o “Linuxmaniac”, como le llamamos sus amigos, hablaba en público. Estrenarse en un aforo como el de Rooted, os podéis imaginar lo que supone…

Fue una gran experiencia repasar la charla con ellos en el Hotel, además de aportar algunos retoques finales, para acabar viendo a Víctor lleno de solvencia y seguridad en el escenario, perfectamente respaldado por Pepelux y esas tablas que se gasta -;).

En el vídeo que inserto a continuación, mis amigos me “hackean” ;D y hasta ahí os puedo contar…

Os recomiendo suscribiros a su canal en YouTube, donde además podéis ver vídeos de anteriores ediciones. Como siempre y al más puro estilo blog personal, además de compartirlo con vosotros, inserto la lista de los 20 vídeos publicados hasta ahora a modo de archivo propio para ir visualizándolos con calma.

Leer el resto de;”Los 20 vídeos de Rooted CON 2014, “Satellite” (y mi hackeo !? en “Secure Calls” con Pepelux y Linuxmaniac;)”

Tags: , , , , ,


Página siguiente »