DaboBlog

Primero fue Twitter…

Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.

Ahora Dropbox.

Leer el resto de;”[FAIL] Primero fue Twitter y ahora Dropbox. Cambias el password y hasta el “logout” sigues conectado.”

Compartir

Tags: Bugs, Dropbox, Hacking, nube, Password, Seguridad Informatica, Twitter

El concepto de “seguridad por oscuridad” viene ya de lejos. Imagino que, si hablamos de servidores web, nace de la necesidad de protegerse tanto de muchos ataques automatizados que pueden llegar a nuestro servidor web, buscando versiones de software vulnerables, como de la imposibilidad de realizar esas actualizaciones o frente a ataques “0 day”, para los que no hay ningún parche disponible.

Hoy vamos hablar de una herramienta interesante que ya mencioné  hace más de un año en el pasado FIMP. Se trata de “Whatweb”, (acceso a la web del proyecto y su lugar en GitHub). Se trata básicamente de una herramienta capaz de identificar las versiones instaladas de la gran mayoría de CMS (gestores de contenidos) actuales, plugins y una gran variedad de aplicaciones web. También proporciona datos tan relevantes como versiones de Apache, SSL o PHP a través de la información extraída de las “cabeceras” o “banners” que lee cuando realiza una petición al website en cuestión.

"Features" (Según se lee en la web del proyecto):
	* Over 1000 plugins
	* Control the trade off between speed/stealth and reliability
	* Plugins include example URLs
	* Performance tuning. Control how many websites to scan concurrently.
	* Multiple log formats: Brief (greppable)
          XML, JSON, MagicTree, RubyObject, MongoDB, SQL.
	* Proxy support including TOR
	* Custom HTTP headers
	* Basic HTTP authentication
	* Control over webpage redirection
	* Nmap-style IP ranges
	* Fuzzy matching
	* Result certainty awareness
	* Custom plugins defined on the command line

Por lo general, simplemente dentro del directorio desde donde hayamos descargado Whatweb, ejecutamos;

Leer el resto de;”/* Sec tools */ (Cap 1). Whatweb y curl. “Seguridad por oscuridad” en servidores web GNU/Linux y Apache.”

Compartir

Tags: Apache, Ataques, CMS, Curl, GNU/Linux, Hacking, Plugins, Server, Servidor Web, Whatweb, Wordpress

Hace unos días, tuve la oportunidad de participar en la “Jornada de Seguridad Informática” organizada por “Area Tic” en Oviedo. Antes que nada, dar las gracias a los impulsores del evento y asistentes por invitarme a asistir y compartir experiencias junto a otros profesionales del sector (Garrigues Abogados, Cobertura Informática y el responsable de delitos telemáticos de la Guardia Civil de Oviedo). Vaya mi más cordial saludo desde aquí.

Mi ponencia tenía una duración de 20 minutos y hablé de (IN) Seguridad en la PYME. Me centré en algún caso vivido en primera persona como puede ser en este blog y el post sobre Gmail, Google Apps y Twitter, como un ejemplo de algo tan de moda como es la “reputación online” y cómo pueden llegar a afectar a empresas tan grandes ciertas opiniones y blogs tan pequeños dentro del “mundo blog” como es este.

También cité algún ejemplo vivido en primera persona bien con las labores de consultoría que llevo a cabo desde davidhernandez.es, o como parte del equipo de APACHEctl llevando el área de Hacking Etico. Hablé de cómo un sólo equipo en red, puede afectar a toda una infraestructura empresarial, convirtiéndola en parte de una botnet en base a una infección que bien podía haber sido evitable tanto por las medidas de protección instaladas (que no eran las adecuadas), como por parte de un empleado víctima de un engaño a través de la descarga de un fichero (visor de vídeo) malicioso. Aquí suscribiría mis palabras de no hace mucho tiempo, acerca del poco interés de las empresas en dotar a sus empleados de una cultura de la seguridad informática que vende menos que el “Social Media” o el Marketing de siempre.

Tuve tiempo para exponer un ejemplo de ataque por “ingeniería social” con el fin de conseguir el código de desbloqueo a un “Smartphone” supuestamente olvidado (haciéndome pasar por alguien de la oficina de objetos perdidos y aprovechando que el móvil tenía un logo corporativo visible aún con el bloqueo), sobre medidas de protección en ese tipo de dispositivos que hoy en día son como una extensión de nuestra oficina, además de otros como lápices de memoria, portátiles, etc.

Para acabar, recordé un caso no muy lejano hablando de auditorías de seguridad, en el que, por cuestiones de la LOPD, un sólo fichero que no estaba donde debía estar, podría comprometer a nivel legal (y cerrar llegado el caso) a una ya no pequeña, sino mediana o gran empresa. También de la LSSICE, etc.

Pero sobre todo, cada vez que vas a un evento de este tipo, te das cuenta de lo complejo que es para cualquier PYME cumplir las diferentes normativas vigentes y más cuando operan en entornos web, algo muy habitual hablando de “Comercio electrónico” y la gran cantidad de empresas que llevan su modelo de negocio a La Red o lo complementan desde una tienda virtual u otros sistemas.

Creo que existe un “vacio” entre la parte legal (diferentes normas ISO, LOPD, etc), técnica (Redes, soluciones anti-malware, software instalado, soporte) y en cómo realizar un plan de actuación “real” ante los diferentes escenarios hablando de seguridad a los que se enfrenta una PYME en la actualidad si nos referimos a la Gestión de la Seguridad de la Información (SGSI).

Y es que, además de intentar cumplir en este caso por ejemplo con la ISO/27001 (que puede servir para todas las series “27000″) por aquello de “conseguir la certificación”, habría que ir más allá del marco jurídico o de las propias certificaciones para pensar que una empresa que dote de buena formación a sus empleados, tendrá mucho más fácil intentar cumplir con toda la normativa vigente y certificarse de un modo más sólido, pero sobre todo, evitarse “sustos” y de los buenos en medio de esos procesos. De todos es sabido que el eslabón más débil en la cadena de la seguridad es el ser humano, cualquier fleco o cuestión sin pulir puede acarrear a esa empresa multas que según las cuantías, acabarían forzando un “cerrojazo” por no poder afrontarlas.

Creo que no es lo mismo que le digas a un empleado (que no está de más); “Ojo con no poner la opción con copia oculta cuando envías correos masivos que igual nos meten 3.000 € de multa“, a que le enseñes cómo tiene que hacer un uso racional de las nuevas tecnologías. No digamos en puestos como “Recursos Humanos”, donde se manejan datos potencialmente críticos si hablamos de la LOPD ¿de qué sirve realizar todos los pasos que dictamina la Agencia de Protección de Datos, si ese empleado no sabe por dónde tiene que navegar o no, que ficheros puede instalar en su equipo, o lo que supone “hacer click” en un enlace que secuestra su sesión de usuario vía un ataque de phishing?

El problema es que cada vez aprietan más a la PYME con normativas y leyes cuasi-imposibles de cumplir (también nos pasa a muchos blogs / webs) en momentos difíciles y se sobrecarga de trabajo a empleados que realizan otras tareas para implementar las correspondientes certificaciones, luego, el resto de la plantilla lo ve como el típico rollo que hay que cumplir “por que sí” y se puede dar el caso de que estén todos los procedimientos escritos, pero, o nadie sepa llegado el caso dónde están, o cómo aplicarlos con efectividad.

Si tienes todos “los deberes hechos” y luego tu extranet está alojada en un servidor potencialmente vulnerable, alguien con responsabilidad en la empresa se conecta a esa extranet desde conexiones que no son seguras o por la primera Wi-Fi que encuentra, el software no está debidamente actualizado, no se cifran los ficheros o datos más comprometedores, en las mesas de los despachos están desde contraseñas de usuario, fichas o datos de clientes al alcance de cualquiera, no se protegen los dispositivos móviles como se debería hacer y no se intentan “romper” mediante una auditoría todas las medidas puestas en marcha, las certificaciones no serán más que bonitos cuadros o estatuillas colocadas en los despachos…

Quizás algún día, la gente empiece a ver la seguridad informática, como un activo hoy en día para la empresa mayor aún que los muchos cursos (sí, a veces obligatorios por parte de multinacionales o franquicias) de ventas, marketing, etc. La (IN) Seguridad es algo “vivo” que va por delante de cualquier certificación o normativa. En un escenario como el actual, la prevención, rapidez de respuesta y formación, pueden ser nuestros mejores aliados. Seguridad “real” y actual como apoyo a las diferentes empresas de certificación / adecuación.

Compartir

Tags: Cursos, formación, Hacking, Legal, LOPD, LSSI, Malware, Redes, Seguridad Informatica

Cuando el amigo Alejandro Corletti te envía un e-mail, ya sabes que es sinónimo de buen material. Tanto aquí como en Daboweb, más de una vez nos hemos hecho eco de sus trabajos y el que hoy os recomiendo, es sencillamente impresionante. En este caso con un prólogo y presentación firmado por Arturo Ribagorda Garnacho y Jorge Ramió Aguirre.

En el libro “Seguridad por niveles” (Con licencia Copyleft) se da un excelente repaso a lo que alguien interesado en redes o seguridad informática puede necesitar, desde las capas más bajas del sistema (Modelos OSI, DARPA, etc) a las más altas, desgranando el protocolo TCP-IP, pasando por el análisis de tráfico de red (algo que hace muy bien nuestro gran colaborador y redactor de Daboweb Alfon de “Seguridad y Redes“) con herramientas como Wireshark, tcpdump, etc además de introducirnos en el mundo de los “sniffers”. Hablando de estos temas, puedes ver el gran trabajo que está realizando Alfon en Daboweb desde este enlace con su saga “Análisis de capturas de Red“.

En el libro también se habla también de; ARP, ICMP, IGMP, DHCP, IPV6, DNS, Telnet, FTP, SSH, SMTP, SSL-TLS, los Honey Pots, Criptografía, PKI, etc, además de cómo se pueden detectar vulnerabilidades en estos protocolos así como los procesos por los cuales se pueden ver comprometidos (ARP o DNS Spoof).

Hay un capítulo dedicado a los IDS (Sistemas de detección de intrusiones) y no podían faltar en un libro como este herramientas Open Source tan populares y efectivas como Snort, Nikto, OpenSSH, Netcat, Nmap, Iptables y un largo etc.

Al final del libro podrás encontrarte con capítulos en los que se habla de auditorías de seguridad, la familia ISO 27000 (sistema de gestión de la seguridad de la información), IPsec o lo que es un Plan de Continuidad de Negocio.

En definitiva, una guía bajo mi punto de vista que resume muchos aspectos imprescindibles para aficionados y profesionales tanto de la gestión de sistemas, redes o seguridad desde la base hasta niveles más altos en cuestiones técnicas.

Muchas gracias Alejandro una vez más por tu aportación a la comunidad, la forma de distribuir tu libro y tu profesionalidad -;).

Acceso a la información sobre el libro en darfe.es

Descarga directa del libro en PDF (709 páginas, 22 mb).

Compartir

Tags: Creative Commons, Ebooks, Hacking, iptables, Libros, nmap, Open Source, Redes, Seguridad Informatica, Sistemas, SSH

Todos caemos muchas veces en un exceso de “modernidad digital” (acusado por la movida “2.0″) en un intento por reinventar una rueda con muchos kilómetros a sus espaldas como puede ser Internet, pero también buscando más opciones de negocio.

Que yo recuerde, hace unos cuantos años, (eso sí, no teníamos las interfaces actuales) muchos ya usábamos eso de la “sincronización“, por ejemplo en móviles como aquél Nokia que tenía bajo Symbian creando cuentas de correo por IMAP.

Lo de la “geolocalización“ ya viene desde los tiempos ¿Os suena eso de la dirección IP?, claro que sí, también lo de los proxys y cómo evitar dejar rastros allí por dónde navegas. Si nos vamos a los servidores web, ahora los llaman “On Cloud”, pero la información, aún siendo en máquinas virtuales, que se redimensionan a golpe de click, donde los discos duros y los Kernels se cargan vía red, etc, sigue estando en un datacenter y por ende, se accede vía SSH o FTP, pero ojo, la virtualización también es algo con muchos años de vida.

Cuando no había “Redes Sociales” estaban las BBS, el IRC o los foros, con diferentes formas de compartir la información y dejar tus datos más o menos expuestos (nombres de usuario, correos, imágenes). En mi caso, sólo diferencio la ubicación de los datos, dependiendo de si están en mi casa o en algún servidor/servicio web, lo de “la nube”, no deja de ser casi un “gentilicio” en un afán de querer llamar de otro modo a casi lo mismo en cuanto a cuestiones de acceso y almacenamiento.

Siguiendo con el tema de los “enlaces maliciosos” de las Redes Sociales, ¿Quién no recuerda por poner un ejemplo, hace unos cuantos años cuando te llegaba un link asociado a algún tipo de malware en el programa de mensajería de turno? (Podía ser MSN Messenger en sus tiempos de “esplendor”), luego te dabas cuenta de que mucha gente se lo comía “con patatas” cuando tu bandeja de correo de entrada se llenaba de virus provenientes de las direcciones de correo del afectado.

Los ataques por “ingeniería social” o “phishing” buscando a través del engaño y la confianza del usuario al hacer click en uno de esos enlaces a los que aludía son algo también de tiempos pasados, eso de “prudencia y sentido común” sigue siendo válido para tiempos presentes…

Lo que sí está claro que cambia es la variedad de servicios web que usamos, al igual que los dispositivos desde los que nos conectamos. No podemos negar esa evidencia y si hace unos días hablé de las cuentas “huérfanas” o “mal creadas”, hoy tocaría decir algo como “Toma las precauciones de toda la vida a nivel general, y las más concretas en servicios puntuales”.

Créeme, al final todo se reduce casi a lo mismo. Passwords sólidos con una frecuencia de cambio adecuada dependiendo del servicio y nombres de usuario que no te identifiquen o se encuentren en listas creadas para realizar ataques por fuerza bruta. Usa SSL (ojo que en Gmail sigue siendo una opción) en todo lo que puedas, conéctate por SFTP en lugar de por FTP a tu sitio web o server (VPS, Dedicado u “On Cloud”).

Protege con sistemas de bloqueo, localización y borrado remoto tus dispositivos móviles, también los discos duros de tus equipos, llaves USB o tu información almacenada en “la nube” (el Dropbox de turno) con cifrados de todo tipo y no te olvides que la cadena de la seguridad, se puede romper a unos metros de ti, en la configuración de tu router wi-fi por ejemplo y un etc que, sería quizás un tanto largo para este post. Si estás empezando a preocuparte por la seguridad te recomiendo nuestra sección “Seguridad básica” en Daboweb.

A veces me pregunto si “estamos en la nube” o “nos vamos por las nubes”, (antes se decía “por las ramas”).

Compartir

Tags: Hacking, Internet, nube, Redes, Seguridad Informatica, Server

Sobre estos temas suelo escribir más en Daboweb, pero también aquí en DaboBlog les presto atención, por mucho que a veces pueda sonar a algo un tanto recurrente. Podíamos llamar “huérfana“ a esa cuenta que abriste “ese día” para “aquel servicio” y salvo un para de veces, no lo volviste a usar. Es un error muy común en el que todos acabamos cayendo alguna vez, el problema es que te olvidas y un día ves tu correo y password publicados en algún lugar como “Pastebin Leaks”

Cierto es que quizás ahora tus passwords son más sólidos que en esa época, quizás tu correo también ha cambiado,  pero no está de más rebuscar y volver un poco atrás en el tiempo para cerrar registros en algún caso, cambiar esas viejas k0ntrA$3ñ@$ (un pequeño ejemplo) o replantearte si ese registro está realizado adecuadamente (de ahí lo de “mal creadas“). Vamos a desarrollar un poco el tema…

Hace unos días, en mi cuenta de Twitter dejé a modo de consejo un;

“No uses como cuenta administrativa de Google Apps tu cuenta habitual o pública“.

¿Los motivos? en el caso de que tu cuenta se vea comprometida siempre tendrás otro usuario como admin (créalo con un nombre totalmente imposible de relacionarlo contigo) para poder en un momento de urgencia, cambiar rápidamente el password, o recuperar la cuenta.

Otra de las ventajas de Google Apps, es que no se puede recuperar un password vía la opción de recuperación de Gmail, sólo el administrador puede, por lo que creo que queda claro el motivo de usar una cuenta sin privilegios y otra para administrar (tal y cómo haríamos en nuestros equipos).

Quizás a eso me refiero con lo de “replantearte si ese registro está realizado adecuadamente”. Pero vamos a ir algo más allá, muchos problemas de seguridad de usuarios con una actividad media/baja en Internet, pero que afectan más a gente con perfiles un tanto ¿públicos? o relevantes (tienes una comunidad a tu cargo, blog de peso, foro o empresa), se verían reducidos si al realizar los registros en el “servicio 2.0 de turno”, se utilizase una cuenta de correo electrónico que no pueda ser asociada a tu persona en el caso de que los datos de esa cuenta (de PayPal por citar un ejemplo) acaben siendo públicos.

¿Las razones para ello? obviamente si lo piensas desde un punto de vista lógico, no es lo mismo que acabe siendo expuesta pepit0p3rez44@yahoo.es y un password determinado (que sí, obviamente te puede generar un problema) a que se vea expuesto tu “nick” o “nombre de guerra” (incluso el real, como ejemplo Google +) en La Red, junto a un correo que te identifique y un password…

La cadena de problemas que pueden surgir a partir de cuestiones como esta, puede ser larga y complicada para quien lo padece. Hablando de particulares, la posible explotación de otros servicios web caso de que uséis el mismo password o e-mail (algo totalmente desaconsejable, pero aún a sabiendas de ello, por pereza le pasa a mucha gente). También lo que ahora se llama “pérdida de reputación online“, hablando de empresas pero también de usuarios con proyectos en los que participan terceros, etc.

Y aquí podríamos recordar también la necesidad de que los “correos de recuperación” no se elijan a la ligera, puedes llegar a sorprenderte si revisas como fue mi caso cuentas que tenían más de 5 años. Está claro que a nadie le agrada “parar” y dejar de hacer lo que te gusta para ponerte a revisar cuentas, servicios, passwords, correos, etc, pero una vez que lo vas haciendo, te vas dando cuenta que tu seguridad va en aumento. Eso sí, aquí nadie está libre de pasar un día por ello, la cuestión que si se da el caso, el impacto sea el mínimo posible (quien suscribe/escribe el primero -;).

Compartir

Tags: Gmail, Google, Hacking, Internet, Password, Seguridad Informatica

Es curioso, no hace falta irse a grandes empresas para darse cuenta de que las “golosinas”, en forma de atractivas campañas de marketing (off-online), promoción “dospuntocero” a tope y mucha presencia “social”, les resultan más atractivas que mirarse un poco el ombligo y dotar a sus empleados de una formación básica en seguridad (ya no digo medio/avanzada que sería lo deseable). Quien dice a sus empleados, dice a la propia empresa.

Hasta que “di el salto” y me puse a trabajar por cuenta propia, no para mi mismo que es una frase hecha ya que siempre lo haces para terceros, durante más de 20 años haciéndolo para diferentes empresas, este hecho siempre ha sido algo recurrente. La seguridad preocupa poco, o más bien sólo cuando sucede un desastre o incidente serio que hace girar la cabeza hacia ese lado y encender las alarmas (tarde ya) con la correspondiente pérdida de negocio, datos, prestigio o clientes.

Lo más triste es que precisamente, quienes más protección deberían tener en sus equipos, sí, esos que están en los escalafones más altos en la cadena de mando/responsabilidades, suelen implicarse poco o casi nada y están más pendientes de instalar la aplicación móvil “chorra” del momento, para mostrarla orgullosos en sus iPhone, Blackberry o Galaxy “extra large”, que de ver qué sucede a través del cable de red de su empresa. Y así nos va…

En medio de todo, llegan los gurús del “Social Media” que se llenan la boca de acrónimos tal y como cité en esta entrada, vendiendo atractivas motos especialmente preparadas para quienes “quieren creer” (que ojo, hacen su trabajo y algunos muy bien) y esa empresa, o más bien sus responsables, cuando ven su página en Facebook, su cuenta de Twitter, un blog, empiezan a girar “en círculos”  (de Google +) y se emborrachan del “me gusta” y el “+1″…

Y con la borrachera, o más bien después de ella, llega el olvido. Las resacas “sociales” son duraderas porque actúan a largo plazo, la visión “borrosa” impide ver lo que tienes frente a ti y claro, ¿cómo van a venir a chafarte la fiesta?.

Que estamos en una época de crisis es algo de todos sabido, que es importante conseguir nuevos clientes o no perder los que ya tienes también, pero precisamente, pensando en esos clientes actuales o futuros, la formación en seguridad se debería considerar un activo para la empresa y no esa parte “fea” o de color gris tirando a negro tal y como la ven algunos.

Un equipo de trabajo preparado para evitar fugas de información, incidencias en ocasiones críticas y con una base en seguridad de la información, hará que esa empresa obtenga un valor añadido de cara al exterior y que interiormente sea más sólida.

Si tienes una empresa, estás leyendo esto y sigues sin usar SSL en tu correo, tienes el mismo password en todos los sitios (quizas pegado ahí cerca de la pantalla) o no te acuerdas de la última vez que lo has cambiado, tu smartphone no tiene un código de bloqueo, el disco duro de tu portátil no está cifrado ni cuentas con algún sistema de protección adicional, a tu sistema le faltan los pertinentes parches de seguridad, tienes antivirus ineficaces o sin actualizar, no sabes quien, cuando, cómo y hasta dónde acceden a tu intranet, tienes un montón de papeles en la mesa con datos de tus clientes, o no cuentas con un sistema de backups fiable, etc, quizás debas replantearte tranquilamente y con la mente despejada en qué invertir (o no malgastar en muchas ocasiones) tu dinero.

Invertir en seguridad informática es hacerlo en algo real, tangible y con resultados a corto, medio y largo plazo. Tienes una puerta blindada, contratas un servicio de vigilancia, alarmas de última generación y hasta puedes ver lo que sucede en tu empresa vía una webcam y el móvil pero ¿Qué sucede con lo que no ves?

No lo olvides, “los chicos malos” usan otras puertas y pasan sin avisar…

Compartir

Tags: formación, Hacking, Malware, Opinión, Seguridad Informatica

Si bien es cierto que el libro data del año 2004, muchos de los artículos siguen siendo de gran utilidad para gente interesada en cuestiones de seguridad informática. De hecho y como se puede ver en Amazon, está a la venta por un precio de 34$.

El libro (600 páginas) está escrito por Tony Howlett y Publicado by Prentice Hall y forma parte de; “Bruce Perens’ Open Source Series“.

Entre muchos otros, se tratan tema como;

• Instalar un firewall open source usando Ipchains, Iptables, Turtle firewall, o Smoothwall
• Escaneo de puertos y testeo de vulnerabilidades.
• Uso de Nmap, Nlog, Nmap para Windows, Nessus y NessusWX
• Uso de sniffers y sistemas de detección de intrusos, (Tcpdump, Ethereal, Windump, Snort™, y Snort™ para Windows)
• Análisis y “tracking” de datos con Swatch, ACID y NCC
• Comunicaciones cifradas con PGP, GnuPG, SSH y Free S/WAN

Visto en Debian Admin. Descarga (yo lo he hecho desde el programa de afiliación de “Ubuntu Geek”, así se llevan algo)

Requiere dejar datos de registro, de todos modos, hay más formas de bajarlo con una simple búsqueda en Google).

También te puede interesar otro libro; Linux® Quick Fix Notebook- Free 696 Page eBook

• Build Linux file/print servers and networks from scratch
• Troubleshoot Linux and interpret system error messages
• Control every step of the boot process
• Create, manage, secure, and track user accounts
• Install, configure, and test Linux-based wireless networks
• Protect your network with Linux iptables firewalls
• Set up Web, email, DNS, DHCP, and FTP servers

Ya sabes, lecturas técnicas recomendables para este veranito que al menos en Gijón, no acaba de llegar -;)

Compartir

Tags: Debian, Firewall, Hacking, Nessus, nmap, Open Source, PDF, Seguridad Informatica, Server, Sistemas, Ubuntu, Windows

Con esta van 3 veces que intervengo en el podcast de mi amigo Daniel. Hablando de seguridad, sería la segunda, no hace mucho ya dedicamos un capítulo a charlar sobre seguridad informática que tuvo una buena acogida.

En esta ocasión, Daniel me pidió estar junto a él al micro para hablar de hacking, cracking, hacktivismo, Anonymous, etc, e intentar aclarar un poco los términos. A veces no es fácil hacerlo, pero los medios tradicionales creo que abusan del término “hacker” para acabar metiendo en el mismo saco a hacktivistas, profesionales de la seguridad, gente que informa sobre bugs, ciber-delincuentes, etc.

Os recomiendo leer mi entrada del mes pasado sobre Hacktivismo y el libro “Internet, Hackers y Software Libre”

Por un lado, cuesta mucho por más que lo intentes, ver razones éticas en actos que comprometen la seguridad de terceros “sin comerlo ni beberlo”, como se dice coloquialmente, cayendo en ocasiones en el error de, por un motivo en principio defendible, convertirte en Juez o “ajusticiar” sin pensar mucho en las consecuencias finales…

Por otro lado, con la que está cayendo en muchos lugares y los recortes de nuestros derechos y libertades civiles bien en la Red  o fuera de ella, algunos no se deberían sorprender de ver estas acciones que, en ocasiones son expresiones de repulsa ciudadana contra esas actuaciones…

Curiosamente, hoy nos hemos despertado con la noticia de que a pesar de que anunciaron su disolución, LulzSec (a quienes aludimos en el audio) ha entrado de nuevo en acción comprometiendo la web del diario “The Sun” y divulgando la muerte de su propietario (R Murdoch). Por lo que el cambio en sus motivos/motivaciones para realizar sus ataques web, está claro. Tal y como reseño en el audio, ya no son “por la diversión de hacerlo” como decían en sus comienzos. Seguro que muchos estaremos muy al tanto de todos los movimientos y “combinaciones” que se van a dar en los sucesivos días o meses.

El tema debe suscitar cierto interés, ya que según me ha comentado Daniel, es el episodio que más descargas está teniendo, obviamente no por mi intervención, sino porque entiendo que es algo de candente actualidad. (Acabo de ver en su sección de ivoox que va cerca de las 1.200 descargas en 3 días). Sólo había hecho un RT desde mi Twitter y hoy ya tengo tiempo para dedicarle esta entrada. Gracias de nuevo Daniel ;).

Reproducción del audio (carga directa del .mp3). (55 min)
## Nota; Si lo quieres bajar; “botón derecho” y “guardar enlace como”

Acceso a la entrada original en “El arca de la Alianza”. (Espero que este “80″,sea para ti un “Stop & Go” Daniel;)

Compartir

Tags: Ataques, Cracking, Hacking, hacktivismo, podcast

Hola amigos, aquí vamos con un “tercer especial” muy especial. Después del “SysAdmin” con Ricardo Galli que fue un “bombazo”en cuanto a descargas (top 2010 de ivoox) y el dedicado a Amazon EC2 en el que repitió Ricardo junto a Raúl Naveiras, Hoy hablaremos de Seguridad Informática y con mayúsculas.

Si alguno piensa que quizás exagero, puede ser algo lógico si no está metido en el mundillo de la seguridad, pero los que llevamos tiempo en esto, seguimos con detalle y gran atención el trabajo de Sergio Hernando y lo que publica en su blog; shaw.com o las referencias y reseñas tan útiles que podemos leer en su Twitter; @sergiohernando. Por daros algún dato más, toda su trayectoria profesional está resumida en su perfil público de Linkedin, ahí podemos leer sus logros profesionales y también su realización a nivel personal dentro de un ámbito laboral con el que se siente muy identificado.

Y cuando digo en el primer párrafo “Tercer especial muy especial”, desde luego que no es por desmerecer a los otros, el motivo es que quizás, este campo, el de la seguridad informática, junto a la administración de sistemas (GNU/Linux), es el que más me apasiona. En mi caso, tanto por mi labor como consultor o la que llevo a cabo junto al resto del equipo de apachectl.com con la sección de “Hacking Etico”, a otro nivel he conseguido hacer de esta pasión-devoción una forma de vida, pero Sergio obviamente juega en una liga aparte y al final del audio, podréis escuchar como haremos otro especial dedicado a la respuesta rápida a incidentes y el análisis forense de sistemas y equipos informáticos.

El primero que tendrá mucho que aprender de ese otro especial seré yo, ya que, aunque es cierto que a nivel de servidores web, esa respuesta rápida frente a incidentes en los sistemas, análisis de logs, etc que se realizan  posteriormente frente a un ataque o fallo de otra índole es parte de mi día a día, Sergio trabaja como se puede escuchar en el audio como un “Consultor global” hablando de seguridad y en análisis forenses, a un nivel desde las capas más altas a las más bajas del sistema, “byte a byte” se podía decir en ocasiones. Estoy convencido de que (con un guión y algo estructurado) será también de gran interés para todos vosotros. Nos vemos en el podcast 28, creo que antes del día 5 de Junio estará online con el resto del equipo, gracias por estar ahí -;).

Y a Sergio Hernando, alguien que desde hace tiempo y públicamente siempre ha apoyado nuestro/vuestro podcast, darle las gracias especialmente por su cercanía, ganas de grabar y esfuerzo en el aporte que sigue haciendo día a día a toda la comunidad de usuarios compartiendo conocimientos y experiencias.

# Añado; Entrada de Sergio en la que se ve el “famoso” maletín al que alude en el podcast -;).

Especial Seguridad con Sergio Hernando.

Seguro que si tenéis alguna duda sobre lo expuesto o comentario que realizar, esta entrada es el lugar ideal, Sergio estará al tanto para dar “respuesta rápida” ;D.

Leer el resto de;”DaboBlog Podcast. Especial Seguridad con Sergio Hernando.”

Compartir

Tags: Hacking, podcast, sahw, Seguridad Informatica, Sergio Hernando