MorterueloCON, info sobre herramientas (y demo con parte de mi intervención).

MorterueloCON 2014El pasado fin de semana, tal y como os conté en esta entrada, tuve el placer de participar en las primeras jornadas dedicadas a la (IN) Seguridad Informática organizadas por MorterueloCON en la Universidad Politécnica de Cuenca. La experiencia no pudo ser mejor y sólo puedo dar las gracias a la organización, asistentes y al resto de mis compañeros por el trato recibido y la experiencia a nivel general.

Mi parte iba segmentada en tres secciones. Una introductoria a los tipos de hosting y las problemáticas más comunes («Alojamiento web, vicios y virtudes«), otra más práctica similar a la demo de ConectaCON (Jaén) de hace unos meses realizando diversos ataques y poniendo en marcha medidas para paliarlos con varios servidores en producción, incluyendo al propio de la web de la organización ¡ gracias Goldrak ! (en las ocho horas del Lab en Rooted CON profundizaré sobre todo ello con una mezcla casi al 50 % Pentesting & SysAdmin) y una tercera dedicada a diversos ataques web, en la que WordPress tenía su protagonismo.

He recibido varios mails preguntándome y hay gente que me ha preguntado vía Twitter por las extensiones que tenía instaladas en el navegador, aparte de otras como NoScript, Adblock Plus, DNT +, Startpage, etc (conecté vía una VPN para después usar Tor Browser) y aquí os dejo la lista:

Show IP, Show my IP, Wappalyzer, Server Spy, Search Status, Hack Search, XSS Me, SQL Inject Me o la HackBar (que no usé al igual que las dos anteriores). Incluyo una colección «must have» que me recomendó el gran Dani Medianero: SecFox.

Añado, en SoydelBierzo, gran y útil post con extensiones similares para Chrome.

Podéis ver varias de ellas en acción aunque no de un modo tan profundo, en el vídeo con la demo del Webcast de Escuela IT dentro del módulo de seguridad en el curso de WordPress. Sólo decir para acabar que espero repetir el año próximo la experiencia ;).

Os dejo una pequeña recopilación de momentos en una foto en modo puzzle.

Seguir leyendo

DaboBlog Podcast, “Kernel Panic” número 43. Con Yago Jesús, sobre GNU/Linux, Hacking, (IN) Seguridad, privacidad.

tuxipod.jpgDe nuevo al micro tras el nª 42 y al igual que el anterior, cerca de las 2.000 descargas según Ivoox, se agradece y mucho ver que estáis ahí a tope ! En este episodio, estoy con Yago Jesús de Security By Default hablando de Hacking, GNU/Linux, detección de intrusos, (IN) Seguridad, privacidad, mi participación en la MorterueloCON, RootedCON, etc. Muchas gracias Yago por acercarte al podcast con esa gran disponibilidad y cercanía -;)

Enlaces y proyectos web comentados: Security Projects (donde podéis ver alguna de las aplicaciones que citamos en el audio), Unhide (Yago es su creador), eGarante, el post del «secuestro de datos» (RansomWare) y sobre su RootedCON 2012 (Applied Cryptography FAILs)

En el 44, estaré con n1mh y calculo que lo publicaremos a mediados de marzo, aunque puede que publique algún otro en el medio tipo este con una temática determinada. Os recuerdo que para cualquier tema, petición, sugerencia o lo que se os ocurra, podéis ir dejándolas bien aquí, o con el hashtag en Twitter #KernelPanic44 vía un reply a mi cuenta de Twitter.

Daboblog Podcast

> Kernel Panic 43 Duración, 2h 03 min.

Ficha completa en ivoox.com del episodio 43. (Nuevo enlace para suscribirse)

Seguir leyendo

Sem 04/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio «almacén de links» ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 04/2014: (Anteriores).

En Twitter (Del 20  al 26 de enero) Primero van los más recientes.

Seguir leyendo

13 y 14 de febrero, MorterueloCON. Algo de Hosting, Hacking y Servidores web (acceso gratuito).

MorterueloCONCon esta entrada, quería comentaros que en menos de un mes estaré en Cuenca dentro de las jornadas de seguridad que se van a celebrar en la primera MorterueloCON, ubicada en la escuela politécnica. Estaré acompañado de grandes colegas y de alguna forma, el espíritu colaborativo de ConectaCON (jaén), se ha trasladado allí de la mano de Rafael Otal (grande Goldrak;) para la que espero sea la primera de una larga lista de conferencias allí.

También será para mi una buena toma de contacto para terminar de preparar el Lab que impartiré en marzo en la Rooted CON (Seguridad y Optimización en Servidores GLAMP).

Sobre mi participación, primero irá una parte teórica sobre la problemática actual con el hosting y los planes de alojamiento más comunes, para después y en una segunda parte mediante una demo, ver por qué es importante elegir bien la ubicación o servidor si hablamos de (IN) Seguridad y ataques web más comunes. Todo ello partiendo de la base de que hay pocos escenarios tan expuestos como los que comento, veremos en esa demo que una gran parte de esos problemas se pueden evitar con una relativa facilidad. La parte teórica será la que junto a mis compañeros de APACHEctl, expuse en el pasado FIMP con el título: «Alojamiento web, vicios y virtudes«.

En este taller repasaremos las opciones que existen en el mercado para alojar una web. Revisaremos las ventajas e inconvenientes que encontramos en nuestro día a día en nuestra empresa APACHEctl, con el objetivo de evitar pasos erróneos en la contratación de los planes de hosting más comunes. Buscando de ese modo ahorrar tanto en costes como evitar pérdidas de servicio en el futuro.

Dentro de la parte práctica, algo de Hacking web con un target «sin definir» (o sí -;). Y por supuesto, además de mi parte, estaré muy atento a los labs y ponencias de mis compañeros: @lawwait, @dmedianero, @Cirin, @jesusprubio, @pepeluxx y @tr1ana

Sólo recordar que el acceso es gratuito previo registro por cuestiones de aforo y elección de salas (por cierto, a ver si nos vemos en la cena que han organizado para que estemos todos juntos;).

Para estar al tanto de todo lo que engloba MorterueloCON, podéis seguir su cuenta de Twitter.

En «Ventanas a la Red» de Radio3W, hablando de Hacking y Servidores Web con Pilar Movilla

Radio3W, Ventanas a la RedHoy, como todos los viernes, ha visto la luz un nuevo programa de «Ventanas a la Red», espacio destinado a tratar temas relacionados con la seguridad informática en todas sus variantes dentro de la programación de Radio3W. Según ellos, el enfoque está orientado a profesionales, pero yo lo recomiendo a todo tipo de público interesado en estas cuestiones (por cierto, felicidades por ese primer año online;).

El espacio está conducido por Pilar Movilla y además de destacar su gran profesionalidad, vaya un gracias desde aquí Pilar tanto por invitarme a estar en tu programa, como por la cercanía y lo cómodo que estuve durante toda la grabación.

En sus programas podréis escuchar una primera parte de 45 minutos destinada a debates o entrevistas, para seguir después con la sección «No Hack no Fun» de la que se encarga Juan Carlos García, en la que os podéis poner al día de noticias y eventos relacionados con el Hacking. También podéis escuchar todos sus programas a través del feed de Ivoox (es de mis podcast de cabecera). Por cierto, grabamos el día que este blog cumplió 8 años -;).

¿De qué hablamos? de mis inicios, los proyectos que llevo adelante, de mi futura participación en MorterueloCON, mi Lab en RootedCON, algo de hacking, mi día a día con los servidores en APACHEctl, etc. Acceso al programa y audio en Radio3W: «Hacking y seguridad bajo GNU/Linux».

Sem 03/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio «almacén de links» ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 03/2014: (Anteriores).

En Twitter (Del 13 al 19 de enero) Primero van los más recientes.

Seguir leyendo

8 años de DaboBlog. Muchas gracias a todos -;)

8Estamos a 2 meses de cumplir 12 con Daboweb, pasa otro año más y por aquí me caen 8 años ya (si no me equivoco, en Caborian vamos camino de los 9 y en DebianHackers a por los 4;). Y si hablamos de APACHEctl, una aventura en la que me embarqué a nivel profesional con dos grandes amigos, sin darme cuenta ya han pasado más de 3 años. De eso que te estás haciendo mayor y se te van las fechas ;D. En tiempos de inmediatez en forma de 140 caracteres, sigo teniendo muy claro que todo debe partir de tu propio blog.

No sólo por los contenidos, sino porque en un momento dado, la Red Social o de información de turno te hace un «no me gustas» y te quedas sin voz al instante… Lo que en un principio nació fruto de una necesidad personal de expresarme «fuera» de la órbita de Daboweb (donde publico regularmente noticias sobre Seguridad junto al resto del equipo).

¿Por qué dos sitios con contenidos que se pueden «cruzar»? Esto es algo que me han preguntado unas cuantas veces. La respuesta está en que Daboweb nació fruto de la colaboración de muchos amigos (y ahí seguimos juntos). Es por ello que no quería monopolizar la opinión o «línea editorial» (suena raro eso;) del sitio, aún a sabiendas que mis compañeros no tendrían ningún problema pero considero que es más justo así.

Por algo similar nació DebianHackers, esto se estaba convirtiendo hace unos 4 años en un «reducto Debianita» de difícil lectura para los habituales ;D, de ahí el (también con mis amigos) ponerlo en marcha. Y al final son 8 años, cerca de 4 con el podcast. Un formato con el que llegamos a mucha más gente de la que pensaba, también la forma de intentar generar contenidos cuando no tienes tiempo para publicar más en formato texto… Y sorpresa, ya que no deja de ser curioso que para alguien que como yo, no es un «podcaster» al uso, ni tampoco mis fieles compañeros y amigos que ahí están al pie del cañón, resulta que el formato os encaja y muchos que tampoco consumís podcasts con regularidad, nos seguís y además con una línea ascendente.

Vaya desde aquí un: «gracias !!!» de esos que se dicen con la voz en alto a todos. Desde a los habituales del blog, por supuesto a mis compañeros de podcast, todos los que me dan esas dosis de feedback vía Twitter, vuestros blogs y otros medios (que procuro devolver y también colaborar al igual que lo hacen conmigo, de eso se trata), pero sin olvidar a todos los amigos con los que llevo adelante el resto de proyectos, ya que sin su apoyo, sería imposible meterme en tantos líos (y los que vendrán, que uno se conoce).

Un abrazo y venga, a por los 10 que están ahí, con vosotros, todo es mucho más fácil -;).

Origen la de imagen.

Sem 02/2014. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio «almacén de links» ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 02/2014: (Anteriores).

En Twitter (Del 6 al 12 de enero) Primero van los más recientes.

Seguir leyendo