Archive for the ‘Uncategorized’ Category

Hablando de hackers

20/10/2018

La semana pasada en clase estuvimos viendo (viendo y comentanto y explicando, es decir estudiando)  este video de Chema Alonso sobre seguridad informática (Thinking about security) en el que nos cuenta historias de hackers. Entre otros, nos presenta a Bernardo Quintero, que es el creador de virustotal.

Después de ver el video, haz el siguiente test:  ¿qué tipo de hacker eres ?

También vimos las instalaciones que debe tener un CPD . Podéis ver en la entrada del curso pasado más información sobre centros de cálculo.

 

Anuncios

Cisco ofrece becas de formación

22/08/2018

Por si a alguien que haya acabado le interesa, Cisco ofrece becas de formación en 4 areas :

  • Ciberseguridad
  • Networking
  • Programación de redes
  • IoT y Big Data

Más información en el sitio oficial de cisco

https://www.cisco.com/c/m/es_es/campaigns/digitaliza/netacad.html

 

Montando un escenario de hacking con ipv6

29/05/2018

Para acabar el curso vemos esta conferencia en la que nos muestran  algunos servicios que se pueden contratar para poder usar ipv6 y de algunas características del direccionamiento ipv6. Va montando pieza a pieza un escenario de ataque con ipv6 utilizando diferentes herramientas y servicios. Desde túneles ipv4< – – >ipv6 , whireshark, scapy, etc.

Tiene una parte muy técnica pero me parece interesante que conozcáis estas herramientas.

Y una noticia que apareció ayer, sobre un nuevo malware que afecta a los routers. Una solución que propone es resetear el router para limpiarlo. No parece muy eficaz, el malware puede alcanzar el router de nuevo en un tiempo corto ( horas ?).

Apagar el router por la noche puede ser una medida útil aunque en las instalaciones domésticas de fibra óptica actuales, al apagar el router se pierde la línea telefónica, no ?

Metadatos , identificación por delegación y auditoría de una red

23/04/2018

Este tercer trimestre empezamos viendo los metadatos. Dejo aquí un enlace a la entrada del blog del curso pasado.

También vimos lo que significaba spear phising ( pesca con arpón ) y cómo se puede armar con ayuda de la identificación por delegación, el protocolo Oauth. Por cierto, Ticketea que es una empresa española y  aparece en un  ejemplo de uso del protocolo oauth  acaba de ser comprada por eventbrite

Estamos ahora con el tema de auditoría de una red interna, que también podéis repasar en este enlace.

En Madrid, en la RootedCON 2018.

09/04/2018

En la primera semana de marzo se celebró en Madrid la RootedCON donde se presentan trabajos sobre seguridad informática.

Entre las conferencias a las que pude asistir destaco tres:

  • BASHware . Gal Elbaz, Eran Vaknin.
  • Wild Wild Wifi  “Dancing with wolves”. Chema Alonso
  • Fooling computer vision. Jesús Seijas

La conferencia de BASHWARE trata sobre como se ejecutan procesos linux en una máquina Windows que tenga habilitada esa posibilidad y lo que supone como agujero de seguridad, ya que los antivirus no supervisan los procesos que se ejecutan en el subsistema linux. (artículo en español)

Wild Wild Wifi. Conferencia de Chema Alonso, donde hizo un repaso histórico a los diferentes ataques que pueden sufrir las redes wifi y cómo se ha ido mejorando la seguridad de las mismas, hasta llegar al nuevo bug de seguridad Krackwifi y la solución que aporta, que básicamente es cambiar cada poco tiempo y de forma automatizada la password del wifi.

Fooling computer vision. Una conferencia curiosa sobre como trabajan los sistemas de inteligencia artificial de reconocimiento de formas y aunque son muy fiables , cuando fallan dan respuestas sorprendentes. Podéis ver aquí un artículo

 

 

Criptografía

30/01/2018

La criptografía es un tema central en cualquier curso de seguridad informática. Tenemos un par de entradas en este mismo blog de cursos pasados, van aquí los enlaces.

Hace 2 días salió en muchos periódicos que el CNI logró descifrar un código utilizado en el año 1502 por el rey Fernando el Católico.

 

Fallos de seguridad en los microprocesadores

13/01/2018

En estos días ha aparecido la noticia de un fallo de seguridad muy importante que afecta al hardware de casi todos (por no decir todos) los microprocesadores fabricados en los últimos años, tanto de Intel como de AMD y de otros fabricantes.

En realidad son dos fallos diferentes : Meltdown y Spectre.

Simplificando mucho el fallo se produce porque con la optimización de la ejecución de instrucciones se puede saltar la protección de acceso a memoria y leer/escribir en zonas que un proceso de usuario no debería poder acceder.  En el lado del mal Chema Alonso lo explica con más detalle y además indica que esto va a dar todavía mucho juego.

Se han publicado parches para corregir el problema que en algunos casos bajan el rendimiento de los procesadores. Habrá que esperar a nuevas generaciones de procesadores, pero el diseño de un procesador es muy complejo y no se cambia en poco tiempo.

Fallos de corriente eléctrica.

En una de las mayores ferias de electrónica de consumo del mundo, CES de Las Vegas, a causa de una tormenta, se quedaron sin corriente eléctrica unas dos horas. Como vemos esos fallos siguen dándose y todos los stands se quedaron sin energía a pesar de que debería haber generadores. La aplicación más útil en los teléfonos móviles en esos momentos era la linterna 🙂

Acabamos de ver/estudiar el video Low-hanging fruit donde Chema Alonso nos explica que hay que cuidar lo básico en seguridad.

 

 

surfeando y buceando

14/12/2017

Hoy se publica en varios sitios que en la deep web se publicó un fichero con más de mil millones de contraseñas.

El tema de la deep web no lo tratamos en clase aún y siempre hay que poner en cuarentena lo que salga de ahí por que a veces tiene mucho de leyenda urbana.

Tampoco hace falta irse a la deep web para buscar ficheros de contraseñas, en pastebin (ver  esta entrada del blog ) también suelen aparecer publicados , pero éste al que hacen referencia las noticias supera a todos en tamaño, unos 41 GB.

Otra de las cosas que vimos desde principios de curso es el tema del bitcoin. Desde entonces subió su precio desde unos 5000 dólares que costaba en octubre a 16.000 que cuesta ahora (aprox.) . Además empezó a cotizar en el mercado de futuros de la bolsa de Chicago . Eso del mercado de futuros  no es de nuestro campo de conocimiento  pero viene a ser algo así como comprar el derecho a comprar bitcoins en el futuro a un precio fijado ahora  –>  Si hay algún economista cerca que lo explique bien, gracias. Aquí una explicación

Elena nos avisa en su blog que  en la serie de TV  The Big Bang Theory, tienen un episodio (T11 E9)  en el que los bitcoins minados hace tiempo están perdidos en algún sitio.

En clase estamos con el tema de  copias de seguridad 

hablando de discos

25/11/2017

No, no estuvimos hablando de discos de música (me pregunto si todavía alguien compra / regala discos)

Vimos en clase cuestiones referentes a discos de ordenadores:

 

 

Poniendo el pestillo, Latch.

24/10/2017

Vimos esta conferencia de Chema Alonso que él titula digital latches.

Nos cuenta en ella  que eso de tener acceso a un servicio de internet abierto 24 horas todos los días del año  puede no ser tan bueno, ya que si alguien robó nuestras credenciales (usuario + contraseña)  puede estar utilizándolas sin que lo sepamos. Robos o fugas de información de los servidores hay unos cuantos:  cantidades de millones de datos de usuarios  fueron robados de diferentes sitios web . Se puede comprobar en have I been pwned .

En la conferencia también nos habla de la vulnerabilidad Heartbleed : ver aquí una entrada hecha en el momento en que se publicó .

Y finalmente presenta una  solución,  que pretende ser muy fácil de usar  (The big bang theory) , para poner un segundo factor de verificación que además avisa al usuario cuando alguien está intentando acceder a un servicio que tiene  el pestillo puesto por el usuario: LATCH.

Latch es gratuito para el usuario que se descarga la aplicación en el móvil. Se puede probar en un banco de pruebas : Nevelebank

Nosotros lo probamos también en un servicio de hosting , Hostalia .