2017-12-10

Como bloquear una dirección IP desde .htaccess

Administrar una web es tener a cargo un montón de tareas que en muchas maneras se refiere a optimizar sus recursos, pero que también está ligado a analizar desde donde pueden llegar los próximos ataques.

Figura 1: Como bloquear una dirección IP desde .htaccess

Los que solemos utilizar el Servidor Web Apache2, tenemos una gran herramienta para implementar y es hacer uso del archivo .htaccess

.htaccess es una archivo de configuración del servidor web que permite extender algunas configuraciones para una aplicación en particular, activar y desactivar módulos, ocultar mensajes de error, redireccionar, evitar un Full Path Disclosure y limitar peticiones, etc.

Por otro lado, es sabido que cuando logramos detectar una actividad sospechosa desde algún origen asociado a su dirección IP, podemos comenzar a actuar de una forma pro-activa.

Con esto no quiere decir que se está recibiendo ataques, o caer en falsas paranoias, sino que se trata simplemente de actuar y avanzar.

Por ejemplo, si desde un archivo log notamos varios request en pocos en intervalos cortos de tiempo (milisegundos) o comenzamos a recibir mucho #SPAM desde un origen es momento de actuar.

Bloquear una dirección IP


Entre las bondades del archivo .htaccess es posible limitar los tipos de peticiones y las direcciones IP de su origen de la siguiente forma:

<Limit GET HEAD OPTIONS POST PUT>
Order Allow,Deny
Allow from All
Deny from 91.200.12.
</Limit>

De esta manera estamos especificando no solamente los métodos que queremos bloquear como ser GET, HEAD, OPTIONS, POST y PUT, sino que además podemos especificar las direcciones IP o rangos de IP públicas desde donde estamos recibiendo una actividad distinta.

2017-12-02

Actualización de Seguridad en #WordPress 4.9.1

A días de ser publicada la versión final de WordPress 4.9 "Tipton", ya se encuentra publicada una actualización de Mantenimiento y Seguridad 4.9.1.

Figura 1: Actualización de Mantenimiento y Seguridad en WordPress 4.9.1

Las versiones de WordPress 4.9 y anteriores están afectadas por problemas de seguridad que podrían, potencialmente, ser aprovechados como parte de un ataque en varios vectores. Como parte del lanzamiento en marcha del equipo principal del núcleo, para fortalecer las seguridad, se han implementado las siguientes soluciones en la versión 4.9.1

WordPress 4.9.1


Se han solucionado otros once fallos en WordPress 4.9.1. En concreto citamos estos:

  • Problemas relacionados con la caché de los archivos de plantillas de temas.
  • Un error de MediaElement JavaScript que impedía que usuarios de ciertos idiomas pudieran subir archivos de medios.
  • La imposibilidad de editar archivos de temas y plugins en servidores basados en Windows.
Por esta razón, es recomendable llevar esta actualización de WordPress la última versión revisada para evitar que los datos sean comprometido.

Figura 2: Máxima Seguridad en WordPress

Recuerden que desde mi libro "Máxima Seguridad en WordPress" publicada por la editorial 0xWORD, van a encontrar mcuhos tips y recomendaciones para mantener un WordPress sano y "fuerte" y por otro lado los invito a apuntarse al curso HCSWP - Seguridad en entornos WordPress por The Security Sentinel.

Figura 3: Segurdad en entornos WordPress

2017-11-29

Se viene una nueva edición del CyberCamp 2017

CyberCamp es el gran evento nacional en materia de ciberseguridad para la sociedad promovido por INCIBE, el Instituto Nacional de Ciberseguridad de España.

Figura 1: CyberCamp 2017

Con el fin de promover la cultura de ciberseguridad de la sociedad y mitigar el continuo deterioro debido a amenazas cibernéticas de nuestro mundo dependiente de las nuevas tecnologías, CyberCamp pretende identificar, formar y promover la implicación de las personas en el mundo de la ciberseguridad para poder mantener la estabilidad y el desarrollo de nuestra sociedad en general.

Para ello, CyberCamp ofrece una serie de actividades para profesionales, empresas interesadas en el tema o la sociedad en general. Estas actividades se desarrollan en un programa específico, donde charlas y talleres impartidos por algunos de los mejores expertos en ciberseguridad de nuestra sociedad, el foro de empleo y talento online, competiciones entre los aspirantes a talentos en la materia o actividades educativas para el público en general, materializarán el fin que CyberCamp promueve.

En definitiva, CyberCamp es un punto de encuentro de la ciberseguridad donde todos los miembros de la sociedad tienen su lugar para aprender y desarrollarse en un valor primordial para la sociedad actual: el uso responsable y seguro de la tecnología.

CyberCamp 2017 se celebrará en Palacio de Exposiciones y Congresos de Santander, del 30 de noviembre al 3 de diciembre de 2017.

CyberCamp es un evento totalmente gratuito. Tan sólo será necesario que rellenes un formulario que te permitirá entrar y participar en las actividades que más llamen tu interés, pasando así a formar parte de esta fiesta de la ciberseguridad: https://cybercamp.es/registro2017


Charlas y Talleres

CyberCamp 2017 contará con importantes charlas y talleres impartidos por grandes expertos en la materia de ciberseguridad. Si pretendemos que nuestra sociedad esté preparada para afrontar la continua amenaza de ciberataques, necesitaremos profesionales preparados para responderlos. Por ello, somos muy conscientes de la importancia de formar y aumentar de forma continua profesionales de calidad en ciberseguridad.

En consecuencia, desde CyberCamp se realiza un fuerte esfuerzo para traer a los mejores expertos nacionales y grandes colaboraciones internacionales para impartir conocimientos útiles actuales y de calidad.

Pueden ingresar a la agenda https://cybercamp.es/programa/agenda para conocer en detalle todos los conferencistas y el cronograma de las charlas.

Además no se pueden perder el Foro de empleo, las competiciones, CTF, Cyberolympics y Hackaton.

Aquellas personas que tengan la posibilidad de asistir, no se pierdan de este gran evento junto a grandes profesionales.

Enlace | CyberCamp 2017

2017-11-01

Actualización de Seguridad en #WordPress 4.8.3

Ya se encuentra disponible la actualización de seguridad de WordPress en su versión 4.8.3. Por esta razón es recomendable actualizar todos los proyecto que utilizan las versiones anteriores para lograr mitigar el problema.

Figura 1: Actualización de Seguridad en WordPress 4.8.3

En las versiones anteriores de WordPress se identificó una vulnerabilidad que afecta a la Clase $wpdb->prepare() donde es posible generar peticiones inseguras e inesperada, según lo informa el sitio web oficial de WordPress, donde podrían generar potenciales ataques de Inyección SQL.

Si bien se especifica que el core de WordPress no es vulnerable por sí mismo a este problema, sin embargo se refuerza en una actualización debido a que esta clase es utilizada en diferentes Themes o Plugins que incorporan los proyectos en general.

WordPress 4.8.3

Anthony Ferrara, fue el investigador quien colaboró en el descubrimiento y anuncio de esta vulnerabilidad, antes que caiga en manos equivocadas y sea explotada por otros medios.

Para conocer más sobre las modificaciones que incorpora esta nueva versión, los invito a revisar las notas de los desarrolladores.

Si estás interesado en aprender a mejorar y fortificar la seguridad de tus proyectos web, no dejes de consultar en The Security Sentinel por el Curso de "Seguridad en entornos WordPress" y llevate mi libro "Máxima Seguridad en WordPress" publicado en 0xWORD.

Figura 2: The Security Sentinel

Saludos!

Fuente | WordPress 4.8.3 Security Release

2017-10-25

Estimado usuario, esto es #Phishing

Hoy recibí un particular correo escrito en lenguaje elfico, con la intención de engañar al usuario, para que le otorgue su contraseña e información personal a un enlace que figura en el correo.

Siempre atentos a este tipo de campaña, que buscan encontrarse con un usuario confundido y confiado. 

El Phishing


Figura 1: Correo con Phishing

Figura 2: Formulario que solicita datos al usuario

Saludos!

2017-10-03

HCSWP - Seguridad en entornos #WordPress

Nuevo Curso Online de Seguridad en entornos WordPress para la plataforma de "The Security Sentinel"


En este curso serás capaz de obtener una visión de la seguridad de WordPress y las diferentes capacidades para proteger entornos WordPress.

El curso propone una serie de semanas en las que se irán viendo las diferentes capas de seguridad que tienen los sistemas WordPress.

El enfoque del práctico es eminentemente práctico.

El alumno tendrá un avance supervisado y guiado a través de la comunicación online, facilitando la comprensión de los conceptos expuestos en el curso.

Allí les voy a dar un enfoque a los siguientes temas:

Semana 1: Entendiendo necesidades de seguridad en WordPress


  • Introducción a la Seguridad en WordPress
  • Estructura interna de cada proyecto.
  • Instalación de WordPress.

Semana 2: Configurando seguridad del usuario en WordPress


  • Usuarios y Roles en WordPress.
  • Configuraciones de Seguridad.
  • Fortificando la autenticación de Usuario.

Semana 3: Aplicando capa de protección al framework


  • Seguridad en Plugins.
  • Catalogo de Plugins y recomendaciones.
  • Seguridad en Themes.

Semana 4: Auditoría, política de restauración y política de actualización


  • Políticas de actualización.
  • MySQL y WordPress.
  • Restauración ante desastres.
  • Auditorías en WordPress.

A quienes participen de esta formación, como obsequio se va a obsequiar el libro "Máxima Seguridad en WordPress" publicado por la editorial 0xWORD.


A quienes están interesados, no dejen de realizar sus consultas a The Security Sentinel y además no se pierdan de todas las ofertas de educación técnica en temas de Seguridad que brinda esta plataforma.

Saludos!

2017-09-20

Actualización de Seguridad en #WordPress 4.8.2

El equipo encargado del desarrollo de WordPress, publicó un nuevo parche de Seguridad crítico para la versión 4.8.2

Figura 1: Actualización de Seguridad WordPress 4.8.2

Se corrigieron 6 errores encontradas en las versiones anteriores y 9 fallos de seguridad principalmente de tipo XSS.

Para conocer como adoptar nuevos hábitos de seguridad y poder llevar a otro nivel la fortificación de sus proyectos en WordPress, junto a los chicos de la editorial 0xWORD publicamos "Máxima Seguridad en WordPress".

Figura 2: Máxima Seguridad en WordPress

Saludos!

Enlace | WordPress 4.8.2 Security and Maintenance Release

2017-08-07

Esoteric Web Application Vulnerabilities 2.0 por @w3af

Hoy quería aprovechar para compartir el último Webinar de los chicos de Ekoparty 2017 de la mano de Andrés Riancho @w3af 

Figura 1: Ekoparty 2017

Este webinar muestra un conjunto de extrañas y esotéricas vulnerabilidades en aplicaciones Web que han sido detectadas durante los análisis de seguridad realizados por Andrés.

La charla tiene el mismo formato que "Esoteric Web Application Vulnerabilities" donde se presentan diversas vulnerabilidades en aplicaciones Web, mostrando código vulnerable y como reparar el mismo.

Algunos de los temas a tocar serán: Insecure Crypto, CORS Origin Match, Faking online payments .

No se pierdan de este excelente Webinar!


Andrés Riancho @w3af es experto en seguridad en aplicaciones Web. Actualmente lidera el proyecto de código abierto w3af y provee servicios de análisis de seguridad.

En el ámbito de la investigación ha identificado numerosas vulnerabilidades en sistemas de detección de intrusos de 3com e ISS, y múltiples en aplicaciones Web. Contribuyó con la investigación sobre seguridad en SAP en su empleo anterior y ha desarrollado w3af, Web Application Attack and Audit Framework, una herramienta utilizada extensamente por penetration testers y consultores de todo el mundo. También ha sido invitado a conferencias como BlackHat, PHDays, SecTor, CONFidence, OWASP AppSec, CanSecWest, Ekoparty y T2.

Saludos!

2017-07-30

Google Hack: Buscando Logs en el Plugins File Manager de #WordPress

¿Como podemos evitar exponer más información de la que realmente necesitamos mostrar en un proyecto web? Esta tarea es sin duda un trabajo muy fino que deberíamos aplicar a cada sitio y la verdad que no es para nada simple.

Figura 1: Buscando Logs en el Plugin File Manager de #WordPress

El mínimo punto de exposición, es uno de los principios del Hardening para mejorar la seguridad de cualquier aplicación, y es el punto de inicio de ese proceso.

Hoy les quería mostrar un pequeño Google Hack que encontré hace un par de días y que ya se encuentra publicado en Exploit-db, en donde el Plugin File Manager de WordPress exponer un archivo Log bastante interesante.

inurl:"wp-content/uploads/file-manager/log.txt"

Figura 2: Google Hack


Pese a que esta búsqueda en Google es bastante general y es posible encontrar casi 500 posibles webs expuesta, la plataforma de Plugins de WordPress indica que existen más de 50.000 instancias activas y que potencialmente podrían ser comprometidas.

Figura 3: Resultado de log.txt

Ya sea en un plugin de WordPress, Joomla! o cualquier CMS. No olviden que antes de exponer un sistema o una web a Internet, tomen el tiempo de realizar un análisis exhaustivo de todos y cada uno de los componentes que incorporan y seguir los procesos de auditorías.

Saludos!

2017-07-13

Que pasa cuando las Funcionalidades son más complejas que los modelos de Seguridad #WordPress

El día de hoy voy a tratar de dar un punto de vista a una de las noticias más comentadas de la semana pasada como fué los más de 300.000 sitios vulnerables por un fallo de seguridad en un Plugins de WordPress.

Figura 1: Que pasa cuando las funcionalidades som más complejas que los modelos de Seguridad

La situación para llegar a este punto es más compleja y hasta quizás más profunda de analizar, pero voy a tratar de hacer un resúmen no solo de lo que pasó, sino también como podemos estar un poco más alerta.

A fines del mes de Junio, el equipo de investigadores de Sucuri, descubre y publica un fallo de seguridad, en la que afectar a un Plugin de WordPress llamado WP Statistics en su versión 12.0.8

Al parecer, según la publicación escrita por Sucuri, es posible llevar adelante un ataque por medio de una vulnerabilidad SQL Injection en uno de los parámetros no controlado por el desarrollador del Plugin.

Como siempre, hay que reconocer el excelente trabajo de Sucuri, al informar y alertar sobre los posibles problemas a quienes están a cargo del desarrollo de éste Plugin, ya que corresponde sin duda una gran responsabilidad.

Para hacer un poco de memoria, afortunadamente, hoy contamos con bases de datos de vulnerabilidades como WPScan Vulnerability Database donde podemos encontrar estos datos:

Figura 2: WPScan Vulnerability Database

Estos datos tienen que ser una fuente importante al momento de decidir si un Plugin va a pertenecer o no a un Proyecto de WordPress.

Otra fuente importante es el archivo ChangeLog que incorpora el Plugin de forma obligatoria, donde allí es posible seguir la evolución el proyecto y algunos detalles más.

Con esto no vamos a decir que WP Statistics no es un buen Plugin, sino que el analista o la persona que está a cargo de llevar adelante la implementación de WordPress tiene que conocer estos datos y el antecedente de cada componente dentro del proyecto.

Ésto es algo implícito que se sabe al momento de instalar WordPress o cualquier CMS como Joomla!, Drupal, PrestaShop, etc, donde por ninguna razón se garantiza la seguridad del proyecto.

Otro punto que se descuida son las actualizaciones, o lo que se vió en muchos casos luego de esta noticia, es que en muchos proyecto se desactivó el plugin para dejar de trackear la información pero dejaron el directorio del Plugin sobre el servidor, que a nivel técnico es posible seguir comprometiendo.

¿Esto se podría haber evitado?


Puede que si o puede que no, la realidad es que hoy fue un Plugin muy popular donde era de esperar que el impacto sea muy grande, mañana el problema puede estar en otro Plugin, en una librería o incluso sobre el mismo core de WordPress.

Lo más importante que tenemos que entender es que las funcionalidades no tiene que ser más complejas o sobrepasar las medidas de seguridad, de lo contrario no estaremos haciendo un buen trabajo al mantener la seguridad de WordPress.

En el ecosistema de WordPress es muy importante estar dispuesto a mantener una actualización en cada uno de los componentes importantes. WordPress es un gran proyecto que mantiene a sus usuarios acostumbrados a publicar varias actualizaciones por cada versión.

Si a priori sabemos que los componentes a lo largo del tiempo se van a actualizar, lo mejor que podemos hacer es redactar y poner en práctica como es la forma que vamos a actuar al momento que esto ocurra, cuáles van a ser los procedimientos que se van a ejecutar cuando ocurra X o Y evento.

De esta manera, cuando ocurra este tipo de publicaciones, rápidamente vamos a saber como actuar, e independientemente del valor de proyectos comprometidos, vamos a saber como actuar en el momento indicado.

Para conocer como adoptar nuevos hábitos de seguridad y poder llevar a otro nivel la fortificación de sus proyectos en WordPress, junto a los chicos de la editorial 0xWORD publicamos "Máxima Seguridad en WordPress".

Figura 3: Máxima Seguridad en WordPress

Saludos!

2017-06-22

2 herramientas para generar reportes en #SQUID

Una de las tareas principales de los administradores de red es tomar el control de todos y cada uno de los recursos, como así también optimizar los servicios brindados.

Figura 1: 2 herramientas para generar reportes en SQUID

Para mejorar el rendimiento y la experiencia de navegación suelo utilizar un servicio de Proxy llamado SQUID como así también para generar políticas de navegación gracias a sus ACL, aceleración en las consultas y control de ancho de banda por medio de sus delay_pools.

2 herramientas para generar reportes en SQUID


1) SARG - Squid Analysis Report Generator: Es una herramienta indispensable para mantener el control detallada de la actividad de cada usuario dentro de su navegación a Internet, por otro lado permite estimar la cantidad acumulada de recursos consumidos y todo por medio de un reporte web muy intuitivo.

Figura 2: SARG

En todo momento, gracias SARG es posible visualizar el TOP de sitios medido por la cantidad de request solicitados, los dominios que ingresó cada usuario, Descargas, accesos denegados por alguna ACL y fallos en la autenticación.

Como instalar SARG


Para poder instalar el generador de reportes SARG simplemente es necesario ejecutar en los sistemas Debian:

$ apt-get install sarg

Si todo finalizó correctamente, pueden editar su archivo de configuraciones alojado en /etc/sarg/sarg.conf donde desde allí van a poder ajustar algunos parámetros.

2) Calamaris - Se trata de otro generador de reportes, escrito en el lenguaje Perl5 y al igual que SARG, en sus reportes utiliza como input el archivo log que genera el servicio de SQUID.

Figura 3: Calamaris

En lo personal utilizo calamaris no tanto desde el cron de GNU/Linux, sino en determinados periodos para conocer de forma rápido valores como el funcionamiento del cache, y la forma en la que está trabajando, los tiempos en sobrecarga del servidor y la cantidad de request.

Además de un resumen, calamaris les puede mostrar más de 15 categorías de información, como los protocolos más usados, dominios más consultados, funcionamiento del caché, extensiones de archivos descargados, etc.

De no ser configurado correctamente, es posible encontrar algunos Dorks en Google.

Como instalar calamaris


Para instalar calamaris en sistemas basados en Debian, pueden ejecutar:

$ apt-get install calamaris

Y para comenzar a probarlo, los invito a que ejecuten la siguiente secuencia de comandos.

$ cat /var/log/squid3/access.log | calamaris -a | less

Suponiendo que el archivo access.log se encuentra en el PATH mencionado para el ejemplo.

Ya sea que necesitemos información de una herramienta específica o haciendo uso de más recursos, la idea de generar reportes no solo es un beneficio para conocer como responde el servicio al esquema de la red, sino también para depurar errores, ACL, y saber con precisión datos tales como, la cantidad de usuarios detrás de nuestro proxy, el consumo diario promedio de los usuarios y el rendimiento de nuestro servicio Proxy en la red.

A poner en práctica estas herramientas, y me gustaría que dejen en sus comentarios más herramientas que utilizan para conocer la salud de sus implementaciones de Squid.

Saludos!

2017-06-19

WebApp Information Gatherer con #wig

Hoy les quería compartir una de esas herramientas geniales para iniciar los procesos de Pentesting y específicamente en su primera etapa que es la recolección de información.

Figura 1: WebApp Information Gatherer con wig

Se trata de wig - WebApp Information Gatherer, una herramienta escrita en Python3 para la línea de comandos que permite recopilar información de aplicaciones webs y de numerosos CMS tales como WordPress, Joomla!, Drupal, Magento, PHPbb, phpMyAdmin, entre los más populares.

Con un dato un poco más técnico, wig utiliza una base de inferencia por ejemplo de firmas md5, expresiones regulares, cabeceras, etc para determinar algunas versiones específicas de alguno de los productos mencionados.

Figura 2: Firmas md5 en la base de conocimiento de wig

De esta manera, wig tiene como objetivo buscar y exponer la mayor cantidad de información posible, como tecnologías que se utilizan en un determinado proyecto web, subdominios encontrados para el dominio especificado en el escaneo, archivos y directorios interesantes y por supuesto enlaces a las vulnerabilidades detectadas.

Por otro lado, wig permite brindar recomendaciones sobre otras herramienta que se podría utilizar para obtener más información una vez detectado algún producto.

Para obtener wig, es posible clonar su repositorio a su ordenador local de la siguiente manera:

$ git clone https://github.com/jekyc/wig.git

Para comprender y ver una demo de como wig nos puede ayudar en nuestras auditorías, les comparto un pequeño video.


Saludos!

Enlace | wig - WebApp Information Gatherer en GitHub

2017-06-06

Como redimensionar un disco virtual #KVM

Desde hace tiempo estoy trabajando a diario con servidores virtuales, particularmente con esquemas qemu-kvm pese a que en varias oportunidades he tenido la suerte de probar otros hipervisores tales como Hyper-V, VMWare y VirtualBox.

Figura 1: Como redimensionar un disco virtual #KVM

Aún recuerdo cuando comencé a utilizar infraestructura de virtualización, realizar todas las operaciones en servidores virtuales sobre un mismo dispositivo físico es genial, por que uno logra una abstracción al hardware realmente muy interesante sin perder performance y escalando rápidamente.

Sin embargo, esta semana me tocó volver a los libros y realizar una tarea que resultó ser más interesante de lo que pensaba y se basaba en la siguiente ejemplo.

Sobre un servidor virtual ya creado, se estaba quedando ajustado de espacio físico en su disco virutal, por ejemplo un disco virtual de 40GB en un formato qcow2 llamado "servidor-0010.qcow2".

Sea por las razones que fueran, el disco ya estaba casi completo, por lo que el objetivo era aprovechar el potencial de la virtualización, agrandar el disco virtual por lo menos al doble y finalmente hacer que el sistema operativo lo reconozca.

Otra de las opciones interesante de la virtualización, es tener la posibilidad de montar escenario de pruebas, a partir de un respaldo anterior, jugar y romperlo hasta que se cumpla la tarea. Claro que no voy a comentar mucho las veces que "rompí" máquinas virtuales, sino mejor entrar en los detalles de la solución.

Lo primero que les recomiendo es trabajar con el servidor virtual apagado, para evitar corromper el sistema de archivos o algo, por lo cuál lo más probable es que este tipo de tareas lo llevemos adelante en un stop programado con poca carga en ese servidor.

$ virsh shutdown servidor-0010

Con este comando, enviamos una señal para apagar el servidor. Si estamos acostumbrados a utilizar virt-manager como interface gráfico, es un procedimiento similar, incluso más simple.

Figura 2: virt-manager

El siguiente punto, es utilizar la herramienta qemu-img para proporcionar más espacio del disco virtual, y eso lo podemos hacer de la siguiente manera:

$ qemu-img resize /var/lib/libvirt/images/servidor-0010.qcow2 +20GB

Muy simple verdad? Pues ahora falta lo más complicado y se los explico.

Así como está, si volvemos a iniciar el servidor virtual, solo va a reconocer que está en un disco más grande pero ese espacio en disco al no tener partición asignada en este momento no se podría utilizar.

En este punto es necesario acomodar el sistema de particiones conforme a lo necesario y dependiendo de como están distribuidas las particiones.

Quienes tengan los conocimientos y la experiencia para hacerlo utilizando la herramienta fdisk está muy bien, pues allí pueden trabajar y jugar con las particiones. Por mi parte encontré un LiveCD de Gparted donde es posible bootear este Live para acomodar de forma gráfica el sistema de particiones.

Con esto, redimensionamos el espacio de un disco virtual e hicimos que el sistema operativo lo reconozca.

Saludos!

2017-05-29

#Evento Pre-Stallman en Jujuy

Pre-Stallman es un evento que se realizará en el marco de la visita de Richard Matthew Stallman a la Provincia de Jujuy. La jornada tendrá lugar el día 3 de Junio en las instalaciones de la Facultad de Ingeniería de la U.N.Ju., en Calle Gorriti 237, frente a la Plaza Belgrano, de la ciudad de San Salvador. Se desarrollará entre las hs 9:00 y hs 15:00 con diversas actividades (charlas, talleres y stands). La entrada es a colaboración a través de la compra de un bono contribución. Todo lo recaudado será destinado a cubrir los gastos de la visita de Richard Stallman. 

Figura 1: Cronograma para el evento Pre-Stallman en Jujuy

Charlas

  • 09:00 a 10:00 hs. Introducción al Hardware Libre - Prof. de Tecnología Dario Matas
  • 10:00 a 11:00 hs. Software Libre y la seguridad - Ing. Daniel Maldonado
  • 11:00 a 12:00 hs. Cifrado con GNUPG - Ing. Verónica Ovando

Break 12:00 a 12:30

  • 12:30 a 13:30 hs. Sistemas de control de versiones. GIT - Abel Cerda
  • 13:30 a 14:30 hs. Recuperación de datos con Software LIbre - Tec. Oscar Guerrero

Talleres

  • 09:00 a 11:00 hs. Desarrollo rápido de aplicaciones web usando Grails - Ezequiel Montes y Ricardo Vilte
  • 11:00 a 13:00 hs. Desarrollo rápido de aplicaciones mobile usando Ionic - Miguel Caligares y Ricardo Vilte
  • 13:00 a 15:00 hs. Cómo atacar vulnerabilidad MS17-010 (WannaCry) - Ing. Juan Perez

Stands

Durante toda la jornada se encontrarán los stands de venta de merchandising alegórico al Software Libre. Los productos que se podrán adquirir son:
  • Taza de cerámica
  • Chopp de cerámica
  • Mouse Pad de neoprene
  • Jarro con tapa de polymer
  • Pinnes
  • Llaveros
Además, durante el desarrollo de las actividades, se realizará subastas de libros, pósteres y otras sorpresas.
Es un gusto poder estar presente y de alguna forma colaborar para la visita de RMS a Jujuy.
Los espero en el evento! Saludos!

2017-05-25

Cuota de Bandeja de entrada excedida [ #Phishing ]

Desde hace un par de días, parece que volvió la pesca por mi bandeja de entrada de mi correo electrónico personal y me comenzaron a llegar no solamente a mi sino a una gran cantidad de personas, correos muy similares a este.

Figura 1: "Cuota de Bandeja de entrada excedida"

Como les comentaba, no solamente fui yo quién está recibiendo este tipo de correo sino más de 480 usuarios más, con una particularidad; todos inician con info@...

Si se hace un click en el enlace mencionado, se dirige directamente a un formulario como la siguiente figura.

Figura 2:  Formulario de Phishing

De más esta decir que no deberían ingresar este tipo de información en formularios como estos, ya que esa información quien sabe a manos de quién se va a alojar. Esto es un engaño, un Phishing y tiene la intención de robar sus cuentas digitales.

A ejercitar el sentido común, y no caigan en este tipo de engaños.

Saludos!

2017-05-21

¿Seguro que creo webs seguras? por @TomyCant

El 22 y 23 de Abril de este año se llevó adelante el evento llamado WordCamp Madrid 2017 con más de 20 conferencias todas relacionadas con el apasionante ecosistema de WordPress.

Imagen 1: WordCamp Madrid 2017

Con temas que van desde Diseño, Posicionamiento, Rendimiento y Seguridad, una gran cantidad de entusiastas y profesionales del desarrollo web colmaron el Campus Madrid estos días.

En este evento, partició Tomás Sierra @TomyCant con su conferencia ¿Seguro que creo webs seguras? y en donde además le envío un agradecimiento muy especial por recomendar la herramienta WPHardening como una herramienta para fortificar los proyectos en WordPress.

Para más detalles, no se pierdan ni un solo minuto de su presentación en el siguiente video.


Saludos!

2017-05-18

Actualización de Seguridad en #WordPress 4.7.5

El equipo de desarrolladores de #WordPress anunción que se encuentra disponible y liberada una nueva actualización crítica para WordPress 4.7.5


Actualización de Seguridad en WordPress 4.7.5


La misma corrige 6 problemas de seguridad detectadas en versiones anteriores, entre las que encontramos:

  • Validación de redirección insuficiente en la clase HTTP.
  • Manejo inadecuado de los valores post-meta-datos en la API XML-RPC.
  • Falta de capacidad de comprobación de post-metadatos en la API XML-RPC.
  • Se detectó una vulnerabilidad de Cross Site Request Forgery (CSRF) en el diálogo de credenciales del sistema de archivos.
  • Se descubrió una vulnerabilidad de XSS (cross-site scripting) al intentar cargar archivos muy grandes.
  • Se descubrió una vulnerabilidad de XSS (cross-site scripting) relacionada con el Personalizador (Customizer).

Por otro lado, recuerden que aquellos que quieran aprender como mantener fortificadas los proyectos en WordPress, los invito a que adquieran mi libro llamado "Máxima Seguridad en WordPress" publicado por 0xWORD.


Por otro lado, ya estoy trabajando para verificar que WPHardening sea completamente compatible con esta nueva versión de WordPress a la hora de fortificarlo.

Saludos!

Enlace | WordPress 4.7.5

2017-05-03

Disponible #WPHardening 1.6

Luego de cerrar algun issues para mejorar y optimizar la herramienta, tengo el agrado de presentar WPHardening v1.6 que además, lo presenté la semana pasada en el evento OWASP Latam Tour 2017 - Chapter Buenos Aires.

Figura 1: WPHardening

WPHardening 1.6


Desde hace un par de años, todas las investigaciones que llevo adelante, las buenas prácticas en implementación de WordPress y mejoras en la seguridad, los fuí dejando a disposición de WPHardening para que cualquier persona tenga la posibilidad de aplicar niveles aceptables de seguridad mínima en sus proyectos.

Por otro lado, desde la editorial 0xWORD publiqué mi primer libro llamado "Máxima Seguridad en WordPress" donde capítulo tras capítulo lo va llevando al lector a entender los posibles problemas de seguridad y las mejores prácticas para solucionarlo.

Figura 2: Máxima Seguridad en WordPress

Luego de cerrar algunos issues dentro de la plataforma GitHub, ya se encuentra disponible la posibilidad de utilizar WPHardening 1.6 que incluye las siguientes características:
  • Compatibilidad con WordPress 4.7.4 o inferiores.
  • Remover el Theme por defecto llamado Twentyfifteen.
  • Añade cabeceras X-Frame-Options, X-Content-Type-Options.
  • Se añade a la lista de plugins Ninja Firewall y WPS Hide Login.
  • Se agrega la opción para incorporar 6G Firewall.
  • Se agrega la opción para desactivas REST API.
  • Resumen de todos los cambios en un formato HTML.
En total 17 cambios implementados para mejorar aún más las bases de cada proyecto en WordPress.

Por otro lado, la experiencia en OWASP Latam Tour estuvo genial, compartiendo muy buenos momentos entre amigos.

Pueden colaborar con el proyecto indicando mejoras, colaborando con código, sumando críticas y cualquier comentario que ayude a crecer el proyecto.

Saludos!

Enlace | WPHardening v1.6

2017-04-26

#WPHardening en OWASP Latam Tour 2017

Para este Viernes 28 de Abril, están todos invitados a la nueva edición de OWASP Latam Tour 2017 Buenos Aires.


Allí voy a estar presentando WPHardening como herramienta para fortificar y mejorar la Seguridad de los Proyectos en WordPress.

OWASP Latam Tour 2017 edición Buenos Aires se va a celebrar en la Sede de Belgrano de Digital House ubicado en Monroe 860


Listado de Charlas

9:20 Introducción a OWASP (Martín Tartarelli / Andrés Riancho)
9:35 String comparison timing attacks (Andrés Riancho)
10:25 Análisis de aplicaciones móviles [Android] (Juan Urbano Stordeur)
10:50 Cafe
11:20 HTTP/2 - Un viaje por el RFC (Maximiliano Soler)
11:45 Are we safe with No SQL? The answer is NO! (Maximiliano Berrutto)
12:35 Almuerzo
13:55 Malas Compañías (Fabian Martinez Portantier)
14:20 Seguridad en WordPress con WPHardening (Daniel Maldonado)
15:10 Cafe
15:40 Quantum Key Distribution - BB84 (Nicolas Videla)
16:05 Certificate Transparency, el qué y el cómo (Cristian Borghello)
16:30 Seguridad automatizada en SDLC (Alejandro Iacobelli Alexander Campos)
17:20 Cierre del evento (Martin Tartarelli)

Los espero allí para vivir un evento genial!

Saludos!

2017-04-18

#FLISoL2017 en Jujuy

Este Sábado 22 de Abril, voy a estar acompañando una nueva edición del Festival de Instalación de Software Libre FLISoL 2017


El FLISoL es el evento de difusión de Software Libre más grande en Latinoamérica y está dirigido a todo tipo de público: estudiantes, académicos, empresarios, trabajadores, funcionarios públicos, entusiastas y aun personas que no poseen mucho conocimiento informático. 

Para este año, Jujuy incorpora 4 sedes donde se van a llevar adelante los eventos en simultáneo, mis grandes amigos de @USLJujuy están a cargo de la Sede en Tilcara, luego tenemos sede en la Ciudad de Libertador General San Martín - Ledesma, por otro lado en San Salvador de Jujuy y finalmente yo voy a estar en la Ciudad de Perico organizado por la asociación "Técnicos Libres".

FLISOL 2017 – Festival Latinoamericano de instalación de Software Libre – SEDE DTO. EL CARMEN: Ciudad Perico

SABADO 22 DE ABRIL DEL 2017 – 9:00 a 17:00 hs.-

Charlas/Talleres


9:00 a 9:20 hs presentación del evento a cargo de la Comunidad GNUJujuy, Asociación Técnicos Libres –

Autoridades Punto Digital y Municipalidad de Perico.-

9:20 a 10:00hs  Charla Introducción a la Seguridad Informática. Ing. Daniel Maldonado.-

10:00 a 11:00hs Taller Radios Libres: software y contenidos libres para emisoras. Lic. Sosa.-

11:00 a 12:00hs Taller Hardening en WordPress. Ing. Daniel Maldonado.-

12:00 a 12:30hs Charla Proyecto Quijanobot's: robótica + software libre. Carlos Rios y Carlos Cabirol.-

12:30hs  COFFE BREAK

13:00 a 13:30hs Hardware libre: El  Proyecto Pingüino Pic.- Gnu/Jujuy.-

13:30 a  15:00hs Taller de robótica educativa Quijanobots. Carlos Rios y Carlos Cabirol.-

15:00 a 15:30hs Taller: Proyecto desarrollo de App's  para Violencia de Género.- Victor Baca.-

15:30 a 16:00hs Taller de Aplicaciones Libres

16:00 a 16:30hs Soluciones Libres para seguridad en Servidores


INSTALL FEST


9:00 a 17:00hs Taller de instalación en donde se instalará Software Libre y GNU/Linux a toda persona que lo requiera en su computadora de escritorio o portátil.-

17:00hs Finalización del evento se realizaran sorteos de premios y agradecimientos a cargo de los organizadores – entrega de certificados.-

LUGAR


Palacio Municipal General Manuel Belgrano, ubicado en calle Mariano Moreno Esq. Lavalle. Ciudad PERICO.-

Desde ya muchas gracias a la Asociación Técnicos Libres por su invitación al evento y esperarlos a todos para vivir una muy linda jornada, compartiendo conocimientos!!!

Saludos!

2017-03-18

#Documental - Hackéame si puedes

Figura 1: Documental - Hackéame si puedes.

Hoy les quiero compartir un interesante documental llamado "Hackéame si Puedes" en la cuál van a tener la oportunidad de conocer un poco más sobre DeepWeb, Ciberseguridad, Ciberarmas, vulnerabilidades, exploits, 0day, espías, Bitcoin y el rol que tiene la seguridad informática en la sociedad.


Saludos!

2017-03-13

Búsqueda de vulnerabilidades en repositorios de código fuente

Noche de Lunes, prácticamente cerrando el día y me encontré con una excelente conferencia de un amigo, Pablo Gonzalez Perez @pablogonzalezpe de Flu-Project mostrando varios proyectos y conversando sobre "Búsqueda de vulnerabilidades en repositorios de código fuente"

Figura 1: Busqueda de vulnerabilidades en repositorios de código fuente

Sobre qué temas van a encontrar en esta conferencia, sobre Bug, Exploit, Código Fuente, vulnerabilidades, Buffer Overflow y diferentes repositorio donde se puede conseguir código de aplicaciones.

No dejen de aprender de la mano de Pablo y pasar un buen momento conociendo algunas curiosidades y aprendiendo de funciones inseguras en programas.


Saludos!

2017-03-07

#Video - Como mejorar la Seguridad en #WordPress

Nada más interesante que juntarse con amigos y conversar, intercambiar opiniones sobre temas tan interesantes como la Seguridad en WordPress, tema que por cierto desde hace un par de años vengo trabajando muy fuerte.




Gracias a la invitación de Yolanda Corral @yocomu, Jorge Coronado @JorgeWebsec y Tomás Sierra @TomyCant por compartir un espacio de intercambio de opinión y ciberdebate.

Hace algunas horas el equipo de desarrollo y seguridad publicó una nueva versión de #WordPress 4.7.3 donde corrigen 6 fallos críticos de seguridad.

Cuál es la mejor estrategia o por donde podemos iniciar las actualización, los invito a que se encuentren con el libro que publiqué para la editorial 0xWORD llamado "Máxima Seguridad en WordPress".


Saludos!

2017-03-03

Curso Virtual - Seguridad en WordPress

El próximo Lunes 6 de Marzo, damos inicio junto a Aula25 de la Facultad Regional San Francisco, al primer Curso Virtual de Seguridad en WordPress.

Figura 1: Curso Virtual de Seguridad en WordPress

Aún estás a tiempo de sumarte y conocer las bases de como mejorar la seguridad y fortificar tus proyectos en WordPress, haciendo foco en los problemas actuales y los nuevo hábitos para administrar de forma efectiva las plataformas.

Modalidad: Clases pregrabadas (en diferido) + Respuestas a preguntas por videos y foros.

Fecha y hora: Cada lunes, miércoles y viernes desde el 6 de marzo al 3 de abril se habilitará una nueva clase. El alumno podrá visualizarla indefinidamente hasta la fecha de finalización del curso.

Duración: 13 clases de 1 hora + 12 horas de actividades extra.

Audiencia: Docentes, Profesionales en el área de desarrollo web que desean introducirse a la implementación de nuevas tecnologías y seguridad informática. Desarrolladores webs, programadores, estudiantes en carreras informáticas y emprendedores.

Objetivos:

  • Objetivos Generales
    • Conocer los alcances de WordPress en el mercado de la web.
    • Comprender los aspectos generales de WordPress.
    • Realizar la instalación y puesta en marcha de un completo entorno de Pruebas Virtual junto a todos los componentes que requiere WordPress.
    • Adquirir y fijar conocimientos sobre el rol de la seguridad en este tipo de entornos.
    • Validar sus conocimientos de cara al mercado profesional de la Seguridad Web.
  • Objetivos Específicos
    • Implementar un proyecto con WordPress.
    • Comprender cada componente dentro de WordPress.
    • Configurar correctamente cada proyecto analizando diferentes factores.
    • Aplicar de forma adecuada Usuarios y Roles.
    • Conocer la estructura interna de cada Plugins y Themes.
    • Aplicar diferentes políticas de actualización en cada componente del proyecto.
    • Validar los conocimientos en restauración y análisis de riesgo en proyectos web en WordPress

Temario:
  • Introducción a la seguridad en WordPress.
  • Estructura Interna.
  • Instalación de WordPress.
  • Usuarios y Roles en WordPress.
  • Configuraciones de Seguridad.
  • Fortificando la autenticación de usuarios.
  • Seguridad en Plugins.
  • Catálogo de Plugins y recomendaciones.
  • Seguridad en Themes.
  • Políticas de actualización
  • MySQL y WordPress
  • Restauración ante desastres
  • Auditorías en WordPress

Certificación:
Se entregarán certificados de asistencia o aprobación (en caso de superar las actividades prácticas y el examen final) avalados por la Universidad Tecnológica Nacional correspondientes a las 25 horas del curso.

Si estás interesa, dejanos tu mensaje o ingresá a Aula25 para más información. No te pierdas la oportunidad de mejorar la seguridad en tus proyectos de WordPress.

Saludos!

2017-02-21

Cómo mejorar la Seguridad en #WordPress en @Palabradehacker

El próximo Marte 28 de Febrero a las 18hs Argentina – 22hs España, he tenido el inmenso placer de ser uno de los invitados a un Ciberdebate en directo en Palabra de Hacker, sobre Seguridad en WordPress!




Más del veinte por cien de todas las web que existen en el mundo están realizadas con WordPress, unas cifras que lo sitúan como el sistema de gestión de contenidos (CMS) más utilizado del mundo. Además su popularidad lejos de estancarse va en aumento y esto tiene mucho que ver con la gran comunidad de usuarios, desarrolladores, diseñadores, traductores y demás que hay detrás de WordPress y que día a día trabajan por mejorar sus funcionalidades y el potencial de este CMS que en mayo cumplirá catorce años desde que viera la luz.
Desde entonces ha evolucionado mucho, muchísimo pero el hecho de que sea tan popular lo convierte sin ninguna duda en el foco de todas las miradas, incluso de aquellas que no siempre piensan el el bien pues a mayor número de usuarios indiscutiblemente mayor es el número de ataques que reciben este tipo de instalaciones.
Por probabilidad es así. Esto conduce irremediablemente a fijar la mirada en la importancia que tiene la seguridad en WordPress, en conocer qué medidas hay que adoptar, qué plugins nos pueden servir, qué recomendaciones hay que seguir pues en una web o blog no todo es diseño, no todo es velocidad de carga, no todo es usabilidad, también hay que prestar atención a la seguridad.

Recuerden, el próximo Martes 28 de Febrero 18hs Arg, – 22hs Esp. podes averiguar el horario en tu país, siguiente este enlace. Vamos a estar en vivo junto a Yolanda Corral @yocomu , Jorge Coronado @JorgeWebsec y Tomás Sierra @TomyCant para vivir en vivo una nueva edición de Palabra de Hacker! @Palabradehacker
Saludos!

2017-02-15

¿Por qué me vigilan, si no soy nadie? #TEDxMadrid

A unos minutos de recostarme para descansar un par de horas, el "random" de YouTube me recomendó una excelente conferencia de Marta Peirano y que no quería dejarla pasar por alto, sobre espionaje y vigilancia que se está realizando con toda las tecnologías que consumimos a diario.

Figura 1: Marta Peirano en TEDxMadrid

Sabemos que estamos vigilados, a través de nuestros móviles, ordenadores y cámaras. Pero no hacemos nada malo y por eso nos sentimos a salvo. Marta Peirano avisa en esta charla que es urgente preocuparse y proteger nuestro anonimato en la red. Video realizado por Daniel Goldmann y editado por Xavi Fortino.

Marta Peirano escribe sobre cultura, ciencia y/o tecnología. Es jefa de Cultura en eldiario.es, antes lo fue de ADN.es. Fue la editora del blog La Petite Claudine y fundadora de Elástico, un colectivo multidisciplinar con el que co-dirigió COPYFIGHT, un festival internacional sobre modelos alternativos de Propiedad Intelectual. Fundadora de HackHackers Berlin y Cryptoparty Berlin, también es responsable de su manual, The Cryptoparty Handbook. Ha publicado libros sobre autómatas (El Rival de Prometeo. Vidas de autómatas ilustres); modelos colaborativos (Collaborative Futures); sistemas de notación (On Turtles & Dragons) y futurismo tecnológico (Futurish: Thinking Out Loud About Futures). Su último libro es El Pequeño Libro Rojo del activista en Red, una introducción a la criptografía para periodistas, fuentes y medios de comunicación. Es el único libro del mundo prologado por Edward Snowden.


Saludos!

2017-02-01

Charla Online - Seguridad en #WordPress

El día de hoy, miércoles 1 de Febrero, a las 15hs UTC-3 les quiero hacer una invitación para asistir a la primera Charla Online Gratuita organizada por Aula25 en la que voy a estar hablando sobre varios aspectos de Seguridad en WordPress.

Figura 1: Charla Online Gratuita - Seguridad en WordPress

Modalidad: Charla en vivo.
Fecha y hora: Miércoles 1 de Febrero de 15 a 16 hs - Horario de Argentina (UTC-03:00).
Duración: 60 minutos.
Docente: Daniel Martín Maldonado

Audiencia: Docentes, Profesionales en el área de desarrollo web que desean introducirse a la implementación de nuevas tecnologías y seguridad informática. Desarrolladores webs, programadores, estudiantes en carreras informáticas y emprendedores.

Objetivos:

Generales:

  • Conocer los alcances de WordPress en el mercado de la web.
  • Comprender los aspectos generales de WordPress.
  • Adquirir y fijar conocimientos sobre el rol de la seguridad.

Específicos:

  • Comprender la problemática actual de WordPress en materia de Seguridad.
  • Conocer las amenazas y los riesgos a los que se encuentra expuesto.
  • Configurar correctamente cada proyecto analizando diferentes factores.
  • Aplicar de forma adecuada Usuarios y Roles.
  • Aplicar diferentes políticas de actualización en cada componente del proyecto.

Temario:

  • Introducción a la seguridad en WordPress.
  • Funcionalidades de WordPress.
  • Instalación de WordPress.
  • Configuraciones de Seguridad.
  • Políticas de actualización.
  • WPHardening.
  • Gestión de la Seguridad.
  • Conclusiones.
Si quieres participar del evento, solamente tienes que completar el formulario que está en el siguiente enlace y luego conectarte esta tarde a las 15hs UTC-3.

Saludos

Entradas populares