Ene 15 2013

Sem 02/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 02/2013: (Anteriores).

(Del 7 al 13 de enero) Primero van los más recientes.

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,


Dic 06 2012

Respondiendo a un DM. ¿Por qué uso WordPress (org) y no el “.com” o Blogger? De Seguridad y otras cuestiones.

Hola gente -;) A colación de un DM (mensaje privado en Twitter) que me ha enviado un colega por un Tweet mío sobre el inminente lanzamiento de la versión 3.5 final de WordPress, he pensado que mejor respondía por aquí para compartir mi opinión (tómalo sólo como eso, una opinión más). Ahh, si llegas al final, mira el último link;).

Y es que, como le he comentado al amigo @voylinux, Twitter es un medio más, donde sólo somos invitados a una fiesta en la que si haces mucho ruido, puede que te dejen fuera a la mínima de cambio. También respondo aquí por ser (un poco) coherente con lo que he aconsejado (“no lo dudes, abre un blog y escribe, comparte y difunde”) al amigo Pablo, gran trabajo con #LinuxIO).

Eso sí, intentaré resumir al máximo en el “reply” (o no, que esto no es un Tweet-;).

El DM (literal):

“Dabo tío ¿no estarás más tranquilo alojando tus blogs en .com o Blogger?

Lo primero, gracias ******* por el gesto, se agradece el interés y entiendo perfectamente el planteamiento, es algo que me han preguntado más de una vez y es buen momento para dejaros unas líneas aquí.

¿Por qué uso un WordPress instalado en mi servidor?

– Es Software Libre, hecho por y para los usuarios, hay una comunidad muy activa detrás.

– (Rel) Una buena forma de promover el Software Libre es usarlo y difundirlo.

– No podría intentar aportar algo (un poco) sobre Seguridad en WP sin usarlo día a día.

– Perdería la perspectiva y conocimiento. Muchos amigos y clientes con WordPress.

– Al igual que con cualquier otro servicio, si mañana “no les gusto” me quedo sin cuenta / voz.

– Conozco mis debilidades, van más allá de un blog / server. Si van realmente “a por ti” caerás (fijo).

– No tengo que aceptar “nuevas políticas de uso” que igual no me interesan.

– No tengo publicidad, pero el que la ponga o no depende de mi.

– (Rel) Cierto, si pagas no hay publi pero…es mi dinero OMG !

– Es más divertido, te lo puedes cargar todo y luego arreglarlo.

– Tengo más posibilidades de dejar las cosas a mi (buen o mal;) gusto.

– (Rel) Sí, pagas y customizas, pero sigue siendo mi (poca) pasta ;D y estás más “capado”.

– Aprendo sobre cómo mejorar la carga y consultas a la DB en los servers.

– Se me ocurren muchas razones más, pero voy casi por 500 palabras !!!

¿Quieres estar más tranquilo y dedicarte sólo a escribir?

No lo dudes, abre un blog en WordPress.com, Blogger o donde sea, pero escribe sobre lo que te guste y compártelo con los demás, Mis razones son sólo las mías, se me ocurren muchas como para rebatirlas. Te llevarás grandes sorpresas tal y como me ha pasado a mi con todos vosotros. Gracias !!!

Pero… si esta opción ya os la recomendé hace 5 años WTF ! (Es lo bueno de tener un blog-;)

#Disclaimer –>; (Esto no cabía en 140, creo-;)

Tags: , , , , , , ,


Nov 27 2012

Sem 47/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 47/2012: (Anteriores).

(Del 19 al 25 de noviembre) Primero van los más recientes.

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , ,


Oct 15 2012

Sem 41/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS, Twitter y Facebook) publico regularmente y junto amis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 41/2012: (Anteriores).

(Del 8 al 14 de Octubre) Primero van los más recientes.

Tags: , , , , , , , , , , , , , , , , , , , , , , ,


Sep 24 2012

Sem 38/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS, Twitter y Facebook) nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 38/2012: (Anteriores).

Tags: , , , , , , , , , , , , , , , , , , , , , , ,


Jul 27 2012

[Vídeo] Hablando sobre GNU/Linux y seguridad en el #LinuxIO de Desarrollo Web

LinuxIOEl pasado Martes, tuve la oportunidad de compartir espacio en el “LinuxIO” de un portal de referencia como es el caso de Desarrollo Web. Estuve muy cómodo junto a su responsable y buen amigo, Miguel A. Alvarez y Pablo Bernardo, quien lleva adelante con ganas y buen hacer junto a Miguel, el espacio dedicado al mundo de GNU/Linux y el Software Libre en formato “Hangout“.

En el caso de Miguel, llevo con orgullo esa “responsabilidad” de ser quien le ha iniciado en el apasionante mundo de GNU/Linux, también y por la parte que me toca en APACHEctl (administramos sus servidores), decir también que como responsable de Desarrollo Web, es todo un ejemplo de una relación de colaboración constante entre desarrollo y sistemas, pero sobre todo, una gran persona que en su día conocí gracias a otra gran amiga, como es el caso de Eugenia Bahit.

Sobre Pablo, una de esas agradables sorpresas que llega a través de Twitter. El día anterior a la grabación ahí estuvimos haciendo pruebas con el “Hangout” (como no podía ser de otro modo en mi caso, Google decidió que “había un problema en sus sistemas con la compartición de pantallas y al final hicimos un apaño vía TeamViewer;) y sólo puedo agradecerle lo pendiente que estuvo en todo momento, sus ganas de ayudar y el buen hacer. Sé bien por nuestro podcast el esfuerzo que implica.

Y de la gran cantidad de amigos y gente que seguía el LinuxIO por Twitter, lo puedo resumir en “impresionante”. Mucho feedback, preguntas que intenté contestar bien en la grabación o después y ese aliento en la nuca de una comunidad amiga. Vaya desde aquí todo mi agradecimiento tanto a el equipazo de Desarrollo Web (Ana incluida) por darme la oportunidad de participar y aportar en la medida de lo que pude, dentro de mis posibilidades mi granito de arena (repetiré encantado), como a toda la gente que estuvo ahí siguiendo el directo o la grabación posterior.

Los de casa ya sabréis sobre lo que hablé, una mezcla entre GNU/Linux, seguridad, CMS y servers con grandes dosis de Debian como no podía ser de otro modo-;). Para acabar y sobre LinuxIO, es una iniciativa que sigo con interés, totalmente recomendable y para eternos aprendices como es mi caso, una cita obligada. Por lo que ¡ mucho ánimo y a seguir con ello !

Acceso a: “Seguridad en GNU/Linux en el #LinuxIO” | El vídeo.

Tags: , , , , ,


Feb 10 2012

De Servidores Web comprometidos y personas o empresas que no se comprometen.

Disclaimer:

Este post puede considerarse como un acto de promoción dado que soy parte “interesada” o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de “pásate por ejemplo” por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles “para todos los públicos” (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), Iniciación a la seguridad informática y “Crackers, Hackers & Hacktivismo“.

Como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso “Blockout“.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de “Internet Service Provider“, bien podría ser un acrónimo de “Internet Sopla Pollas“. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el “Especial Seguridad“) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de “garantizamos al 100 % tu seguridad” me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entradaPor qué falla la seguridad” de los colegas de Security By Default.

Leer el resto de;”De Servidores Web comprometidos y personas o empresas que no se comprometen.”

Tags: , , , , , , , , , , , , , , ,


Oct 24 2011

/* Sec tools */ (Cap 1). Whatweb y curl. “Seguridad por oscuridad” en servidores web GNU/Linux y Apache.

El concepto de “seguridad por oscuridad” viene ya de lejos. Imagino que, si hablamos de servidores web, nace de la necesidad de protegerse tanto de muchos ataques automatizados que pueden llegar a nuestro servidor web, buscando versiones de software vulnerables, como de la imposibilidad de realizar esas actualizaciones o frente a ataques “0 day”, para los que no hay ningún parche disponible.

Hoy vamos hablar de una herramienta interesante que ya mencioné  hace más de un año en el pasado FIMP. Se trata de “Whatweb”, (acceso a la web del proyecto y su lugar en GitHub). Se trata básicamente de una herramienta capaz de identificar las versiones instaladas de la gran mayoría de CMS (gestores de contenidos) actuales, plugins y una gran variedad de aplicaciones web. También proporciona datos tan relevantes como versiones de Apache, SSL o PHP a través de la información extraída de las “cabeceras” o “banners” que lee cuando realiza una petición al website en cuestión.

"Features" (Según se lee en la web del proyecto):
	* Over 1000 plugins
	* Control the trade off between speed/stealth and reliability
	* Plugins include example URLs
	* Performance tuning. Control how many websites to scan concurrently.
	* Multiple log formats: Brief (greppable)
          XML, JSON, MagicTree, RubyObject, MongoDB, SQL.
	* Proxy support including TOR
	* Custom HTTP headers
	* Basic HTTP authentication
	* Control over webpage redirection
	* Nmap-style IP ranges
	* Fuzzy matching
	* Result certainty awareness
	* Custom plugins defined on the command line

Por lo general, simplemente dentro del directorio desde donde hayamos descargado Whatweb, ejecutamos;

Leer el resto de;”/* Sec tools */ (Cap 1). Whatweb y curl. “Seguridad por oscuridad” en servidores web GNU/Linux y Apache.”

Tags: , , , , , , , , , ,


Página siguiente »