Mar 23 2015

Sobre mi participación en MorterueloCON 2015, e info sobre QurtubaCON (Córdoba, 10 y 11 de abril, inscripción gratuita)

MorterueloCON-2014Como los más cercanos sabéis, el mes pasado repetí participación en MorterueloCON tras una gran experiencia en 2014. Esta vez no iba a ser menos y todo fue sobre ruedas. Y digo eso y no “sobre raíles” porque el único punto negativo fue el viaje. Algo achacable a RENFE por su falta de información y mala gestión de un incidente (temporal de nieve) que si bien es inevitable, debería ser cuanto menos “gestionable”. Pero de las comunicaciones de Asturias con la meseta qué os voy a contar…

Dicho esto, en Cuenca combatimos el frío invernal con calor humano. De eso hubo a montones, también ganas, capacidad e ingenio. Tuve la oportunidad de asistir a las diferentes ponencias de mis compañeros en la Universidad Politécnica y que queréis que os diga, se aprende mucho, coges ideas y te pones al día. Si tenéis la oportunidad de asistir a algún evento de este tipo, no dejéis de hacerlo y más si como en el caso de MorterueloCON, es gratuito.

Gratuito para los asistentes que no para quienes lo organizan. Gran trabajo del pulmón de esta CON (Rafael Otal) y todo su equipo. Una vez más lo han hecho posible y en lo personal, no pude sentirme más respaldado ya que se acercó hasta Cuenca Destroyer con Inma. Uno de los grandes “culpables” de daboweb.com, cajondesastres, etc. Información y PDF (actualizado) como apoyo al taller.

Todo pintaba bien y faltaba ver si se cumplían los objetivos que me había marcado para mi taller: “Hackeando Servidores GLAMP”. Con una veintena de alumnos y 4 horas por delante, fuimos repasando configuraciones esenciales de un Servidor basado en Debian, simulando diferentes escenarios. Ataques DoS, fuerza bruta, escaneos de puertos, revelación de información sensible, etc. El resultado final fue que aprendimos y nos divertimos todos, por lo que me vine a Gijón con un gran sabor de boca. Debajo una foto que hice a parte del grupo de colegas y también adjunto en un album otras que fui publicando en tiempo real en mi Twitter.

morterueloCON_2015

qurtubaCONAhora toca repetir en Córdoba en la QurtubaCON los días 10 y 11 de abril (donde por cierto necesitan patrocinadores tal y como os contamos en Daboweb hace unos días). Estaré en representación de APACHEctl impartiendo en la Universidad otro taller sobre Seguridad y Servidores Web. Ya está desde hace 30 min abierta la inscripción a los diferentes talleres (gratuitos también) y en este momento hay más de 400 personas inscritas. Allí nos veremos -;).

Muchas gracias a la organización, participantes y resto de ponentes por el trato y cercanía, también a todo el personal de la Politécnica de Cuenca y a ese taxista “anónimo” que fue algo más rápido de lo normal para llegar a tiempo a la estación y no perder el Alvia. También a la gente de “Makindos” (que no DoS, muy adecuado el nombre por cierto;) que estuvieron realizando varias entrevistas sobre Seguridad y Privacidad ya disponibles online.

A continuación, la galería de Twitter:

Leer el resto de;”Sobre mi participación en MorterueloCON 2015, e info sobre QurtubaCON (Córdoba, 10 y 11 de abril, inscripción gratuita)”

Tags: , , , , , , , , , ,


Ene 22 2015

Participando en el curso: “Seguridad en el Desarrollo Web” de escuela IT

Category: GNU/Linux,Hacking | Redes,SysAdmindabo @ 9:52 pm

Escuela ITEl martes pasado, estuve a modo de presentación del curso en un Hangout junto a mis compañeros de APACHEctl  Aj y Oreixa, con Miguel Ángel Álvarez , responsable de Desarrolloweb y escuela IT (el año pasado hicimos otro sobre WordPress).

Se trataba de un #ProgramadorIO con el título: “Desarrolladores Vs SysAdmins“. Allí hablamos de problemas comunes de nuestros clientes de APACHEctl que se dedican al Desarrollo, poniendo una atención especial en la Seguridad.

Y hablando de seguridad y servidores, estaré mañana viernes y el lunes 26 impartiendo dos clases del curso “Seguridad en el Desarrollo Web” de Escuela IT (aún hay alguna plaza si estáis interesados). En mi caso, hablaré en una de las clases de configuraciones de Apache inadecuadas y ataques DoS, y en la otra de ataques y defensas básicas en Servidores GLAMP.

Podéis consultar el programa completo en PDF, o pasaros por la web del curso si queréis más información.

Tags: , , , , , , , , ,


Oct 13 2014

En ConectaCON Jaén, 23 y 24 de octubre. Mi taller: “Hackeando Servidores GLAMP”

ConectaCON 2014 JaénDe nuevo, tengo la suerte de poder participar en ConectaCON. Un evento sobre Hacking con dos ediciones a sus espaldas, que cada vez suena con más fuerza y donde las cosas se hacen pensando a fondo en los detalles (técnicos y humanos).

Si os pasáis por Jaén los días 23 y 24 de este mes, vais a poder percibirlos en grandes dosis. Hoy es el día en el que se abren las inscripciones gratuitas para los talleres (ya estaba activo el registro para las ponencias desde el mes pasado) entre los que podéis ver el que imparto.

“Hackeando Servidores GLAMP”.

¿Qué podéis encontrar en mi taller? en su descripción podéis leer esto:

El taller consistirá en la fortificación de los diferentes servicios de un servidor GLAMP mediante diferentes técnicas. Siempre teniendo en cuenta el punto de vista de un posible atacante, y del responsable de su seguridad. Teniendo como objetivo final la “disponibilidad”. Además, se analizarán los diferentes tipos de hosting y sus problemas más comunes.

Repasando de una forma dinámica y con escenarios reales, fallos o configuraciones por defecto insuficientes en servidores Dedicados, VPS o “Cloud”. Aspectos como la “Seguridad por oscuridad”, ataques de fuerza bruta o contra las aplicaciones web del servidor, cuestiones de optimización y monitorización, servicios críticos, firewalls, etc también tendrán cabida.

Otra forma de explicarlo, sería que voy a intentar hacer una mezcla lo más útil y aplicable posible para quienes asistan al mismo, afrontando cuestiones vitales en un entorno GLAMP, a la vez que fáciles de poner en marcha si te dan alguna pista.

Será más que un mínimo punto de partida, teniendo en cuenta las insuficientes configuraciones de seguridad que vemos en servidores recién instalados. Todo ello basándome en mi experiencia de nuestro día a día en APACHEctl, así como la de otros talleres o charlas en las que participo (siempre teniendo en cuenta que son otras condiciones en cuanto a tiempo, plazas o temario).

Los más fieles al blog recordaréis mi “famoso PDF” (por lo que tardé en sacarlo ;D) de 12 páginas en el que quise resumir aspectos que abordé en mi Demo de ConectaCON 2013. Luego en “DebianHackers Elementals“, incluí herramientas adicionales y revisé algunos temas en pro de dejarlo más pulido.

Voy con un montón de ganas a Jaén y espero veros a muchos de vosotros allí. Os recomiendo visitar la sección de la web dedicada a las ponencias y talleres. Por la parte que me toca, procuraré fuera de mi taller acudir al máximo número de actividades programadas ya que el cartel es un lujazo y si hablamos de un evento gratuito, aún más. Un 10 para la organización y patrocinadores, nos vemos en unos días -;).

Tags: , , , , , , , , , , , , ,


Oct 09 2014

Sobre mi colaboración con la Universidad de Deusto y su postgrado en Seguridad Informática

DESI Seguridad DeustoPor poneros en antecedentes, comentaros que este pasado verano, he tenido el placer de impartir el módulo de “Seguridad en Servidores Web” del antiguo “MUSI” (Máster en Seguridad de la Información) que ahora pasa a denominarse “DESI” (Diploma de Especialización en Seguridad de la Información).

No puedo estar más agradecido con el trato, la flexibilidad y confianza depositada. Había una hoja de ruta que cumplir, e intenté en colaboración con Carlos Laorden, Borja Sánz y Patxi Galán, preparar un temario lo más actual, real o “aplicable” posible. Hace unos días me han confirmado que pronto lo impartiré de nuevo, y estoy encantado de volver a mi Bilbao natal a repetir la experiencia.

Otros profesores y colaboradores habituales, son gente que conocéis muy bien los seguidores del blog. Hablo de grandes profesionales y amigos como David Barroso, Josean Koret o “Txipi”, a quien tuve el placer de conocer personalmente en mi paso por s3lab de Deusto.

Un lugar el S3lab en el que cuando entras allí (teniendo en cuenta el panorama actual) y ves los proyectos que llevan adelante, percibes algo que te suena tan lejano como “eso del I+D“. Podéis ver su presentación.

Con la resaca y éxito de Navaja Negra (abrazos:) y a dos semanas para que viaje a Jaén y repita también en ConectaCON (muchas ganas, el lunes amplío info en otro post) esta vez impartiendo el tallerHackeando Servidores GLAMP“, me ha venido muy bien leer de nuevo a Patxi y sus dos entradas sobre mi colaboración con Deusto. Tanto para repasar algún tema que tocaré en Jaén, como para ver con los ojos de quien estaba al otro lado de la sala lo que mostré allí, por aquello tan sano de no perder la perspectiva.

Patxi asistió a mi módulo como alumno, y fue una suerte contar con él realizando ciertos ataques que requerían algo de colaboración, al llevar una propuesta formativa con un enfoque que los que me conocen saben que suelo poner en práctica.  “Demo” total y servidores en producción para ver datos reales.

Cierto es que en mi día a día dentro de APACHEctl, realizo ese tipo de tareas de auditoría cambiando el lado o el color según necesidades (ataque y defensa), pero no es lo mismo transmitirlo a otros y lógicamente, uno siempre quiere aprender y mejorar.

Es por ello que me quedo con estas palabras de Patxi:

Al final, a lo tonto, aprendí bastante sobre los servidores, el poco tiempo que se les dedica para ponerlos en condiciones, lo sencillo que es configurarlos, los diferentes tipos de ataques que se realizan contra ellos y los potentes y necesarios que son los sistemas de logs.

También aprendí bastante sobre las diferencias entre los tipos de servers, conceptos como escalabilidad o disponibilidad y la importancia tanto de elegir una buena base para el servidor en el proceso del desarrollo web, como la importancia de saber auditar no sólo de forma externa mediante herramientas Software, sino también configuraciones críticas del server.

No sabes Patxi lo importantes que son para mi, lejos de autobombos y miradas hacia el ombligo. Daremos el objetivo por cumplido, y ahora sólo pienso en mejorar de cara a la siguiente vez allí. Lo dicho, un placer y muchas gracias a los responsables y alumnos por ayudarme tanto impartiendo mi módulo -;).

Sin más, os dejo con sus posts: “Auditando un Servidor con Dabo” Parte IParte II.

(Actualización 12-10-2014) Muchas gracias a toda la gente del S3 por vuestras palabras !

Tags: , , , , , , , , , , ,