miércoles, 17 de diciembre de 2014

Conexiones en cableado en los laboratorios de prácticas y TGRs

Aunque hoy hemos finalizado las prácticas de LSI, el CECAFI ha cableado a 100Mbs, en sustitución de las wifis (bueno, ahora las wifis pasan a ser un complemento), el aula 2.7w. Hemos probado las conexiones y la diferencia es sustancial frente a la opción wifi. También nos indican del CECAFI que pronto se dispondrá de cableado en otros laboratorios-aulas de prácticas.

Las conexiones, en un primer momento, serán autenticadas mediante 802.1x, con PEAP y con vuestras cuentas de usuario. Se ha probado tanto con Linux como con Windows y la conectividad es totalmente adecuada para poder desarrollar las prácticas y TGRs de cualquier asignatura. Además, siempre se tendrán las wifis para temas de movilidad y como red de "backup".

Quiero dejar constancia de todo mi agradecimiento al Centro de Cálculo de nuestra Facultad (CECAFI) por tratar de solucionar, en todo momento, y dentro de las posibilidades y disponibilidad de equipamiento existente, las necesidades de la asignatura de LSI. En especial a José Manuel Rodríguez Pedreira.

viernes, 5 de diciembre de 2014

Defensa Práctica 4 y Seminario 4

La defensa de la práctica 4 y seminario 4 tendrá como fecha límite la semana del 15 al 17 de diciembre, cada alumno en su correspondiente grupo-hora. No se podrán defender con posterioridad al grupo asignado. Se hará una defensa conjunta de práctica y seminario, en el mismo aula, para agilizar el proceso.

Los alumnos que tengan prácticas y seminarios previas sin defender están fuera de plazo según guía docente de la asignatura.

Por otro lado, dejad el apartado del fwbuilder para el final del todo. Algunos alumnos han ejecutado sus "scripts" reglas de firewall, han salido y se han filtrado, perdiendo conectividad con sus máquinas. Haced todos los apartados de la práctica y seminario, dejando para el final de todo el correr el firewall generado.

Prácticas legislación semana del 8 al 10 de diciembre

Se adjunta información remitida por el Prof. Ballesteros sobre las prácticas de legislación de la próxima semana.
-------------------------
Los estudiantes de los grupos de prácticas del lunes 8 de diciembre, que es festivo, pueden acudir a otro grupo de prácticas el martes 9 o miércoles 10 a la hora que les convenga: 8:30, 10:30 o 12:30. Si no pueden hacerlo deben enviar la práctica realizada por correo electrónico (hasta el miércoles 10 incluido).

Los estudiantes que acudan a alguna de las 6 sesiones prácticas del martes o miércoles no deberán entregar nada, pero SÍ haberla preparado para la clase.

Para responder la práctica es necesario consultar los temas 2 a 5 del temario.

Práctica LSI.docx

---------------------------

miércoles, 19 de noviembre de 2014

Clases LSI

Mañana jueves finaliza la parte teórica de seguridad informática y el viernes empezará la parte de teoría en legislación. Seguiremos en prácticas y TGRs en la parte de seguridad informática, a excepción de la semana del 8, 9 y 10 de diciembre, que estará dedicada a legislación.

martes, 18 de noviembre de 2014

Up máquinas de laboratorio

Vuelvo a recordar a todos que las peticiones de levantar máquinas deberán hacerse antes de las 14:30 de lunes a viernes.

viernes, 14 de noviembre de 2014

Práctica 2

Los apartados de inyección de paquetes y flooding quedan perdonados. No se tienen que hacer. Se tiene que saber a nivel teórico, pero nada más.

miércoles, 12 de noviembre de 2014

Una de motosierras

Hoy traigo una entrada que me ha gustado mucho, una de motosierras. Está remitida por mi colega Alejo que, al conocerme, sabe que este tipo de entradas de cacharreo me gustan.

Malabares con motosierras: De RAID-1 a RAID-5, de Debian a Mageia y 3 discos para todo

lunes, 10 de noviembre de 2014

Práctica opcional para conseguir una MH directa en LSI

Hoy mi colega Alejo me remite noticia referente al servicio Telegram. En resumen, le darán 300.000 dólares a quien consiga hackearles. Por mi parte, si alguien lo consigue, además de llevarse esos 300.000 dólares, cifra muy suculenta, irá acompañado de una MH directa en la asignatura.

Info. fuente aquí

Referencia telegram en https://telegram.org/blog/cryptocontest

martes, 4 de noviembre de 2014

Fechas límites defensa práctica 2 y seminario 2

La fechas límite para la defensa de la P2 y S2, en los correspondientes grupos-horas de cada alumno, será.:

P2 - Semana del 17 al 19 de noviembre
S2 - Semana del 24 al 26 de noviembre

Es recomendable que dichas semanas de defensa también se avance en la P4 y S4 para poder llegar en fecha a la defensa de las mismas.

El jueves 27 de noviembre comenzarán las clases de teoría de la parte de legislación, que este año impartirá el Prof. Alfonso Ballesteros Soriano. Además, la semana del 8 al 10 de diciembre las prácticas estarán dedicadas al ámbito de legislación.

viernes, 24 de octubre de 2014

Ataques DDoS legales, ¿existen ataques DDoS legales?

Hoy mi colega David me remite una noticia sobre un ataque DDoS legal que se producirá el próximo sábado.

Noticia disponible aquí.

jueves, 23 de octubre de 2014

DoS, algunas referencias de interés

Respecto al tema de D[D]oS, el Prof. Vázquez Naya remite algunas referencias sobre el tema, relacionadas con escenarios de ataques en NTP y DNS que se adentran, a nivel operativo, en uno de los aspectos que hemos tratado en clase, el factor de amplificación en este tipo de ataques. Se remata con una última referencia que refleja la evolución del D[D]oS en los últimos años.

http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks/
http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack/
http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/
http://www.defense.net/ddos-attack-timeline.html

Playing With Authenticode and MD5 Collisions

Tiene sus años, pero me parece interesante, en el marco de algunas de las cosas que estamos viendo en clase de LSI, para analizar.

Playing With Authenticode and MD5 Collisions

martes, 21 de octubre de 2014

Hacklab impresión 3D (FI de la UDC, 23 de octubre de 2014)

El GPUL organiza el próximo jueves 23 de octubre, a las 16:30, en el aula 2.0b de la FI de la Universidade da Coruña, el haclkab de impresión 3D.

Más información disponible aquí.

miércoles, 15 de octubre de 2014

OpenWIPS-ng (Open Source and Modular Wireless IPS)

Muy recomendable esta entrada sobre OpenWIPS-ng. No perderos el vídeo en el que Thomas apunta la mejor herramienta para solucionar los ataques DoS a redes Wifi, el BBRoS. Realmente es la más eficiente de todas. (-:

Google revela nueva vulnerabilidad en el protocolo SSL

Noticia sobre una nueva vulnerabilidad en SSL disponible aquí. Y van ????.

Comparto la apreciación que hace de esta noticia mi colega Alejo, "vaya cachondeo!".

Cancelados los seminarios de hoy miércoles 15 de octubre

A primer hora de la mañana se ha producido un incidente de tensión en el Centro de Cálculo de la FI. Como resultado, varios servidores y la red de almacenamiento han caído. Nos informan que posiblemente el servicio no se restablecerá hasta última hora de la mañana.

Por lo tanto, quedan cancelados los seminarios y las defensas del seminario 1 de los grupos del miércoles. Las correspondientes defensas del seminario 1 de los grupos afectados será en las clases de prácticas del miércoles de la próxima semana.

Seguiré informando según tenga noticias.

viernes, 10 de octubre de 2014

Seminarios del miércoles 15 de octubre de 12:30 a 14:30

Las revisiones de los seminarios de los grupos 1.2.2 y 1.2.1, de las 12:30 a 14:30 del miércoles 15 de octubre, se harán de forma conjunta. El Prof. Santos está convocado a las 12:30 a la comisión del grado de la FI, por lo que el Prof. Carballal se hará cargo de ambos grupos para la defensa del seminario 1.

La defensa de ambos grupos se hará en el aula 2.6w

jueves, 9 de octubre de 2014

InfoSec Conferences 2014 (Palexco, A Coruña, 29-31 octubre)

Las conferencias serán los días 29, 30 y 31 de Octubre desde las 9:00am a 7:00pm. Habrá dos temas principales: Seguridad y JavaScript. La entrada básica te dará acceso a todas las charlas, son gratis!

Información sobre el evento disponible aquí.

Además de las conferencias, también habrá talleres. Entre ellos, uno de Securización de Servidores Linux.

martes, 7 de octubre de 2014

Cambio de asignación de aula de los TGRs de los miércoles

Desde la FI nos han solicitado que los TGRs de los grupos 222, 322 y 122 que se hacen en el aula 0.1w pasen al aula 0.4w. Por lo tanto, dichos TGRs pasarán a impartirse en el aula 0.4w

lunes, 6 de octubre de 2014

Peticiones máquinas virtuales

Cualquier petición de levantar máquinas virtuales deberá hacerse de lunes a viernes antes de las 14:30.

domingo, 5 de octubre de 2014

Máquinas virtuales

Hoy 5 de septiembre, a las 24:00, tiraremos abajo todas las máquinas virtuales, para iniciar esta semana las defensas de la P1.

martes, 30 de septiembre de 2014

Fecha límite defensa práctica 1 y seminario 1

Los días 6, 7 y 8 de octubre son las fechas designadas para defender la práctica 1. Cada alumno deberá hacerlo en el grupo de practicas en el que está matriculado, no permitiendo cambios de grupo para defensa.

Los días 13, 14 y 15 de octubre son las fechas designadas para defender el seminario 1. Cada alumno deberá hacerlo en el grupo de practicas en el que está matriculado, no permitiendo cambios de grupo para defensa.

miércoles, 24 de septiembre de 2014

Grave vulnerabilidad en bash

Bueno, aquí no se libra ni ...

Hoy mi colega Alejo me remite referencia de la noticia aparecida en SbD sobre una grave vulnerabilidad en bash. Noticia disponible aquí. Nuevamente estamos ante un problema de validación incorrecta.

lunes, 22 de septiembre de 2014

Junta de Facultad lunes 22 a 12:30

Hoy lunes 22 de septiembre habrá junta de facultad a las 12:30, por lo que los grupos 112 y 111 no tendrán seminarios de LSI. Por favor, agradecería que dichos alumnos se incorporasen esta semana a alguno de los grupos de seminarios del martes o miércoles.

jueves, 4 de septiembre de 2014

Prácticas y seminarios curso 2014-2015, ...

Tal y como se ha hecho figurar en el blog, a diferencia de cursos académicos anteriores, se ha decidido hacer optativas la práctica 3 y el seminario 3. Esta decisión está motivada por la última normativa en evaluación aprobada en la universidad y la obligatoriedad, como es lógico, de su cumplimiento.

Prof. A. Santos.

miércoles, 3 de septiembre de 2014

El protocolo de Bitcoin, mercado, minado y otras criptomonedas

Recientemente nuestro compañero del blog del blog de seguridad, desarrollo e innovación tecnológica nos remite referencia a la entrada de interés "El protocolo de Bitcoin, mercado, minado y otras criptomonedas".

Gracias por el aporte

Inicio asignatura LSI curso 2014-2015

Estimados alumnos, el próximo lunes 8 de septiembre se inician las clases de LSI. De lunes a miércoles empezaremos con las prácticas, para lo que deberéis presentaros con vuestros portátiles con conectividad wifi a las redes de la UDC, conectividad VPN y un cliente ssh. La primera clase la dedicaremos a la asignación y configuración de máquinas virtuales.

Todo tipo de información sobre la asignatura, contenidos, evaluación, etc. disponible aquí.

Cualquier duda estamos a vuestra disposición,

jueves, 10 de julio de 2014

En la brecha.: Blog de seguridad e innovación

He incluido en la sección en la brecha el blog de nuestro compañero David Albela, con unas entrada muy interesantes y totalmente recomendables en el mundo de la seguridad.

Blog disponible aquí.

domingo, 6 de julio de 2014

Exámenes de LSI y de PSI julio 2014

El próximo martes, 8 de julio, a las 15:30, nos vemos en el examen de LSI. Cualquier cosa estoy a vuestra disposición.

Y el miércoles 9 de julio, a las 11:30, será el de PSI.

Charlas en vídeo de la RootedCON 2014

Accesibles desde el lado del mal aquí.

[Fuente.: Uxío, gracias]

viernes, 30 de mayo de 2014

La fotografía del mes, "aprobarás se escribe con b !!!!"

Hoy, al llegar a la facultad, me encontré al Prof. Novoa haciendo una fotografía a un cartel del tablón de anuncios. Después de saludarle me invitó a unirme al espectáculo. Ante nuestros ojos un curioso cartel, al que por respeto he cortado el teléfono de contacto que figuraba en la parte inferior. Adjunto la fotografía.

miércoles, 28 de mayo de 2014

Sesión informativ​a de Telefónica "Galicia Open Future" (Faculta de Informática, Universidade da Coruña, 29 mayo 2014)

Este Xoves 29 de Maio as 12:30, na Aula de Graos da FIC, Telefónica impartirá unha sesión informativa sobre a iniciativa de apoio a emprendedores "Galicia Open Future".

Mais información: http://www.fic.udc.es/files/29062/29062OpenIdeas.pdf

martes, 13 de mayo de 2014

Conoce a Telecom Galicia (FI de la UDC, 15 de mayo de 2014)

Conoce a Jacobo Penide Quintela
Director de Estrategia y Desarrollo de Negocio de TELECON

Telecon es una empresa tecnológica especializada en el diseño, desarrollo, fabricación y comercialización de redes inteligentes de monitorización y control aplicadas a la seguridad, eficiencia energética y telemedida de agua y energía.

En la ponencia se comentarán aspectos clave del proceso de diseño y desarrollo de productos electrónicos con software embebido. Se explicarán las fases principales para,  partiendo de una idea y una necesidad de mercado, llegar a un producto final industrializable y competitivo en un mercado global.

Lugar: Aula de Grados Víctor Gulías de la Facultad de Informática de la UDC
Fecha: jueves 15 de mayo de 2014
Hora:  12:00

miércoles, 9 de abril de 2014

Heartbleed, otro fallo extremadamente grave en una librería SSL

Con perdón por la palabra, tremenda "CA..DA". Ayer me remitía mi colega Alejo referencia a este nuevo fallo en el maravillo mundo de la SSL. Noticia disponible aquí.

viernes, 21 de marzo de 2014

How I got root with Sudo

Mi colega Uxío me remite enlace a una entrada que creo muy didáctica en el contexto de la asignatura de LSI.

- How I got root with Sudo

miércoles, 19 de marzo de 2014

Sistema de monitorización de redes WI-FI (proyecto fin de carrera)

Traemos a esta entrada el documento del magnífico PFC de Rubén Hortas Astariz. Un trabajo que integra tanto el mundo de los sistemas como del desarrollo software. Como resultado, un entorno totalmente amigable en la monitorización y detección de anomalías en redes WIFI. En nombre del tutor del proyecto y del mío propio, nuestra enhorabuena por el trabajo realizado.

 - PFC "Sistema de monitorización de redes WI-FI" (por Rubén Hortas Astaríz)

jueves, 6 de marzo de 2014

Se descrubre otro fallo muy grave en una librería SSL

Buff, la historia se repite, otra vez asistimos a un gran fallo en "la capas de las capas" de la securización de gran parte de las comunicaciones de los mortales. Se descubre otro fallo muy grave en una librería SSL, esta vez en Linux.

[Fuente.: Alejo por email, nuevamente gracias]

jueves, 27 de febrero de 2014

miércoles, 26 de febrero de 2014

Reports PSI segundo cuatrimestre 2013-2014


Son pocos los alumnos de PSI 2014 que está sin asignación de tema de "report" en seguridad. Para más información sobre temáticas, contenido, etc. recomiendo ver algunos de los publicados hasta la fecha.

- "Reports" PSI-LSI disponibles aquí

martes, 25 de febrero de 2014

Democracia 2.0

A esta entrada traemos una conferencia-charla de Víctor Salgado, de Pintos y Salgado Abogados, en el marco del TEDxGalicia. Compañero y amigo con el que cada cierto tiempo suelo compartir todo tipo de conocimientos delante de una taza de café. Charla muy interesante en la que podemos ver, una vez más, una de las muchas aplicaciones de los algoritmos criptográficos, en este caso en la forma de voto electrónico.


miércoles, 19 de febrero de 2014

Tuning de cajeros automáticos

Mi colega Carpente me remite un video ilustrativo sobre "tuning" en cajeros automáticos. Nada nuevo, pero original ver el sencillo proceso de montaje-desmontaje.


jueves, 6 de febrero de 2014

Cierra de Actas LSI conv. enero 2013-2014

Hoy se han cerrado las actas de LSI, convocatoria de enero. A los que han superado la asignatura enhorabuena. A los que no, pediros un esfuerzo extra para la próxima convocatoria. Alguno me ha indicado la posibilidad de subir nota en las prácticas. Al respecto, no teniendo disponibilidad en el segundo cuatrimestre de vuestras máquinas virtuales, creo más aconsejable el desarrollo de un pequeño "report" a nivel práctico. Cualquier duda sobre la materia, etc., etc., estoy a vuestra disposición.

miércoles, 5 de febrero de 2014

Información para los alumnos de PSI del segundo cuatrimestre 2013-2014

Esta entrada está destinada a los alumnos de PSI, no de LSI, matriculados en este segundo cuatrimestre del curso 2013-2014. Ante la pregunta del método de evaluación, será mediante un "report" de trabajo individual. Se valorará temática, nivel de desarrollo práctico, interés, nivel técnico, nivel de desarrollo escrito, etc. En su defecto, la evaluación se hará sobre examen a celebrar en fecha oficial.

Todos los alumnos matriculados deberán enviarme propuesta de "report" antes del día 28 de febrero de 2014. Incluid título del "report" y una breve descripción de la temática que se abordará.

Esta misma información-petición se ha remitido a todos los matriculados por email. Por cierto, uno de vosotros tiene mal re-direccionado su email (Flavio mira la redirección que tienes para evitar que pierdas correo electrónico).

Cualquier consulta, aclaración, búsqueda de temática, etc., estoy a vuestra disposición.

viernes, 31 de enero de 2014

Parando ataques chapuza NTP-Reflection

Mi colega Alejo me referencia una entrada que ilustra muy bien la problemática de seguridad y algunas de las cosas en las que siempre incidimos en la asignatura. Es habitual encontrar alumnos que ante la pregunta del tipo,  ¿qué hace ese servicio de red corriendo en tú máquina?, la respuesta es, no sabe, no contesta, o qué hará ese servicio, entre otras muchas.

Esta entrada ilustra dicha problemática, unido a otro de los temas tratados en LSI, los ataques de denegación de servicio, la configuración de servidores NTP, o el uso de filtros, etc.

Parando ataques chapuza NTP-Refelction

Calificaciones LSI convocatoria enero

Informaros que están publicadas las calificaciones de LSI. También han sido notificadas por SMS.

Revisiones de exámenes el miércoles 5 de febrero a las 10:30.

lunes, 27 de enero de 2014

Pregunta 29 del examen de LSI anulada

La pregunta 29 del examen de LSI ha sido cancelada. El enunciado dice "Respecto a la regulación jurídica de la firma electrónica, indique la alternativa FALSA". En lugar de FALSA debería indicar VERDADERA.

sábado, 25 de enero de 2014

Bruteforce WPS con inflator (por S. Baamonde)


Desde el 2011 la enorme "cagada" de implementación de WPS, descubierta por Stefan Viehboech, ha facilitado, en muchos entornos, la ruptura de redes WIFI. En este report, titulado "Bruteforce WPS con inflator", S. Baamonde hace una revisión de WPS, el problema derivado de su implementación y el uso de la herramienta inflator para el proceso de ataque y obtención de claves WPA.

Comunicaciones seguras en un canal no seguro pero estable (por J. Enes y L. Lorenzo)


Al ver el título de este "report", "Comunicaciones seguras en un canal no seguro pero estable", lo primero que me viene a la cabeza es si realmente existen canales estables, "seguros seguro que no".

Bueno, en este pequeño "report" de Jonatan Enes y Luis Lorenzo, se trata un tema clásico en nuestro mundo, el cifrado de canales no seguros. En esta ocasión entran en el proceso de cifrado del chat de Facebook, aunque es generalizable a otras plataformas.

AES

Sobre AES recomiendo un vistazo a http://es.wikipedia.org/wiki/Advanced_Encryption_Standard

Algunos alumnos me lo han asociado-clasificado con los criptosistemas asimétricos, incluso otros lo han considerado una función de codificación.

Recuerdo que el día de clase que expliqué tres conceptos para que quedasen muy claros, poniendo ejemplos, etc., etc. (algoritmos criptográficos, codificadores y funciones hash) había una gran número de ausencias en el aula.

modsecurity

Tratando otras cuestiones planteadas en el examen, http://www.modsecurity.org/

viernes, 24 de enero de 2014

LAG

Link Aggregation Channel

Se puede hacer un LAG entre varios puertos para luego "mirrorear" tráfico de otros puertos y evitar un posible cuello de botella.

También para temas de redundancia en interfaces de red, etc., etc.

Para "jugar" en las debían tipo las de laboratorio, por ejemplo en una máquina virtual con dos interfaces de red, también se puede hacer un LAG sobre los correspondientes tarjetas-dispositivos de red.

viernes, 17 de enero de 2014

Documentación LSI

La próxima semana tenemos el examen de LSI. Una forma de empezar a repasar lo visto es utilizando la documentación de la asignatura disponible aquí. Mi especial agradecimiento al Prof. Naya por preparar este material.

Esta documentación-transparencias constituye una magnífica base para preparar la asignatura, siempre complementado por los apuntes de clase y las prácticas.

martes, 14 de enero de 2014



CICLO DE CONFERENCIAS DE LA CÁTEDRA INDITEX-UDC DE R.S.
Conferencia
Responder de la responsabilidad. Ética desde las fronteras de la injusticia

Ponente
D. Sebastián Mora Rosado
Secretario General de la Confederación Cáritas Española

Fecha: Jueves 23 de Enero / 13:00 h.
Lugar: Salón de Grados de la Facultad de Economía y Empresa de la UDC. Campus de Elviña, s/n. A Coruña

Confirmación de asistencia, antes del día 21 de enero de 2014, a través del email secretaria.csocial@udc.es



domingo, 12 de enero de 2014

Ataques de denegación de servicio usando servidores NTP

S. Baamonde me remite una noticia bajo el título "Ataques de denegación de servicio usando servidores NTP". En LSI hemos trabajado tanto la problemática del DoS y también configurado servidores NTP. En esta noticia se vincula el DoS y el NTP.

Noticia disponible aquí.

jueves, 9 de enero de 2014

Reports

Recordaros que los que me han enviado tema para hacer un report tienen de fecha límite de entrega la del examen. Toda temática de report tiene que ser previamente enviada y aprobada. No sirve aparecer a última hora con un report no puesto en conocimiento. Y tampoco pedir hacer uno después del examen.