Oct 28 2014

En ConectaCON 2014. Sobre mi taller: “Hackeando Servidores GLAMP”.

ConectaCON 2014 (Jaén).Antes de ir a la parte relativa a mi taller, tengo que destacar el esfuerzo, ganas y calidad humana que hemos sentido todos los participantes de la tercera edición de ConectaCON Jaén.

Alguno puede pensar que estás en esa fase de exaltación de la amistad típica de las “CON”, en la que aún están vivos esos momentos (diurnos y nocturnos xD;) y te dejas llevar. Pero no, en Jaén, de nuevo lo han vuelto a conseguir. Más de 400 personas inscritas al evento, una gran asistencia a las diferentes ponencias y los tres talleres que se impartían al 150 % de su capacidad original.

Creo que esas cifras ya dicen bastante de su evolución. Lo que ya es más difícil de compartir son esas conversaciones entre ponencias o tomando unas cañas. Eso forma parte de las “CON”, alguno se quedaría alucinado del concepto de “socializar” que tienen muchos colegas que se pasan por ahí (asociales por naturaleza, más allá de tópicos).

Sobre el evento, se publicarán en la web las diferentes intervenciones, en su Twitter os irán informando.

Material de apoyo para mi taller: “Hackeando Servidores GLAMP“:

¿Qué hicimos en el taller? Partiendo de una (insuficiente) configuración por defecto e instalación mínima, fuimos auditando y asegurando servicios. Ataques de fuerza bruta, búsqueda de posibles puertas traseras, seguridad por oscuridad ocultando versiones de software instalado, ataques DoS, IDS-IPS, firewalls, monitorización, optimización, control de logs, etc.

Os recomiendo (dependiendo del tiempo que tengáis) mi intervención en DRagonJAR TV sobre ataques y defensas básicas en Apache, mi resumen en PDF de ConectaCON 2013 y “DebianHackers Elementals” (acceso al PDF).

También este webcast sobre Seguridad en WordPress, en el que encontraréis un enlace a mi paso por MorterueloCON (repito en 2015;) con extensiones para el navegador web a modo de complemento de otras herramientas que usé en Jaén. Sobre lo más social, en mi Twitter he guardado algún favorito con fotos de esos días. Muchas gracias a todos los asistentes a mi taller por hacerlo tan llevadero (más de 4 horas seguidas, nadie quiso parar). Por supuesto a la organización que tanto se esforzó pensando en cada detalle y al resto de compañeros por tanto buen rollo y ganas de compartir conocimientos estos días en Jáén.

Foto con parte de los alumnos -;)

ConectaCON 2014

Tags: , , , , , , ,


Oct 13 2014

En ConectaCON Jaén, 23 y 24 de octubre. Mi taller: “Hackeando Servidores GLAMP”

ConectaCON 2014 JaénDe nuevo, tengo la suerte de poder participar en ConectaCON. Un evento sobre Hacking con dos ediciones a sus espaldas, que cada vez suena con más fuerza y donde las cosas se hacen pensando a fondo en los detalles (técnicos y humanos).

Si os pasáis por Jaén los días 23 y 24 de este mes, vais a poder percibirlos en grandes dosis. Hoy es el día en el que se abren las inscripciones gratuitas para los talleres (ya estaba activo el registro para las ponencias desde el mes pasado) entre los que podéis ver el que imparto.

“Hackeando Servidores GLAMP”.

¿Qué podéis encontrar en mi taller? en su descripción podéis leer esto:

El taller consistirá en la fortificación de los diferentes servicios de un servidor GLAMP mediante diferentes técnicas. Siempre teniendo en cuenta el punto de vista de un posible atacante, y del responsable de su seguridad. Teniendo como objetivo final la “disponibilidad”. Además, se analizarán los diferentes tipos de hosting y sus problemas más comunes.

Repasando de una forma dinámica y con escenarios reales, fallos o configuraciones por defecto insuficientes en servidores Dedicados, VPS o “Cloud”. Aspectos como la “Seguridad por oscuridad”, ataques de fuerza bruta o contra las aplicaciones web del servidor, cuestiones de optimización y monitorización, servicios críticos, firewalls, etc también tendrán cabida.

Otra forma de explicarlo, sería que voy a intentar hacer una mezcla lo más útil y aplicable posible para quienes asistan al mismo, afrontando cuestiones vitales en un entorno GLAMP, a la vez que fáciles de poner en marcha si te dan alguna pista.

Será más que un mínimo punto de partida, teniendo en cuenta las insuficientes configuraciones de seguridad que vemos en servidores recién instalados. Todo ello basándome en mi experiencia de nuestro día a día en APACHEctl, así como la de otros talleres o charlas en las que participo (siempre teniendo en cuenta que son otras condiciones en cuanto a tiempo, plazas o temario).

Los más fieles al blog recordaréis mi “famoso PDF” (por lo que tardé en sacarlo ;D) de 12 páginas en el que quise resumir aspectos que abordé en mi Demo de ConectaCON 2013. Luego en “DebianHackers Elementals“, incluí herramientas adicionales y revisé algunos temas en pro de dejarlo más pulido.

Voy con un montón de ganas a Jaén y espero veros a muchos de vosotros allí. Os recomiendo visitar la sección de la web dedicada a las ponencias y talleres. Por la parte que me toca, procuraré fuera de mi taller acudir al máximo número de actividades programadas ya que el cartel es un lujazo y si hablamos de un evento gratuito, aún más. Un 10 para la organización y patrocinadores, nos vemos en unos días -;).

Tags: , , , , , , , , , , , , ,


Oct 09 2014

Sobre mi colaboración con la Universidad de Deusto y su postgrado en Seguridad Informática

DESI Seguridad DeustoPor poneros en antecedentes, comentaros que este pasado verano, he tenido el placer de impartir el módulo de “Seguridad en Servidores Web” del antiguo “MUSI” (Máster en Seguridad de la Información) que ahora pasa a denominarse “DESI” (Diploma de Especialización en Seguridad de la Información).

No puedo estar más agradecido con el trato, la flexibilidad y confianza depositada. Había una hoja de ruta que cumplir, e intenté en colaboración con Carlos Laorden, Borja Sánz y Patxi Galán, preparar un temario lo más actual, real o “aplicable” posible. Hace unos días me han confirmado que pronto lo impartiré de nuevo, y estoy encantado de volver a mi Bilbao natal a repetir la experiencia.

Otros profesores y colaboradores habituales, son gente que conocéis muy bien los seguidores del blog. Hablo de grandes profesionales y amigos como David Barroso, Josean Koret o “Txipi”, a quien tuve el placer de conocer personalmente en mi paso por s3lab de Deusto.

Un lugar el S3lab en el que cuando entras allí (teniendo en cuenta el panorama actual) y ves los proyectos que llevan adelante, percibes algo que te suena tan lejano como “eso del I+D“. Podéis ver su presentación.

Con la resaca y éxito de Navaja Negra (abrazos:) y a dos semanas para que viaje a Jaén y repita también en ConectaCON (muchas ganas, el lunes amplío info en otro post) esta vez impartiendo el tallerHackeando Servidores GLAMP“, me ha venido muy bien leer de nuevo a Patxi y sus dos entradas sobre mi colaboración con Deusto. Tanto para repasar algún tema que tocaré en Jaén, como para ver con los ojos de quien estaba al otro lado de la sala lo que mostré allí, por aquello tan sano de no perder la perspectiva.

Patxi asistió a mi módulo como alumno, y fue una suerte contar con él realizando ciertos ataques que requerían algo de colaboración, al llevar una propuesta formativa con un enfoque que los que me conocen saben que suelo poner en práctica.  “Demo” total y servidores en producción para ver datos reales.

Cierto es que en mi día a día dentro de APACHEctl, realizo ese tipo de tareas de auditoría cambiando el lado o el color según necesidades (ataque y defensa), pero no es lo mismo transmitirlo a otros y lógicamente, uno siempre quiere aprender y mejorar.

Es por ello que me quedo con estas palabras de Patxi:

Al final, a lo tonto, aprendí bastante sobre los servidores, el poco tiempo que se les dedica para ponerlos en condiciones, lo sencillo que es configurarlos, los diferentes tipos de ataques que se realizan contra ellos y los potentes y necesarios que son los sistemas de logs.

También aprendí bastante sobre las diferencias entre los tipos de servers, conceptos como escalabilidad o disponibilidad y la importancia tanto de elegir una buena base para el servidor en el proceso del desarrollo web, como la importancia de saber auditar no sólo de forma externa mediante herramientas Software, sino también configuraciones críticas del server.

No sabes Patxi lo importantes que son para mi, lejos de autobombos y miradas hacia el ombligo. Daremos el objetivo por cumplido, y ahora sólo pienso en mejorar de cara a la siguiente vez allí. Lo dicho, un placer y muchas gracias a los responsables y alumnos por ayudarme tanto impartiendo mi módulo -;).

Sin más, os dejo con sus posts: “Auditando un Servidor con Dabo” Parte IParte II.

(Actualización 12-10-2014) Muchas gracias a toda la gente del S3 por vuestras palabras !

Tags: , , , , , , , , , , ,


Feb 21 2014

MorterueloCON, info sobre herramientas (y demo con parte de mi intervención).

MorterueloCON 2014El pasado fin de semana, tal y como os conté en esta entrada, tuve el placer de participar en las primeras jornadas dedicadas a la (IN) Seguridad Informática organizadas por MorterueloCON en la Universidad Politécnica de Cuenca. La experiencia no pudo ser mejor y sólo puedo dar las gracias a la organización, asistentes y al resto de mis compañeros por el trato recibido y la experiencia a nivel general.

Mi parte iba segmentada en tres secciones. Una introductoria a los tipos de hosting y las problemáticas más comunes (“Alojamiento web, vicios y virtudes“), otra más práctica similar a la demo de ConectaCON (Jaén) de hace unos meses realizando diversos ataques y poniendo en marcha medidas para paliarlos con varios servidores en producción, incluyendo al propio de la web de la organización ¡ gracias Goldrak ! (en las ocho horas del Lab en Rooted CON profundizaré sobre todo ello con una mezcla casi al 50 % Pentesting & SysAdmin) y una tercera dedicada a diversos ataques web, en la que WordPress tenía su protagonismo.

He recibido varios mails preguntándome y hay gente que me ha preguntado vía Twitter por las extensiones que tenía instaladas en el navegador, aparte de otras como NoScript, Adblock Plus, DNT +, Startpage, etc (conecté vía una VPN para después usar Tor Browser) y aquí os dejo la lista:

Show IP, Show my IP, Wappalyzer, Server Spy, Search Status, Hack Search, XSS Me, SQL Inject Me o la HackBar (que no usé al igual que las dos anteriores). Incluyo una colección “must have” que me recomendó el gran Dani Medianero: SecFox.

Añado, en SoydelBierzo, gran y útil post con extensiones similares para Chrome.

Podéis ver varias de ellas en acción aunque no de un modo tan profundo, en el vídeo con la demo del Webcast de Escuela IT dentro del módulo de seguridad en el curso de WordPress. Sólo decir para acabar que espero repetir el año próximo la experiencia ;).

Os dejo una pequeña recopilación de momentos en una foto en modo puzzle.

Leer el resto de;”MorterueloCON, info sobre herramientas (y demo con parte de mi intervención).”

Tags: , , , , , , , , , ,


Ene 24 2014

13 y 14 de febrero, MorterueloCON. Algo de Hosting, Hacking y Servidores web (acceso gratuito).

MorterueloCONCon esta entrada, quería comentaros que en menos de un mes estaré en Cuenca dentro de las jornadas de seguridad que se van a celebrar en la primera MorterueloCON, ubicada en la escuela politécnica. Estaré acompañado de grandes colegas y de alguna forma, el espíritu colaborativo de ConectaCON (jaén), se ha trasladado allí de la mano de Rafael Otal (grande Goldrak;) para la que espero sea la primera de una larga lista de conferencias allí.

También será para mi una buena toma de contacto para terminar de preparar el Lab que impartiré en marzo en la Rooted CON (Seguridad y Optimización en Servidores GLAMP).

Sobre mi participación, primero irá una parte teórica sobre la problemática actual con el hosting y los planes de alojamiento más comunes, para después y en una segunda parte mediante una demo, ver por qué es importante elegir bien la ubicación o servidor si hablamos de (IN) Seguridad y ataques web más comunes. Todo ello partiendo de la base de que hay pocos escenarios tan expuestos como los que comento, veremos en esa demo que una gran parte de esos problemas se pueden evitar con una relativa facilidad. La parte teórica será la que junto a mis compañeros de APACHEctl, expuse en el pasado FIMP con el título: “Alojamiento web, vicios y virtudes“.

En este taller repasaremos las opciones que existen en el mercado para alojar una web. Revisaremos las ventajas e inconvenientes que encontramos en nuestro día a día en nuestra empresa APACHEctl, con el objetivo de evitar pasos erróneos en la contratación de los planes de hosting más comunes. Buscando de ese modo ahorrar tanto en costes como evitar pérdidas de servicio en el futuro.

Dentro de la parte práctica, algo de Hacking web con un target “sin definir” (o sí -;). Y por supuesto, además de mi parte, estaré muy atento a los labs y ponencias de mis compañeros: @lawwait, @dmedianero, @Cirin, @jesusprubio, @pepeluxx y @tr1ana

Sólo recordar que el acceso es gratuito previo registro por cuestiones de aforo y elección de salas (por cierto, a ver si nos vemos en la cena que han organizado para que estemos todos juntos;).

Para estar al tanto de todo lo que engloba MorterueloCON, podéis seguir su cuenta de Twitter.

Tags: , , , , ,


Nov 11 2013

Sem 45/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 45/2013: (Anteriores).

En Twitter  (Del 4 al 10 de noviembre) Primero van los más recientes.

Leer el resto de;”Sem 45/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.”

Tags: , , , , , , , , , , , , , , , , , , ,


Jul 18 2013

Sobre mi Demo en ConectaCon. Seguridad y Optimización en servidores GLAMP (PDF, 12 páginas)

ConectaCon Jaén 2013Lo primero, os pido disculpas a todos los que me habéis escrito durante este tiempo para ver si publicaba (de una vez;) esta entrada. Como ya os comenté, tuve la suerte de poder estar en ConectaCon (Jaén) junto a grandes profesionales y amigos.

Allí hablé de (IN)Seguridad y Optimización en servidores GLAMP (GNU/Linux, Apache, MySQL, PHP). Aunque también mencioné otros escenarios que incluyo en el PDF. (Rel, en DragonJar TV).

Sobre el título “original” de mi demo -:P, ya os dije que fue cosa de Oreixa, compañero de batallas en APACHEctl. Parece una frase hecha pero en serio, las sensaciones no pudieron ser mejores y espero estar allí en 2014 porque al final, lo del nivel humano cuenta (de eso había y mucho).

Sobre el evento, Lorenzo en Security By Default ya publicó su impresión personal. Por la parte que me toca, puse cara a gente que seguía a diario y reforzar la amistad con otros en momentos en los que “siempre te falta tiempo”. Además de ver ponencias y demos de gran interés en campos que “no son lo mío” y reforzar otros conocimientos en un ambiente genial y trato inmejorable.

ConectaCon Jaén 2013

Al igual que en el PDF, incluyo la foto de grupo, si hacéis click en ella, veréis el resto.

Al final, este post se alargó porque he querido incluir material publicado tanto por mi como otros (y cuestiones que en mi demo fueron imposibles de abarcar debido al tiempo), además de proponer otras alternativas o herramientas complementarias y dejaros una información lo más actualizada posible. Muchas gracias “a todos por todo”, si con estas líneas y lo que vayáis leyendo en el PDF hay material que os pueda ayudar, me daré más que por satisfecho. Tomadlo como un punto de partida e insisto, lo que hagáis, antes de pasarlo a producción probadlo ¡ Un fuerte abrazo a todos !

Descarga –>  ConectaConGLAMP. PDF, 12 páginas, 1,1 MB.

 

Tags: , , , , , , , , , ,


Abr 29 2013

Sem 17/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 17/2013: (Anteriores).

(Del 22 al 28 de abril) Primero van los más recientes.

Leer el resto de;”Sem 17/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.”

Tags: , , , , , , , , , , , , , , , , , , , ,


Página siguiente »