DaboBlog

lsb_release -a > Debian GNU/Linux. Por David Hernández (Dabo) ¿Ciframos? GPG Key 0xBC695F37

Sobre mi colaboración con la Universidad de Deusto y su postgrado en Seguridad Informática

Publicado el Por en GNU/Linux, Hacking | Redes, Seguridad Informatica, SysAdmin

Por poneros en antecedentes, comentaros que este pasado verano, he tenido el placer de impartir el módulo de «Seguridad en Servidores Web» del antiguo «MUSI» (Máster en Seguridad de la Información) que ahora pasa a denominarse «DESI» (Diploma de Especialización en Seguridad de la Información).

No puedo estar más agradecido con el trato, la flexibilidad y confianza depositada. Había una hoja de ruta que cumplir, e intenté en colaboración con Carlos Laorden, Borja Sánz y Patxi Galán, preparar un temario lo más actual, real o «aplicable» posible. Hace unos días me han confirmado que pronto lo impartiré de nuevo, y estoy encantado de volver a mi Bilbao natal a repetir la experiencia.

Otros profesores y colaboradores habituales, son gente que conocéis muy bien los seguidores del blog. Hablo de grandes profesionales y amigos como David Barroso, Josean Koret o «Txipi», a quien tuve el placer de conocer personalmente en mi paso por s3lab de Deusto.

Un lugar el S³lab en el que cuando entras allí (teniendo en cuenta el panorama actual) y ves los proyectos que llevan adelante, percibes algo que te suena tan lejano como «eso del I+D«. Podéis ver su presentación.

Con la resaca y éxito de Navaja Negra (abrazos:) y a dos semanas para que viaje a Jaén y repita también en ConectaCON (muchas ganas, el lunes amplío info en otro post) esta vez impartiendo el taller «Hackeando Servidores GLAMP«, me ha venido muy bien leer de nuevo a Patxi y sus dos entradas sobre mi colaboración con Deusto. Tanto para repasar algún tema que tocaré en Jaén, como para ver con los ojos de quien estaba al otro lado de la sala lo que mostré allí, por aquello tan sano de no perder la perspectiva.

Patxi asistió a mi módulo como alumno, y fue una suerte contar con él realizando ciertos ataques que requerían algo de colaboración, al llevar una propuesta formativa con un enfoque que los que me conocen saben que suelo poner en práctica. «Demo» total y servidores en producción para ver datos reales.

Cierto es que en mi día a día dentro de APACHEctl, realizo ese tipo de tareas de auditoría cambiando el lado o el color según necesidades (ataque y defensa), pero no es lo mismo transmitirlo a otros y lógicamente, uno siempre quiere aprender y mejorar.

Es por ello que me quedo con estas palabras de Patxi:

Al final, a lo tonto, aprendí bastante sobre los servidores, el poco tiempo que se les dedica para ponerlos en condiciones, lo sencillo que es configurarlos, los diferentes tipos de ataques que se realizan contra ellos y los potentes y necesarios que son los sistemas de logs.

También aprendí bastante sobre las diferencias entre los tipos de servers, conceptos como escalabilidad o disponibilidad y la importancia tanto de elegir una buena base para el servidor en el proceso del desarrollo web, como la importancia de saber auditar no sólo de forma externa mediante herramientas Software, sino también configuraciones críticas del server.

No sabes Patxi lo importantes que son para mi, lejos de autobombos y miradas hacia el ombligo. Daremos el objetivo por cumplido, y ahora sólo pienso en mejorar de cara a la siguiente vez allí. Lo dicho, un placer y muchas gracias a los responsables y alumnos por ayudarme tanto impartiendo mi módulo -;).

Sin más, os dejo con sus posts: «Auditando un Servidor con Dabo» Parte I – Parte II.

(Actualización 12-10-2014) Muchas gracias a toda la gente del S3 por vuestras palabras !

Los 20 vídeos de Rooted CON 2014, «Satellite» (y mi hackeo !? en «Secure Calls» con Pepelux y Linuxmaniac;)

Publicado el Por en Dabo | Personal, Eventos | Prensa, Hacking | Redes, Seguridad Informatica, Vídeos | Slideshow

A unos días de que se celebre la «Rooted Satellite» en Valencia (19 y 20 de septiembre, aún estáis a tiempo de registraros a un precio más reducido que la «normal», 25 y 15 euros, con interesantes charlas y experimentados ponentes ), acabo de ver que se han publicado nuevos vídeos de la pasada Rooted CON celebrada en Madrid.

Como os he comentado varias veces, la de 2014 fue una edición un tanto especial para mi.

¿Por qué? os refesco la memoria. Por un lado, en Rooted 2014 impartí mi Lab sobre: «Seguridad y Optimización en Servidores GLAMP«, una gran experiencia en la que aprendí mucho junto a los asistentes, un fuerte abrazo para todos (por cierto, fue una grata sorpresa para mi que se ocuparan todas las plazas). En la «Satellite», tenéis dos interesantes Labs también a precios más reducidos que los «Rooted»: «Reversing de aplicaciones y análisis forense en Android» y «Hacking Ético» impartidos por los amigos Luis Delgado y Pablo González.

Por el otro, además de ver a grandes colegas, asistir a casi todas las conferencias y conocer a gente nueva, he sido partícipe de una ponencia muy especial. Hablo de «Secure Calls» (las diapos), un proyecto más que necesario junto a mis amigos Pepelux y Linuxmaniac.

Y hablando de talleres y CON(s), en unos días os comentaré algo sobre el que imparto en ConectaCON 2014, en unas fechas muy complicadas para mi con múltiples «CON» el mismo mes, repito la gran experiencia de la pasada edición en Jaén y me quedo con muchas ganas de impartir uno (o charla) en «Navajas«, Hacking del bueno desde Albacete. Otro año será, compromisos y temas de trabajo me lo impiden. También ir a otras como ponente o asistente y es que cada vez hay más y son mejores. BTW, el 31 de este mes se cierra el CFP de GSICKMINDS en A Coruña, está NcN en Barcelona, Morteruelo, etc.

Sobre «Secure Calls», además de la temática con la que estoy muy sensibilizado, como muchos de vosotros (privacidad, espionaje masivo, PRISM con todas sus guarradas gubernamentales de las que somos víctimas, etc), era la primera vez que Víctor Seva, o «Linuxmaniac», como le llamamos sus amigos, hablaba en público. Estrenarse en un aforo como el de Rooted, os podéis imaginar lo que supone…

Fue una gran experiencia repasar la charla con ellos en el Hotel, además de aportar algunos retoques finales, para acabar viendo a Víctor lleno de solvencia y seguridad en el escenario, perfectamente respaldado por Pepelux y esas tablas que se gasta -;).

En el vídeo que inserto a continuación, mis amigos me «hackean» ;D y hasta ahí os puedo contar…

Os recomiendo suscribiros a su canal en YouTube, donde además podéis ver vídeos de anteriores ediciones. Como siempre y al más puro estilo blog personal, además de compartirlo con vosotros, inserto la lista de los 20 vídeos publicados hasta ahora a modo de archivo propio para ir visualizándolos con calma.

Seguir leyendo

Webcast en EscuelaIT con Oreixa sobre seguridad y WordPress

Publicado el Por en Dabo | Personal, Hacking | Redes, Sec Tools, Seguridad Informatica, Webmaster

Dentro del ciclo de cursos gratuitos que viene poniendo en marcha EscuelaIT, había un módulo dedicado a cuestiones de seguridad en el dedicado a WordPress. Miguel, responsable de Desarrolloweb y cliente nuestro en APACHEctl además de buen amigo, nos pidió que participásemos en él y allí estuvimos Oreixa y yo (AJ no pudo porque andaba a full en un servidor) con casi 200 alumnos online muy interesados en la temática, junto a parte del staff de Escuela IT. (Actualización julio 2014, buen resumen en Desarrolloweb).

Para los que les van los detalles más técnicos (y porque alguno me lo ha comentado;), en mi caso es cierto que el audio sale un tanto bajo. Estaba conectado desde la Galaxy Tab 2 con el cliente GoToMeeting, y compartía la pantalla de mi Debian o la máquina virtual de Kali que lancé en la demo, a través de Teamviewer por la pantalla de Miguel. Por el momento, esta tecnología de Citrix no es compatible con GNU/Linux.

La demo que realicé, es similar a una de las tres partes de lo expuesto en la de MortuerueloCON. Sobre las herramientas o extensiones que se pueden ver en el vídeo me habéis preguntado varios de vosotros y están recopiladas en esta otra entrada sobre mi participación en MortuerueloCON 2014.

Muchas gracias tanto a los responsables de Escuela IT como a toda la gente que estuvo conectada por hacernos un hueco en el módulo de WordPress (especialmente a Francisco por prestarse a analizar su sitio). Obviamente, no era plan de poner en marcha técnicas o herramientas más intrusivas para los sistemas (y menos sin autorización) de ahí que me centrase en el navegador, whatweb o wp scan, ya que tal y como están las leyes hoy en día, la nuestra es una profesión de riesgo.

Seguir leyendo

MorterueloCON, info sobre herramientas (y demo con parte de mi intervención).

Publicado el Por en Dabo | Personal, Eventos | Prensa, Firefox | Iceweasel, GNU/Linux, Hacking | Redes, Seguridad Informatica, SysAdmin, Webmaster

El pasado fin de semana, tal y como os conté en esta entrada, tuve el placer de participar en las primeras jornadas dedicadas a la (IN) Seguridad Informática organizadas por MorterueloCON en la Universidad Politécnica de Cuenca. La experiencia no pudo ser mejor y sólo puedo dar las gracias a la organización, asistentes y al resto de mis compañeros por el trato recibido y la experiencia a nivel general.

Mi parte iba segmentada en tres secciones. Una introductoria a los tipos de hosting y las problemáticas más comunes («Alojamiento web, vicios y virtudes«), otra más práctica similar a la demo de ConectaCON (Jaén) de hace unos meses realizando diversos ataques y poniendo en marcha medidas para paliarlos con varios servidores en producción, incluyendo al propio de la web de la organización ¡ gracias Goldrak ! (en las ocho horas del Lab en Rooted CON profundizaré sobre todo ello con una mezcla casi al 50 % Pentesting & SysAdmin) y una tercera dedicada a diversos ataques web, en la que WordPress tenía su protagonismo.

He recibido varios mails preguntándome y hay gente que me ha preguntado vía Twitter por las extensiones que tenía instaladas en el navegador, aparte de otras como NoScript, Adblock Plus, DNT +, Startpage, etc (conecté vía una VPN para después usar Tor Browser) y aquí os dejo la lista:

Show IP, Show my IP, Wappalyzer, Server Spy, Search Status, Hack Search, XSS Me, SQL Inject Me o la HackBar (que no usé al igual que las dos anteriores). Incluyo una colección «must have» que me recomendó el gran Dani Medianero: SecFox.

Añado, en SoydelBierzo, gran y útil post con extensiones similares para Chrome.

Podéis ver varias de ellas en acción aunque no de un modo tan profundo, en el vídeo con la demo del Webcast de Escuela IT dentro del módulo de seguridad en el curso de WordPress. Sólo decir para acabar que espero repetir el año próximo la experiencia ;).

Os dejo una pequeña recopilación de momentos en una foto en modo puzzle.

Seguir leyendo

DaboBlog Podcast, “Kernel Panic” número 43. Con Yago Jesús, sobre GNU/Linux, Hacking, (IN) Seguridad, privacidad.

Publicado el Por en Dabo | Personal, DaboBlog Podcast, GNU/Linux, Hacking | Redes, SysAdmin

De nuevo al micro tras el nª 42 y al igual que el anterior, cerca de las 2.000 descargas según Ivoox, se agradece y mucho ver que estáis ahí a tope ! En este episodio, estoy con Yago Jesús de Security By Default hablando de Hacking, GNU/Linux, detección de intrusos, (IN) Seguridad, privacidad, mi participación en la MorterueloCON, RootedCON, etc. Muchas gracias Yago por acercarte al podcast con esa gran disponibilidad y cercanía -;)

Enlaces y proyectos web comentados: Security Projects (donde podéis ver alguna de las aplicaciones que citamos en el audio), Unhide (Yago es su creador), eGarante, el post del «secuestro de datos» (RansomWare) y sobre su RootedCON 2012 (Applied Cryptography FAILs)

En el 44, estaré con n1mh y calculo que lo publicaremos a mediados de marzo, aunque puede que publique algún otro en el medio tipo este con una temática determinada. Os recuerdo que para cualquier tema, petición, sugerencia o lo que se os ocurra, podéis ir dejándolas bien aquí, o con el hashtag en Twitter #KernelPanic44 vía un reply a mi cuenta de Twitter.

> Kernel Panic 43 Duración, 2h 03 min.

Ficha completa en ivoox.com del episodio 43. (Nuevo enlace para suscribirse)

Seguir leyendo

Sem 04/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, GNU/Linux, Hacking | Redes, Seguridad Informatica, SysAdmin, Webmaster

A continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio «almacén de links» ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 04/2014: (Anteriores).

(Del 20 al 26 de enero) Primero van los más recientes.

Seguir leyendo

13 y 14 de febrero, MorterueloCON. Algo de Hosting, Hacking y Servidores web (acceso gratuito).

Publicado el Por en Eventos | Prensa, GNU/Linux, Hacking | Redes, Otras Webs | Blogs, SysAdmin

Con esta entrada, quería comentaros que en menos de un mes estaré en Cuenca dentro de las jornadas de seguridad que se van a celebrar en la primera MorterueloCON, ubicada en la escuela politécnica. Estaré acompañado de grandes colegas y de alguna forma, el espíritu colaborativo de ConectaCON (jaén), se ha trasladado allí de la mano de Rafael Otal (grande Goldrak;) para la que espero sea la primera de una larga lista de conferencias allí.

También será para mi una buena toma de contacto para terminar de preparar el Lab que impartiré en marzo en la Rooted CON (Seguridad y Optimización en Servidores GLAMP).

Sobre mi participación, primero irá una parte teórica sobre la problemática actual con el hosting y los planes de alojamiento más comunes, para después y en una segunda parte mediante una demo, ver por qué es importante elegir bien la ubicación o servidor si hablamos de (IN) Seguridad y ataques web más comunes. Todo ello partiendo de la base de que hay pocos escenarios tan expuestos como los que comento, veremos en esa demo que una gran parte de esos problemas se pueden evitar con una relativa facilidad. La parte teórica será la que junto a mis compañeros de APACHEctl, expuse en el pasado FIMP con el título: «Alojamiento web, vicios y virtudes«.

En este taller repasaremos las opciones que existen en el mercado para alojar una web. Revisaremos las ventajas e inconvenientes que encontramos en nuestro día a día en nuestra empresa APACHEctl, con el objetivo de evitar pasos erróneos en la contratación de los planes de hosting más comunes. Buscando de ese modo ahorrar tanto en costes como evitar pérdidas de servicio en el futuro.

Dentro de la parte práctica, algo de Hacking web con un target «sin definir» (o sí -;). Y por supuesto, además de mi parte, estaré muy atento a los labs y ponencias de mis compañeros: @lawwait, @dmedianero, @Cirin, @jesusprubio, @pepeluxx y @tr1ana

Sólo recordar que el acceso es gratuito previo registro por cuestiones de aforo y elección de salas (por cierto, a ver si nos vemos en la cena que han organizado para que estemos todos juntos;).

Para estar al tanto de todo lo que engloba MorterueloCON, podéis seguir su cuenta de Twitter.

En «Ventanas a la Red» de Radio3W, hablando de Hacking y Servidores Web con Pilar Movilla

Publicado el Por en Dabo | Personal, Hacking | Redes, Mi Opinión, Otras Webs | Blogs, Seguridad Informatica, SysAdmin, Tecnología

Hoy, como todos los viernes, ha visto la luz un nuevo programa de «Ventanas a la Red», espacio destinado a tratar temas relacionados con la seguridad informática en todas sus variantes dentro de la programación de Radio3W. Según ellos, el enfoque está orientado a profesionales, pero yo lo recomiendo a todo tipo de público interesado en estas cuestiones (por cierto, felicidades por ese primer año online;).

El espacio está conducido por Pilar Movilla y además de destacar su gran profesionalidad, vaya un gracias desde aquí Pilar tanto por invitarme a estar en tu programa, como por la cercanía y lo cómodo que estuve durante toda la grabación.

En sus programas podréis escuchar una primera parte de 45 minutos destinada a debates o entrevistas, para seguir después con la sección «No Hack no Fun» de la que se encarga Juan Carlos García, en la que os podéis poner al día de noticias y eventos relacionados con el Hacking. También podéis escuchar todos sus programas a través del feed de Ivoox (es de mis podcast de cabecera). Por cierto, grabamos el día que este blog cumplió 8 años -;).

¿De qué hablamos? de mis inicios, los proyectos que llevo adelante, de mi futura participación en MorterueloCON, mi Lab en RootedCON, algo de hacking, mi día a día con los servidores en APACHEctl, etc. Acceso al programa y audio en Radio3W: «Hacking y seguridad bajo GNU/Linux».

L	M	X	J	V	S	D
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31