Ene 22 2015

Participando en el curso: “Seguridad en el Desarrollo Web” de escuela IT

Category: GNU/Linux,Hacking | Redes,SysAdmindabo @ 9:52 pm

Escuela ITEl martes pasado, estuve a modo de presentación del curso en un Hangout junto a mis compañeros de APACHEctl  Aj y Oreixa, con Miguel Ángel Álvarez , responsable de Desarrolloweb y escuela IT (el año pasado hicimos otro sobre WordPress).

Se trataba de un #ProgramadorIO con el título: “Desarrolladores Vs SysAdmins“. Allí hablamos de problemas comunes de nuestros clientes de APACHEctl que se dedican al Desarrollo, poniendo una atención especial en la Seguridad.

Y hablando de seguridad y servidores, estaré mañana viernes y el lunes 26 impartiendo dos clases del curso “Seguridad en el Desarrollo Web” de Escuela IT (aún hay alguna plaza si estáis interesados). En mi caso, hablaré en una de las clases de configuraciones de Apache inadecuadas y ataques DoS, y en la otra de ataques y defensas básicas en Servidores GLAMP.

Podéis consultar el programa completo en PDF, o pasaros por la web del curso si queréis más información.

Tags: , , , , , , , , ,


Feb 21 2014

Webcast en EscuelaIT con Oreixa sobre seguridad y WordPress

Seguridad en WordPressDentro del ciclo de cursos gratuitos que viene poniendo en marcha EscuelaIT, había un módulo dedicado a cuestiones de seguridad en el dedicado a WordPress. Miguel, responsable de Desarrolloweb y cliente nuestro en APACHEctl además de buen amigo, nos pidió que participásemos en él y allí estuvimos Oreixa y yo (AJ no pudo porque andaba a full en un servidor) con casi 200 alumnos online muy interesados en la temática, junto a parte del staff de Escuela IT. (Actualización julio 2014, buen resumen en Desarrolloweb).

Para los que les van los detalles más técnicos (y porque alguno me lo ha comentado;), en mi caso es cierto que el audio sale un tanto bajo. Estaba conectado desde la Galaxy Tab 2 con el cliente GoToMeeting, y compartía la pantalla de mi Debian o la máquina virtual de Kali que lancé en la demo, a través de Teamviewer por la pantalla de Miguel. Por el momento, esta tecnología de Citrix no es compatible con GNU/Linux.

La demo que realicé, es similar a una de las tres partes de lo expuesto en la de MortuerueloCON. Sobre las herramientas o extensiones que se pueden ver en el vídeo me habéis preguntado varios de vosotros y están recopiladas en esta otra entrada sobre mi participación en MortuerueloCON 2014.

Muchas gracias tanto a los responsables de Escuela IT como a toda la gente que estuvo conectada por hacernos un hueco en el módulo de WordPress (especialmente a Francisco por prestarse a analizar su sitio). Obviamente, no era plan de poner en marcha técnicas o herramientas más intrusivas para los sistemas (y menos sin autorización) de ahí que me centrase en el navegador, whatweb o wp scan, ya que tal y como están las leyes hoy en día, la nuestra es una profesión de riesgo.

Leer el resto de;”Webcast en EscuelaIT con Oreixa sobre seguridad y WordPress”

Tags: , , , , , , , ,


Oct 04 2011

Sobre mi participación en la “Jornada de Seguridad Informática” de Area Tic

Category: Hacking | Redes,Mi Opinión,Seguridad Informaticadabo @ 10:10 am

Hace unos días, tuve la oportunidad de participar en la “Jornada de Seguridad Informáticaorganizada por “Area Tic” en Oviedo. Antes que nada, dar las gracias a los impulsores del evento y asistentes por invitarme a asistir y compartir experiencias junto a otros profesionales del sector (Garrigues Abogados, Cobertura Informática y el responsable de delitos telemáticos de la Guardia Civil de Oviedo). Vaya mi más cordial saludo desde aquí.

Mi ponencia tenía una duración de 20 minutos y hablé de (IN) Seguridad en la PYME. Me centré en algún caso vivido en primera persona como puede ser en este blog y el post sobre Gmail, Google Apps y Twitter, como un ejemplo de algo tan de moda como es la “reputación online” y cómo pueden llegar a afectar a empresas tan grandes ciertas opiniones y blogs tan pequeños dentro del “mundo blog” como es este.

También cité algún ejemplo vivido en primera persona bien con las labores de consultoría que llevo a cabo desde davidhernandez.es, o como parte del equipo de APACHEctl llevando el área de Hacking Etico. Hablé de cómo un sólo equipo en red, puede afectar a toda una infraestructura empresarial, convirtiéndola en parte de una botnet en base a una infección que bien podía haber sido evitable tanto por las medidas de protección instaladas (que no eran las adecuadas), como por parte de un empleado víctima de un engaño a través de la descarga de un fichero (visor de vídeo) malicioso. Aquí suscribiría mis palabras de no hace mucho tiempo, acerca del poco interés de las empresas en dotar a sus empleados de una cultura de la seguridad informática que vende menos que el “Social Media” o el Marketing de siempre.

Tuve tiempo para exponer un ejemplo de ataque por “ingeniería social” con el fin de conseguir el código de desbloqueo a un “Smartphone” supuestamente olvidado (haciéndome pasar por alguien de la oficina de objetos perdidos y aprovechando que el móvil tenía un logo corporativo visible aún con el bloqueo), sobre medidas de protección en ese tipo de dispositivos que hoy en día son como una extensión de nuestra oficina, además de otros como lápices de memoria, portátiles, etc.

Para acabar, recordé un caso no muy lejano hablando de auditorías de seguridad, en el que, por cuestiones de la LOPD, un sólo fichero que no estaba donde debía estar, podría comprometer a nivel legal (y cerrar llegado el caso) a una ya no pequeña, sino mediana o gran empresa. También de la LSSICE, etc.

Pero sobre todo, cada vez que vas a un evento de este tipo, te das cuenta de lo complejo que es para cualquier PYME cumplir las diferentes normativas vigentes y más cuando operan en entornos web, algo muy habitual hablando de “Comercio electrónico” y la gran cantidad de empresas que llevan su modelo de negocio a La Red o lo complementan desde una tienda virtual u otros sistemas.

Creo que existe un “vacio” entre la parte legal (diferentes normas ISO, LOPD, etc), técnica (Redes, soluciones anti-malware, software instalado, soporte) y en cómo realizar un plan de actuación “real” ante los diferentes escenarios hablando de seguridad a los que se enfrenta una PYME en la actualidad si nos referimos a la Gestión de la Seguridad de la Información (SGSI).

Y es que, además de intentar cumplir en este caso por ejemplo con la ISO/27001 (que puede servir para todas las series “27000”) por aquello de “conseguir la certificación”, habría que ir más allá del marco jurídico o de las propias certificaciones para pensar que una empresa que dote de buena formación a sus empleados, tendrá mucho más fácil intentar cumplir con toda la normativa vigente y certificarse de un modo más sólido, pero sobre todo, evitarse “sustos” y de los buenos en medio de esos procesos. De todos es sabido que el eslabón más débil en la cadena de la seguridad es el ser humano, cualquier fleco o cuestión sin pulir puede acarrear a esa empresa multas que según las cuantías, acabarían forzando un “cerrojazo” por no poder afrontarlas.

Creo que no es lo mismo que le digas a un empleado (que no está de más); “Ojo con no poner la opción con copia oculta cuando envías correos masivos que igual nos meten 3.000 € de multa“, a que le enseñes cómo tiene que hacer un uso racional de las nuevas tecnologías. No digamos en puestos como “Recursos Humanos”, donde se manejan datos potencialmente críticos si hablamos de la LOPD ¿de qué sirve realizar todos los pasos que dictamina la Agencia de Protección de Datos, si ese empleado no sabe por dónde tiene que navegar o no, que ficheros puede instalar en su equipo, o lo que supone “hacer click” en un enlace que secuestra su sesión de usuario vía un ataque de phishing?

El problema es que cada vez aprietan más a la PYME con normativas y leyes cuasi-imposibles de cumplir (también nos pasa a muchos blogs / webs) en momentos difíciles y se sobrecarga de trabajo a empleados que realizan otras tareas para implementar las correspondientes certificaciones, luego, el resto de la plantilla lo ve como el típico rollo que hay que cumplir “por que sí” y se puede dar el caso de que estén todos los procedimientos escritos, pero, o nadie sepa llegado el caso dónde están, o cómo aplicarlos con efectividad.

Si tienes todos “los deberes hechos” y luego tu extranet está alojada en un servidor potencialmente vulnerable, alguien con responsabilidad en la empresa se conecta a esa extranet desde conexiones que no son seguras o por la primera Wi-Fi que encuentra, el software no está debidamente actualizado, no se cifran los ficheros o datos más comprometedores, en las mesas de los despachos están desde contraseñas de usuario, fichas o datos de clientes al alcance de cualquiera, no se protegen los dispositivos móviles como se debería hacer y no se intentan “romper” mediante una auditoría todas las medidas puestas en marcha, las certificaciones no serán más que bonitos cuadros o estatuillas colocadas en los despachos…

Quizás algún día, la gente empiece a ver la seguridad informática, como un activo hoy en día para la empresa mayor aún que los muchos cursos (sí, a veces obligatorios por parte de multinacionales o franquicias) de ventas, marketing, etc. La (IN) Seguridad es algo “vivo” que va por delante de cualquier certificación o normativa. En un escenario como el actual, la prevención, rapidez de respuesta y formación, pueden ser nuestros mejores aliados. Seguridad “real” y actual como apoyo a las diferentes empresas de certificación / adecuación.

 

Tags: , , , , , , , ,


Jun 06 2008

Curso Caborian de Técnica Fotográfica (muy recomendable)

Category: Fotografía,Otras Webs | Blogs,Tutoriales | Guíasdabo @ 11:51 pm

Esto era algo que nos faltaba por hacer en Caborian, cierto es que habíamos hecho bastantes pruebas, tutoriales, etc sobre múltiples aspectos de la fotografía en general, pero el bueno de Wiggin, moderador de Caborian e integrante del equipo de redacción, se ha salido con la recopilación -;).

Creo que este Curso Caborian de Técnica Fotográfica le puede venir bien a cualquiera con ganas de aprender o a alguien que tenga ya un cierto nivel de conocimientos y quiera ampliarlos o encontrar la respuesta a problemas que surgen en el día a día con la cámara.

Realmente, se trata de una recopilación de enlaces y post de interés extraída sobre todo de nuestro foro de Consultas Técnicas y quienes preguntan, contestan y enriquecen el contenido son los participantes del foro.

Espero que os sea de utilidad, saludos -;).

Acceso al Curso Caborian de Técnica Fotográfica

[tags]curso, fotografia, tecnica, caborian, digital, tutorial[/tags]

Tags: , , ,


May 23 2008

Impartiendo un taller de fotografía en La Rioja, gracias Arnedo !

Category: Dabo | Personal,Fotografía,Mi Opinióndabo @ 5:00 am

Este pasado fin de semana la cosa fue de fotos, os pongo debajo del post la mítica foto de grupo que la hizo (a falta de trípode y por no ir al coche, lo sé, ya nos vale -;) la madre de nuestra sufrida, incansable y guapa modelo, Verónica. Por cierto, como veis salgo bien acompañado xDD.

El que motivó este encuentro fue Chuchi, amigo y moderador del foro de foto en Daboweb desde hace años, la contratación fue a cargo del Ayuntamiento de Arnedo (ciudad del calzado), un lugar de la Rioja que no puedes dejar de ver. La pena fue que la visita durase tan poco, pero volveré.

En Arnedo se nota que las asociaciones funcionan y hablando de fotografía son todo un ejemplo, podéis ver lo que hacen en el foro de RiojaFoto donde participan gran parte de los asistentes al curso. Había 20 plazas y se cubrieron en dos días. El taller de fotografía se compuso de tres partes, una teórica extraida en parte de la que di en el tercer Congreso Caborian, en la que hablé de composición y técnica fotográfica más enfocado al retrato que era de lo que iba principalmente para después, con la inestimable colaboración de Montse, pasar a la acción con la cámara en mano (en medio una buena comida).

Allí, en un parque con lluvia intermitente y unos cambios de luz continuos, Verónica aguantó estoicamente los disparos de los 20 asistentes al curso donde yo iba controlando aspectos técnicos de las tomas, composición, etc y Montse corregía encuadres, controlaba la luz, poses, fondos, etc. Acto seguido, nos dirigimos a la Casa de Cultura para descargar mis fotos y comentar lo que estaba bien y mal, aproveché para dar unas pinceladas de mi flujo de trabajo con Adobe Lightroom y para finalizar, Montse procesó un retrato en Photoshop y enseñó alguna de sus técnicas.

En definitiva, un fin de semana inolvidable acompañado de muy buena gente y con la sensación de que les resultó útil a quienes fueron al taller, desde aquí doy las gracias al Ayuntamiento de Arnedo, la Asociación RiojaFoto, participantes al curso, también a Verónica y a Chuchi y familia por la acogida. Estan pensando en que volvamos para allá y lo pueden dar por hecho -;).

No tuve mucho tiempo para hacer fotos porque estaba más pendiente de las de los demás pero he preparado una galería del taller en davidm.com donde además, tal y como prometí, van las fotos de todos los participantes. Gracias !!!


Enlace,
galería taller de fotos en Arnedo, la Rioja.

Tags: , , ,


May 07 2008

4º Congreso fotográfico Caborian, todo un éxito, Gracias !!!

Pues nada amigos, aquí estamos, han sido 4 días muy intensos en medio de un ambiente humano y fotográficamente hablando de lo mejor. Sucedió en Caborian...

Tengo que dar desde aquí las gracias a todo el equipo de organización, moderación, ponentes, participantes, patrocinadores, etc, etc, por estos días inolvidables -;)

Si te lo perdistes puedes seguir en el foro del 4º Congreso Caborian todo lo que sucedió en Gijón.

Como todos los años, he subido ya una galería con las fotos que he hecho durante el congreso -;)

Caborian

Tags: , , , , ,


Ene 24 2008

(Gijón) Curso de administración y uso de GNU/linux, Universidad Popular

Category: Eventos | Prensa,GNU/Linuxdabo @ 12:07 am

files_edit1.gifVa de cursos la cosa, me envía Pablo, un lector del blog (muchas gracias-;) esta información sobre un curso de admistración y uso de GNU/Linux que se impartirá entre el 19 de Febrero y el 15 de Abril dentro del marco de las actividades programadas por el Ayuntamiento de Gijón y la Universidad Popular.

Según veo, quedan 5 plazas libres de 12 y el precio son 44 € , el horario de 16,30 a 18,30 h y los días Miércoles y Jueves. Lugar, Instituto de educación secundaría de Roces.

Copio y pego la información que me envía Pablo para poder acceder a la información;

Desde este enlace vais a la página principal de los cursos y después;

(Opción 1)Realizar inscripción
(Opción 4)Cursos Febrero 08 – Universidad Popular
(Opción 10)Informática e internet
(Último curso)Linux: Instalación, administración y uso

Así que ya sabéis, a animarse y culturizarse tocan !!

[tags] informatica, curso, GNU/Linux, Asturias, Gijon [/tags]

Tags: , , , ,


Oct 18 2007

Curso de Ubuntu GNU/Linux del Ministerio de Educación y Ciencia

Category: GNU/Linux,Otras Webs | Blogsdabo @ 11:49 pm

laptopubuntu.jpgQue GNU/Linux cada vez está adquiriendo una mayor implantación no es algo que sorprenda a nadie.

Que también en el mundo empresarial se ve como una alternativa más que seria no es tampoco nada nuevo.

Ubuntu ha hecho mucho por GNU/Linux, acercándolo a usuarios que veían como algo entre lo místico y lejano, poder llegar incluso hasta instalarlo…

Ahora esa percepción ha cambiado y fracasos como el Vista de Microsoft, no hacen más que ayudar a su implantación. En esta ocasión, quería recomendaros un curso del MEC sobre Ubuntu descargable también en PDF en el que se abarcan los siguientes aspectos;

# Ubuntu en Live CD
# Instalación de Ubuntu
# Sofware libre
# El entorno de trabajo en Ubuntu
# Gestión de archivos
# Administración básica de sistema
# Aplicaciones de red
# Ofimática básica en Ubuntu
# Otras tareas elementales

Acceso al curso online de Ubuntu.

Fuente, Daboweb.

[tags]Ubuntu, GNU/linux, Linux, MEC, curso, sofware libre[/tags]

Tags: , , ,


Página siguiente »