DaboBlog

Bueno, pues estamos de estreno, por fin Dani se ha animado a volver a grabar y he tenido el honor de ser con quien “acabó”, o más bien cerró una etapa en “El Arca de la Alianza“, para ahora, bajo otro nombre y dominio www.eltelardelgeek.com, comenzar a colaborar en la sección de seguridad informática, (con espíritu de; “para todos los públicos”), cada mes.

Me alegro mucho por él ya que, viendo que en un día ha tenido más de 1.000 descargas según me comentaba, tiene que ver el tirón de su podcast y que la gente estaba ahí esperando a que se pusiera “micro a la obra” ;).

Como comento en la entrada original (acceso al audio y demás datos), en el momento de grabar. no sabíamos nada sobre la vulnerabilidad en WPS y lo he recomendado desactivar la opción caso de venir habilitada, en los comentarios de esta primera entrega.

Muchas gracias “Sr Perogrullo“ en Twitter o Dani para los amigos, ya sabes que puedes contar conmigo y ahí estaré todos los meses intentando aportar algo de lo aprendido.

Por cierto, si en el año 2010 tuve la satisfacción de que uno de nuestros podcast (especial SysAdmin con Ricardo Galli) se colase en el “Top 2010″ en tecnología (se seleccionan dos por cada categoría) en el  2011 repetimos con el que grabé para Daniel, hablando de “Hackers y Crackers“, Estad atentos a sus audios ya que sacará uno cada semana (fotografía, seguridad, tecnología, etc).

(Pdta, para los aficionados a estos temas, grabé otro sobre seguridad con Dani y está el “Especial Seguridad” con Sergio Hernando).

Compartir

Tags: DaboBlog, podcast, Seguridad Informatica, Wi-FI

Mucha gente me pregunta habitualmente acerca de qué aplicaciones pueden usar para iniciarse en el mundo del “Pentesting” (Tests de penetración o intrusión, en sistemas remotos normalmente y también en entornos locales), no está de más recordar que las herramientas son muy importantes, pero sólo son un medio, no un fin.

Lo que sucede con estos temas es que la realidad aquí casi siempre supera a la ficción, o a esa parte en la que el típico scanner de turno, revela unos resultados negativos para el host analizado. A partir de ahí, comienza una labor que va mucho más allá de las gráficas de Nessus por citar un ejemplo.

Si hablamos de pruebas “a ciegas” (sin acceso local al sistema a analizar), ciertos banners, huellas o “fingerprint” del sistema operativo, servicios y versiones corriendo en la máquina, pueden estar modificados y hay que saber discernir entre los “falsos positivos” y la realidad. Puede suceder lo mismo con la topología de la red cuando intentas hacer un esquema de ella.

En el caso de un test con acceso físico o remoto a la máquina o red a auditar, te encuentras muchas veces con situaciones en las que tal y como comentamos Sergio Hernando y quien suscribe en un podcast especial sobre seguridad (habrá otro), en ocasiones no es posible parchear y parar un entorno en producción ya que ahí suele prevalecer el “uptime” y la productividad frente a la “posibilidad de” (que suceda algún desastre informático).

En el día a día de mi labor como consultor freelance y de la que llevo a cabo como responsable del área de hacking ético en APACHEctl, creo que lo que más cuesta, es hacer llegar bien el mensaje. Un buen estudio previo de los problemas y necesidades de la empresa, conseguir llegar a las personas adecuadas, ponerte en su lugar y no pretender que las cosas se hagan como a ti te gustarían, sino como realmente son (que sí, no somos los protagonistas) y cuando acabes tu trabajo poner en marcha un plan de actuación adecuado, es fundamental para que tu análisis no caiga en el olvido. Pero eso sí, actúa siempre con valentía y defendiendo tu trabajo y profesionalidad.

Algunos podrán pensar “bueno, yo he cobrado mi auditoría, he reportado y ahora ellos verán“. Craso error, si no das un valor añadido y las medidas necesarias a poner en marcha no se llevan a cabo, considéralo un fracaso ya que sí, habrás cobrado, pero será difícil que vuelvan a llamarte, tu informe quedará como un “ahh sí, algo hicimos con ellos pero no sirvió para nada”. Esto no quiere decir necesariamente que hayas hecho mal tu trabajo, sino que no ha sido lo que tu cliente necesitaba…

Puedes ser muy bueno en la fase de reconocimiento, localizar vectores de ataque y revelación de brechas de seguridad, pero por muy frustrante que pueda parecer, si lo que haces no tiene un fin aplicable, con el “sistema hemos topado”. Si ya tenemos un hándicap de base como lo es el que se invierte mucho en “Social Media” y en seguridad lo “justamente imprescindible” o “cuando no queda más remedio”, nuestro esfuerzo debe ser mayor aún y el objetivo es conseguir que de nuestro análisis previo, salga un segundo trabajo que no es otro que implantar las medidas adecuadas para paliar los problemas localizados.

Así que el mejor consejo que humildemente te puedo dar, desde la experiencia y algún palo que profesionalmente he podido llevarme, es que las herramientas de auditoría son sólo un medio, el “fin” es que sepas o consigas hacer llegar de forma adecuada el mensaje dentro de entornos muchas veces un tanto “hostiles” hacia tu trabajo. En lugares donde hay mucho “miedo al cambio” o simplemente “tu verdad duele“, conocer las políticas de actuación o cómo es la toma de decisiones e idiosincrasia de la empresa, son casi más importantes que tu certeza con Nmap.

Y tampoco olvides que el primero que debe valorar su trabajo eres tú, por mucho que haya tanta crisis y las cosas estén complicadas, no caigas en el error de devaluarte a ti mismo. El precio es importante, pero también es un medio, conseguir el cliente, la calidad y profesionalidad, un fin, mantenerlo.

Mucha suerte ahí fuera -;).

Compartir

Lo primero que he de decir es que el balance ha sido muy positivo. Desde el pasado 7 de Noviembre hasta el día 29, he tenido la oportunidad de compartir espacio (en Area Tic Oviedo) y experiencias con 13 alumnos dentro de un ciclo formativo que he impartido a través de IFES (Instituto de formación y Estudios Sociales). Un curso que tenía como nombre “Las TIC en la gestión de la empresa autónoma“.

La finalidad, era dar una visión actual del enorme impacto de las TIC (Tecnologías de información y comunicación) en la gestión de una PYME o el “día a día” de un autónomo en su trabajo, todo ello con ejemplos reales tanto de como gestionar la gran cantidad de información que actualmente manejamos, entender el Marketing para un Internet cada vez más segmentado, sin descuidar la seguridad y dando pautas para no “irse por las nubes” y que una mala tormenta haga que el viaje acabe antes de lo deseado…

Tengo que dar las gracias a las “15 partes implicadas” (Los 13 alumnos, IFES y Area Tic), tanto por las ganas, esfuerzo y consecución de objetivos al alumnado, como por el empeño en ofrecer una formación de calidad totalmente aplicable a posibles salidas laborales y situaciones actuales si hablamos de IFES (que lleva desde el año 1986 con esa máxima) ofreciendo unas instalaciones y medios técnicos de lo más adecuados para este curso junto a Area TIC.

Leer el resto de;”Finalizado el curso; “Las TIC en la gestión de la empresa autónoma”. (Con seguridad).”

Compartir

Antes de nada, dar las gracias a Raimundo Alcázar (@ralcaz en Twitter) por el interés mostrado y su cercanía a la hora de realizar esta entrevista, os recomiendo seguir su blog personal  donde encontraréis artículos de gran interés sobre sistemas GNU/Linux, Android, programación, seguridad, etc.

Raimundo también es el Presidente de “Asociación EnRed 2.0” y el agradecimiento es por cederme ese espacio para dejar unas líneas dentro del sitio web de la Asociación Tecnológica Jienense. Otro lugar que sigo asiduamente vía RSS o por Twitter.

Estas son las preguntas que me realizaron (debajo el enlace para acceder a ella).

1.- ¿A que edad empezaste en el mundo de la Informática y cómo?

2.- ¿Crees que era más fácil aprender en esa época que en la actualidad con tantos avances tecnológicos?

3.- ¿A que especialidad informática te dedicas actualmente?

3.-¿Cuando y Por qué te decantaste por Gnu/Linux sobre otras plataformas? ¿Que distribuciones has probado?

4.-¿Que Distribución elegirias para trabajar entre Debian, Gentoo y RedHat? Podrías explicárnoslo

5.-¿Qué opinas sobre el contrato social de Debian?

6.-¿Beneficia o perjudica a Gnu/Linux la aparición de Android?

7.- ¿Cual crees que será el futuro a medio plazo con Linux?

8.- ¿Crees que Internet es y ha sido neutral? ¿Los medios digitales 2.0 y redes sociales ayudan a la libertad de la Información en nuestra sociedad?
*Nota: Sobre la neutralidad me refiero a monopolios como Google y en las redes sociales la utilidad de twitter por ejemplo para hacer de cada usuario un periodista como en el 15M desbancando a los medios (des)informativos tradicionales :)

9.- Desarrollas un gran trabajo con vuestras webs, podcast, … etc ¿Cual será tu próximo proyecto?

Acceso a la entrevista –>>  en el sitio web de “EnRed 2.0″.

Compartir

Tags: 15m, Android, Dabo, Debian, Entrevista, Gentoo, GNU/Linux, neutralidad, Redes

Con esta van 3 veces que intervengo en el podcast de mi amigo Daniel. Hablando de seguridad, sería la segunda, no hace mucho ya dedicamos un capítulo a charlar sobre seguridad informática que tuvo una buena acogida.

En esta ocasión, Daniel me pidió estar junto a él al micro para hablar de hacking, cracking, hacktivismo, Anonymous, etc, e intentar aclarar un poco los términos. A veces no es fácil hacerlo, pero los medios tradicionales creo que abusan del término “hacker” para acabar metiendo en el mismo saco a hacktivistas, profesionales de la seguridad, gente que informa sobre bugs, ciber-delincuentes, etc.

Os recomiendo leer mi entrada del mes pasado sobre Hacktivismo y el libro “Internet, Hackers y Software Libre”

Por un lado, cuesta mucho por más que lo intentes, ver razones éticas en actos que comprometen la seguridad de terceros “sin comerlo ni beberlo”, como se dice coloquialmente, cayendo en ocasiones en el error de, por un motivo en principio defendible, convertirte en Juez o “ajusticiar” sin pensar mucho en las consecuencias finales…

Por otro lado, con la que está cayendo en muchos lugares y los recortes de nuestros derechos y libertades civiles bien en la Red  o fuera de ella, algunos no se deberían sorprender de ver estas acciones que, en ocasiones son expresiones de repulsa ciudadana contra esas actuaciones…

Curiosamente, hoy nos hemos despertado con la noticia de que a pesar de que anunciaron su disolución, LulzSec (a quienes aludimos en el audio) ha entrado de nuevo en acción comprometiendo la web del diario “The Sun” y divulgando la muerte de su propietario (R Murdoch). Por lo que el cambio en sus motivos/motivaciones para realizar sus ataques web, está claro. Tal y como reseño en el audio, ya no son “por la diversión de hacerlo” como decían en sus comienzos. Seguro que muchos estaremos muy al tanto de todos los movimientos y “combinaciones” que se van a dar en los sucesivos días o meses.

El tema debe suscitar cierto interés, ya que según me ha comentado Daniel, es el episodio que más descargas está teniendo, obviamente no por mi intervención, sino porque entiendo que es algo de candente actualidad. (Acabo de ver en su sección de ivoox que va cerca de las 1.200 descargas en 3 días). Sólo había hecho un RT desde mi Twitter y hoy ya tengo tiempo para dedicarle esta entrada. Gracias de nuevo Daniel ;).

Reproducción del audio (carga directa del .mp3). (55 min)
## Nota; Si lo quieres bajar; “botón derecho” y “guardar enlace como”

Acceso a la entrada original en “El arca de la Alianza”. (Espero que este “80″,sea para ti un “Stop & Go” Daniel;)

Compartir

Tags: Ataques, Cracking, Hacking, hacktivismo, podcast

Y Después del episodio especial dedicado a la seguridad informática con Sergio Hernando que tan buena acogida ha tenido, aquí estamos de nuevo a la carga con el número 28. Muchas gracias por vuestro feedback y nos escuchamos en el 29 -;).

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos en esta entrega (Duración 2,50 h)

> Intro (00:00 hasta el 03:16)

(Por David Hernández, Dabo) Presentación, de especiales y comentarios sobre este episodio 28.

> Kernel Panic (Minuto 03:17 hasta 1h:27 m)

En Twitter; Dabo, Diego aka n1mh (Forat está en el próximo).

Otra “Jam session” sobre GNU/Linux sin guión entre Diego (n1mh) y el que suscribe. Inevitable estando los dos juntos el ya mítico (o cansino si usas otra distro-;) “Estado de nuestras Debian”, navegadores, VirtualBox, configuraciones, las “peleillas varias” del día a día con nuestros sistemas, etc.

> Manzanas Traigo ( 1:28 h hasta 2:50 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En “Manzanas Traigo” experiencias personales con el S.O, también el necesario repaso a las últimas novedades sobre el Mundo Mac, análisis de la pasada Keynote de Jobs, “desastres con el Hardware” (más bien con los HD), “Mac Defender” y “antivirus sí o no…”, las manzanas de lur (veréis;) etc. Junto a Oscar Reixa, A. J Pérez y Gorka Lasa (lur)

Leer el resto de;”DaboBlog Podcast, número 28. “Kernel Panic” y “Manzanas Traigo””

Compartir

Tags: Amigos DaboBlog, Cibercultura, DaboBlog, GNU/Linux, Mac OS X, podcast

Bueno, esta vez me tocaba a mi pasar al otro lado del micro y mi amigo Daniel, de El Arca de Alianza, me ha invitado a su gran podcast para hablar de seguridad informática a nivel un tanto básico aunque al final, escuchándome (que no me gusta tanto como pensáis), nos hemos metido un poco en el tema con profundidad…

Hablamos de seguridad local, vía web, de Windows, Mac OS X, GNU/Linux, también de cómo afectan los temas de seguridad cuando tienes un blog, cómo afecta a tu teléfono móvil, redes sociales, etc, etc. Sólo decir que estuve muy cómodo al igual que lo estuve con otro gran amigo Kids (de AdamaWeb) cuando me invitó a su “explícalo” en blogoff, en el que hablé de otros temas más bien relacionados con webs, foros, CMS, etc.

Muchas gracias Daniel, he estado muy cómodo (da gusto no ser tú el que publicas/editas-;) y creo que ya me ha liado (junto a José Antonio Blanco) para estar en otro en breve. Lamento los cortes puntuales en mi audio (mi PCI Wi-fi, lo solventaré) y de veras que ha sido un placer.

Acceso al podcast en El Arca de la Alianza.

Compartir

Tags: Blogoff, CMS, Entrevista, GNU/Linux, Hacking, Mac OS X, podcast, red, Redes, Seguridad Informatica, Wi-FI, Windows

Hola amigos, como sabéis, no hace mucho tiempo hicimos un “Kernel Panic” especial SysAdmin dedicado a la administración o gestión de un servidor y proyecto web. Creo que es un audio “imprescindible” para coger bien la onda de este. Ese podcast tuvo mucha pegada y por daros un datos, se coló en el Top 2010 de ivoox.com en tecnología. Este fue el post de Ricardo en su blog sobre su experiencia con ese especial e impresiones.

Es muy recomendable leer esta entrada de Ricardo sobre cómo migró Menéame hacia Amazon que es un poco la base de dónde viene todo esto.

En esta ocasión, tal y como digo con toda la sinceridad en el audio, se juntan el profesor (Ricardo) y mi “maestro” (Raúl Naveiras). Dos personas muy cercanas a mi y que por diferentes motivos me han marcado mucho en lo personal y profesional e imagino que (además de otros factores) por Raúl, que fue quien me empezó a enseñar algo de sistemas hace años, apachectl.com entre otros proyectos es una realidad…

El blog de Ricardo (@gallir) ; http://gallir.wordpress.com, el blog de Raúl (@rnaveiras) ;  http://raulnaveiras.es. Muchas gracias a ambos por la participación -;).

Especial SysAdmin y Servidores Web, en “Kernel Panic” con Ricardo Galli  y Raúl Naveiras.

Como muchos os daréis cuenta, yo aquí sí que actúo de “mediador”, entre lo que se dice y vosotros, la audiencia. Creo que se entiende todo bastante bien y hemos hecho todos un esfuerzo para que así sea. Si una vez escuchado este audio te surgen dudas, estaremos todos muy al tanto de vuestros comentarios.

Leer el resto de;”DaboBlog Podcast. “Kernel Panic” especial Amazon EC2 con Ricardo Galli (Menéame, UIB) y Raúl Naveiras”

Compartir

Tags: Amazon, Gallir, Naveiras, podcast, Server, Servidor Web, Sysadmin

Hola amigos, como ya tenemos poco con los nuestros (sí, esos mega-podcast que más bien parecen culebrones) al amigo Pablo Moratinos, no se le ocurrió nada mejor que invitarme al suyo de fotolibre.net.

Hasta ahí todo bien (y yo encantado a pesar de que me da un mal rollo escucharme del copón) salvo por las 2 horas de charla que me dedica (sí Pablo aka tatfoto, todo se pega-;).

Estuve muy a gusto, me explayé a tope y he de reconocer que la edición, formato, cómo se documentó  y en general la producción del podcast es inmejorable. Al final (no voy a poner enlaces, está todo en www.davidhernandez.es) Pablo fue dando un repaso a mis proyectos, bien sean “propios” o “compartidos” (la mayoría) y obviamente, Caborian tuvo un gran protagonismo al tratarse de contenido fotográfico.

Pero como la cabra (yo) siempre tira al monte, (ahora tenía que decir “el cabrero” pero suena raro ;D @tatt) y al coordinador/sufridor de esta interminable edición también le va la marcha pues… (y por cierto que sabe de fotografía un huevo).

Pues que nos calentamos y empezamos a darle al Software libre, acabamos (cómo no) hablando de Microsoft, Apple, Ubuntu, Canonical, Debian y hasta la LSSI, pero sobre todo hablamos de fotografía, comunidades, foros, software para el tratamiento/edición desde GNU/Linux, etc. (sí, las dos horas cundieron pero de cojones-;).

Muchas gracias Pablo, ha sido un placer, “te debemos una” (o más uno) y pocas veces me he sentido tan bien en “micro ajeno”. Para acceder a todo el contenido del programa, (radio foto libre) un MMMítico click aquí !!

Compartir

Tags: Fotografía, Fotolibre, GNU/Linux, podcast, sofware libre, tatfoto

Bueno, si en mi anterior entrada os comenté mi experiencia con el MacBook bajo Debian y mi episodio de la navegación vía iPhone + Tethering y Blueman (Lo he explicado con más detalle  en DebianHackers), hoy le toca al Asus eeePC que me ha dejado David de ennegativo (gracias bro-;). Aquí un dejo una foto del juguete hecha en plan muy rápido con el iPhone.

La pantalla cuenta con 9″, pero el equipo me ha sorprendido gratamente tanto por la ligereza, velocidad más que suficiente y sobre todo, porque es un auténtico dispositivo portátil que hace muy bien su trabajo (aunque para mis “dedazos”, quizás uno de 10 ” iba mejor pero todo llegará y con este estoy encantado-;).

Gracias a Blueman, también he conseguido hacer funcionar como en el MacBook y vía Bluetooth, la conexión a Internet a través del iPhone.

Eso si, en Debian me pilla la IP perfectamente, aquí en el Asus tengo que hacer un “dhclient bnep0″ (la interfaz de red que usa el Bluetooth) la primera vez que conecto para que obtener una IP.

Así que andamos por un motivo u otro, conectando desde casi cualquier dispositivo que tenga acceso a La Red. Otro tema que comentar, al igual que en el G4 PowerPC, tengo instalado Ubuntu 9.10 y es una pasada lo bien que va, además, usando Debian estás como en casa ;).

Y nada, estamos en plena fase de grabación del Podcast, ayer tocó Manzanas Traigo y con Diego grabaré mañana (creo), las sensaciones muy buenas, como siempre y algún ligero pero importante cambio de formato (que notaréis los más asiduos). Sobre mis fotos os contaré algo estos días…y el día a día en mi Twitter @daboblog.

Compartir

Tags: Asuss, Dabo, DebianHackers, eeePC, GNU/Linux, Internet, iPhone, Macbook, podcast, Ubuntu