Ensalada de Bits: seguridad

Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas

miércoles, 13 de abril de 2016

Los increíbles entre los increíbles

Hoy os traigo un listado que hará las maravillas de más de uno. Los llaman los increíbles y son listados de distinta temática recopilando los mejores recursos de cada una de ellas.

Existen ya hasta increíbles de entre los increíbles, ya que si te pones a buscar verás que hay decenas de listas.

viernes, 13 de noviembre de 2015

Hacking Blogs

Como ya os habré comentado en algún post este año estoy cursando el Máster en Ciberseguridad de la UC3M, os lo recomiendo para aquellos que estéis pensando en algo así.

Tiene un buen temario que toca muchas ramas de la seguridad, puede elegir entre dos especializaciones, es completamente bilingüe (si, las clases en inglés ponen el “bi” por alguna excepción pero es todo en inglés) cosa que gusta mucho a las empresas y, lo más importante para mí, es oficial. Esto quiere decir que te abre las puertas a poder realizar un doctorado posteriormente, cosa que la mayoría de los Máster en seguridad del mercado no tienen.

El tema es que el otro día en clase, hablando con un compañero, me preguntó que Blogs leía yo o como lo hacía para estar un poco al día. Todos hemos pasado horas inspeccionando blogs y buscando nuevos en la red, hay cientos… tal vez miles, pero hacer un buen listado de ellos es muy complicado.

Como esa respuesta no le gustó y realmente no aportaba nada he optado por compartirlo con todos.

Yo uso el programa FeedReader por varias razones, es de escritorio y te salta un aviso cada vez que alguien sube un nuevo post, eso me ahorra tener que andar perdiendo tiempo revisando los blogs manualmente uno a uno y, al tenerlo en mi escritorio y no en la red, pues me lanza los avisos y no tengo que andar preocupándome de visitar el listado mío de blogs en la nube.

Esta medida la adopté cuando Google cerro su sistema, estaba genial y cada día lo visitaba pero me dio mucha rabia que lo cerraran así que ahora lo tengo en local.

Para quien quiera tener también este programa he subido a GitHub una exportación de mis blogs (mas fácil imposible que los tengáis de forma inmediata) y para los reticentes tenéis en el mismo repositorio un listado de los blogs contenidos en ese archivo.

Aquí tenéis el repositorio:

https://github.com/mirojo/HackingBlogs

Importante:

- Si quieres que tu blog o algún blog que conozcas aparezca en este listo, no dudes en mandármelo (mirojo.84@gmail.com), lo revisaré y actualizaré en el repositorio.

Así logramos tener un listado vivo y con links que no estén muertos.

Ya os iré avisando cuando lo actualice.

Disfrutadlo.

martes, 6 de octubre de 2015

Navaja Negra 5 fin, hasta el año que viene

Se terminó Navaja Negra, después de más de 3 días por tierras de Albacete disfrutando, habrá que esperar al año que viene para poder volver a sus aulas.

Este año la Navaja era muy especial para mí ya que era mi estreno como ponente con un taller sobre “Android desde 0 hasta crear nuestro primer malware”. Sinceramente, creía que estaría en la sala sola o con muy poca gente.

Mi primera sorpresa llegó el Miércoles por la noche, donde ya me comentaron que en la intención de acudir a los talleres el mío había tenido un gran poder de convocatoria, y así fue, ¡llenamos el aula más grande!

Mil gracias a todos los que fuisteis a verme en el taller, al parecer causó buena sensación porque las críticas fueron muy favorables.

Y mil gracias a la organización por ponerme al comienzo del evento, estaba muy nerviosa y el poder hacerlo lo primero me hizo disfrutar del resto de la navaja.

Yéndonos a cosas menos serias esta Navaja ha sido muy divertida, hubo una puja de hackers y conocí a Eve Mae, la dibujante de Hacker Épico. Desde aquí os animo a que conozcáis su trabajo. Muchas gracias por la dedicatoria que me hizo en mi ejemplar del comic.

También conocí por allí a la gente de Koodous.com, ya tenía puesta su web en mis diapositivas cuando me dieron la sorpresa de que estarían por allí. Un gran proyecto llevado por gran gente. Y encima me regalaron una camiseta :) Dos nuevas camisetas para mi colección.

No quiero acabar el post sin dar un abrazo a toda esa gente de la navaja, he conocido a muchísima gente nueva por allí (no quiero olvidarme de nadie aunque es difícil) pero un especial abrazo al grupo de “Amateur” que no pudimos hacer nada del CTF pero sí que logramos hacer ondas de vidrio.

lunes, 18 de mayo de 2015

La contraseña ¿Realmente seguimos necesitándola?

Vivimos en la era de la información digital, llenamos cientos de Teras de información sobre nosotros. Decimos que las grandes empresas nos controlan o de que exponemos toda nuestra vida (o nuestro mismo ser) en la red, de una forma que puede ser hasta irresponsable.

Cuando navegas por la red parece que Internet está hecha a tu medida, hasta la publicidad solo te muestra ya lo que realmente quieres ver, que casualidad…

Nos movemos en un porcentaje mínimo de aplicaciones a lo largo de la red y éstas nos conocen muy bien. Siempre hacemos lo mismo, nos interesamos por las mismas cosas y contactamos con los mismos círculos. En resumen, los sistemas, por pequeños que sean, nos conocen.

Nos conocen muy bien y, por eso mismo, pueden ser capaces de diferenciarnos de los demás usuarios, por lo que lleva a la reflexión que últimamente me ronda la cabeza ¿realmente no somos capaces de inventar sistemas que no sean complejos para identificarnos unívocamente sin tener que pasar fronteras de seguridad? Creo que la usabilidad y la seguridad si pueden hacer las paces autenticándonos de forma segura sin tener que andar acordándonos de mil contraseñas cada día más complejas.

Ahora es cuando me van a venir con el tema de que “Ya existe: los certificados, el DNI-e….” y si han leído con un poco atención verán que no es el camino al que me refiero. Los certificados hay que mantenerlos, muchos de ellos como formatees el ordenador, te obligan a acudir a alguna entidad a solicitarlo de nuevo y eso de usabilidad cero.

Creo que estamos preparados para hacer otros tipos de autentificaciones basándonos en un dato inicial tan simple como puede ser tu nombre o cualquier dato habitual que no conozcan los cyber usuarios y a ti no te resulte complejo de recordar.

“Mucha gente conoce mi nombre real” eso es cierto pero ¿y si el sistema capta como estas introduciendo ese nombre? Las pulsaciones por segundo, la máquina/s desde las que conecta, el país, el proveedor de internet… son un indicativo que puede ayudarte a diferenciar si es el usuario habitual o no y no es un código complicado de escribir. ¿Qué pasa si la maquina detecta algo raro? Los sistemas nos conocen, repito, seguro que pueden hacerte alguna pregunta posteriormente (si han detectado alguna anomalía) que para ti no suponga ningún problema recordar y para otras personas ya sean un factor de diferenciación.

Esto es solo una reflexión, creo que ya hay mucha información sobre nosotros en todas las páginas que frecuentamos como para poder eliminar algo tan molesto e inseguro de implementar como es un sistema de autentificación que, en muchos de los casos, ni es necesario. ¿Qué opináis vosotros?

jueves, 7 de mayo de 2015

1and1 ataca de nuevo

Como las secuelas de una mala película aquí llega 1and1 con un nuevo y "maravilloso" servicio:

Tu Wordpress con solo 1 click¡¡¡

Suena terrorífico ¿verdad? Pues es aún peor.

En aras de no complicarme la vida con un nuevo proyecto que tengo entre manos decidí deshacerme del servidor online que tenía comprado (tarifa antigua, una buena pasta que me voy a ahorrar) y contraté un servicio de hosting para que sean otros los que mantengan el servidor.

Hasta aquí todo normal, el miedo y el terror comienza cuando usé el servicio de 1and1 que auto instala Wordpress, ilusa de mí creía que funcionaría como Plesk que sencillamente lo instala y te pregunta todo.

1and1 no, os cuento las maravillas.

- Generan un subdominio con el nombre que les da a ellos la real gana y luego si tienes tu dominio comprado (lo tienes, te lo dan con el hosting) ya tienes que hacer una redirección cochina para que tu dominio vaya a ese subdominio dentro del cual te meten el blog.

- Dicen que te lo actualizan ellos, olvídate de mantenerlo y de seguir pagando a tu sobrino... Pero solo si no instalan ni plugins ni themes (ayer pude comprobar por le bug del Theme que viene con Wordpress que ni los que vienen por defecto los actualiza). Por lo que me pregunto ¿que actualizáis realmente?

- Viene con un plugin de ellos ya preinstalado, tengo pendiente mirar bien que hace ese plugin, ya hemos dicho que actualizar no, así que es todo un misterio.

Todo eso son minucias hasta que te pones a asegurar un poco tu wordpress (consejo número 1 haced eso lo primero, yo lo hice lo ultimo y a ver ahora como logro recuperar mi blog sin perder todo el trabajo). El caso es que traté de empezar por lo más simple:

- Subir mi robots.txt que Google amablemente me habia avisado que no existía ¿Porqué se toman la molestia de borrar el Robots, la gente de 1and1?

- Quitar el archivo readme.html que debe ser muy importante porque el robots lo borran, pero el archivo donde está la versión de mi wordpress en bandeja la dejan.

PUES NO¡¡¡ Resulta que tu Wordpress NO es tuyo, porque si entras al FTP con tu cuenta, con la que se supone eres el administrador de ese blog no vas a poder ni subir archivos, ni renombrar ni eliminar.

Señores de 1and1 ¿Quien se ha quedado con mi Wordpress?

Mañana les llamo, seguiremos informando, mientras tanto os dejo con la prueba de las grandezas de 1and1.