jueves, 24 de febrero de 2011

I'm sorry (DMZ, IDPS, honeys y demás familia)

El otro día recibía un email de un alumno que, entre otros aspectos, me indicaba que en la última clase había hecho referencia a algunos términos, suponiendo que todos estaban familiarizados con los mismos. A este alumno, "I'm sorry". Entre los términos a los que me hacía referencia DMZ, IDPS y honeypot.

Un mail del Prof Ramió Aguirre, desde Criptored, me proporcionaba la herramienta ideal para, en poco más de 14 minutos, dejar toda esta terminología clara. La quinta lección del servidor web de intypedia (Enciclopedia de la Seguridad de la Información) aborda la seguridad perimetral (http://www.criptored.upm.es/intypedia/video.php?id=introduccion-seguridad-perimetral&lang=es). Autor.: D. Alejandro Ramos Fraile, Team Manager de SIA Sistemas Informáticos Abiertos S.A., Security Consulting CISSP, CISA y editor del blog Security by Default http://www.securitybydefault.com/

jueves, 17 de febrero de 2011

Recordatorio

Recordad revisar el Bitacorón y las entradas actualizadas y participad en las propuestas-preguntas. También he entregado la primera práctica, de configuración básica. No dejes para el día de laboratorio lo que puedas hacer hoy.

Hasta la fecha algunos responden las preguntas que planteo en clase, pero casi nadie me hace preguntas. Ante esto, supongo que todo el mundo se entera de todo lo que cuento. No preguntas = todo va bien.

jueves, 10 de febrero de 2011

Grupos de prácticas

Después de organizar los grupos de prácticas atendiendo a las colisiones con otras asignaturas, los grupos del miércoles y viernes quedan balanceados, pero el del martes queda en familia.

Si hay algún alumno del grupo del miércoles o viernes que pueda pasarse al martes, se llevará una sorpresa.


22-febrero-2011 .- Relación grupos de prácticas

Laboratorio martes = 28 alumnos
Laboratorio miércoles = 34 alumnos
Laboratorio viernes = 35 alumnos

Equipos disponibles en el laboratorio = 25

SAM'11 - The 2011 International Conference on Security and Management


Toda la información en SAM'11 - The 2011 International Conference on Security and Management

Si dices las verdades, pierdes las amistades

Hoy DSR me remitía la noticia "La verdad sobre el supuesto robo de datos y chantaje a Nintendo (Actualizado)"

Todos los años toco este tema en la asignatura de PSI, unido a alguna de las experiencias, normalmente "traumáticas", vividas.

Al respecto, recomiendo la siguiente entrada. Es una regla general. No quita que exista un número muy reducido de excepciones. Y que en algunas ocasiones tengamos que intentarlo.

Aprovecho para informaros de que he incluido un enlace en el menú de la asignatura titulado "El Bitacorón", en el que actualizaré las aventuras y desventuras vividas en la clase. Recomendable visitarla cada cierto tiempo.

[Fuente.: DSR por email, gracias]

En una línea similar, FCP me remite una noticia sobre el deseo de hacer algo imposible, "Sony amplía su ofensiva legal en Internet (Actualizado)"

[Fuente.: FCP por email, gracias]

miércoles, 9 de febrero de 2011

Grupos de prácticas

Adjunto relación de asignación a grupos de prácticas.:

Grupo 1 (martes).- De Alfonso Pita a Fernández López
Grupo 2 (miércoles).- De Fernández Novoa a Pena Placer
Grupo 3 (viernes).- El resto

En caso de conflicto con otras asignaturas, contactar en clase, o por email.

He cerrado la "configuración" de los grupos de prácticas. La publicaré en el aula 3.2.

Grupo martes.: 22 alumnos
Grupo miércoles.: 35 alumnos
Grupo viernes.: 38 alumnos

Tenemos 25 equipos en el laboratorio, por lo que posiblemente no quede otra que hacer grupos (al igual que las funciones hash, siempre tenemos colisiones)

Total alumnos.: 97
2 alumnos no están en listado, posiblemente por matricularse a posteriori de la impresión de listados (contactar)

Inicio prácticas laboratorio.: 1 de marzo (con esto se impartirán 22 horas de laboratorio de las 20 asignadas a la asignatura de PSI). Recomiendo venir a las clases de laboratorio con las ideas claras sobre lo que se pide, para ahorrarnos tiempo y avanzar rápido.

martes, 8 de febrero de 2011

Bitacorón de L[P]SI

Actualizaré esta entrada con información-resumen de las clases teóricas de L[P]SI. Sobre las prácticas, mejor nos vemos en el laboratorio.

- La presentación de la asignatura (más información aquí). Se puede complementar con unos fundamentos básicos. Recomendable el contenido de la entrada, circular por las referencias de la asignatura, y los enlaces a trabajos de los supuestos.

- Pasadas las presentaciones, entramos en materia con un capítulo titulado Fundamentalismo (ver. 2.0). Recomendable digerir su contenido y el de sus referencias. También una entrada que resume el objetivo de la asignatura "Ruptura cifra RSA 1024 bits vs. lo verdaderamente importante en la asignatura de PSI". ¿Cuántos siguen habitualmente noticias de seguridad?. ¿Cuántos han empezado a seguirlas?. Para terminar, un tema que se repite todos los años, "Si dices las verdades, pierdes las amistades"

- En clase se hace referencia, en varias ocasiones, a alguna de la terminología clásica de la PSI. Aquí dejo una entrada sobre seguridad perimetral, DMZ, IDPS, etc. También hemos visto la configuración básica de IPv6. En este sentido, puedes leer la entrada de uno de los reports del año pasado sobre ataques en IPv6. O la noticia del SLAAC attack (remitida por Adrián Carpente, gracias). Señalar también esta cuestión sobre multicast en IPv6.

- Hoy hemos entrada en contacto con la trilogía, "hosts discovery, port scanning & fingerprinting". En la segunda parte hemos hablado, entre otras cosas, de la "avispa" (cuidado con la avispa).

- Tenemos que matar la trilogía. La tercera parte, dedicada al "fingerprinting", ocupa nuestro tiempo, "!el futuro es de los fuertes!?"

- ¿Dónde estás?. Ocultación y OcultaT[h]or

- Hemos cambiado de tema, y como un típico y tópico ejemplo de intercepción, iniciamos un nuevo juego, sniff, sniff. Y para seguridad, no queda otra que "póntela, pónsela". O esta otra noticia sobre la "hacker de la pala".

- Cerramos el tema de "sniffing" y algunas técnicas de *jacking. Iniciamos una nueva aventura que nos llevará por el apasionante mundo del D[D]oS. Sobre el tema se incluye esta interesante cuestión. Y esta noticia-cuestión.

- No seas bruto, "Fuerza Bruta o Pseudobrut".

- Y a todo esto, ¿cómo está el paciente?. Hoy nos dedicamos a los principios básicos de la monitorización de sistemas.

- Conocer algunos de los organismos y principales estándares del mundillo ha sido el principal objetivo de esta clase, bajo el título de "Who is Who & Metallica is Metallica".

- Hoy nos dedicaremos a la seguridad a nivel físico, analizando diversos aspectos relacionados e instalaciones existentes. En este contexto y desde una perspectiva didáctica "Security and Data Protection in a Google Data Center". Finalizamos la clase tratando un tema que no deja de ser curioso, los llamados ataques tempest, dejando una entrada de desbarre bajo el título "¿Puede una página web levantarte dolor de cabeza o quitarte el sueño?". Y aquí un video, remitido por Tomás (gracias), con una demostración tempest muy interesante.

- No debemos olvidarnos del ladrillo, de nuestros edificios, tratado bajo el epígrafe "Sector Inmobiliario TIC".

- Seguimos con temas varios relacionados con el apasionante mundo de la redundacía. Vida Salvaje (la redundancia).

- La paga semanal a los más pequeños les enseña que los recursos no son ilimitados. En nuestro mundo los recursos son caros y limitados. Por lo tanto, también debemos definir "pagas" a los usuarios. Hoy jugaremos un poco con el mundo de las quotas.

- Fundamentos de HA et al.

- Se acerca fin de curso, y entramos en una nueva temática, relacionada con la criptonita.

- No podemos olvidarnos de los protocolos con s, de casi seguros.

- Y cerramos hablando de la familia, en concerto, de S y familia.

Jornadas Seguridad (FI-UDC, 24 al 26 de febrero)

Como todos sabéis, los días 24 al 26 de este mes se celebrarán unas jornadas de seguridad en la facultad. Toda la información disponible aquí.

La pregunta repetida que me llega por vuestra parte es si habrá clase de PSI esos días.

Respuesta.: Si se matricula la totalidad de los 94 alumnos de PSI, por descontado cancelaré mis clases durante esos días. Bueno, si son 90 también.

miércoles, 2 de febrero de 2011

Bloqueos a internet, ¿qué hacemos?

Aquí dejo una entrada con varias reflexiones-recopilatorias sobre posibles mecanismos para evitar el bloqueo de acceso, total o parcial, de los ciudadanos a internet.

El año pasado tratamos en PSI diversos temas sobre anonimato en la red. Hoy Rubén me remite una entrada que mantiene cierta relación.

Post disponible aquí.

[Fuente.: Rubén Hortas por email, gracias]