surfeando y buceando

14/12/2017

Hoy se publica en varios sitios que en la deep web se publicó un fichero con más de mil millones de contraseñas.

El tema de la deep web no lo tratamos en clase aún y siempre hay que poner en cuarentena lo que salga de ahí por que a veces tiene mucho de leyenda urbana.

Tampoco hace falta irse a la deep web para buscar ficheros de contraseñas, en pastebin (ver  esta entrada del blog ) también suelen aparecer publicados , pero éste al que hacen referencia las noticias supera a todos en tamaño, unos 41 GB.

Otra de las cosas que vimos desde principios de curso es el tema del bitcoin. Desde entonces subió su precio desde unos 5000 dólares que costaba en octubre a 16.000 que cuesta ahora (aprox.) . Además empezó a cotizar en el mercado de futuros de la bolsa de Chicago . Eso del mercado de futuros  no es de nuestro campo de conocimiento  pero viene a ser algo así como comprar el derecho a comprar bitcoins en el futuro a un precio fijado ahora  –>  Si hay algún economista cerca que lo explique bien, gracias. Aquí una explicación

Elena nos avisa en su blog que  en la serie de TV  The Big Bang Theory, tienen un episodio (T11 E9)  en el que los bitcoins minados hace tiempo están perdidos en algún sitio.

En clase estamos con el tema de  copias de seguridad 

Anuncios

Conferencia sobre videojuegos

25/11/2017

Vino a darnos una conferencia sobre videojuegos Miguel A. Areán, de polygon-e estudios

Con su habitual  estilo  🙂 🙂  le dio  un repaso al estado actual de la producción de videojuegos, a los diferentes tipos de jugadores y también a los tipos de trabajos que hay alrededor de los videojuegos.

Nos dejó la documentación que expuso,  la podéis encontrar aquí  aquí

Y nos recomienda que veamos esta otra charla sobre prototipos de videojuegos (en inglés )

hablando de discos

25/11/2017

No, no estuvimos hablando de discos de música (me pregunto si todavía alguien compra / regala discos)

Vimos en clase cuestiones referentes a discos de ordenadores:

 

 

Conferencia sobre criptomonedas en el instituto.

07/11/2017

Tuvimos en el salón de actos una conferencia sobre criptomonedas, impartida por Antonio Vázquez de Bitphone Vigo.

En ella nos contó que hay muchas criptomonedas (que se pueden ver en coinmarket ) que son un sistema descentralizado, con las ventajas e inconvenientes que eso supone y que entre todas destaca Bitcoin.

En  blockchain se pueden ver los últimos bloques de transacciones resueltos y validados.

Además la tecnología que desarrolló Sathosi Nakamoto para implementar el bitcoin, teconolgía llamada Blockchain puede utilizarse para generar documentos y validarlos de forma igual que el bitcoin, descentralizando las operaciones.

La aplicación de la  tecnología blockchain a otros tipos de transacciones  está  un poco verde actualmente pero se prevé que se desarrollará en los próximos años.

En clase también estuvimos estudidando esta otra conferencia sobre bitcoin donde el relator Jonás Andradas nos cuenta con detalle qué son los bitcoins y como se opera con ellos, además de su experiencia particular con las carteras y  las passwords 🙂

 

Poniendo el pestillo, Latch.

24/10/2017

Vimos esta conferencia de Chema Alonso que él titula digital latches.

Nos cuenta en ella  que eso de tener acceso a un servicio de internet abierto 24 horas todos los días del año  puede no ser tan bueno, ya que si alguien robó nuestras credenciales (usuario + contraseña)  puede estar utilizándolas sin que lo sepamos. Robos o fugas de información de los servidores hay unos cuantos:  cantidades de millones de datos de usuarios  fueron robados de diferentes sitios web . Se puede comprobar en have I been pwned .

En la conferencia también nos habla de la vulnerabilidad Heartbleed : ver aquí una entrada hecha en el momento en que se publicó .

Y finalmente presenta una  solución,  que pretende ser muy fácil de usar  (The big bang theory) , para poner un segundo factor de verificación que además avisa al usuario cuando alguien está intentando acceder a un servicio que tiene  el pestillo puesto por el usuario: LATCH.

Latch es gratuito para el usuario que se descarga la aplicación en el móvil. Se puede probar en un banco de pruebas : Nevelebank

Nosotros lo probamos también en un servicio de hosting , Hostalia .

CPD. SAI.

10/10/2017

Un CPD es un centro de proceso de datos, las instalaciones deben contemplar ciertos requerimientos que tienen que ver con la seguridad física :  sistema contraincendios, sistemas de ventilación y sistemas de alimentación alternativos.

Dejo aquí un enlace a otra entrada sobre CPD de cursos pasados.

Y también estamos estudiando el tema de los sistemas de alimentación ininterrumpida (SAI o UPS )  , ver estos enlaces :

Catálogo del fabricante EATON

 

 

 

 

Comienza el curso 2017/18

03/10/2017

Empezamos un nuevo curso, actualizamos los enlaces del blog y para empezar bien escuchamos la siguiente conferencia de Chema Alonso.

 

Nos sirve para conocer a uno de los mayores expertos en seguridad informática, que resulta que nos cuenta las cosas en español, cosa que se agradece en este mundo tecnológico dominado por el inglés. Aunque a veces habla tan rápido que cuesta un poco entenderle.  🙂

En este video nos habla de . . .

  • el papel de los hackers en la seguridad informática, distinguiendo las dos acepciones de hacker.
  • de las conferencias de hackers como RootedCon o la Defcon
  • de Bernardo Quintero y la web virustotal
  • de vulnerabilidades , exploits y parches . Boletín de Microsoft  

También conocimos el servicio de correo 10minutemail  

Y hemos comentado que no hay que fiarse de las páginas que te ofrecen servicios de hackeo ya que al final el hackeado puedes ser tú

Parece que los extraterrestres nos atacan

14/05/2017

Oyendo / leyendo  las noticias parece que los extraterrestres atacan la tierra (en la foto Orson Wells realizando su programa de radio “La guerra de los mundos”)

Por si alguien no entendió el enunciado …

el ejercicio propuesto era investigar y hacer pruebas para  atacar UN ordenador que tuviera W7 o W10 , no todos los del mundo mundial

🙂

Mapa en tiempo real

Este tipo de virus ya existe desde hace unos años y lo hemos estudiado en clase. El virus viene como un anexo a un correo y al ejecutarlo encripta el ordenador. Pero además en este caso el virus tiene una capacidad de propagación muy alta ya que una vez que un ordenador se infecta, por una vulnerabilidad conocida desde hace poco, se transmite a otros ordenadores de la misma red encriptándolos también, cosa que no sucedía en los primeros virus de este tipo.

Esta vulnerabilidad fue  parcheada por Microsoft en la actualización de marzo, pero no siempre se tienen los sistemas actualizados (  . ..  haz lo básico , recordáis ?)

También es significativo que en las noticias no digan que los equipos con Linux no se ven afectados.

La explicación de Chema Alonso en su blog

 

Haz lo básico

27/04/2017

Aquí tenemos de nuevo a Chema Alonso explicándonos un compendio de cosas básicas sobre seguridad informática.

En seguridad primero haz lo básico. No vayas a buscar soluciones sofisticadas a problemas improbables antes de resolver lo básico.

Básico ?

  • Haz copias de seguridad.
  • Cambia las passwords por defecto de los equipos y de los programas.
  • Actualiza los sistemas operativos.
  • Actualiza el software.
  • Pon un antivirus en los equipos.
  • Comunica a los usuarios unas cuantas pautas claras de seguridad. Por ejemplo sobre los anexos en los correos y haz algún simulacro, para que lo entiendan.
  • No publiques metadatos en los documentos que cuelgas en internet.
  • Minimiza la exposición: no tengas muchos servidores expuestos, así podrás tener un cortafuegos con unas cuántas reglas simples bien configurado.
  • Establece reglas de acceso a los datos según los departamentos de la empresa.

Además de Frozen podéis también ver esta película.   🙂

Do_the_Right_Thing_poster

 

Auditoría de red interna

22/04/2017

Auditoría de una red  . . .   ver la nota del curso pasado

otra nota más actual de Pablo González sobre vulnerabilidades de windows que publicó en el lado del mal

http://www.elladodelmal.com/2017/04/como-robar-sesiones-rdp-en-windows-sin.html

 

Estuvimos comentando la nota sobre Prestoparking en la que se advierte que no usa conexión cifrada para transmitir los datos de alta de unsuario, incluída la tarjeta de crédito, pero sí usaba fraudulentamente un icono de web segura.

A día de hoy,  Prestoparking ya tiene https para hacer el registro. Curiosamente ahora no muestra el icono de la organización PCI que es una garantía de web segura. Quizá no le hayan dejado usarlo más.