El jueves 9/11 estaré en Hack&Beers Oviedo con: «GLAMP Exposed»

Asistí como público al primer Hack&Beers Oviedo y, además de quedar encantado con lo que vi (Tunelko es un lujo en cualquier evento y Jesús Vega hizo una exposición muy correcta de un tema tan preocupante como el de la NSA y las escuchas ), salí de allí con el compromiso / amenaza de mi gran amigo «El Jabato» de participar en el próximo.

Y allí estaré, el jueves 9 de noviembre en el Restaurante Flandes con una birra en una mano y la otra en el teclado hablando de problemas de seguridad en Servidores Web con «GLAMP Exposed». Me pidió Ángel para «Seguridad Jabalí» una descripción y esto fue lo que le mandé:

Partiendo de una instalación por defecto de un servidor GLAMP (GNU/Linux, Apache, MySQL y PHP), la charla abordará la problemática de un escenario de este tipo en producción, algo tan común como potencialmente peligroso para los sitios web y datos alojados en él.

El enfoque será desde ambos lados, tanto desde el punto de vista de un posible atacante, como de quien es responsable de proteger el servidor, con técnicas de ataque y consejos de «hardening» básicos que ayudarán a mejorar esa situación de exposición

También será para mi un buen «teaser» de mi segunda participación en la QurtubaCON 2017  los días 17 y 18 de noviembre en Córdoba. Muchas gracias por invitarme a participar, intentaré estar a la altura.

Más información en «Seguridad a lo Jabalí» y entradas en Eventbrite. nos vemos el día 9 -;)

En el ESET Security Day 2017 con “PYMES Exposed”

ESET Security Days 2017 | Live the ExperienceEl pasado 10 de mayo tuve la oportunidad de participar en el ESET Securiy Day 2017 que se celebró en Bilbao. Ya era como la tercera vez que se me ofrecía la posibilidad de participar en un Security Day y tocaba acudir a la llamada del amigo Josep -;).

Su planteamiento inicial  fue contar cuales son los principales problemas a los que se puede exponer una PYME si no gestiona bien sus servidores, o que servicios pueden verse afectados caso de ser comprometidos.

Y después de pensar en lo que podía necesitar saber algún responsable de IT en una PYME  a la hora de contratar un alojamiento web y basándome lo que me comentaba Josep, quise dar respuesta en la medida de lo posible con esta propuesta:

En esta charla se enumerarán las amenazas a las que se enfrenta la empresa cuando externaliza los servicios de hosting, así como la problemática generada de la confusión entre los diferentes tipos de alojamiento (servidores compartidos, VPS, dedicados, Cloud, etc). Para ayudar a su comprensión se expondrán varios ejemplos basados en casos reales, uno desde el punto de vista de la seguridad web y el acceso a información no autorizada, y el otro más orientado a la continuidad de negocio, o más bien la discontinuidad por una falta de disponibilidad del servidor web en un momento clave para la empresa.

También hablé de WordPress y el peligro de no tener las versiones actualizadas (aquí podéis ver info de releases según ramas), de ataques DDoS y UFONet (muy recomendable), metodologías como OWASP y su Top 10 pensando en un desarrollo lo más seguro posible desde el inicio y de otras cuestiones relacionadas.

Tuve la ocasión de compartir ponencias con gente tan profesional como el propio Josep Albors, Carlos Tortosa, Ignacio Lassa Bellet, Mónica Valle, Pablo F. Burgueño, Garikoitz Merino y todo el equipazo de ESET que se desplazó a Bilbao a quien mando un fuerte abrazo y por ese gran trato y cercanía que tuvieron en todo momento. Aquí tenéis los vídeos de la jornada y aquí enlazo al de mi intervención.

En «Palabra de Hacker» hablando de ataques DDoS

En junio, Yolanda Corral me invitó a participar en un debate online sobre Ataques DDoS junto a @BTshell, @caar2000, @dsespitia y @franttwit. Un tema el de los ataques Dos / DDos complejo y donde caben muchos matices. A continuación, os dejo con el vídeo del evento.

Enlace al post del debate con toda la información. Por cierto, os recomiendo encarecidamente la herramienta UFONet creada por mi amigo Epsylon si queréis poner a prueba medidas para mitigar un DDoS (si sois capaces de parar a ese ejército de zombies-;). En «el Hacker» encontraréis un buen tutorial sobre su uso.

Participando en #programadorIO: Servidor Cloud Vs Dedicado

Una vez más, he tenido el placer de participar en un evento para los amigos de Desarrolloweb.com  y en buena compañía con los siguientes colegas:

Manuel Angel Fdez @rastreador, Diego Mtnz Castañeda @n1mh, Oscar Reixa @oreixa.

¿La temática? hablar de los pros / contras de Servidores Cloud o Dedicados. Os dejo con el vídeo y un enlace al post original en Desarrolloweb

 

Sobre mi participación en MorterueloCON 2016 (recursos y enlaces de interés sobre cifrado, privacidad y anonimato)

Este ha sido mi tercer año en MorterueloCON, y sólo puedo dar las gracias una vez más por la cercanía y el gran trato recibido. En esta edición he participado en el track de Periodismo junto a Rafael Fraguas (impresionante) con una charla técnica titulada: «Cifrando tus fuentes, o el periodismo en tiempos de Snowden», y también he impartido un taller dentro de los «Ajoarriero Labs» titulado: ¿Apache DoS?.

Además, he tenido la suerte de asistir como alumno a un taller, en este caso de OSINT. Mi chica, que también asistió, os lo cuenta mucho mejor que yo en su blog, pero no hablo sólo del taller, sino de cómo ha vivido su primera MorterueloCON (Hack&Beers incluida): «Entre Hackers, birras y casas colgadas» ;).

«Cifrando tus fuentes, o el periodismo en tiempos de Snowden».

MorterueloCON 2016El objetivo era primeramente, dar a conocer al alumnado de la Facultad de Periodismo y asistentes a la charla casos como los de Chelsea Manning, Julian Assange y Eduard Snowden , para después, y ya desde un plano técnico – teórico, mostrar una serie de recursos destinados a la defensa digital (y de otras índoles) de Periodistas y sus fuentes con un lenguaje lo menos técnico posible para facilitar su comprensión.

Sobre los casos a los que aludo, hablamos de tres personas que se han jugado / jodido la vida por sus ideales o aquello tan denostado de «la verdad»¿Activistas, «Ciberactivistas» o Hacktivistas? como respondí a dos asistentes a la charla, más allá de etiquetas, son gente comprometida con cuestiones para ellos irrenunciables y que ayer se pudieron expresar en la calle, hoy en La Red y mañana en otro medio, pero seguro que su mensaje y reivindicaciones serán las mismas.

Si os habéis pasado antes por el artículo en Wikipedia sobre Rafael Fraguas, os haréis una idea de lo que supuso ir tras él en la charla. Periodismo comprometido, valiente y del de verdad. Pero no es ya lo que cuenta, sino cómo lo cuenta y ahí Rafa nos dio una gran lección de humildad y humanidad a partes iguales a quienes tuvimos la suerte de verle.

Pienso que la combinación y el orden fueron adecuados ya que él nos habló de lo que supone informar en países y zonas de conflicto, y yo en la seguridad de las comunicaciones centrándome en temas de privacidad, cifrado o anonimato. Pero sin olvidar algo tan olvidado para muchos gobiernos como los Derechos y Libertades Civiles que tanto quieren acotarnos con leyes como la Patriot Act en Estados Unidos, o nuestra Ley Mordaza.

Hice una cronología de los casos de Chelsea Manning y Assange con Wikileaks como nexo, además de algo tan repugnante como «Collateral Murder«. Presenté la plataforma Fíltrala con el leak e intrusión de La 9 de Anon en su última intervención (Hacktivistas por antonomasia, de elevado nivel técnico) en la web corporativa del El Corte Inglés (por cierto, cascos de la 9 estarán online en RootedCON, suerte amigas ;)

Para quienes no estén al tanto, Fíltrala es parte de la red internacional de la Associated Whistleblowing Press (AWP). Se trata de una ONG con sede en Bélgica que se dedica a combatir la corrupción y violación de Derechos Humanos a través del periodismo de investigación.

A continuación, volví con Snowden e hice un repaso cronológico a su caso (que como veréis, tiene mucha miga y está lleno de matices). Allí salieron a la palestra parte de las vergüenzas de Estados Unidos en colaboración con Reino Unido: PRISM, Tempora o XKeyscore. Hablé de las consecuencias de sus filtraciones, las reacciones de gobiernos o compañías , de la persecución al cifrado y también de lo importante que es estar preparado para que si como le sucedió a Glenn Greenwald, una fuente como Eduard Snowden intenta contactar a través de PGP durante casi un año para darte la exclusiva de tu vida y no sabes cómo gestionarlo.

Afortunadamente para Glenn Greenwald y todos nosotros, Snowden contactó con Laura Poitras y ella hizo de puente con un periodista comprometido como pocos como Greenwald que por aquél entonces, e trabajaba en «The Guardian» (ahora están los dos en «The Intercept», un medio financiado por el fundador de eBay), para hacer públicas sus revelaciones.

Fue el momento idóneo para presentar el oscarizado documental Citizenfour. Un histórico resumen de las más de 20 horas de conversación grabadas en el Hotel de Hong Kong  en el que estuvo Eduard Snowden cuando salió de E.E.U.U por las consecuencias de las filtraciones realizadas. No está de más visualizar una imagen en la que se ve cómo ha afectado a nuestros usos y costumbres de navegación este tema.

Hablé de la importancia del uso de Software Libre como medida fundamental frente a tanto espionaje y seguimientos masivos, para a continuación, ir presentando herramientas, enlaces y recursos en pro de ir solventando problemas en las áreas anteriormente citadas.

Recursos y enlaces para mejorar nuestra Seguridad y Privacidad.

### Disclaimer, peligro de obsolescencia [Actualizado en noviembre de 2019]

No están todos los que son, pero os dejo una lista de las herramientas que mostré y usé en mi charla, junto a otras que comenté o que se complementan.

Sobre los Passwords: Creando contraseñas seguras | KeePassX | LastPass | KeePass

Alternativas a Google: Disconnect Me | DuckDuck Go | Disconnect Search | DebianHackers

Alternativas a Gmail: Riseup | Protonmail | Disroot | 10 min mail | OpenMailBox | Dark Mail (ant Lavabit).

Alternativas a WhatsApp: Signal (mi opción preferida) | Telegram | Riot

Correo cifrado GPG: Thunderbird + Enigmail + GPG creando tu par claves (recordad)

Cifrado de ficheros: Cifrando con GnuPG | Veracrypt en GNU/Linux | Veracrypt en Windows.

Alternativas a Hangout: Pidgin + OTR | Tox | Chat Secure y Private Messaging (móviles)

Alternativas a Skype: RedPhone | Jitsi | Tox | Private Calling | Mumble

Navegación «Segura»: Firefox + HTTPS Everywhere + NoScript + AdBlock + Taco , etc

Más complementos Navegador: No Coin | User Agent Switcher | ShowIP

Navegando con Tor: Vídeo sobre Tor | Usando Tor Browser | Sobre Tor en THW | Orbot (móvil)

Navegando con TAILS: Guía de instalación y uso | Instalación de TAILS en un USB

Navegación con VPN: Comparativa | Torrent Freak comparativa VPN 2019 | VPN RiseUP | Ojo con algunas gratuitas

Libros recomendados.

Marta Peirano: El pequeño libro rojo del activista en La Red | El enemigo conoce el sistema

Críptica: Resistencia digital (Manual de seguridad para Smartphones).

Daniel Echeverry: Deepweb, TOR, FreeNET, I2P, Privacidad y Anonimato.

Javier De La Cueva:  Manual del Ciberactivista.

Mario Tascón y Yolanda Quintana: Ciberactivismo.

Paloma Llaneza: Datanomics

Eduard Snowden: Vigilancia permanente

XNet & Simona Levi #FakeYou

Paula (@terceranexus6): Manual de Ciberseguridad para Comunidades y Asociaciones.

De todos modos, no dejéis de pasar por PRISM Break para profundizar en este tipo de alternativas. Viendo las preguntas que se realizaron en el turno de Rafa Fraguas, el «Manual de Seguridad para Periodistas» de Reporteros sin Fronteras es también una lectura muy recomendada si vais a emitir desde zonas de riesgo (que no necesariamente tiene por qué ser a miles de kilómetros). Este apartado de «Seguridad móvil» para Android es más que recomendable para quien quiera profundizar más, al igual que estas «guías paso a paso» y resto de material publicado por «Security in a Box» (en castellano). Para acabar con los recursos web, la información recopilada en la «Operación NewBlood» de Anonymous es también un buen material de referencia en Privacidad, Seguridad y Anonimato.

Muchas gracias a toda la gente de Periodismo por la colaboración, implicación e interés mostrado en nuestro «Track» ;). También por supuesto a Cota y Rafa por el currazo que se pegaron, sin olvidar a resto de asistentes, ponentes y toda esa buena gente que te encuentras en Cuenca. He recopilado en mi cuenta de Twitter unas cuantas fotos tanto del Track de Periodismo como mi Taller, sin olvidar el dibujo que nos dedicó el gran Forges a través de otro grande como Rafael Fraguas ;).

Crónicas relacionadas: Sobre nuestro track en «El Observador» de la UCLM, MorterueloCON 2016 en Makingdos, Tic y Privacidad en MortueloCON por Teresa Sáez, en «The Honey Sec«, crónica de la Morteruelo por Raúl Renares y ya está publicando sus entrevistas para «Palabra de Hacker» Yolanda Corral que se pegó un currazo de los buenos con las grabaciones.

Sobre mi taller Apache ¿DoS?

morteruelocon2016

—–> Post más actualizado sobre este tema (2017 / 2018)

Preparé una máquina virtual con Debian 8.3 y LXDE y fuimos instalando Apache una vez explicados los módulos Multi-Proceso (incluyendo el Event de Apache 2.4) así como otras herramientas que yo también iba instalando en el  servidor VPS de OVH que contraté para el taller. La mayor parte de información de mi PDF de ConcectaCON sigue siendo válida aunque hay cambios ya que está basado en Apache 2.2.

Analizamos cuestiones relativas al tráfico buscando discernir entre el legítimo y otro proveniente de ataques por Bots o de otra índole, implementamos medidas para paliar un DoS y sobre todo, intenté desmitificar ciertos aspectos sobre (algunos) ataques DoS que son más bien la consecuencia de aplicaciones y servicios mal configurados o no preparados para una carga medio alta. Acabamos el taller moviendo en directo un dominio a Cloudflare, usando su SSL gratuito «Flexible» y analizando las diferentes opciones que ofrece.

Por la parte que me toca, comentar que fue muy divertido y didáctico. Estuve haciendo varias pruebas de estrés (o mejor dicho, «DoSeando»;) contra un servidor (mío) en producción llegando a ponerlo con un índice de carga de casi 280, con la inestimable ayuda de esos cracks que asistieron al taller colaborando y participando a tope.

Otros enlaces relacionados:

Apache 2.4 y Mod Prefork | Mod Worker | Mod Event (recordad la mejora en conexiones «keep Alive»).

Instalación de Mod Evasive y Mod Security | Reglas Mod Evasive | Funcionamiento de Cloudflare.

Protegiendo Apache con Fail2ban (recordad mirar bien las «Jails» y sus expresiones regulares).

Instalación de DoS Deflate | «DoS Deflate, mitigando ataques DoS» | Slowloris Attack (y explicación en vídeo)

Ataques DoS con Ufonet v05 invasion | DoS attack Tools | «Free DoS Attack Tools».

Añado 1 febrero 2017: «Guía de Twitter para Activistas.

 Vaya desde aquí mi agradecimiento también a toda la gente que asistió al taller (casi 30 personas). ¿Sobre la Morteruelo? sólo comentar que ya falta menos para la edición 2017 ;). Por cierto, he tardado más de lo que pensaba en publicar esta entrada debido al número de enlaces e información que quería incluir, espero que os sea de utilidad. Mucho cuidado ahí fuera !

Participando en un «Apache VS Nginx» para Desarrolloweb.com #programadorIO

apache vs nginxOtro post que tenía en «pendientes». Los amigos de Desarrolloweb se pusieron en contacto conmigo para hablar de Apache (con interesantes cambios y mejoras en su rama 2.4x) y Nginx, servidor ligero donde los haya. Cuando me preguntaron, no se me ocurrió invitar a nadie mejor que a @rastreador para «defender» a Nginx.

Yo me quedé con Apache, lo sé, soy un sentimental, no está tan de de moda o quizás sea menos «cool» que el otro, pero alguno tenía que hacerlo (y me encanta Apache;).

Por cierto, también soy muy fan de Nginx. De hecho, en APACHEctl y creo que lo digo en el vídeo, soy el 33 % que más apuesta por él según proyectos (aunque por motivos que explico en el IO, «por defecto» y en códigos no muy controlados o algún CMS, me quedo con Apache y si acaso metería Nginx como proxy inverso (pero de todo eso ya hablamos ahí). OS dejo un enlace al post original del evento.

Un placer como siempre haber participado en el IO y seguro que repetiremos -;)

Mi entrevista en BillionBytes

BillionBytes

Tenía pendiente publicar este post para no dejar de alimentar mi sección de «autobombo» ;D. En esta ocasión, tengo que agradecer al amigo Jesús Vera Alba que me hiciese un hueco en BillionBytes para hablar de Hacking, Software Libre, Derechos Civiles (sí, eso tan denostado) y algo de Política (ahí iría bien un «defenestrado»).

Sin más, os dejo con el enlace a la entrevista (BTW, estoy un tanto / bastante cambiado desde esa imagen «un 15 de Mayo en el Ayuntamiento de Gijón» ;).

Sobre mi participación en MorterueloCON 2015, e info sobre QurtubaCON (Córdoba, 10 y 11 de abril, inscripción gratuita)

MorterueloCON-2014Como los más cercanos sabéis, el mes pasado repetí participación en MorterueloCON tras una gran experiencia en 2014. Esta vez no iba a ser menos y todo fue sobre ruedas. Y digo eso y no «sobre raíles» porque el único punto negativo fue el viaje. Algo achacable a RENFE por su falta de información y mala gestión de un incidente (temporal de nieve) que si bien es inevitable, debería ser cuanto menos «gestionable». Pero de las comunicaciones de Asturias con la meseta qué os voy a contar…

Dicho esto, en Cuenca combatimos el frío invernal con calor humano. De eso hubo a montones, también ganas, capacidad e ingenio. Tuve la oportunidad de asistir a las diferentes ponencias de mis compañeros en la Universidad Politécnica y que queréis que os diga, se aprende mucho, coges ideas y te pones al día. Si tenéis la oportunidad de asistir a algún evento de este tipo, no dejéis de hacerlo y más si como en el caso de MorterueloCON, es gratuito.

Gratuito para los asistentes que no para quienes lo organizan. Gran trabajo del pulmón de esta CON (Rafael Otal) y todo su equipo. Una vez más lo han hecho posible y en lo personal, no pude sentirme más respaldado ya que se acercó hasta Cuenca Destroyer con Inma. Uno de los grandes «culpables» de daboweb.com, cajondesastres, etc. Información y PDF (actualizado) como apoyo al taller.

Todo pintaba bien y faltaba ver si se cumplían los objetivos que me había marcado para mi taller: «Hackeando Servidores GLAMP». Con una veintena de alumnos y 4 horas por delante, fuimos repasando configuraciones esenciales de un Servidor basado en Debian, simulando diferentes escenarios. Ataques DoS, fuerza bruta, escaneos de puertos, revelación de información sensible, etc. El resultado final fue que aprendimos y nos divertimos todos, por lo que me vine a Gijón con un gran sabor de boca. Debajo una foto que hice a parte del grupo de colegas y también adjunto en un album otras que fui publicando en tiempo real en mi Twitter.

morterueloCON_2015

qurtubaCONAhora toca repetir en Córdoba en la QurtubaCON los días 10 y 11 de abril (donde por cierto necesitan patrocinadores tal y como os contamos en Daboweb hace unos días). Estaré en representación de APACHEctl impartiendo en la Universidad otro taller sobre Seguridad y Servidores Web. Ya está desde hace 30 min abierta la inscripción a los diferentes talleres (gratuitos también) y en este momento hay más de 400 personas inscritas. Allí nos veremos -;).

Muchas gracias a la organización, participantes y resto de ponentes por el trato y cercanía, también a todo el personal de la Politécnica de Cuenca y a ese taxista «anónimo» que fue algo más rápido de lo normal para llegar a tiempo a la estación y no perder el Alvia. También a la gente de «Makindos» (que no DoS, muy adecuado el nombre por cierto;) que estuvieron realizando varias entrevistas sobre Seguridad y Privacidad ya disponibles online.

A continuación, la galería de Twitter:

Seguir leyendo