En vacaciones, cuidado con las autopistas… (de la información)

Publicado el Por dabo en Hacking | Redes, Publicado en INTECO, Seguridad Informatica, Webmaster

Esta entrada se ha publicado originalmente en el blog INTECO dentro de la campaña «verano seguro», os recomiendo leer los últimos post publicados sobre el tema.

Por otro lado, como muchos ya sabréis, procuro hacerme eco tanto de recursos, como de cuestiones de seguridad en mi cuenta de Twitter y os recomiendo estar al tanto de lo que vamos publicando en Daboweb (también puedes seguirnos en Twitter).

Aprovecho la ocasión para comentaros que pronto habrá un nuevo episodio del podcast pasada esta época estival, mirad a modo de ejemplo Forat y su «Radial Rack» ;D.

En Verano, cuidado con las autopistas (de la información)

En tus vacaciones, presta atención al estado de esas autopistas por las que viajan nuestros datos y «teclea con seguridad». También vigila por dónde navegas, no pierdas el rumbo ni las buenas costumbres necesarias para llegar a buen puerto y de ese modo, tener un viaje de vuelta sin sustos. Corren tiempos de una gran actividad en las diferentes redes sociales, también crece la necesidad de compartir tanto ubicaciones como fotografías o experiencias vividas en excursiones y viajes con nuestro círculo más cercano, esa combinación, unido a la «euforía estival», puede hacer que nos conectemos «con lo que sea y desde donde sea» a Internet.

Ordenadores con dudosas medidas de seguridad implementadas y en ocasiones, con un registro de sitios web y datos de navegación visitados, como puede pasarte en un ciber o en el hall de un hotel. Son momentos donde se tiende a bajar la guardia y con tu conexión de datos cancelada temporalmente, o el «síndrome sin 3G», esa red wi-fi de la que en condiciones normales dudarías, la ves más amigable y ahí pueden empezar tus problemas.

Recuerda que cualquier dato es susceptible de ser capturado si estás conectado a una red compartida (o no), medidas como utilizar siempre una capa de cifrado en tus conexiones (SSLTLS, SSH, SFTP, etc), usar el modo de «navegación privada» en tu navegador, unos passwords fuertes y que no sean los mismos en múltiples sitios, etc, te ayudarán a gozar de una privacidad mayor, pero de poco te servirán si ese equipo o conexión ya está comprometida por alguna botnet, troyano, keylogger o hay un sniffer almacenando trazas de red en esa wi-fi «envenenada». Sí, aquello del sentido común, sigue siendo el mejor de los consejos a pesar de las reiteraciones.

Es muy habitual llegar a un equipo compartido y ver sesiones abiertas en el correo o sitio web de turno, también se incrementan las infecciones en dispositivos USB o tarjetas de memoria por ejemplo descargando fotografías y los ataques por ingeniería social van en aumento. Esa ausencia vacacional puede ser el momento ideal para intentar engañar al personal de tu empresa para conseguir información sensible de la misma, aprovechándose de algún dato que hayas podido publicar en un blog o la Red Social de turno. Es por ello que no está de más dejar marcadas unas directrices o pautas de actuación mientras estés en ese estado de desconexión que al final no lo es tanto (aquí volveríamos al primer párrafo).

Es importante que alguien de tu círculo de confianza si llevas adelante algún sitio web, o tu negocio se basa en Internet, pueda acceder a ese entorno caso que suceda algún problema o caída en el servicio. Del mismo modo, extrema las precauciones cuando regreses ya que es probable que a tu sistema o aplicaciones, le falten algún parche de seguridad publicado en tu ausencia. Abre con precaución los correos acumulados aún siendo legítimos y si usas alguna solución anti-malware,, asegúrate también de que sus firmas de detección estén al día antes de realizar cualquier operación con el equipo.

Para terminar no te olvides de los backups, que como las bicicletas, también son para el verano… Por lo que a disfrutar y «tengan cuidado ahí fuera» ;).

DaboBlog Podcast, «Kernel Panic» Especial Fluxbox

Publicado el Por dabo en Dabo | Personal, DaboBlog Podcast, GNU/Linux, Tutoriales | Guías

tuxipod.jpgEn esta ocasión, vamos con un episodio especial sobre Fluxbox con Debish, compañero de DebianHackers, autor del blog Debianeando y al que también le le podéis seguir en su Twitter (Debianeando) o en Identi.ca (Debish). Hay vida más allá de GNOME, KDE, XFCE, Unity, etc, también otras formas de ordenar vuestras aplicaciones, gestionar y aprovechar de una forma más eficiente cada milímetro de vuestro escritorio, de eso trata este podcast.

Desde aquí, tengo que darle las gracias por lo bien que lo ha preparado y la paciencia cuando quieres explicar algo que se entiende mejor de forma escrita. Hablo de los textos que acompañan al audio en esta segunda grabación (hubo una fallida hace unos meses) en la que no hemos tenido ningún problema ;).

Tal y como digo en el podcast, es muy importante si queréis conocer e ir probando las opciones comentadas en este especial, visitar los enlaces que ha preparado Debish y leer el texto que se ve más abajo a modo de toma de contacto con los ficheros de configuración que se citan en el audio.

Estamos en plena fase grabación del podcast 37 (falta «Manzanas») y sobre mediados de mes lo publicaré para espaciarlo de este especial Fluxbox. Así que…buen verano y nos volvemos a escuchar pronto !

Contenidos incluidos; Duración 1,31 h

(Por David Hernández, Dabo y Debish)

> Kernel Panic «Especial Fluxbox»

En Twitter; Dabo y Debianeando. (Debajo del audio, texto de apoyo y links).

Seguir leyendo

Hey SysAdmins ! hoy es nuestro día. Larga vida a vuestros servers -;)

Publicado el Por dabo en Dabo | Personal, GNU/Linux, Hacking | Redes, Mi Opinión, Unix

sysadmindayHoy es una de esas fechas señaladas en el calendario, 27 de Julio o el «SysAdminDay«, un día para destacar la labor de todos los que lleváis a cabo esa tarea tan importante y oscura a veces como el fondo de vuestro terminal, en las máquinas que administráis, para ayudar a que todo esto de Internet funcione un poco mejor por la parte que nos toca.

El día de los del discreto segundo plano, como esos procesos que ejecutáis en vuestros sistemas, otro 27 de Julio para celebrar los malos y buenos momentos, la puesta en marcha de ese nuevo servidor, la preparación, mantenimiento, migraciones que más bien parecen migrañas y la monitorización constante de todo el tráfico que llega a nuestras máquinas.

En mi caso, además de a todos los amigos y SysAdmins que tenéis a bien compartir vuestro día a día conmigo aquí o en Twitter, tengo que felicitar especialmente a AJ y Oreixa, compañeros de batallas en APACHEctl, por estar siempre ahí dando la talla. También agradecer a todos los clientes que han depositado su confianza en nosotros para administrar sus servers, por hacernos la vida más fácil, colaborando a tope y siendo tan enrollados -;).

El 27 de Julio se escribe con letras blancas y fondo negro, mucha suerte con vuestros servers y «tengan cuidado ahí fuera» ;D. Tambien dar las  gracias por supuesto a toda la comunidad que gira en torno a GNU/Linux, por ayudarme a hacer de una pasión, mi forma de vida.

feliz@SysAdminDay:~$

[Vídeo] Hablando sobre GNU/Linux y seguridad en el #LinuxIO de Desarrollo Web

Publicado el Por dabo en Dabo | Personal, Eventos | Prensa, GNU/Linux, Hacking | Redes, Vídeos | Slideshow

LinuxIOEl pasado Martes, tuve la oportunidad de compartir espacio en el «LinuxIO» de un portal de referencia como es el caso de Desarrollo Web. Estuve muy cómodo junto a su responsable y buen amigo, Miguel A. Alvarez y Pablo Bernardo, quien lleva adelante con ganas y buen hacer junto a Miguel, el espacio dedicado al mundo de GNU/Linux y el Software Libre en formato «Hangout«.

En el caso de Miguel, llevo con orgullo esa «responsabilidad» de ser quien le ha iniciado en el apasionante mundo de GNU/Linux, también y por la parte que me toca en APACHEctl (administramos sus servidores), decir también que como responsable de Desarrollo Web, es todo un ejemplo de una relación de colaboración constante entre desarrollo y sistemas, pero sobre todo, una gran persona que en su día conocí gracias a otra gran amiga, como es el caso de Eugenia Bahit.

Sobre Pablo, una de esas agradables sorpresas que llega a través de Twitter. El día anterior a la grabación ahí estuvimos haciendo pruebas con el «Hangout» (como no podía ser de otro modo en mi caso, Google decidió que «había un problema en sus sistemas con la compartición de pantallas y al final hicimos un apaño vía TeamViewer;) y sólo puedo agradecerle lo pendiente que estuvo en todo momento, sus ganas de ayudar y el buen hacer. Sé bien por nuestro podcast el esfuerzo que implica.

Y de la gran cantidad de amigos y gente que seguía el LinuxIO por Twitter, lo puedo resumir en «impresionante». Mucho feedback, preguntas que intenté contestar bien en la grabación o después y ese aliento en la nuca de una comunidad amiga. Vaya desde aquí todo mi agradecimiento tanto a el equipazo de Desarrollo Web (Ana incluida) por darme la oportunidad de participar y aportar en la medida de lo que pude, dentro de mis posibilidades mi granito de arena (repetiré encantado), como a toda la gente que estuvo ahí siguiendo el directo o la grabación posterior.

Los de casa ya sabréis sobre lo que hablé, una mezcla entre GNU/Linux, seguridad, CMS y servers con grandes dosis de Debian como no podía ser de otro modo-;). Para acabar y sobre LinuxIO, es una iniciativa que sigo con interés, totalmente recomendable y para eternos aprendices como es mi caso, una cita obligada. Por lo que ¡ mucho ánimo y a seguir con ello !

Acceso a: «Seguridad en GNU/Linux en el #LinuxIO» | El vídeo.

Servidores web y respuesta rápida a incidentes. Teoría Vs práctica. (Publicado en INTECO)

Publicado el Por dabo en GNU/Linux, Hacking | Redes, Mi Opinión, Publicado en INTECO, Seguridad Informatica

Disclaimer: Publicado originalmente en el blog de INTECO.

Existen muchos mitos sobre un concepto tan utilizado en el mundo IT como el de «respuesta rápida a incidentes«. Podemos incluso, realizar todo tipo de planes de contingencia, continuidad de negocio, previsiones y pruebas de concepto, pero en base a las experiencias vividas en mi día a día con los servidores web, a título personal, o junto a mis compañeros de APACHEctl, a pesar de intentar marcar unas pautas comunes de actuación, en la hoja de ruta a seguir cuando todo lo que puede ir mal sucede, en cada caso tienes que añadir una nueva variable.

Es como un teorema en permanente estado de revisión, cuestionamiento y actualización. Obviamente, cuando has preparado un entorno web desde cero, juegas con la ventaja de saber en que terreno te mueves (sabes cómo puede funcionar el proveedor de hosting, la gestión del incidente, tiempos de recuperación, backups, la gestión de la comunicación y posible respuesta del cliente, medios de los que dispones, etc).

Pero en mi opinión, la complejidad reside en un caso muy común y muchas veces olvidado, donde cuando estableces una conexión SSH, tienes la sensación de estar «en tierra de nadie». En un panorama como el siguiente, no sirven de mucho las teorías, lo que cuenta es crearlas sobre la marcha con la experiencia adquirida en el desarrollo de ese teorema anterior y ponerlas en práctica en el mínimo tiempo posible. Me refiero al caso tipo de:

«Hola, el motivo de mi consulta es porque mi servidor web no va bien y creo que puede estar comprometido».

Hablamos de escenarios hostiles, las frases hechas como «lo más seguro es quitar el cable de red» son sólo eso, coletillas con un efecto placebo para el usuario. En momentos así, el único mecanismo de defensa frente al pánico del responsable del entorno de producción de turno, es pensar que quizás pueda librarse de verlo parado con las consecuencias que ese hecho pueda tener, tanto para la empresa, como para los usuarios finales.

Y allí estás, frente a una línea de comandos en un sistema GNU/Linux conocido por su arquitectura, pero totalmente desconocido en cuanto a su estado, en el que ya sabes desde antes de empezar que ese día, tu lista de variables aumentará, esperando también que alguna de las almacenadas en memoria funcionen. En medio del fuego cruzado TCP/IP que está entrando y saliendo por el cable de esa máquina, donde tú sólo eres una pieza más del puzzle (olvídate de protagonismos heredados de Hollywood) y los daños colaterales pueden ser grandes.

Siendo consciente, de que eres posiblemente el paso previo a un posterior análisis forense que de hecho, ya lo estás haciendo, aunque sea a un nivel no tan bajo del sistema. Revisando conexiones, logs y alguna vez, compartiendo sesión con quien ha provocado que estés allí.

Y sí, tienes que manejar de la mejor forma posible tanto la gestión del incidente, la comunicación, plan de continuidad, impacto sobre el sistema, grado de intrusión y todo lo que está en la teoría, ya que una decisión errónea, puede ser el desencadenante de una serie de hechos totalmente desafortunados para todas las partes implicadas, el ligero problema, es que debes hacerlo en minutos, o segundos…

Ahí radica la diferencia con «el escenario ideal», otra frase hecha, pero en esta ocasión para quien se ha esforzado en implementar todos los planes necesarios que comienzan por ISO, el cliente que ha pagado por ello, o para el sufrido «SysAdmin» que también tiene derecho a irse a dormir algún día tranquilo. Cuando ves la (IN) Seguridad como algo natural y estás familiarizado con ella, sabes que todo es susceptible de pasar de «ideal» a «infernal» en cualquier momento y tienes que estar preparado.

Quizás, por ejemplos como este, uno de tantos, si después lees algo acerca de los intentos de criminalización de nuestra profesión, queriendo limitar el uso de herramientas para realizar auditorías de seguridad o tests de intrusión, es cuando piensas que mucha gente vive en universos paralelos, que más bien podrían denominarse, «para lelos». Hoy, ese teorema, tan inquietante como abstracto, seguirá evolucionando.

Por cierto, no sé cómo acabará, pero empieza con un «Hacking is not a Crime».

DaboBlog Podcast nº36. «Kernel Panic», (añadido) «Manzanas Traigo» WWDC 2012

Publicado el Por dabo en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

tuxipod.jpgHola concurrencia !. Después del episodio especial, dedicado a Forat, y una vez pasado el gran susto, nos ponemos de nuevo al micro juntos para  dar un repaso a nuestras historias Linuxeras. Como veréis, en el título no pone el mítico «Manzanas Traigo», este mes «los de las manzanas» esperarán tal y como os explica Oreixa en la intro (sí, en la intro;) a la Keynote de este mes y todas las novedades que se piensa que lanzarán.

Editado y añadido «Manzanas Traigo» (17-6-2012) especial WWDC 2012 

Y de veras, muchas gracias a todos vosotros por darnos tanto apoyo constante y también por vuestro feedback y las ganas de escucharnos (el motivo principal por el que seguimos aquí;).

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 1,00 h – Kernel Panic y 1,22 h – Manzanas Traigo)

> Intro (00:00 hasta el minuto 04:30)

(Por David Hernández, Dabo y Oscar Reixa, Oreixa) Presentación sobre este episodio 36 y la «ausencia de manzanas»,

> Kernel Panic (Minuto 04:30 hasta el 1:00 h)

En Twitter; Dabo y Forat (Diego estará en el próximo).

Principalmente el audio se basa en eyeOS (aquí el tutorial de Forat) y otros escritorios «On Cloud», ¨Gimp 2.8, Ubuntu 12.04, Servidores web, «la radial de Forat» (ojo al audio), novedades en Debian, de Kernels nuevos y algún bug en RAID, recursos como el «Debian Administrator’s Handbook», (del que nos hicimos eco en DebianHackers) algo de LVM, dm-crypt, entornos de escritorio y alguna instalación «extraña» de Debian Testing que acabó en Sid, ALSA y batallitas varias sobre GNOME, KDE, migraciones de Desktops y servidores, etc.

> Manzanas Traigo ( Especial WWDC 2012)

En Twitter; Aj, Dabo, lur, Oreixa.

En “Manzanas Traigo” está todo el equipo habitual unos días después de salir Kernel Panic, un repaso a todas las novedades en cuanto a hardware y software presentadas en la última Keynote. Como veréis, mucho «developer» ;D, IOS6, nuevos MacBook, las grandes ausencias hablando de renovaciones en la gama «pro» de los equipos de escritorio, de las limitaciones o funciones de equipos que funcionen bajo IOS cuando salga la versión 6, portátiles y medidas, alguna aplicación, Mountain Lion, controversias varias, filias y fobias «Jobs – Cook», etc. junto a Oscar Reixa, A. J Pérez y lur.

 

Seguir leyendo

10 años de daboweb.com. El principio de todo…

Publicado el Por dabo en Dabo | Personal, Mi Opinión, Otras Webs | Blogs, Seguridad Informatica

Ese día tenía 31 años y ya llevaba unos cuantos tecleando pero quería compartir experiencias, no sabía muy bien cómo llamar a la web, busqué nombres y al final, sin saber muy bien el motivo, la llamé «Daboweb«. Poco original, lo sé, pero como en principio era una web como muy personal y para nada sabía dónde iba a acabar, lo vi adecuado. «Seguridad y ayuda informática«.

Hoy, una década después, tal y como he dicho en el post del aniversario, sólo puedo dar las gracias a toda la gente que a lo largo de estos años ha estado ahí colaborando y ayudándome a no perder la fuerza, ganas e ilusión. Sin ellos, (vosotros podría decir, ya que muchos también os pasáis por aquí) no hubiese sido posible.

Tampoco el haberme embarcado en proyectos como el Podcast, haber co-fundado Caborian, DebianHackers o ver todas las webs de mis compañeros de batallas frente al teclado. Seguramente, sin Daboweb, tampoco APACHEctl sería la empresa en la que tanto me divierto trabajando junto a verdaderos amigos.

En un medio como este, pasar la barrera de los 10 años ya te da una cierta visión de las cosas a largo plazo, también la experiencia necesaria para, en lugar de tumbarte a la bartola, reinventarte y seguir con fuerza junto a esa gran cantidad de amigos que se pasan a diario por nuestros foros (estáis formalmente invitados a participar;). Un día este para no olvidar, el comienzo de todo. ¿El final? «hasta que el teclado nos separe» ;D.

Muchas gracias por estos 10 años de Hacking en su concepto más auténtico -;)

Reportando bugs en tiempos difíciles…

Publicado el Por dabo en Dabo | Personal, Hacking | Redes, Mi Opinión, Seguridad Informatica

Así se podría llamar la película porque hoy en día, reportar una vulnerabilidad en un sistema ajeno, puede ser considerado como una actividad «extrema» o de riesgo (para quien reporta). Lo que no deja de ser curioso es que muchos, nos empeñemos en seguir haciéndolo en medio de una época de intentos continuados de fiscalización/criminalización del conocimiento en Hacking, seguridad o como se quiera denominar.

Claramente, sería una mala película en vista de los «teasers» que nos llegan desde «algún lugar de Europa» (ENG). Sin duda, estaría llena de amarillismos y excesos proteccionistas «apuntando» al lado incorrecto por parte del legislador de turno.

Pero no, esta vez va de «Hacking old school», la sinopsis es simple. Un hashtag muy potente y activo en Twitter (ahí vamos mal con lo de «old»;) despierta el interés de quien reporta, un servidor web mal configurado permitiendo el listado de directorios, junto a un CMS vulnerable y todo ello visible a través del navegador (quedaría mejor para maquillar el guión un «después de un análisis súper complejo, bla, bla, bla…» pero no).

Quien lo ve, evaluando el gran peso del site junto al contexto y situación (no doy más datos ya que aún no han podido solventarlo aunque todo ha ido bien), decide enviar un e-mail con su nombre y correo real reportando los bugs y más o menos un par de horas después, recibe la siguiente respuesta;

MIL GRACIAS DAVID

Te lo digo sinceramente, como sólo lo usamos xxxxxxx lo tenemos
descuidado pero tomo nota.

Un saludo y espero poder devolverte el favor
xxxxxx

Sólo diré para terminar la historia que no hacía falta pero se agradece. También os digo desde aquí que el «favor» (fueron dos minutos…más enviar el mail) está devuelto con creces. El motivo es simple, aparte de todo y dándome igual si uno se dedica al Hacking o la (IN) Seguridad profesionalmente o no, estamos en esto porque nos gusta y también por la gente. Hoy sois vosotros y mañana puedo ser yo perfectamente, aquí no se libra nadie y también agradecería ser avisado.

Gracias a vosotros por poner algo de color a un panorama tan gris, también por ayudarme a no perder las buenas costumbres. Sí amigos, (aún) hay vida ahí fuera.