Oct 28 2014

En ConectaCON 2014. Sobre mi taller: “Hackeando Servidores GLAMP”.

ConectaCON 2014 (Jaén).Antes de ir a la parte relativa a mi taller, tengo que destacar el esfuerzo, ganas y calidad humana que hemos sentido todos los participantes de la tercera edición de ConectaCON Jaén.

Alguno puede pensar que estás en esa fase de exaltación de la amistad típica de las “CON”, en la que aún están vivos esos momentos (diurnos y nocturnos xD;) y te dejas llevar. Pero no, en Jaén, de nuevo lo han vuelto a conseguir. Más de 400 personas inscritas al evento, una gran asistencia a las diferentes ponencias y los tres talleres que se impartían al 150 % de su capacidad original.

Creo que esas cifras ya dicen bastante de su evolución. Lo que ya es más difícil de compartir son esas conversaciones entre ponencias o tomando unas cañas. Eso forma parte de las “CON”, alguno se quedaría alucinado del concepto de “socializar” que tienen muchos colegas que se pasan por ahí (asociales por naturaleza, más allá de tópicos).

Sobre el evento, se publicarán en la web las diferentes intervenciones, en su Twitter os irán informando.

Material de apoyo para mi taller: “Hackeando Servidores GLAMP“:

¿Qué hicimos en el taller? Partiendo de una (insuficiente) configuración por defecto e instalación mínima, fuimos auditando y asegurando servicios. Ataques de fuerza bruta, búsqueda de posibles puertas traseras, seguridad por oscuridad ocultando versiones de software instalado, ataques DoS, IDS-IPS, firewalls, monitorización, optimización, control de logs, etc.

Os recomiendo (dependiendo del tiempo que tengáis) mi intervención en DRagonJAR TV sobre ataques y defensas básicas en Apache, mi resumen en PDF de ConectaCON 2013 y “DebianHackers Elementals” (acceso al PDF).

También este webcast sobre Seguridad en WordPress, en el que encontraréis un enlace a mi paso por MorterueloCON (repito en 2015;) con extensiones para el navegador web a modo de complemento de otras herramientas que usé en Jaén. Sobre lo más social, en mi Twitter he guardado algún favorito con fotos de esos días. Muchas gracias a todos los asistentes a mi taller por hacerlo tan llevadero (más de 4 horas seguidas, nadie quiso parar). Por supuesto a la organización que tanto se esforzó pensando en cada detalle y al resto de compañeros por tanto buen rollo y ganas de compartir conocimientos estos días en Jáén.

Foto con parte de los alumnos -;)

ConectaCON 2014

Tags: , , , , , , ,


Oct 09 2014

Sobre mi colaboración con la Universidad de Deusto y su postgrado en Seguridad Informática

DESI Seguridad DeustoPor poneros en antecedentes, comentaros que este pasado verano, he tenido el placer de impartir el módulo de “Seguridad en Servidores Web” del antiguo “MUSI” (Máster en Seguridad de la Información) que ahora pasa a denominarse “DESI” (Diploma de Especialización en Seguridad de la Información).

No puedo estar más agradecido con el trato, la flexibilidad y confianza depositada. Había una hoja de ruta que cumplir, e intenté en colaboración con Carlos Laorden, Borja Sánz y Patxi Galán, preparar un temario lo más actual, real o “aplicable” posible. Hace unos días me han confirmado que pronto lo impartiré de nuevo, y estoy encantado de volver a mi Bilbao natal a repetir la experiencia.

Otros profesores y colaboradores habituales, son gente que conocéis muy bien los seguidores del blog. Hablo de grandes profesionales y amigos como David Barroso, Josean Koret o “Txipi”, a quien tuve el placer de conocer personalmente en mi paso por s3lab de Deusto.

Un lugar el S3lab en el que cuando entras allí (teniendo en cuenta el panorama actual) y ves los proyectos que llevan adelante, percibes algo que te suena tan lejano como “eso del I+D“. Podéis ver su presentación.

Con la resaca y éxito de Navaja Negra (abrazos:) y a dos semanas para que viaje a Jaén y repita también en ConectaCON (muchas ganas, el lunes amplío info en otro post) esta vez impartiendo el tallerHackeando Servidores GLAMP“, me ha venido muy bien leer de nuevo a Patxi y sus dos entradas sobre mi colaboración con Deusto. Tanto para repasar algún tema que tocaré en Jaén, como para ver con los ojos de quien estaba al otro lado de la sala lo que mostré allí, por aquello tan sano de no perder la perspectiva.

Patxi asistió a mi módulo como alumno, y fue una suerte contar con él realizando ciertos ataques que requerían algo de colaboración, al llevar una propuesta formativa con un enfoque que los que me conocen saben que suelo poner en práctica.  “Demo” total y servidores en producción para ver datos reales.

Cierto es que en mi día a día dentro de APACHEctl, realizo ese tipo de tareas de auditoría cambiando el lado o el color según necesidades (ataque y defensa), pero no es lo mismo transmitirlo a otros y lógicamente, uno siempre quiere aprender y mejorar.

Es por ello que me quedo con estas palabras de Patxi:

Al final, a lo tonto, aprendí bastante sobre los servidores, el poco tiempo que se les dedica para ponerlos en condiciones, lo sencillo que es configurarlos, los diferentes tipos de ataques que se realizan contra ellos y los potentes y necesarios que son los sistemas de logs.

También aprendí bastante sobre las diferencias entre los tipos de servers, conceptos como escalabilidad o disponibilidad y la importancia tanto de elegir una buena base para el servidor en el proceso del desarrollo web, como la importancia de saber auditar no sólo de forma externa mediante herramientas Software, sino también configuraciones críticas del server.

No sabes Patxi lo importantes que son para mi, lejos de autobombos y miradas hacia el ombligo. Daremos el objetivo por cumplido, y ahora sólo pienso en mejorar de cara a la siguiente vez allí. Lo dicho, un placer y muchas gracias a los responsables y alumnos por ayudarme tanto impartiendo mi módulo -;).

Sin más, os dejo con sus posts: “Auditando un Servidor con Dabo” Parte IParte II.

(Actualización 12-10-2014) Muchas gracias a toda la gente del S3 por vuestras palabras !

Tags: , , , , , , , , , , ,


Ene 27 2014

Sem 04/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 04/2014: (Anteriores).

En Twitter (Del 20  al 26 de enero) Primero van los más recientes.

Leer el resto de;”Sem 04/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.”

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , ,


Ene 22 2014

Sem 03/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 03/2014: (Anteriores).

En Twitter (Del 13 al 19 de enero) Primero van los más recientes.

Leer el resto de;”Sem 03/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.”

Tags: , , , , , , , , , , , , , , , , , , ,


Ene 15 2014

Sem 02/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 02/2014: (Anteriores).

En Twitter (Del 6 al 12 de enero) Primero van los más recientes.

Leer el resto de;”Sem 02/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.”

Tags: , , , , , , , , , , , , , , , , , , ,


Ene 07 2014

Sem 01/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 01/2014: (Anteriores).

En Twitter (Del 30 de diciembre al 5 de enero) Primero van los más recientes.

Leer el resto de;”Sem 01/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.”

Tags: , , , , , , , , , , , , , , , , , , , ,


Dic 17 2013

Sem 50/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 50/2013: (Anteriores).

En Twitter (Del 9 al 15 de diciembre) Primero van los más recientes.

Leer el resto de;”Sem 50/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.”

Tags: , , , , , , , , , , , , , , , , , , , , , ,


Dic 10 2013

Sem 49/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 49/2013: (Anteriores).

En Twitter (Del 2 al 8 de diciembre) Primero van los más recientes.

Leer el resto de;”Sem 49/2013. En Twitter –> GNU/Linux | Hacking | SysAdmin.”

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , ,


Página siguiente »