10 años de daboweb.com. El principio de todo…

Publicado el Por dabo en Dabo | Personal, Mi Opinión, Otras Webs | Blogs, Seguridad Informatica

Ese día tenía 31 años y ya llevaba unos cuantos tecleando pero quería compartir experiencias, no sabía muy bien cómo llamar a la web, busqué nombres y al final, sin saber muy bien el motivo, la llamé «Daboweb«. Poco original, lo sé, pero como en principio era una web como muy personal y para nada sabía dónde iba a acabar, lo vi adecuado. «Seguridad y ayuda informática«.

Hoy, una década después, tal y como he dicho en el post del aniversario, sólo puedo dar las gracias a toda la gente que a lo largo de estos años ha estado ahí colaborando y ayudándome a no perder la fuerza, ganas e ilusión. Sin ellos, (vosotros podría decir, ya que muchos también os pasáis por aquí) no hubiese sido posible.

Tampoco el haberme embarcado en proyectos como el Podcast, haber co-fundado Caborian, DebianHackers o ver todas las webs de mis compañeros de batallas frente al teclado. Seguramente, sin Daboweb, tampoco APACHEctl sería la empresa en la que tanto me divierto trabajando junto a verdaderos amigos.

En un medio como este, pasar la barrera de los 10 años ya te da una cierta visión de las cosas a largo plazo, también la experiencia necesaria para, en lugar de tumbarte a la bartola, reinventarte y seguir con fuerza junto a esa gran cantidad de amigos que se pasan a diario por nuestros foros (estáis formalmente invitados a participar;). Un día este para no olvidar, el comienzo de todo. ¿El final? «hasta que el teclado nos separe» ;D.

Muchas gracias por estos 10 años de Hacking en su concepto más auténtico -;)

Reportando bugs en tiempos difíciles…

Publicado el Por dabo en Dabo | Personal, Hacking | Redes, Mi Opinión, Seguridad Informatica

Así se podría llamar la película porque hoy en día, reportar una vulnerabilidad en un sistema ajeno, puede ser considerado como una actividad «extrema» o de riesgo (para quien reporta). Lo que no deja de ser curioso es que muchos, nos empeñemos en seguir haciéndolo en medio de una época de intentos continuados de fiscalización/criminalización del conocimiento en Hacking, seguridad o como se quiera denominar.

Claramente, sería una mala película en vista de los «teasers» que nos llegan desde «algún lugar de Europa» (ENG). Sin duda, estaría llena de amarillismos y excesos proteccionistas «apuntando» al lado incorrecto por parte del legislador de turno.

Pero no, esta vez va de «Hacking old school», la sinopsis es simple. Un hashtag muy potente y activo en Twitter (ahí vamos mal con lo de «old»;) despierta el interés de quien reporta, un servidor web mal configurado permitiendo el listado de directorios, junto a un CMS vulnerable y todo ello visible a través del navegador (quedaría mejor para maquillar el guión un «después de un análisis súper complejo, bla, bla, bla…» pero no).

Quien lo ve, evaluando el gran peso del site junto al contexto y situación (no doy más datos ya que aún no han podido solventarlo aunque todo ha ido bien), decide enviar un e-mail con su nombre y correo real reportando los bugs y más o menos un par de horas después, recibe la siguiente respuesta;

MIL GRACIAS DAVID

Te lo digo sinceramente, como sólo lo usamos xxxxxxx lo tenemos
descuidado pero tomo nota.

Un saludo y espero poder devolverte el favor
xxxxxx

Sólo diré para terminar la historia que no hacía falta pero se agradece. También os digo desde aquí que el «favor» (fueron dos minutos…más enviar el mail) está devuelto con creces. El motivo es simple, aparte de todo y dándome igual si uno se dedica al Hacking o la (IN) Seguridad profesionalmente o no, estamos en esto porque nos gusta y también por la gente. Hoy sois vosotros y mañana puedo ser yo perfectamente, aquí no se libra nadie y también agradecería ser avisado.

Gracias a vosotros por poner algo de color a un panorama tan gris, también por ayudarme a no perder las buenas costumbres. Sí amigos, (aún) hay vida ahí fuera.

DaboBlog Podcast, número 35. «Kernel Panic» y «Manzanas Traigo». Va por usted Forat !

Publicado el Por dabo en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

tuxipod.jpgHola a todos ! Después de 4 meses sin grabar, aquí estamos de nuevo a la carga. Un episodio especial, dedicado a un amigo más especial aún, hablamos de Forat. No voy a decir nada que no haya contado él en el blog que le hizo a su hijo Eric. Un gran susto que vivimos muy de cerca junto a él y lo dicho, este episodio va usted Forat (Ultra Freak).

Un gran saludo colectivo a todos los que durante estos meses habéis estado ahí apoyándonos y esperando un nuevo podcast y junto al agradecimiento a la audiencia, otro extensivo a mis compañeros por el detallazo con Forat, además de llevar mi «irregularidad» con el podcast (en este caso por mucho trabajo en APACHEctl) de la forma que lo hacen auténticos amigos -;).

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 2,19 h)

> Intro (00:00 hasta el minuto 04:41)

(Por David Hernández, Dabo) Presentación sobre este episodio 35 (Dedicado a Forat y seguimos en Ivoox;).

> Kernel Panic (Minuto 04:42 hasta el 1:04 h)

En Twitter; Dabo y Diego aka n1mh (Forat estará en el próximo).

Se colaron unos «rootkits» en «Kernel Panic» y en fin, poco más que decir salvo que al final acabamos con éxito la limpieza después de la «intrusión» ;D. Como es habitual cuando grabo con Diego, (n1mh) vamos con «el estado de nuestras Debian«, hablamos de algún susto con su disco duro y de «SMART» (lo publicó en DebianHackers), de temas de KDE y GNOME, el nuevo Kernel 3.3x, de Servidores Web y updates (finales) en Lenny, etc.

> Manzanas Traigo ( 1:05 h hasta 2:19 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En «Manzanas Traigo» está todo el equipo un poco revuelto y «entre gansos» (veréis el motivo;), llevábamos tiempo sin grabar y el ambiente es muy festivo como no podía ser de otro modo y más cuando Gorka al fin ha vuelto (para quedarse). Hablamos de IOS, del «Nuevo iPad» (tela la disertación con el nombre;) o la opción de comprar «el 2», de «La Sexta TV» y la tecnología 4G, Apps, la biografía (una vez más) de Jobs, también del Apple TV, la última Keynote y el estilo de Tim Cook,  el nuevo iPhoto, el futuro de las galerías en iCloud, se echa en falta a Siri, Junto a Oscar Reixa, A. J Pérez y lur.

Seguir leyendo

ConectaCon (Jaén). Jornadas de Seguridad informática (gratuito) Abril 2012

Publicado el Por dabo en Hacking | Redes, Mi Opinión, Otras Webs | Blogs

ConectaCon Jaén

Hola amigos, el 17 y 18 de Abril se celebran en Jaén las primeras Jornadas de Seguridad Informática, organizadas por el colectivo «EnRed 2.0«, (los más asiduos recordaréis la entrevista que me hicieron) bajo el nombre «ConectaCon«. Es importante reseñar que la asistencia es gratuita.

Tal y como podemos leer en ConectaCon:

ConectaCon son unas jornadas de seguridad informática celebradas en Jaén, cuyo objetivo es  a través de ponencias y talleres concienciar a los empresarios de la importancia de utilizar medidas de seguridad cuando se pretende tener presencia en Internet y dar un enfoque técnico sobre la materia a los estudiantes y profesionales de este sector.

Allí podréis ver tanto el programa (diferenciado para empresas y particulares), como el método de inscripción. Mucha suerte y enhorabuena a mi amigo Raimundo y a todo el equipazo del evento. Con esos ponentes y talleres, el éxito está asegurado -;).

2011 – 2012. Estado de la (IN) Seguridad Informática. (Publicado en el Blog de INTECO).

Publicado el Por dabo en Hacking | Redes, Mi Opinión, Otras Webs | Blogs, Publicado en INTECO, Seguridad Informatica

Los que tenéis a bien seguirme a través de Twitter y estáis al tanto (entre pingüinos y bugs) de mi día a día, ya sabéis que he comenzado a colaborar con el Blog de Seguridad de la Información de INTECO, junto a grandes profesionales del sector.

También, los habituales de aquí, sabéis el gran sabor de boca con el que vine dentro de mi participación el año pasado en León, dentro de las actividades del 5ENISE, en la ponencia «Bloggers de Seguridad 2011«, además del excelente trato recibido por INTECO-CERT.

El haber podido conocer al equipo humano del CERT, no ya dentro de las actividades del propio 5ENISE, sino donde conoces mejor a las personas, tomando unas cañas por ejemplo junto a mis compañeros de ponencia, (muy grandes;) sumado a la gran cantidad de material que suelo utilizar en mis cursos de INTECO, tal y como podrían dar fe la media de unos 14 alumnos que suelen asistir, hace que para mi, sea algo muy natural el haber empezado a aportar mi granito de arena en su blog (saludos Cristina, siempre pendiente del más mínimo detalle -;).

Ya venía siguiendo todos los resúmenes del resto de compañeros de blog acerca de su visión sobre el pasado 2011 y lo que esperaban para este año. Hablando de un campo como el de la Seguridad, tan cambiante por momentos que es verdaderamente complejo apuntar tendencias, me pidieron cerrar los resúmenes y aquí podéis leer mi valoración sobre el 2011 / 2012, o el «estreno« en «ObservaINTECO Blog».

Muchas gracias por la confianza depositada, intentaré ir escribiendo sobre lo que vea y recopilaré aquí todo lo publicado.

 

Una foto con parte de mis libros sobre Hacking & Seguridad. ¿Soy un «presunto delincuente»?

Publicado el Por dabo en Dabo | Personal, Hacking | Redes, Imperdonable, Mi Opinión, Seguridad Informatica

Actualización: Decir que estoy gratamente sorprendido o Impresionado es poco al ver la respuesta de tantos y tantos amigos, entendiendo la necesaria diferenciación de conceptos, además de publicando fotografías de sus libros de Hacking, está todo ahi, en mi Twitter, donde he sacado a mi Timeline sus opiniones y estanterías.

# 2, Daniel, en «El Telar del Geek» entrevista a Jorge Armando Bermúdez (Fiscal Delitos Telemáticos) Aclara muchos conceptos, se agradece dicho sea de paso el apoyo y esos punto de vista explicados de una forma tan clara.

Como he dicho, muchas gracias a todos por tanta seguridad (informática). #Fin

¿Tengo que quemar mis libros?

Realmente no es una pregunta retórica sino más bien, he de hacérmela en base al vídeo de la detención de los «supuestos» o «presuntos» miembros de Anonymous (que tendrá que dictaminar un Juez acerca de su ilegalidad, eso es algo que a mi no me compete, sino a la Justicia) dentro de la «Operación Exposure«, en la que por lo que leo, hay otras 20 personas detenidas.

Cuando vi un RT de este tuit con esta captura de pantalla, lo primero que hice fue buscar el origen por si la foto era «oficial» o no. (me vino a la cabeza una imagen de las famosas máscaras).

Al final, como no daba crédito a lo que estaba viendo, me mandó Oreixa un enlace y acabé visualizando el vídeo (al final de la noticia, 100 mb, formato wmv, lo abre VLC) y no puedo más que expresar mi indignación sobre lo que he visto.

Dejando a un lado las pruebas que hayan encontrado en las detenciones que es algo que se sale de mi ámbito, me parece más lamentable que lo de las máscaras esto que he podido ver ahora. Aquí acabo con el tema de las detenciones a los «supuestos Anonymous», ya que no quiero que se mezclen conceptos bastante aderezados y vitaminados ya, no sólo por la prensa en general (a lo visto me remito).

Aquí la foto:

Aquí dejo (ante la duda) una foto con parte de mi biblioteca (en papel) sobre Hacking y Seguridad Informática, que para mi es lo mismo, para proteger un sistema, has de conocer dónde pueden estar sus brechas.

Dejo fuera de la fotografía otras 2 estanterías con más libros sobre el tema y todos los de programación para no abrumar y cerca de 200 papers en PDF, unos cuantos eBooks,aclarando que muchos de ellos, afortunadamente están en las bibliotecas públicas.

Seguir leyendo

De Servidores Web comprometidos y personas o empresas que no se comprometen.

Publicado el Por dabo en Dabo | Personal, GNU/Linux, Hacking | Redes, Imperdonable, Mi Opinión, Seguridad Informatica, Software | CMS, Webmaster

Disclaimer:

Este post puede considerarse como un acto de promoción dado que soy parte «interesada» o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de «pásate por ejemplo» por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles «para todos los públicos» (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), Iniciación a la seguridad informática y «Crackers, Hackers & Hacktivismo«.

Como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso «Blockout«.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de «Internet Service Provider«, bien podría ser un acrónimo de «Internet Sopla Pollas«. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el «Especial Seguridad«) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de «garantizamos al 100 % tu seguridad» me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entrada «Por qué falla la seguridad» de los colegas de Security By Default.

Seguir leyendo

Contra la Ley #SOPA y #SindeWert, a favor de las Libertades y Derechos Civiles en Internet.

Publicado el Por dabo en Dabo | Personal, Imperdonable, Mi Opinión, Noticias | Actualidad, Otras Webs | Blogs

Hoy es un día de protesta en Internet. También aquí en DaboBlog, como muchos otros que están en el archivo del blog. Puede que veas muchas páginas con una imagen similar a la que verás dentro de unas horas en DebianHackers, donde Diego y yo, nos hemos sumado al llamado «Blockout«, allí somos dos, ante la duda, decidimos realizar el «cierre-protesta«. Tanto en Daboweb como en Caborian, hemos expresado nuestro rechazo.

En mi caso, he optado por informar ya que varias personas me han preguntado ¿qué es lo de la SOPA? y si todos cerramos, la información fluirá por los medios tradicionales que «tradicionalmente» están manejados por grandes corporaciones en las que la difunden según le convenga a quien pone los euros.

No es menos cierto que, hablando de mi, tengo una opinión también subjetiva, la diferencia con esos medios es que vivo desde hace años con la sensación cada vez mayor que tanto mi libertad de expresión, como algo tan irrenunciable como mis Derechos y Libertades Civiles, se ven recortados dando igual el Gobierno esté al frente del País.

Hace siete años, cuando este blog no era aún ni un proyecto, ya escribí en Daboweb  este texto en contra de la LSSI, una Ley con la que muchos perdimos algo tan preciado como la privacidad en Internet y por ende, en la «vida real» (pocas diferencias ya). También aquí me hice eco del cierre de la web de un amigo, «El Agujero Negro» LSSI mediante.

Cabe recordar que fue aprobada por el Partido Popular, no está de más decir que el PSOE, cuando llegó al poder, dijo que la iba a derogar, falso, lejos de hacerlo la potenció y al final nos acabaron contando eso de la Ley Sinde (ahí expresé mi opinión), luego con el cambio que pintaba bien (a medias, según leo lo que escribí), para acabar siendo avalada por el PP, PSOE y CIU.(Si quieres entender el movimiento «No les votes» ahí tienes toda la información necesaria).

El PSOE le cedió al PP el segundo apellido «Wert» y se aprobó la Ley Sinde-Wert. Una herramienta de cierre masivo de webs por la vía rápida que le da a la industria discográfica, cinematrográfica, editorial o la mal llamada en mi opinión, cultural, ya que la cultura, como el conocimiento debe ser libre y no es patrimonio de unos pocos, sino de todos.

Esto no es un tema de «los chavales de las descargas», ese es el mensaje que quieren hacer llegar ciertos grupos de presión, para que el punto y final sea ir contra el usuario directamente, algo que de hecho ya está pasando. ¿Por qué digo esto? a los hechos y fechas no muy lejanas me remito. El mensaje de «sólo vamos a ir contra las webs que se lucran bla bla bla» es como todo demás, un caramelo envenenado (como lo del Canon digital) que yo desde luego no me lo voy a tragar, de esos, ya he tenido que probar muchos y quien se lo quiera creer que se lo crea, yo no.

Y con la Ley SOPA hemos topado, sí, resulta que también las hostias nos vienen (como muchas otras veces) desde el otro lado del charco entre «barras y estrellas». SOPA o acrónimo de «Stop Online Piracy Act» («Ley de cese a la piratería en línea»), es otra «herramienta» más de cierre masivo de webs (podríamos hablar de los cables de Wikileaks, la Ley Sinde-Wert, la SOPA, etc)

Algún apunte (De Wikipedia);

El proyecto de ley originalmente propuesto permite que tanto el Departamento de Justicia de los Estados Unidos, como los propietarios de derechos intelectuales, puedan obtener órdenes judiciales contra aquellos sitios de internet que permitan o faciliten el infringimiento de los derechos de autor. Dependiendo de quién sea el que solicite la orden judicial, las acciones previstas contra el sitio web podrían incluir:

  • Restricción al acceso a empresas que brindan un servicio de facilitación de pago tales como PayPal o que ofrecen dinero a cambio de colocar publicidad online.
  • Restricción en los buscadores que vinculan con tales sitios.
  • Requerimiento a los proveedores de internet, para que bloqueen el acceso a tales sitios.

El proyecto de ley convierte en un crimen al streaming no autorizado de contenidos protegidos por copyright, y prevé una pena máxima de cinco años de prisión por cada diez piezas musicales o películas descargadas dentro de los seis meses desde su estreno. El proyecto además brinda inmunidad a todos aquellos proveedores de Internet que voluntariamente lleven a cabo acciones contra tales sitios haciendo además responsable al sitio web infractor de cualquier daño producido al titular de los derechos, incluso sin tener que demostrarlo

Ha sido Wikipedia el principal impulsor del «Blockout» o «cierre técnico» de Internet a modo de protesta, apoyado fuertemente por Google. De todos modos, nos quejamos mucho de EEUU pero ahora mismo la SOPA se sirve «fría», más bien está «congelada», sí, a diferencia de lo que sucede en España, allí han puesto el freno,

Hay que aclarar que empresas como Apple o Microsoft no aparecen en la lista de las 142 compañías que la apoyan ya que se «esconden» tras estas siglas «BSA» (Puedes comprobar la lista). Tampoco hay que olvidar «otras» (Hadopi, etc, en Mangas Verdes).

Pero…¿Y si dejamos que sea Mafalda  la que nos explique por qué le sigue sin gustar «la SOPA»…Pero ojo, no nos olvidemos de lo que pasa aquí por favor. Hay muchos frentes abiertos, nos jugamos mucho en cada movimiento que hacen, no te calles, alza la voz.