domingo, 30 de septiembre de 2012

Un vídeo buenísimo para tener en consideración (Amazing mind reader reveals his 'gift')



[Fuente.: David H.M., gracias]

Derecho Informático (envía tus preguntas)

Llamada a los alumnos de LSI para que remitáis cualquier pregunta, duda, cuestión legal en el ámbito de la Seguridad Informática. Todas ellas serán remitidas a los profesores de la parte de derecho para que tengan constancia de nuestras inquietudes.

- ¿Que implicaciones puede tener el uso de una wifi que está totalmente abierta, sin protección?. Y si se utiliza para acceder a información sensible del equipo del propietario del punto de acceso.
- Si instalamos un proxy abierto y terceras personas lo utilizan para hacer sus "trapicheos" (nadie les ha dado permiso para que utilicen nuestro proxy), ¿qué implicaciones tendría el que infectásemos sus equipos y accediésemos a información personal de dichos inquilinos de nuestro proxy?
- ¿Puedo denunciar en la APD a un profesor que publica los listados de notas de una asignatura en los tablones de la facultad en la que figura nombre y apellidos de alumnos?
- ¿Qué implicaciones puede tener el uso de inhibidores de frecuencia para hacer la "puñeta" en wifis y demás familia?
- ¿Qué implicaciones puede tener el uso de escáners de RFID para captura de la señal de distintos dispositivos RFID ajenos no seguros?
- ¿Son válidos los correos electrónicos como prueba en un juicio?
- ¿Qué tratamiento tienen las grabaciones (voz, vídeo, etc.) no autorizadas en un juicio?. Y si la grabación es de una sesión de trabajo en máquina.
- Si la defensa de un caso se centra en el uso de firma digital. ¿Qué implicación puede tener la existencia de colisiones en las funciones hash?. Y si se demuestra que, bajo ciertas condiciones, es posible romper el proceso de firma-certificación. Y si se ha dado algún caso, ¿debería pensarse que la certificación digital no debería servir para nada a nivel judicial?

Envía tus dudas y cuestiones y las iré pegando en esta entrada.

- MMP remite la siguiente pregunta.: ¿Qué tipo de delito es y que pena conlleva la realización de un "escaneo" y de la escucha de los datos de la red de un Banco?

- IVA remite las siguiente preguntas.:
* ¿Es legal la grabación de nuestras conversaciones telefónicas? ¿Son validas como prueba en un juicio?
* ¿Si a través de mi web infectan a otros equipos que sanciones me pueden caer?
* ¿Nos podrían denunciar si encontramos un fallo de seguridad que permite que obtengamos información privada y avisamos a dicha web? ¿En caso de no avisarla estamos cometiendo algún delito?
* ¿El crackeo de claves es ilegal? ¿Si entramos en algún sistema usando la contraseña por defecto es ilegal?

- DSS hace referencia a las implicaciones del uso de túneles para "saltar" (y pongo lo de saltar entre comillas) los posibles filtros o usos establecidos en las comunicaciones (túneles de SSH, túneles proxy, túneles DNS, etc.).

- DGH.:
* Derechos de autor. ¿Dónde termina la compartición bien intencionada y empieza la piratería?
* Si tengo acceso a todos los datos que se me puedan ocurrir de una persona, ¿cuánto podría trapichear sin la correspondiente autorización?
* Derechos de autor otra vez. Algunos servicios, como Google Drive, asumen los derechos de autor de todo lo que le subas. ¿Qué pueden hacer ante un archivo bien cifrado?

- J.A.:
* En España hay cierto tipo de apuestas que no están permitidas. Si un español juega físicamente desde España pero virtualmente está jugando en un país donde es legal el juego, ¿Es delito? O por el contrario, si un extrangero de un país donde ese juego está permitido, está físicamente en España, pero juega virtualmente desde su país, ¿Está cometiendo un delito?

viernes, 28 de septiembre de 2012

Documentación LSI et al.

El Prof. Vázquez Naya a preparado una documentación-guía de los distintos temas de la parte de Seguridad Informática de la asignatura de LSI, disponible en los siguientes enlaces.

Categorías de ataques
La trilogía
Ocultación
Sniffing
- DDoS
- Monitorización y filtrado
- Certificados digitales y autoridades

Para complementar estos temas, así como otros que veremos en la asignatura revisad, además de las entradas del blog de este año y sus referencias, vídeos (nmap, proxies-botnets, etc.), bitácoras, reports, la siguiente documentación de interés.:

Segurida por niveles, de Alejandro Corletti, 2011 (una visión multicapa, desde la física a la de aplicación, con sus protocolos de funcionamiento y aspectos en seguridad)
Hacking Ético, de Carlos Tori, 2008 (una visión de la seguridad desde la perspectiva del llamado hacking ético)

También, en algunos casos, no estará mal un breve repaso de lo que integra nuestras redes de cableado estructurado.:

- Video cableado estructurado (parte 1)
- Video cableado estructurado (parte 2)

Y del proceso de arranque de nuestros cacharros.

No olvides dedicar unos minutos al OWASP Top Ten.

Para complementar el tema de sniffing, os recomiendo un enlace bastante didáctico.:

- Análisis de tráfico con wireshark, de Inteco-Cert.
- Discovering IPv6 with wireshark, de Rolf Leutert.

Además, para ampliar conocimientos del último tema, recomendamos las lecciones sobre RSA del Aula de Criptografía y Seguridad de la Información de la UPM accesible aquí.

O los diversos cursos del Crypt4you (aula virtual) de la red Criptored.

En filtrado el taller de firewall en linux con iptables, de Andrés J. Díaz (Jornadas GPUL).

Shudown ahora

Tiro máquinas

jueves, 27 de septiembre de 2012

Owning bad guys {and mafia} using javascript botnets en RootedCON 2012

Esta conferencia de Chema y Manu en la Rooted12 es totalmente recomendable y muy didáctica en el contexto de la clase de ocultación de hoy.

Owning bad guys {and mafia} using javascript botnets en RootedCON 2012

[Fuente.: S. Alonso, gracias]

martes, 25 de septiembre de 2012

Heroncreations, en la brecha

Este año parece ser que se anima la sección en la brecha. Hoy traemos otro blog con varias entradas en el ámbito de la seguridad, heroncreations. Entre ellas, algunas dedicadas al mundo del cracking, o al del guessing, entre otras.

Shutdown en 5 minutos

Shutdown en 5 minutos (0:50)

lunes, 24 de septiembre de 2012

Máquinas virtuales prácticas

Son algunos los emails que todos los días me llegan haciendo referencia a que la máquina virtual de algún alumno está caída. En un 98% de los casos, yo me conecto a ellas tal y como lo haría su usuario y todo está perfecto concluyendo, por tanto, que en la mayoría de los casos el problema está en el equipo cliente (portátil) que estáis utilizando o, como he podido ver en otros casos, al no conectar la VPN.

domingo, 23 de septiembre de 2012

Seminario 1. Consulta sobre el tema

Sobre una consulta sobre los servidores del tiempo. El 123 en el laboratorio no está abierto, siendo imposible acceder directamente a un ntp server. El servidor se deberá sincronizar contra su reloj interno y, el cliente, contra dicho servidor.

El huevo del cuco.: Un caso de propiedad intelectual

Santiago Munín (gracias) me hacía referencia recientemente a una entrada de conexión inversa realmente interesante y de lectura muy recomendable para todos "El huevo del cuco. Un caso de propiedad intelectural".

En la brecha

Como todos sabéis, en la brecha es una sección que presenta y enlaza contenidos en seguridad desarrollados por gente que ha cursado PSI y LSI. Hasta la fecha lo habitual era que a posteriori de cursar la asignatura iniciasen su andadura con la publicación de temas de seguridad en blogs y demás familia. Ahora nos encontramos con integrantes de "en la brecha" que están cursando la asignatura. Sin duda alguna, esto tiene mucho más valor que todas las notas que se puedan obtener en un tipo test. Además, con una primera entrada que responde a las preguntas e inquietudes que le surgen al autor. Esperamos nuevas entradas.

Blog Legislación y Seguridad Informática, por Álvaro Fernández

jueves, 20 de septiembre de 2012

Seguridad. Estado del Arte

Hoy mi colega Alejo me hacía referencia a una entrada de SbD bajo el epígrafe de interesante lectura. Efectivamente, define muy bien el estado del arte actual en seguridad. Este mundillo, por llamarle de alguna forma, es todo un ecosistema que, en algunos momentos, puede llegar a ser desquiciante.

Algo falle en seguridad, de SbD.

Proceso de arranque, lecturas recomendadas sobre el tema

Sobre el proceso de arranque, adjunto algunas lecturas recomendadas, atendiendo a alguna consulta recibida.

- Wikipedia
http://es.wikipedia.org/wiki/Proceso_de_arranque_en_Linux

- En otro estilo de contenido
http://www.linuxyyo.es/el-proceso-de-arranque-en-linux

También puedes editar el fichero /etc/default/bootlogd y poner bootlogd_enable=yes
Después rebota la máquina y revisa lo que hace en el fichero /var/log/boot

Debian ahora es LSB en los scripts de arranque. No te olvides revisar algo sobre el tema. Y para ello, edita alguno de los scripts "enlaces" del rc2.d

Shutdown

Shutdown ahora

martes, 18 de septiembre de 2012

lunes, 17 de septiembre de 2012

Prácticas

A todos los grupos del lunes que están con la práctica 1.

Han sido algunos los alumnos que me han remitido emails informando que no podían conectarse a sus máquinas virtuales. Por VPN, desde fuera de la FI, en un 90% de los casos, no he tenido problema en conectarme a sus máquinas (??!!??). Después no volvieron a contactar, luego entiendo que, (??!!??).

Tampoco las máquinas virtuales responden desde fuera, aunque sea con VPN, al ping. El ping (ICMP) no es suficiente para un host discovery, y las máquinas estar disponibles, tal y como vimos en teoría. No ping, pero si ssh. Recomiendo la lectura de wardog.

Por otro lado, he visto una muestra de los passwords que se están poniendo en los sistemas. En resumen.:

- Un password formado por 4 dígitos numéricos, como si fuese el PIN de una tarjeta de crédito, no es un password asumible para ninguna máquina, aunque sea para el usuario raso.
- Un password con únicamente letras minúsculas, y cortito, tampoco. Bueno, largito así tampoco.
- Un password con el nombre del usuario finalizando en 98, tampoco.
- Utilizar el mismo password para el usuario y para el administrador, tampoco.
...
...

jueves, 13 de septiembre de 2012

VirtualBox 4.2

Oracle ha anunciado hoy la disponibilidad de VirtualBox 4.2, la última versión de su software de virtualización multiplataforma de código abierto (noticia aquí). La nueva entrega se basa en las versiones anteriores, agregando nuevas e interesantes características que facilitan bastante el trabajo y soporte para los últimos sistemas operativos.

[Fuente.: A. Pacín, gracias]

Call for reports 2012-2013

¿Te gusta cacharrear y probar todo tipo de técnicas y herramientas en seguridad?. ¿Has hecho cosas antes de matricularte en LSI?. Comparte el conocimiento y no te lo quedes.

Si estás interesado en hacer un "report" de cualquier tema, remite email con temática. Que sea de temas técnicos, sin teoría, y al grano. La extensión la que quieras. Algunos buenos "reports" únicamente tienen un par de páginas, otros necesitan una extensión mayor para mostrar sus aventuras y desventuras.

--
Salu2,
NINO

Centro de Supercomputación de Galicia (CESGA)

Hoy hemos tenido la primera clase de teoría. Hemos tocado un gran número de temas relacionados con las categorías de ataques, con ejemplos y ataques típicos, infraestructuras, etc., etc. Al final de la clase únicamente referencié al CESGA (Centro de Supercomputación de Galicia). Recomiendo visites su web http://www.cesga.es

En especial, sus ofertas de trabajo (no es mal sitio de trabajo para un profesional en TICs), el diagrama de la RECETGA, con sus troncales, etc., y almacenamiento, entre otros.

Conocer las infraestructuras de nuestros organismos, tanto de red, almacenamiento, computación, etc., proporciona una gran cantidad de información y mucho conocimiento.

--
Salu2,
NINO

Guía bitacorón

En aspectos teórico-prácticos, con una guía de los temas que veremos en clases teóricas, tenéis el bitacorón. Por si alguien quiere dedicarle unos minutos, algo aconsejable.

VirtualBox, Vmware play y familia

Hola a todos. Sois varios los alumnos que se están peleando con estas plataformas (virtualbox, vmw player, etc.) y con el montaje de máquinas virtuales sobre ellas.

Sobre uno de los temas de consulta generalizados, está el tema de la configuración de la red en las máquinas virtuales. Tanto en muchos de los entornos de casa, con WIFI, o en la WIFI de la FI, WIFIC, lo más rápido es configurar la red de las virtuales como puente de la tarjeta wifi de vuestra máquina anfitrión. A diferencia de como estamos configurando las máquinas en los laboratorios de práctica, con IPs estáticas, si las de vuestros equipos las configuráis como.:

/etc/network/interfaces
-----------------------
iface eth0 inet dhcp
-----------------------

Os asignará IP por DHCP a las máquinas virtuales, tendrán salida a internet y se verán entre ellas. Con esto tenéis una plataforma de trabajo propia.

En vuestras casas lo mismo, se puede hacer con DHCP. En el caso de que en casa tengas tu intranet y salgas nateado, puedes dejar el anfitrión en DHCP y tener un rango de la red para direccionamiento estático. De esa forma, puedes asignarle IPs estáticas a las máquinas virtuales tal y como hacemos en el laboratorio de prácticas.

Recordad que, además, también podéis meterle a las máquinas virtuales un segundo, tercer, etc., interface de red y, por ejemplo, crear una intranet, en otro segmento, para hacer pruebas internas, colgar máquinas con vulnerabilidades para test, y cualquier otra historia que os apetezca probar. De todas formas, con que dispongáis de un entorno básico de red es suficiente.

--
Un saludo a todos y suerte en vuestras configuraciones,
A. Santos del Riego (nino)

martes, 11 de septiembre de 2012

lunes, 10 de septiembre de 2012

Práctica I e inicio de clases

Mañana martes 11 de septiembre empiezan las clases prácticas. Recordatorio de lo necesario para iniciar las prácticas.:

- Portátiles configurados y con conexión a internet.
- Conexión VPN a la FI
- ssh cliente (ssh, putty, etc.)
- NX cliente

El enunciado de la práctica 1 está disponible aquí. Revisad manuales y enlaces en internet para configurar los diferentes apartados. Especialmente solicitamos que los grupos de hoy lunes (2.1, 3.1, 1.1) preparen a fondo la práctica 1 con antelación a su próxima clase de prácticas, para tratar de coger al resto de grupos, que tendrán prácticas esta semana.

domingo, 9 de septiembre de 2012

Presentación asignatura LSI

¿Quiénes somos?

Departamentos.:

- Dereito Público Especial
- Tecnoloxías da Información e as Comunicacións.

Coordinación.: Santos del Riego, Antonino (Nino)
Profesorado.: Ballesteros Soriano, Alfonso (alfonso.ballesteros); Carballal Mato, Adrián (adrian.carballal); Santos del Riego, Antonino (nino), Vázquez Naya, José Manuel (jose.manuel.vazquez.naya)

¿De dónde venimos?
- Protección y Seguridad de la Información (optativa ETIX, II) [en extinción]
- Aspectos jurídicos y deontológicos de la informática (optativa ETIX, ETIS, II) [en extinción]

¿Adónde vamos?
- Legislación y Seguridad Informática (Q5)
- Guía Académica LSI, calendario académico, horarios, grupos, aulas y fechas de exámenes disponibles en https://www.fic.udc.es/ y en https://wiki.fic.udc.es

Centrándonos en la información de organización de LSI que no aparece en la guía docente, etc.:
- Primera parte - Seguridad Informática (23 horas de teoría, 28 horas de prácticas-laboratorio)
- Segunda parte – Derecho Informático (7 horas de teoría, 2 horas de prácticas-laboratorio)

Información, noticias, prácticas, seminarios, etc. en http://psi-udc.blogspot.com/

Objetivo blog.: No repetir, si redirigir

CONTENIDO 
Fundamentos e categorías de ataques (2h)
- Fundamentos de seguridade da información.
- Categorías de ataques.

A triloxía (3h)
- "Hosts discovery"
- "Port scanning"
- "Fingerprinting"
Ocultación (2h)
“Sniffing” (2h)
[D]DoS (3h)
Seguridade a nivel físico (1h)
Monitorización e filtrado en seguridade da información (1h)
Certificados dixitais e autoridades de certificación (3h)
Metodoloxías e auditorías de seguridade (4h)
Ampliación de temas o complementar los anteriores (2h)
--
A regulación xurídica da informática.
- Dereito. Elementos e conceptos xurídicos básicos.
- Ética profesional e deontología.
- Autorregulación. Códigos de conduta, códigos de práctica, códigos tipo.
A prestación de servizos e a tutela dos dereitos na sociedade da información.
- A prestación de servizos na sociedade da información. Servizos de intermediación. Servizos de certificación.
- A contratación electrónica e a contratación informática.
- As comunicacións comerciais electrónicas.
- A firma electrónica.
- A administración electrónica.
- A resolución xudicial de conflitos.
- As solucións extraxudiciais. A autorregulación. A arbitraxe electrónica.
A protección dos datos de carácter persoal.
- Introdución e delimitacións conceptuais.
- Constitución, dereitos fundamentais e protección de datos.
- A lexislación española de protección de datos de carácter persoal. Disposicións xerais. Principios. Suxeitos. Dereitos. Obrigacións. Medidas de seguridade. Procedementos.
- Autorregulación e protección de datos persoais.
- Criminalidade informática e datos persoais.
PRÁCTICAS (3).:

- Práctica 1.- Fundamentos y configuraciones básicas (3 sesiones = 6h)
- Práctica 2.- Categorías de ataques e identificación de recursos (4 sesiones = 8h)
- Práctica 3.- Autoridades de Certificación y Auditorías de Seguridad (4 sesiones = 8h)
- Controles 1..3 (3 sesiones - 6h)

TOTAL 14 sesiones (28h)

Fundamental trabajo previo prácticas. En otro caso, !!??¿¿***, ¿quiénes somos?, ...

Disponer desde el primer día de clase (mañana).:

- Portátil configurado con conexión cable en los laboratorios de prácticas. Como redes de comunicaciones de "backup" tener configuradas las wifi, udcwifi y eduroam. Más información en http://www.udc.es/rede/wifi (tened configurada y probada tanto udcwifi como eduroam, especialmente esta última).
- Instalada y probada la conexión VPN de la universidad. Más información en http://vpn.udc.es
- Un cliente ssh según el operativo de trabajo para sesiones terminal.
- Un cliente NX para trabajo en remoto sobre X.

Evaluación.:
- 70 (prueba de respuesta múltiple)
- 30 (prácticas de laboratorio)

- Para superar la materia será necesario tener superadas las prácticas (evaluación mediante sesiones en máquina).
- Durante el curso se irán estableciendo los plazos de entrega de las prácticas y seminarios.

- En la convocatoria de julio, en su defecto, además de la prueba de respuesta múltiple, deberá superarse una prueba de desarrollo de la parte práctica.

Trabajo personal.:
Acceder a las referencias y bucear
- Portátiles tuneados (cable, wifi, VPN, ssh, NX cliente, etc.) 
- Trabajo previo práctica I para esta semana (manuales debian, TCP-IP)

jueves, 6 de septiembre de 2012

Calificaciones PSI septiembre 2012

He notificado las calificaciones de septiembre de PSI a los móviles. En 15 caracteres es difícil comprimir dos fechas (día y mes) con dos horarios distintos (10-11:45;11-9:4). Está parcialmente codificado. Para la próxima tal vez me plantee utilizar un hash.

En formato extendido, revisiones.:

- lunes 10 de septiembre 11:45
- martes 10 de septiembre 9:45