Servidores web y respuesta rápida a incidentes. Teoría Vs práctica. (Publicado en INTECO)

Publicado el Por dabo en GNU/Linux, Hacking | Redes, Mi Opinión, Publicado en INTECO, Seguridad Informatica

Disclaimer: Publicado originalmente en el blog de INTECO.

Existen muchos mitos sobre un concepto tan utilizado en el mundo IT como el de «respuesta rápida a incidentes«. Podemos incluso, realizar todo tipo de planes de contingencia, continuidad de negocio, previsiones y pruebas de concepto, pero en base a las experiencias vividas en mi día a día con los servidores web, a título personal, o junto a mis compañeros de APACHEctl, a pesar de intentar marcar unas pautas comunes de actuación, en la hoja de ruta a seguir cuando todo lo que puede ir mal sucede, en cada caso tienes que añadir una nueva variable.

Es como un teorema en permanente estado de revisión, cuestionamiento y actualización. Obviamente, cuando has preparado un entorno web desde cero, juegas con la ventaja de saber en que terreno te mueves (sabes cómo puede funcionar el proveedor de hosting, la gestión del incidente, tiempos de recuperación, backups, la gestión de la comunicación y posible respuesta del cliente, medios de los que dispones, etc).

Pero en mi opinión, la complejidad reside en un caso muy común y muchas veces olvidado, donde cuando estableces una conexión SSH, tienes la sensación de estar «en tierra de nadie». En un panorama como el siguiente, no sirven de mucho las teorías, lo que cuenta es crearlas sobre la marcha con la experiencia adquirida en el desarrollo de ese teorema anterior y ponerlas en práctica en el mínimo tiempo posible. Me refiero al caso tipo de:

«Hola, el motivo de mi consulta es porque mi servidor web no va bien y creo que puede estar comprometido».

Hablamos de escenarios hostiles, las frases hechas como «lo más seguro es quitar el cable de red» son sólo eso, coletillas con un efecto placebo para el usuario. En momentos así, el único mecanismo de defensa frente al pánico del responsable del entorno de producción de turno, es pensar que quizás pueda librarse de verlo parado con las consecuencias que ese hecho pueda tener, tanto para la empresa, como para los usuarios finales.

Y allí estás, frente a una línea de comandos en un sistema GNU/Linux conocido por su arquitectura, pero totalmente desconocido en cuanto a su estado, en el que ya sabes desde antes de empezar que ese día, tu lista de variables aumentará, esperando también que alguna de las almacenadas en memoria funcionen. En medio del fuego cruzado TCP/IP que está entrando y saliendo por el cable de esa máquina, donde tú sólo eres una pieza más del puzzle (olvídate de protagonismos heredados de Hollywood) y los daños colaterales pueden ser grandes.

Siendo consciente, de que eres posiblemente el paso previo a un posterior análisis forense que de hecho, ya lo estás haciendo, aunque sea a un nivel no tan bajo del sistema. Revisando conexiones, logs y alguna vez, compartiendo sesión con quien ha provocado que estés allí.

Y sí, tienes que manejar de la mejor forma posible tanto la gestión del incidente, la comunicación, plan de continuidad, impacto sobre el sistema, grado de intrusión y todo lo que está en la teoría, ya que una decisión errónea, puede ser el desencadenante de una serie de hechos totalmente desafortunados para todas las partes implicadas, el ligero problema, es que debes hacerlo en minutos, o segundos…

Ahí radica la diferencia con «el escenario ideal», otra frase hecha, pero en esta ocasión para quien se ha esforzado en implementar todos los planes necesarios que comienzan por ISO, el cliente que ha pagado por ello, o para el sufrido «SysAdmin» que también tiene derecho a irse a dormir algún día tranquilo. Cuando ves la (IN) Seguridad como algo natural y estás familiarizado con ella, sabes que todo es susceptible de pasar de «ideal» a «infernal» en cualquier momento y tienes que estar preparado.

Quizás, por ejemplos como este, uno de tantos, si después lees algo acerca de los intentos de criminalización de nuestra profesión, queriendo limitar el uso de herramientas para realizar auditorías de seguridad o tests de intrusión, es cuando piensas que mucha gente vive en universos paralelos, que más bien podrían denominarse, «para lelos». Hoy, ese teorema, tan inquietante como abstracto, seguirá evolucionando.

Por cierto, no sé cómo acabará, pero empieza con un «Hacking is not a Crime».

DaboBlog Podcast nº36. «Kernel Panic», (añadido) «Manzanas Traigo» WWDC 2012

Publicado el Por dabo en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

tuxipod.jpgHola concurrencia !. Después del episodio especial, dedicado a Forat, y una vez pasado el gran susto, nos ponemos de nuevo al micro juntos para  dar un repaso a nuestras historias Linuxeras. Como veréis, en el título no pone el mítico «Manzanas Traigo», este mes «los de las manzanas» esperarán tal y como os explica Oreixa en la intro (sí, en la intro;) a la Keynote de este mes y todas las novedades que se piensa que lanzarán.

Editado y añadido «Manzanas Traigo» (17-6-2012) especial WWDC 2012 

Y de veras, muchas gracias a todos vosotros por darnos tanto apoyo constante y también por vuestro feedback y las ganas de escucharnos (el motivo principal por el que seguimos aquí;).

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 1,00 h – Kernel Panic y 1,22 h – Manzanas Traigo)

> Intro (00:00 hasta el minuto 04:30)

(Por David Hernández, Dabo y Oscar Reixa, Oreixa) Presentación sobre este episodio 36 y la «ausencia de manzanas»,

> Kernel Panic (Minuto 04:30 hasta el 1:00 h)

En Twitter; Dabo y Forat (Diego estará en el próximo).

Principalmente el audio se basa en eyeOS (aquí el tutorial de Forat) y otros escritorios «On Cloud», ¨Gimp 2.8, Ubuntu 12.04, Servidores web, «la radial de Forat» (ojo al audio), novedades en Debian, de Kernels nuevos y algún bug en RAID, recursos como el «Debian Administrator’s Handbook», (del que nos hicimos eco en DebianHackers) algo de LVM, dm-crypt, entornos de escritorio y alguna instalación «extraña» de Debian Testing que acabó en Sid, ALSA y batallitas varias sobre GNOME, KDE, migraciones de Desktops y servidores, etc.

> Manzanas Traigo ( Especial WWDC 2012)

En Twitter; Aj, Dabo, lur, Oreixa.

En “Manzanas Traigo” está todo el equipo habitual unos días después de salir Kernel Panic, un repaso a todas las novedades en cuanto a hardware y software presentadas en la última Keynote. Como veréis, mucho «developer» ;D, IOS6, nuevos MacBook, las grandes ausencias hablando de renovaciones en la gama «pro» de los equipos de escritorio, de las limitaciones o funciones de equipos que funcionen bajo IOS cuando salga la versión 6, portátiles y medidas, alguna aplicación, Mountain Lion, controversias varias, filias y fobias «Jobs – Cook», etc. junto a Oscar Reixa, A. J Pérez y lur.

 

Seguir leyendo

10 años de daboweb.com. El principio de todo…

Publicado el Por dabo en Dabo | Personal, Mi Opinión, Otras Webs | Blogs, Seguridad Informatica

Ese día tenía 31 años y ya llevaba unos cuantos tecleando pero quería compartir experiencias, no sabía muy bien cómo llamar a la web, busqué nombres y al final, sin saber muy bien el motivo, la llamé «Daboweb«. Poco original, lo sé, pero como en principio era una web como muy personal y para nada sabía dónde iba a acabar, lo vi adecuado. «Seguridad y ayuda informática«.

Hoy, una década después, tal y como he dicho en el post del aniversario, sólo puedo dar las gracias a toda la gente que a lo largo de estos años ha estado ahí colaborando y ayudándome a no perder la fuerza, ganas e ilusión. Sin ellos, (vosotros podría decir, ya que muchos también os pasáis por aquí) no hubiese sido posible.

Tampoco el haberme embarcado en proyectos como el Podcast, haber co-fundado Caborian, DebianHackers o ver todas las webs de mis compañeros de batallas frente al teclado. Seguramente, sin Daboweb, tampoco APACHEctl sería la empresa en la que tanto me divierto trabajando junto a verdaderos amigos.

En un medio como este, pasar la barrera de los 10 años ya te da una cierta visión de las cosas a largo plazo, también la experiencia necesaria para, en lugar de tumbarte a la bartola, reinventarte y seguir con fuerza junto a esa gran cantidad de amigos que se pasan a diario por nuestros foros (estáis formalmente invitados a participar;). Un día este para no olvidar, el comienzo de todo. ¿El final? «hasta que el teclado nos separe» ;D.

Muchas gracias por estos 10 años de Hacking en su concepto más auténtico -;)

Reportando bugs en tiempos difíciles…

Publicado el Por dabo en Dabo | Personal, Hacking | Redes, Mi Opinión, Seguridad Informatica

Así se podría llamar la película porque hoy en día, reportar una vulnerabilidad en un sistema ajeno, puede ser considerado como una actividad «extrema» o de riesgo (para quien reporta). Lo que no deja de ser curioso es que muchos, nos empeñemos en seguir haciéndolo en medio de una época de intentos continuados de fiscalización/criminalización del conocimiento en Hacking, seguridad o como se quiera denominar.

Claramente, sería una mala película en vista de los «teasers» que nos llegan desde «algún lugar de Europa» (ENG). Sin duda, estaría llena de amarillismos y excesos proteccionistas «apuntando» al lado incorrecto por parte del legislador de turno.

Pero no, esta vez va de «Hacking old school», la sinopsis es simple. Un hashtag muy potente y activo en Twitter (ahí vamos mal con lo de «old»;) despierta el interés de quien reporta, un servidor web mal configurado permitiendo el listado de directorios, junto a un CMS vulnerable y todo ello visible a través del navegador (quedaría mejor para maquillar el guión un «después de un análisis súper complejo, bla, bla, bla…» pero no).

Quien lo ve, evaluando el gran peso del site junto al contexto y situación (no doy más datos ya que aún no han podido solventarlo aunque todo ha ido bien), decide enviar un e-mail con su nombre y correo real reportando los bugs y más o menos un par de horas después, recibe la siguiente respuesta;

MIL GRACIAS DAVID

Te lo digo sinceramente, como sólo lo usamos xxxxxxx lo tenemos
descuidado pero tomo nota.

Un saludo y espero poder devolverte el favor
xxxxxx

Sólo diré para terminar la historia que no hacía falta pero se agradece. También os digo desde aquí que el «favor» (fueron dos minutos…más enviar el mail) está devuelto con creces. El motivo es simple, aparte de todo y dándome igual si uno se dedica al Hacking o la (IN) Seguridad profesionalmente o no, estamos en esto porque nos gusta y también por la gente. Hoy sois vosotros y mañana puedo ser yo perfectamente, aquí no se libra nadie y también agradecería ser avisado.

Gracias a vosotros por poner algo de color a un panorama tan gris, también por ayudarme a no perder las buenas costumbres. Sí amigos, (aún) hay vida ahí fuera.

DaboBlog Podcast, número 35. «Kernel Panic» y «Manzanas Traigo». Va por usted Forat !

Publicado el Por dabo en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

tuxipod.jpgHola a todos ! Después de 4 meses sin grabar, aquí estamos de nuevo a la carga. Un episodio especial, dedicado a un amigo más especial aún, hablamos de Forat. No voy a decir nada que no haya contado él en el blog que le hizo a su hijo Eric. Un gran susto que vivimos muy de cerca junto a él y lo dicho, este episodio va usted Forat (Ultra Freak).

Un gran saludo colectivo a todos los que durante estos meses habéis estado ahí apoyándonos y esperando un nuevo podcast y junto al agradecimiento a la audiencia, otro extensivo a mis compañeros por el detallazo con Forat, además de llevar mi «irregularidad» con el podcast (en este caso por mucho trabajo en APACHEctl) de la forma que lo hacen auténticos amigos -;).

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 2,19 h)

> Intro (00:00 hasta el minuto 04:41)

(Por David Hernández, Dabo) Presentación sobre este episodio 35 (Dedicado a Forat y seguimos en Ivoox;).

> Kernel Panic (Minuto 04:42 hasta el 1:04 h)

En Twitter; Dabo y Diego aka n1mh (Forat estará en el próximo).

Se colaron unos «rootkits» en «Kernel Panic» y en fin, poco más que decir salvo que al final acabamos con éxito la limpieza después de la «intrusión» ;D. Como es habitual cuando grabo con Diego, (n1mh) vamos con «el estado de nuestras Debian«, hablamos de algún susto con su disco duro y de «SMART» (lo publicó en DebianHackers), de temas de KDE y GNOME, el nuevo Kernel 3.3x, de Servidores Web y updates (finales) en Lenny, etc.

> Manzanas Traigo ( 1:05 h hasta 2:19 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En «Manzanas Traigo» está todo el equipo un poco revuelto y «entre gansos» (veréis el motivo;), llevábamos tiempo sin grabar y el ambiente es muy festivo como no podía ser de otro modo y más cuando Gorka al fin ha vuelto (para quedarse). Hablamos de IOS, del «Nuevo iPad» (tela la disertación con el nombre;) o la opción de comprar «el 2», de «La Sexta TV» y la tecnología 4G, Apps, la biografía (una vez más) de Jobs, también del Apple TV, la última Keynote y el estilo de Tim Cook,  el nuevo iPhoto, el futuro de las galerías en iCloud, se echa en falta a Siri, Junto a Oscar Reixa, A. J Pérez y lur.

Seguir leyendo

ConectaCon (Jaén). Jornadas de Seguridad informática (gratuito) Abril 2012

Publicado el Por dabo en Hacking | Redes, Mi Opinión, Otras Webs | Blogs

ConectaCon Jaén

Hola amigos, el 17 y 18 de Abril se celebran en Jaén las primeras Jornadas de Seguridad Informática, organizadas por el colectivo «EnRed 2.0«, (los más asiduos recordaréis la entrevista que me hicieron) bajo el nombre «ConectaCon«. Es importante reseñar que la asistencia es gratuita.

Tal y como podemos leer en ConectaCon:

ConectaCon son unas jornadas de seguridad informática celebradas en Jaén, cuyo objetivo es  a través de ponencias y talleres concienciar a los empresarios de la importancia de utilizar medidas de seguridad cuando se pretende tener presencia en Internet y dar un enfoque técnico sobre la materia a los estudiantes y profesionales de este sector.

Allí podréis ver tanto el programa (diferenciado para empresas y particulares), como el método de inscripción. Mucha suerte y enhorabuena a mi amigo Raimundo y a todo el equipazo del evento. Con esos ponentes y talleres, el éxito está asegurado -;).

2011 – 2012. Estado de la (IN) Seguridad Informática. (Publicado en el Blog de INTECO).

Publicado el Por dabo en Hacking | Redes, Mi Opinión, Otras Webs | Blogs, Publicado en INTECO, Seguridad Informatica

Los que tenéis a bien seguirme a través de Twitter y estáis al tanto (entre pingüinos y bugs) de mi día a día, ya sabéis que he comenzado a colaborar con el Blog de Seguridad de la Información de INTECO, junto a grandes profesionales del sector.

También, los habituales de aquí, sabéis el gran sabor de boca con el que vine dentro de mi participación el año pasado en León, dentro de las actividades del 5ENISE, en la ponencia «Bloggers de Seguridad 2011«, además del excelente trato recibido por INTECO-CERT.

El haber podido conocer al equipo humano del CERT, no ya dentro de las actividades del propio 5ENISE, sino donde conoces mejor a las personas, tomando unas cañas por ejemplo junto a mis compañeros de ponencia, (muy grandes;) sumado a la gran cantidad de material que suelo utilizar en mis cursos de INTECO, tal y como podrían dar fe la media de unos 14 alumnos que suelen asistir, hace que para mi, sea algo muy natural el haber empezado a aportar mi granito de arena en su blog (saludos Cristina, siempre pendiente del más mínimo detalle -;).

Ya venía siguiendo todos los resúmenes del resto de compañeros de blog acerca de su visión sobre el pasado 2011 y lo que esperaban para este año. Hablando de un campo como el de la Seguridad, tan cambiante por momentos que es verdaderamente complejo apuntar tendencias, me pidieron cerrar los resúmenes y aquí podéis leer mi valoración sobre el 2011 / 2012, o el «estreno« en «ObservaINTECO Blog».

Muchas gracias por la confianza depositada, intentaré ir escribiendo sobre lo que vea y recopilaré aquí todo lo publicado.

 

Una foto con parte de mis libros sobre Hacking & Seguridad. ¿Soy un «presunto delincuente»?

Publicado el Por dabo en Dabo | Personal, Hacking | Redes, Imperdonable, Mi Opinión, Seguridad Informatica

Actualización: Decir que estoy gratamente sorprendido o Impresionado es poco al ver la respuesta de tantos y tantos amigos, entendiendo la necesaria diferenciación de conceptos, además de publicando fotografías de sus libros de Hacking, está todo ahi, en mi Twitter, donde he sacado a mi Timeline sus opiniones y estanterías.

# 2, Daniel, en «El Telar del Geek» entrevista a Jorge Armando Bermúdez (Fiscal Delitos Telemáticos) Aclara muchos conceptos, se agradece dicho sea de paso el apoyo y esos punto de vista explicados de una forma tan clara.

Como he dicho, muchas gracias a todos por tanta seguridad (informática). #Fin

¿Tengo que quemar mis libros?

Realmente no es una pregunta retórica sino más bien, he de hacérmela en base al vídeo de la detención de los «supuestos» o «presuntos» miembros de Anonymous (que tendrá que dictaminar un Juez acerca de su ilegalidad, eso es algo que a mi no me compete, sino a la Justicia) dentro de la «Operación Exposure«, en la que por lo que leo, hay otras 20 personas detenidas.

Cuando vi un RT de este tuit con esta captura de pantalla, lo primero que hice fue buscar el origen por si la foto era «oficial» o no. (me vino a la cabeza una imagen de las famosas máscaras).

Al final, como no daba crédito a lo que estaba viendo, me mandó Oreixa un enlace y acabé visualizando el vídeo (al final de la noticia, 100 mb, formato wmv, lo abre VLC) y no puedo más que expresar mi indignación sobre lo que he visto.

Dejando a un lado las pruebas que hayan encontrado en las detenciones que es algo que se sale de mi ámbito, me parece más lamentable que lo de las máscaras esto que he podido ver ahora. Aquí acabo con el tema de las detenciones a los «supuestos Anonymous», ya que no quiero que se mezclen conceptos bastante aderezados y vitaminados ya, no sólo por la prensa en general (a lo visto me remito).

Aquí la foto:

Aquí dejo (ante la duda) una foto con parte de mi biblioteca (en papel) sobre Hacking y Seguridad Informática, que para mi es lo mismo, para proteger un sistema, has de conocer dónde pueden estar sus brechas.

Dejo fuera de la fotografía otras 2 estanterías con más libros sobre el tema y todos los de programación para no abrumar y cerca de 200 papers en PDF, unos cuantos eBooks,aclarando que muchos de ellos, afortunadamente están en las bibliotecas públicas.

Seguir leyendo