Este post puede considerarse como un acto de promoción dado que soy parte “interesada” o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de “pásate por ejemplo” por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles “para todos los públicos” (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso “Blockout“.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de “Internet Service Provider“, bien podría ser un acrónimo de “Internet Sopla Pollas“. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el “Especial Seguridad“) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de “garantizamos al 100 % tu seguridad” me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entrada “Por qué falla la seguridad” de los colegas de Security By Default.

¿Por qué? las acciones realizadas por personas a nivel individual influyen en tu trabajo y puedes preveer una actuación en concreto, pero no cambiar ciertas condiciones o costumbres del ser humano. De ahí que sea tan importante un “plan B” y sobre todo hacer que el “plan A” se vaya al carajo para ver cuánto tiempo tardas en poner en marcha ese “plan B” y dar por hecho que puedes encontrarte con el peor de los escenarios posibles.

Si lo ves o planificas de ese modo, no estarás poniéndote vendas en los ojos que acabarán seguramente provocándote una “ceguera operativa” cuando el escenario ideal se convierta en la peor de tus pesadillas, o la de tu cliente, si cuando contacta contigo y está siendo víctima de una fuga de información o ataque a sus sistemas, las cosas no van como debieran. Aún así, sé consciente siempre de tus limitaciones o carencias, e intenta aprender y aprovechar tus puntos fuertes, pero sin dejar de trabajar la parte que menos controlas o te gusta, para conseguir un mayor equilibrio. Créeme, hay gente “ahí fuera” que sabe mucho más de los que están (o estamos) a veces en un plano “mediático” (eventos, reseñas, referencias) en el que se vende mucho humo y prevalecen los conceptos en lugar de las realidades.

De servidores web bajo Debian Etch que jamás se han actualizado.

Con este (sub) título no debería extenderme mucho. Hablamos de una empresa que me contrató para impartir unas clases sobre administración de servidores web bajo GNU/Linux. Dicho cliente (de Asturias) tenía contratado un servidor dedicado con un proveedor local, no daré nombres ya que aún mantiene una relación contractual y no seré yo quien promueva más malas artes por su parte, pero tampoco seré quien recomiende sus servicios, quizás hasta me lean, seguro que se ven “retratados” por lo de MaxClients 40  TimeOut = 300.

En el curso, a modo de ejercicio, fuimos creando paso a paso un servidor GLAMP y llegado el momento, se migraron algunos dominios a su máquina, en ese momento es cuando accedí al servidor dedicado contratado con esa empresa. Ya cuando hice un barrido rápido con Nmap lo vi claro pero…cuando haces un uname -a , cat /etc/debian_version o miras el source.list, puedes quedarte K.O.

El que el cliente tuviese una distribución de Debian de hace 5 años que ya no tiene actualizaciones desde finales de 2010 (ojo con Debian Lenny que desde hace unos días ya no recibirá actualizaciones de seguridad !!) puede considerarse bastante fuerte con unas 20 webs en producción. Pero…¿Cómo se queda uno si ve que la salida de tail /var/log/aptitude es = 0? WTF. Si, hay que joderse y “joder” al prójimo, jamás se había actualizado, no daba crédito y tras varias comprobaciones pude ver que era así de crudo y duro. En un primer momento pensé que había un problema con los logs, fue tan fácil como ir tecleando apache2ctl -V, mysql -v, etc, para ver que eran las versiones originales según venían en Debian 4.

Ahora bien, el listillo jamás había metido un update pero ojo, sí que había tenido tiempo para poner en el apache2.conf la directiva “maxclients” en 40. Todo ello con un “bonito” TimeOut de 300 seg, sí amigos, ¿el motivo? piensa mal y acertarás, claro, para ahorrar ancho de banda en su CPD…Limita a 40 conexiones o IPs diferentes en cada máquina y de ese modo, paga menos a su proveedor. Pero hay que ser malo o tener “mala fe” (vi el history y controlar, controlan) para dejar en 300 seg el TimeOut cuando sabes que si hay 40 IPs diferentes conectadas, hasta que se cierre una conexión de Apache que quede inactiva y dé paso a la 41, pasarán la friolera de 300 segundos, luego el cliente, ya se dio cuenta del motivo por el cual a veces le llamaban con eso de “es que me dicen que no se puede entrar a mi web”.

De servers con CentOS, un Cpanel sin actualizar y 3 joomlas crackeados.

Uno de los primeros síntomas por los cuales el cliente se da cuenta de que tiene un problema en su servidor, es en el momento que empiezan a venir e-mails rebotados o marcados como spam y entras en alguna (o varias) de las “blacklists” (o listas negras) habidas y por haber. Esa actividad inusual de envíos de correos desde el localhost, sin estar asociados a ningún dominio, ya es algo que debería mosquearte y luego llega “ese momento” (de la revelación).

El panorama no podía ser peor, una máquina con una versión de CentOS sin actualizar al igual que la versión de Cpanel desde la que se administraba, medidas de protección cuasi-nulas tanto a niveles más bajos del sistema, como protección de ataques de fuerza bruta, picos de tráfico indeseado, escaneos de puertos un tanto “intrusivos”, configuraciones del servidor bajo mi punto de vista inadecuadas para la gran cantidad de webs que alojaba, etc. El cliente pagando por una administración delegada que efectivamente no se estaba realizando, no en este caso a su proveedor de hosting, sino a un tercero. Dicho cliente había sufrido un ataque a varios de los Joomlas instalados (sí, mirad por ahí en las carpetas de imágenes a ver si veis algún .php que no debería estar ahí…), tenía todo un entorno de acceso remoto por una puerta trasera vía web para enviar spam de forma masiva, acceder a las bases de datos, subir ficheros, etc.

Ahh, también un servidor de IRC en la raiz “/”, desde esa máquina se habían realizado ataques de pishing haciendo de pasarela, algo que pudimos comprobar mientras hacíamos el análisis, reportando por mi parte a INTECO CERT la situación de un segundo servidor comprometido (que por cierto, actuaron muy rápido avisando al ISP o dueño del dominio ya que se palió casi al instante). ¿Vaya panorama eh?. Siendo sinceros, el administrador de ese sistema no hizo su trabajo, pero si te dedicas a desarrollar o implementar algún CMS como WordPress o Joomla, lo mínimo que deberías hacer es estar al tanto de las posibles actualizaciones de seguridad que van publicándose, nadie está a salvo de un “0 day”, pero de eso a dejar pasar varias ramas o versiones hay un paso…

De una “gran” empresa de hosting y “rayos por las nubes”.

Este tema fue quizás más extraño, se trataba de un sistema “On Cloud” de estos muy modernos en los que a golpe de click, vas clonando, arrancando máquinas bajo demanda y pensando que todo se soluciona así, a base de “clicks” y monitores o paneles web muy pomposos pero que no se enteran de lo que pasa por su interfaz de red (o sistema de ficheros NFS lento como el sólo…) no hablo de Amazon por cierto.

Por resumirlo, el cliente sufrió un ataque en 3 máquinas virtualizadas sin tener en marcha ninguna web visible, es decir, había unas direcciones IP con un servidor de aplicaciones, otro para MySQL y otro para Apache en pre-producción. Entraron “hasta la cocina” y se enteraron 7 días después. ¿Los motivos o vectores de entrada? bueno, por cuestiones “técnico-económicas” el cliente no quiso realizar una auditoría forense y si mal no recuerdo, pidió un clonado de los discos virtualizados por si en un futuro, viese pertinente hacerla.

Esta “aparentemente” y aparente gran empresa de hosting, una vez acabados los trabajos a realizar por nuestra parte (que en APACHEctl no estoy yo sólo;), después de estar tirando en plan bestia con varios servidores (yo) para probar todas las medidas implementadas (ataques de fuerza bruta, escaneos de puertos de esos que hacen algo de “ruido”, denegación de servicio intentando “floodear” algún puerto o servicio inundándolo de peticiones SYN – TCP,  el cliente pidió los resultados de ese día, y cuando comparó el resultado del sistema de control de logs que le instalamos con lo que pidió a su ISP, era como para darte la risa (por decir algo), “se ha detectado cierto tráfico ICMP“, os aseguro que monté una buena, y ojo, todas las soluciones instaladas por nosotros se basan en Software Libre o herramientas Open Source y su “ultra-mega firewall” por hardware, (imagina el típico “SonicWall de 9.000 €) desde el que se realizaba un NAT hacia las máquinas virtuales, no se enteró de nada…Acabo recordando que el cliente (empresa desarrolladora) se enteró 7 días después, teniendo que dar muchas e incómodas explicaciones al cliente final.

De otro “gran” ISP que cobra por administrar, no lo hace y entorpece.

Y además de no hacerlo, actualizar los sistemas del cliente, cuando ese o esos clientes (dos en una semana) piden acceso SSH, todo son problemas, no vamos a ir al tema legal y la denostada (por mi desde sus inicios) LSSI que dice que “el ISP no es responsable de los contenidos que aloja el cliente siempre que no sea el creador de sus contenidos, pero tiene que actuar con rapidez caso de que queden expuestos datos de terceros o la propia infraestructura web“, vamos a eso de “estoy siendo víctima de un ataque, no doy con ello y como vosotros no sois capaces de pararlo y dar con el vector de entrada, por favor, ceded el paso ya que cada minuto es vital para mi negocio.

Es lo que pasa con ciertas ventas o mejor dicho “fusiones” que queda mejor, es como lo de la Coca Cola de los 80, queda el nombre y algo del gusto de antaño, pero la esencia…se perdió entre tanta “alianza estratégica“. Aquí hablamos de máquinas comprometidas intentando redirigir el tráfico hacia sitios maliciosos (que afortunadamente se paró a tiempo) y clientes que se sientes totalmente impotentes frente a una situación muy dura en la que como he dicho, cada minuto, segundo, cuenta…

Podría seguir comentando algún tema localizado en una auditoría de seguridad que realizamos a unos 30 equipos, redes, servidores, etc, en una empresa hace unos días, pero quizás aún el cliente no ha leído el informe recién enviado y es mejor que lo vea con detalle desde la tranquilidad y no en pinceladas que pueda dejar aquí escritas. Tampoco voy a poner nombres, en muchos de estos casos, se están o bien finiquitando relaciones contractuales o arreglándolas, lo siento pero si me preguntas por algún sitio en el que confiar, pasa al siguiente párrafo…

¿Y ahora qué?

Podrás preguntarte…¿todo el mundo lo hace mal? no, ¿las cosas están feas ahí fuera? sí. No deja de ser toda una paradoja que cuando alguien dice que “mi hosting es genial, etc, etc” lo hacen porque simplemente ven que su web está activa y llegado el caso (no en todos los casos que comento), el servicio de atención al cliente es bueno, contestan en tiempo y forma, etc pero…cuando tienes problemas es el momento de darte cuenta de a quien le estás dando las llaves que abren (o pueden cerrar) las puertas de tu negocio.

No sé si habría que decir a la gente eso de “mira, piensa que un servidor web es como tu ordenador de casa, tiene que estar actualizado, pero también los programas que usas a diario, del mismo modo que tienes un antivirus, bla, bla, bla“. Pero mejor quédate con eso de, actualiza primero todos los CMS que tengas instalados en tu servidor (foros, blogs, etc), realiza o contrata una auditoría de seguridad al menos una vez al año, asegúrate de que efectivamente tu SysAdmin o ISP estén actualizando/administrando esa máquina, haz lo mismo que con los médicos, pide siempre una segunda opinión, (pásate por el “Especial SysAdmin“ con Ricardo Galli) créeme, si estás leyendo esto te confesaré que soy el primero que dudo de mi propio trabajo y entre los miembros de APACHEctl y allegados, no paramos de auditarnos y ponernos a prueba, además de tirarnos de las orejas si nos pillamos en un renuncio. Y ojo, por fiarte, no te fíes ni de nosotros al 100 % si llegas a contratarnos.

Un abrazo y “tengan cuidado ahí fuera” -;).

Pdta; Según WordPress, son 2.664 palabras, lo sé, ni tanto ni tan poco ¿o era al revés? ;D.

Compartir

Hoy es un día de protesta en Internet. También aquí en DaboBlog, como muchos otros que están en el archivo del blog. Puede que veas muchas páginas con una imagen similar a la que verás dentro de unas horas en DebianHackers, donde Diego y yo, nos hemos sumado al llamado “Blockout“, allí somos dos, ante la duda, decidimos realizar el “cierre-protesta“. Tanto en Daboweb como en Caborian, hemos expresado nuestro rechazo.

En mi caso, he optado por informar ya que varias personas me han preguntado ¿qué es lo de la SOPA? y si todos cerramos, la información fluirá por los medios tradicionales que “tradicionalmente” están manejados por grandes corporaciones en las que la difunden según le convenga a quien pone los euros.

No es menos cierto que, hablando de mi, tengo una opinión también subjetiva, la diferencia con esos medios es que vivo desde hace años con la sensación cada vez mayor que tanto mi libertad de expresión, como algo tan irrenunciable como mis Derechos y Libertades Civiles, se ven recortados dando igual el Gobierno esté al frente del País.

Hace siete años, cuando este blog no era aún ni un proyecto, ya escribí en Daboweb  este texto en contra de la LSSI, una Ley con la que muchos perdimos algo tan preciado como la privacidad en Internet y por ende, en la “vida real” (pocas diferencias ya). También aquí me hice eco del cierre de la web de un amigo, “El Agujero Negro” LSSI mediante.

Cabe recordar que fue aprobada por el Partido Popular, no está de más decir que el PSOE, cuando llegó al poder, dijo que la iba a derogar, falso, lejos de hacerlo la potenció y al final nos acabaron contando eso de la Ley Sinde (ahí expresé mi opinión), luego con el cambio que pintaba bien (a medias, según leo lo que escribí), para acabar siendo avalada por el PP, PSOE y CIU.(Si quieres entender el movimiento “No les votes” ahí tienes toda la información necesaria).

El PSOE le cedió al PP el segundo apellido “Wert” y se aprobó la Ley Sinde-Wert. Una herramienta de cierre masivo de webs por la vía rápida que le da a la industria discográfica, cinematrográfica, editorial o la mal llamada en mi opinión, cultural, ya que la cultura, como el conocimiento debe ser libre y no es patrimonio de unos pocos, sino de todos.

Esto no es un tema de “los chavales de las descargas”, ese es el mensaje que quieren hacer llegar ciertos grupos de presión, para que el punto y final sea ir contra el usuario directamente, algo que de hecho ya está pasando. ¿Por qué digo esto? a los hechos y fechas no muy lejanas me remito. El mensaje de “sólo vamos a ir contra las webs que se lucran bla bla bla” es como todo demás, un caramelo envenenado (como lo del Canon digital) que yo desde luego no me lo voy a tragar, de esos, ya he tenido que probar muchos y quien se lo quiera creer que se lo crea, yo no.

Y con la Ley SOPA hemos topado, sí, resulta que también las hostias nos vienen (como muchas otras veces) desde el otro lado del charco entre “barras y estrellas”. SOPA o acrónimo de “Stop Online Piracy Act” (“Ley de cese a la piratería en línea”), es otra “herramienta” más de cierre masivo de webs (podríamos hablar de los cables de Wikileaks, la Ley Sinde-Wert, la SOPA, etc)

Algún apunte (De Wikipedia);

El proyecto de ley originalmente propuesto permite que tanto el Departamento de Justicia de los Estados Unidos, como los propietarios de derechos intelectuales, puedan obtener órdenes judiciales contra aquellos sitios de internet que permitan o faciliten el infringimiento de los derechos de autor. Dependiendo de quién sea el que solicite la orden judicial, las acciones previstas contra el sitio web podrían incluir:

• Restricción al acceso a empresas que brindan un servicio de facilitación de pago tales como PayPal o que ofrecen dinero a cambio de colocar publicidad online.
• Restricción en los buscadores que vinculan con tales sitios.
• Requerimiento a los proveedores de internet, para que bloqueen el acceso a tales sitios.

El proyecto de ley convierte en un crimen al streaming no autorizado de contenidos protegidos por copyright, y prevé una pena máxima de cinco años de prisión por cada diez piezas musicales o películas descargadas dentro de los seis meses desde su estreno. El proyecto además brinda inmunidad a todos aquellos proveedores de Internet que voluntariamente lleven a cabo acciones contra tales sitios haciendo además responsable al sitio web infractor de cualquier daño producido al titular de los derechos, incluso sin tener que demostrarlo

Ha sido Wikipedia el principal impulsor del “Blockout” o “cierre técnico” de Internet a modo de protesta, apoyado fuertemente por Google. De todos modos, nos quejamos mucho de EEUU pero ahora mismo la SOPA se sirve “fría”, más bien está “congelada”, sí, a diferencia de lo que sucede en España, allí han puesto el freno,

Hay que aclarar que empresas como Apple o Microsoft no aparecen en la lista de las 142 compañías que la apoyan ya que se “esconden” tras estas siglas “BSA” (Puedes comprobar la lista). Tampoco hay que olvidar “otras” (Hadopi, etc, en Mangas Verdes).

Pero…¿Y si dejamos que sea Mafalda  la que nos explique por qué le sigue sin gustar “la SOPA”…Pero ojo, no nos olvidemos de lo que pasa aquí por favor. Hay muchos frentes abiertos, nos jugamos mucho en cada movimiento que hacen, no te calles, alza la voz.

Compartir

Sí, manda webs por cierto que los colegas de “Cajón Desastres” hayan metido la felicitación antes de esta entrada pero…los amigos son así ;D (y Destroyer no perdona;). No me voy a extender mucho ya que seguramente dejaría “fuera de agradecimientos” a mucha gente y a dos meses de cumplir 10 años online con Daboweb, creo que lo de este blog no deja de ser una mera fecha.

Ya que para mi, lo importante es el día a día, todo ese apoyo y “feedback” que me llega bien sea por la comunidad que se ha creado en torno al podcast (qué grande todo el equipo, gracias bros !!), también a quienes han estado en los “especiales”, pronto habrá novedades, los post que voy escribiendo sobre temas de sistemas o seguridad, o la interacción que mantengo con mucha gente en mi cuenta de Twitter. Si tengo que resumir este año que ha pasado creo que con dos URLs lo digo todo davidhernandez.es y apachectl.com

Hablo a nivel laboral o personal, también ha sido un año de “saraos web” (lamentable sección “autobombo”), de empezar a impartir cursos (tengo de aquí a Mayo 5 pendientes de realizar). Por lo demás, decir que sigo junto a Diego en DebianHackers publicando cuando hay algo de tiempo y que mis compañeros de Caborian, al igual que los de Daboweb, me ayudan a llevar todo este “tinglado” web en el que por lo visto estoy inmerso -;). Ahh, mi amigo Dani me ha pedido una colaboración mensual sobre seguridad en su “Telar del Geek” y ahí estamos también, hay que intentar devolver todo ese “feedback” de la mejor forma posible.

Para acabar, gracias a todos los que bien aquí, por e-mail, en vuestros blogs o por Twitter me aportáis tanto cada día. Primero estáis los “habituales”, pero tengo que mandar un saludo muy especial a toda la gran comunidad hispana de hackers (profesionales / aficionados a la seguridad informática, no habría que matizar pero…;) con la que comparto tantas experiencias a diario. siempre lo digo, dentro de poco serán los demás quienes traduzcan al Inglés dado el gran nivel que podemos ver y leer en nuestro idioma sin falta de “irse tan lejos”.

Lo dicho, otro año más y espero que el 2012 a pesar de leyes, imposiciones, decisiones y gobernantes que no me gustan (ni me gustaban) sea algo mejor que el pasado, en mi caso ya lo está siendo si comparo “Enero de” con “Enero de” (2012). Un abrazo y “Good Hacking !!!

No puedo terminar sin enviar un saludo al equipazo de Interdominios, en el blog no hay publicidad, ese banner de “hosting patrocinado por Interdominios” que también está en Daboweb o Caborian, va más allá de lo comercial. 10 años en Internet son muchos . Con ellos he crecido hablando de alojamiento web, Si hemos tenido algún problema lo hemos solucionado que no somos máquinas. No estoy “obligado” a meter ese coñazo de “posts / tuits patrocinados” sobre hosting que leo casi a diario, ni tampoco en APACHEctl “nos casamos con nadie” pero…en Interdominios tengo verdaderos colegas. Creo que nunca os había dedicado un párrafo aquí -;).

Compartir

Me alegro mucho por él ya que, viendo que en un día ha tenido más de 1.000 descargas según me comentaba, tiene que ver el tirón de su podcast y que la gente estaba ahí esperando a que se pusiera “micro a la obra” ;).

Como comento en la entrada original (acceso al audio y demás datos), en el momento de grabar. no sabíamos nada sobre la vulnerabilidad en WPS y lo he recomendado desactivar la opción caso de venir habilitada, en los comentarios de esta primera entrega.

Muchas gracias “Sr Perogrullo“ en Twitter o Dani para los amigos, ya sabes que puedes contar conmigo y ahí estaré todos los meses intentando aportar algo de lo aprendido.

Por cierto, si en el año 2010 tuve la satisfacción de que uno de nuestros podcast (especial SysAdmin con Ricardo Galli) se colase en el “Top 2010″ en tecnología (se seleccionan dos por cada categoría) en el  2011 repetimos con el que grabé para Daniel, hablando de “Hackers y Crackers“, Estad atentos a sus audios ya que sacará uno cada semana (fotografía, seguridad, tecnología, etc).

(Pdta, para los aficionados a estos temas, grabé otro sobre seguridad con Dani y está el “Especial Seguridad” con Sergio Hernando).

Compartir

Este audio va dedicado en particular con todo el cariño para Gorka Lasa (lur) que no ha podido estar en los últimos audios (tampoco AJ que os manda un feliz año nuevo) y en general a todos vosotros que sois cojonudos. Con la confianza de saber que estaréis ahí en nuestra nueva etapa ;D. Sobre el 2011, por cierto, ya escribí algo ayer.

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 15,30 min)

DaboBlog Podcast Especial fin de año 2011.

Ficha completa en ivoox.com del especial.

Descargar fichero de audio (daboblog-podcast-especial-fin-ano-2011_md_972013_1.mp3)

Baja >el audio. Escuchar o descargar. (Navegador, lector de feeds o móvil sin Flash)

Suscríbete al canal En GPodder | iTunes | iGoogle | tu lector de RSS

¿No ves el reproductor integrado vía tu lector de RSS?, entra con tu navegador

Nos volvemos a escuchar en el número 35 del podcast (Fecha “Primeros de Enero “).

Tenéis también todos los episodios desde el primero en esta nueva sección del blog y en este link de ivoox.com.

 

Archivo del Podcast;

DaboBlog Podcast nº1

DaboBlog Podcast nº2

DaboBlog Podcast nº3

DaboBlog Podcast nº4

DaboBlog Podcast nº5

DaboBlog Podcast nº6

DaboBlog Podcast nº7

DaboBlog Podcast nº8

DaboBlog Podcast nº9

DaboBlog Podcast nº10

DaboBlog Podcast nº11

DaboBlog Podcast nº12

DaboBlog Podcast nº13

DaboBlog Podcast nº14

DaboBlog Podcast nº15

DaboBlog Podcast nº16

DaboBlog Podcast nº17

DaboBlog Podcast nº18

DaboBlog Podcast nº19

DaboBlog Podcast nº 20

DaboBlog Podcast nº 21

DaboBlog Podcast nº 22

DaboBlog Podcast nº 23

DaboBlog Podcast nº 23,5 (Especial SysAdmin)

Daboblog Podcast nº 24 (Especial Fin de año).

DaboBlog Podcast nº 25

DaboBlog Podcast 26

DaboBlog Podcast Especial Amazon EC2

DaboBlog Podcast 27

DaboBlog Podcast Especial Seguridad

DaboBlog podcast nº 28

DaboBlog podcast nº 29

DaboBlog podcast nº 30

DaboBlog podcast nº 31

DaboBlog podcast nº 32

DaboBlog podcast nº 33

DaboBlog podcast nº 34

Compartir

# A unas horas de finalizar el año…

Aquí, en nuestro punto de encuentro, byte a byte, en nuestro medio natural, En una Red casi “insostenible”, por culpa de algunos que llegan con leyes para querer sostener lo que se sostiene por si sólo. Una red necesariamente descentralizada, libre y sin censura, con el control sólo justo y necesario para hacerla habitable. Concepto el de “justo y necesario” un tanto abstracto para gobernantes “injustos e innecesarios”.

No con los excesos que provienen de histerias colectivas (o de colectivos histéricos) que sólo buscan querer frenar algo que de por sí no tiene freno. Querer disfrazar actuaciones deplorables en contra de nuestras libertades y derechos civiles, en forma de “los chavales de las descargas” o los del “todo vale” es tan simple como vuestras propios argumentos y tan vacío como el conocimiento del ser humano que demostráis con vuestras absurdas leyes y actitudes.

Así que, a pesar de todo, muchos seguiremos alzando la voz cuando queráis callarnos, de La Red somos y aquí nos encontraréis.

# Y hablando de mi…

A todos los que tanto me aportáis día a día, en cualquier medio electrónico o humano, muchas gracias por ese apoyo y calor que he recibido en un año 2011, que empezó para mi cuesta arriba y que en lo personal y laboral, acaba mucho mejor de lo que podría pensar. Un abrazo fuerte en mi nombre y en el de todo el equipo del Podcast porque también este es su blog, a por el 2012 ! con un par (de copas y cojones;).

Compartir

Por supuesto a mis fieles (salvo lur, que una vez más nos falla, a ver si se asoma un día de estos;) compañeros de micro. Y feliz año nuevo si no nos escuchamos antes!! (que igual grabamos un lamentable “especial fin de año” como el pasado pero sin cantar, ojo !

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 2,07 h)

> Intro (00:00 hasta el minuto 03:54)

(Por David Hernández, Dabo) Presentación y comentarios sobre este episodio 34.

> Kernel Panic (Minuto 03:45 hasta el 1:11 h)

En Twitter; Dabo y Diego aka n1mh (Forat estará en el próximo).

Como es habitual cuando grabo con Diego, (n1mh) entramos a tope con “el estado de nuestras Debian” y lo que está sucediendo con GNOME 3, KDE, etc y ciertos problemas a nivel de escritorio según versiones y ramas instaladas. También de Ubuntu y Unity (una vez más). De “aptitude”, también de “alien” y la gestión de paquetes, navegadores… Linux Mint, Fedora, Linpus, sobre “comandos y sistemas”. Noticias de actualidad (Java, Linex y su lamentable abandono, nuevas distros y releases , servidores web, clientes de Twitter, Android, etc) .

> Manzanas Traigo ( 1:11 h hasta 2:07 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En “Manzanas Traigo” (y van…creo que 3) Gorka Lasa (lur) no esta, no dejaremos de repetirlo ;D, Hablamos de hardware (algún problema de placas lógicas y Macbooks, novedades, rumores, etc), también sigue siendo noticia  Steve Jobs y el negocio que se continúa haciendo a su costa, además de su biografía, del tema de Carrier IQ, aplicaciones IOS, iMessage (uso correcto y algún bug), iTunes Match, opinión en general, etc. En este “33″ Junto a Oscar Reixa, A. J Pérez.

Música;

Toda de Actual Proof, (Sunset Leaves, Necessary Spring, Venus in Cancer, World Traveler, Silver Screen, Stratosphere), con Creative Commons, su sección en Sound Click, contando además con el permiso explícito de su autor, mi colega Marc (saludos desde España-;). El podcast está alojado en ivoox.com en el canal “DaboBlog Podcast” donde además os podréis suscribir tal y como os indico debajo en los enlaces junto al audio para que os resulte más sencillo. Debajo el super banner de Forat ;D.

DaboBlog Podcast nº34, “Kernel Panic” y “Manzanas traigo”.

Ficha completa en ivoox.com del episodio 34.

Descargar fichero de audio (daboblog-podcast-n-34-kernel-panic-manzanas-traigo_md_961747_1.mp3)

Baja >el audio. Escuchar o descargar. (Navegador, lector de feeds o móvil sin Flash)

Suscríbete al canal En GPodder | iTunes | iGoogle | tu lector de RSS

¿No ves el reproductor integrado vía tu lector de RSS?, entra con tu navegador

Nos volvemos a escuchar en el número 35 del podcast (Fecha “Primeros de Enero “).

Tenéis también todos los episodios desde el primero en esta nueva sección del blog y en este link de ivoox.com.

Archivo del Podcast;

DaboBlog Podcast nº1

DaboBlog Podcast nº2

DaboBlog Podcast nº3

DaboBlog Podcast nº4

DaboBlog Podcast nº5

DaboBlog Podcast nº6

DaboBlog Podcast nº7

DaboBlog Podcast nº8

DaboBlog Podcast nº9

DaboBlog Podcast nº10

DaboBlog Podcast nº11

DaboBlog Podcast nº12

DaboBlog Podcast nº13

DaboBlog Podcast nº14

DaboBlog Podcast nº15

DaboBlog Podcast nº16

DaboBlog Podcast nº17

DaboBlog Podcast nº18

DaboBlog Podcast nº19

DaboBlog Podcast nº 20

DaboBlog Podcast nº 21

DaboBlog Podcast nº 22

DaboBlog Podcast nº 23

DaboBlog Podcast nº 23,5 (Especial SysAdmin)

Daboblog Podcast nº 24 (Especial Fin de año).

DaboBlog Podcast nº 25

DaboBlog Podcast 26

DaboBlog Podcast Especial Amazon EC2

DaboBlog Podcast 27

DaboBlog Podcast Especial Seguridad

DaboBlog podcast nº 28

DaboBlog podcast nº 29

DaboBlog podcast nº 30

DaboBlog podcast nº 31

DaboBlog podcast nº 32

DaboBlog podcast nº 33

Compartir

Lo que sucede con estos temas es que la realidad aquí casi siempre supera a la ficción, o a esa parte en la que el típico scanner de turno, revela unos resultados negativos para el host analizado. A partir de ahí, comienza una labor que va mucho más allá de las gráficas de Nessus por citar un ejemplo.

Si hablamos de pruebas “a ciegas” (sin acceso local al sistema a analizar), ciertos banners, huellas o “fingerprint” del sistema operativo, servicios y versiones corriendo en la máquina, pueden estar modificados y hay que saber discernir entre los “falsos positivos” y la realidad. Puede suceder lo mismo con la topología de la red cuando intentas hacer un esquema de ella.

En el caso de un test con acceso físico o remoto a la máquina o red a auditar, te encuentras muchas veces con situaciones en las que tal y como comentamos Sergio Hernando y quien suscribe en un podcast especial sobre seguridad (habrá otro), en ocasiones no es posible parchear y parar un entorno en producción ya que ahí suele prevalecer el “uptime” y la productividad frente a la “posibilidad de” (que suceda algún desastre informático).

En el día a día de mi labor como consultor freelance y de la que llevo a cabo como responsable del área de hacking ético en APACHEctl, creo que lo que más cuesta, es hacer llegar bien el mensaje. Un buen estudio previo de los problemas y necesidades de la empresa, conseguir llegar a las personas adecuadas, ponerte en su lugar y no pretender que las cosas se hagan como a ti te gustarían, sino como realmente son (que sí, no somos los protagonistas) y cuando acabes tu trabajo poner en marcha un plan de actuación adecuado, es fundamental para que tu análisis no caiga en el olvido. Pero eso sí, actúa siempre con valentía y defendiendo tu trabajo y profesionalidad.

Algunos podrán pensar “bueno, yo he cobrado mi auditoría, he reportado y ahora ellos verán“. Craso error, si no das un valor añadido y las medidas necesarias a poner en marcha no se llevan a cabo, considéralo un fracaso ya que sí, habrás cobrado, pero será difícil que vuelvan a llamarte, tu informe quedará como un “ahh sí, algo hicimos con ellos pero no sirvió para nada”. Esto no quiere decir necesariamente que hayas hecho mal tu trabajo, sino que no ha sido lo que tu cliente necesitaba…

Puedes ser muy bueno en la fase de reconocimiento, localizar vectores de ataque y revelación de brechas de seguridad, pero por muy frustrante que pueda parecer, si lo que haces no tiene un fin aplicable, con el “sistema hemos topado”. Si ya tenemos un hándicap de base como lo es el que se invierte mucho en “Social Media” y en seguridad lo “justamente imprescindible” o “cuando no queda más remedio”, nuestro esfuerzo debe ser mayor aún y el objetivo es conseguir que de nuestro análisis previo, salga un segundo trabajo que no es otro que implantar las medidas adecuadas para paliar los problemas localizados.

Así que el mejor consejo que humildemente te puedo dar, desde la experiencia y algún palo que profesionalmente he podido llevarme, es que las herramientas de auditoría son sólo un medio, el “fin” es que sepas o consigas hacer llegar de forma adecuada el mensaje dentro de entornos muchas veces un tanto “hostiles” hacia tu trabajo. En lugares donde hay mucho “miedo al cambio” o simplemente “tu verdad duele“, conocer las políticas de actuación o cómo es la toma de decisiones e idiosincrasia de la empresa, son casi más importantes que tu certeza con Nmap.

Y tampoco olvides que el primero que debe valorar su trabajo eres tú, por mucho que haya tanta crisis y las cosas estén complicadas, no caigas en el error de devaluarte a ti mismo. El precio es importante, pero también es un medio, conseguir el cliente, la calidad y profesionalidad, un fin, mantenerlo.

Mucha suerte ahí fuera -;).

Compartir

La finalidad, era dar una visión actual del enorme impacto de las TIC (Tecnologías de información y comunicación) en la gestión de una PYME o el “día a día” de un autónomo en su trabajo, todo ello con ejemplos reales tanto de como gestionar la gran cantidad de información que actualmente manejamos, entender el Marketing para un Internet cada vez más segmentado, sin descuidar la seguridad y dando pautas para no “irse por las nubes” y que una mala tormenta haga que el viaje acabe antes de lo deseado…

Tengo que dar las gracias a las “15 partes implicadas” (Los 13 alumnos, IFES y Area Tic), tanto por las ganas, esfuerzo y consecución de objetivos al alumnado, como por el empeño en ofrecer una formación de calidad totalmente aplicable a posibles salidas laborales y situaciones actuales si hablamos de IFES (que lleva desde el año 1986 con esa máxima) ofreciendo unas instalaciones y medios técnicos de lo más adecuados para este curso junto a Area TIC.

Instalaciones de Area TIC en Oviedo.

Ha sido toda una experiencia y un reto para mi, dentro de un grupo un tanto heterogéneo (por sus sectores, ámbitos de actuación y situación laboral), el intentar dar una formación lo más homogénea posible y sobre todo aplicable al 100 %.

Hemos dado un repaso a la historia más reciente de Internet y las TIC para saber de dónde viene todo esto, a las tendencias más actuales en Marketing más allá del “2.0″, término muy utilizado a modo de resumen, pero creo que ampliamente superado ya que sin darnos cuenta y no estando exactamente dentro de la augurada / esperada por muchos “web semántica”, nos encontramos en una etapa de constantes cambios. Unos cambios que tienes que tener muy presentes si quieres seguir en una onda (expansiva) que no se queda en la orilla, sino que va mucho más allá de lo previsible y además muy rápido. Si hablamos de Marketing, lo hacemos de nuevas formas de consumir contenidos en la red, usos y hábitos de navegación con estudios recientes del tipo ZMOT de Google.

También han tenido un gran protagonismo las diferentes opciones y alternativas a programas “tradicionales” (o mejor dicho, “tradicionalmente aceptados como estándares” cuando no lo son). Ha estado muy presente LibreOffice como alternativa a Microsoft Office, Software Libre del bueno, productivo y además, gratuito conviviendo perfectamente con las instalaciones de Windows que cualquiera puede encontrarse en su puesto de trabajo, algo importante en tiempos de crisis. Toda la “suite” Mozilla (Firefox con algunas extensiones cuasi-imprescindibles, además de Thunderbird para gestionar el correo con complementos para que no le falte de nada a alguien que provenga de Outlook). No podía faltar Ubuntu, todos instalaron una versión 11.11 y ha sido una experiencia para muchos que no conocían GNU/Linux (y de paso ver las posibilidades de la virtualización, en este caso con VirtualBox), etc.

No hemos dejado a un lado la seguridad en ningún momento, bien desde mirando opciones a tener en cuenta de configuración en los Windows 7 que había instalados en los portátiles (gestión de cuentas de usuario, UAC, Firewall, controles parentales, conexiones de red viendo lo que sucedía en los equipos con una consola MS-DOS o más bien el estado de nuestras conexiones). Hemos hablado de cómo gestionar y trabajar con contraseñas más seguras, nos hemos metido en las entrañas de nuestros routers para entender la importancia de conectarse bajo redes Wi-fi seguras, como no podía ser de otra forma, protocolos como SSL o TLS han tenido su protagonismo, hemos visto desde programas para evitar la captación de pulsaciones por un Keylogger, a otros para proteger tanto unidades USB como el auto-arranque de los mismos, los antivirus gratuitos y anti-malware y hemos instalado TrueCrypt para conocer las ventajas del cifrado, etc.

Y si al principio hablamos de “la nube” allí nos hemos pasado unas horas. Viendo tanto las posibilidades de servicios como DropxBox (además de sus posibles problemas como escribí no hace mucho), buscado un punto más allá de lo típico que se suele hablar sobre una red social tan arraigada como Facebook y otras de intercambio de información y el impacto que pueden tener (por ejemplo Twitter o Linkedin) si se usen de una forma adecuada. Google y sus formas de buscar, encontrarnos y “catalogarnos” no podían faltar, hemos creado un blog en WordPress.com como pudieron ver en poco tiempo y con muchas posibilidades y siguiendo con Google, uno de sus productos “estrella”, el correo bajo Gmail, tambien tuvo su punto y aparte. Del mismo modo, las tendencias actuales en Marketing y

Otro servicio de Google imprescindible para muchos de nosotros, Reader y el mundo de la sindicación de contenidos (así como los agregadores de los mismos) han tenido su presencia en el curso, junto a Delicious y otras soluciones de productividad, todo ello apoyado por diferentes extensiones de Firefox en busca de una forma óptima de organizar-gestionar la gran cantidad de información e impactos (no sólo publicitarios) que nos llegan hoy en día y cómo compartir en diferentes medios y redes sociales esa información ya segmentada. Incluso, nos dio tiempo para ver el impacto en nuestros sitios web de leyes como la LSSI, LPI o la LOPD, además de conocer lo que es un hosting compartido, un VPS, servidor dedicado o un sistema “on cloud”.

En definitiva, una “puesta al día” sobre el uso ese gran impacto de las TIC en la empresa actual. Para acabar, me reafirmo en ese agradecimiento a todas las partes implicadas, yo también he aprendido mucho en este curso y es que a veces, tienes que dejar de hablar y ponerte a escuchar a quienes tienes frente a ti. Ha sido divertido, instructivo y con unos resultados finales que me llenan de orgullo -;).

Compartir

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 2,23 h)

> Intro (00:00 hasta el minuto 03:44)

(Por David Hernández, Dabo) Presentación y comentarios sobre este episodio 33.

> Kernel Panic (Minuto 03:45 hasta el 1:16 h)

En Twitter; Dabo y  Forat  (Diego aka n1mh estará en el próximo).

Alguno se quedará un tanto K.O cuando escuche a Forat y lo que le pasó con un Vaio y unos ¿drivers? para Windows 7. Hablamos también de las nuevas mejoras que vamos viendo en el Kernel, lógicamente Ubuntu 11.04 tiene un gran protagonismo (hablamos de las novedades y de cambios futuros) damos un repaso a su proyecto “Viejos ordenadores que hacen grandes cosas” (muy bien explicado),  Servers, Software libre en la empresa (o “la falta de”), seguimos con Unity – GNOME, aplicaciones, Distros “diferentes” y otras habituales recién salidas del horno, opinión, (IN) seguridad en DropBox, etc.

> Manzanas Traigo ( 1:16 h hasta 2:23 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En “Manzanas Traigo” (y van) Gorka Lasa (lur) no esta, vamos a montar una petición online para su vuelta !!. Cuando subí el podcast 32, 15 min después nos enteramos del fallecimiento de Jobs, lógicamente hablamos del tema y de por dónde irán los tiros en la compañía. Del iPhone 4s, tarifas, portabilidades y operadoras. También de hardware y de problemas reales y otros que son historias, IOS 5x,  aplicaciones, opinion, sobre parches y actualizaciones de software, etc. En este “33″ Junto a Oscar Reixa, A. J Pérez.

Música;

Toda de Actual Proof, (Sunset Leaves, Necessary Spring, Venus in Cancer, World Traveler, Silver Screen, Stratosphere), con Creative Commons, su sección en Sound Click, contando además con el permiso explícito de su autor, mi colega Marc (saludos desde España-;). El podcast está alojado en ivoox.com en el canal “DaboBlog Podcast” donde además os podréis suscribir tal y como os indico debajo en los enlaces junto al audio para que os resulte más sencillo. Debajo el super banner de Forat ;D.

DaboBlog Podcast nº33, “Kernel Panic” y “Manzanas traigo”.

Ficha completaen ivoox.com del episodio 33.

Descargar fichero de audio (daboblog-podcast-n-33-kernel-panic-manzanas-traigo_md_898481_1.mp3)

Baja >el audio. Escuchar o descargar. (Navegador, lector de feeds o móvil sin Flash)

Suscríbete al canal En GPodder | iTunes | iGoogle | tu lector de RSS

¿No ves el reproductor integrado vía tu lector de RSS?, entra con tu navegador

Nos volvemos a escuchar en el número 34 del podcast (Fecha “Primeros de Diciembre “).

Tenéis también todos los episodios desde el primero en esta nueva sección del blog y en este link de ivoox.com.

Archivo del Podcast;

DaboBlog Podcast nº1

DaboBlog Podcast nº2

DaboBlog Podcast nº3

DaboBlog Podcast nº4

DaboBlog Podcast nº5

DaboBlog Podcast nº6

DaboBlog Podcast nº7

DaboBlog Podcast nº8

DaboBlog Podcast nº9

DaboBlog Podcast nº10

DaboBlog Podcast nº11

DaboBlog Podcast nº12

DaboBlog Podcast nº13

DaboBlog Podcast nº14

DaboBlog Podcast nº15

DaboBlog Podcast nº16

DaboBlog Podcast nº17

DaboBlog Podcast nº18

DaboBlog Podcast nº19

DaboBlog Podcast nº 20

DaboBlog Podcast nº 21

DaboBlog Podcast nº 22

DaboBlog Podcast nº 23

DaboBlog Podcast nº 23,5 (Especial SysAdmin)

Daboblog Podcast nº 24 (Especial Fin de año).

DaboBlog Podcast nº 25

DaboBlog Podcast 26

DaboBlog Podcast Especial Amazon EC2

DaboBlog Podcast 27

DaboBlog Podcast Especial Seguridad

DaboBlog podcast nº 28

DaboBlog podcast nº 29

DaboBlog podcast nº 30

DaboBlog podcast nº 31

DaboBlog podcast nº 32

Compartir