Spiga

Técnicas hacker

Hola!

Estas diapositivas, también del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes, son la segunda parte de un tema en el que estamos estudiando técnicas hacker y contramedidas a ataques. En concreto, en esta entrega hablamos de las técnicas hacker que utilizan los atacantes al tratar de vulnerar la seguridad de un sistema informático, realizando especial hicapié en las técnicas de anonimato, spoofing, sniffing y hijacking.


Esta presentación es una obra derivada de los seminarios de formación impartidos por Antonio Guzmán y Marta Beltrán de la URJC de Móstoles.



Un saludo!

AndalucíaSkills en el IES Gonzalo Nazareno

Hola!

Después de Navidades (el 17 de Enero de 2011) se va a desarrollar en mi instituto, el IES Gonzalo Nazareno de Dos Hermanas, la prueba de la especialidad de Soporte de PCs y Redes de AndalucíaSkills.

Y, ¿qué es esto de AndalucíaSkills?

Cada dos años se celebra una competición mundial que se denomina
Worldskills en la que se realizan competiciones de diferentes
perfiles profesionales (45 en total) y en la que los participantes no
pueden tener más de 22 años. España se incorporó de nuevo a Worldskills
en el año 2007 y los participantes de nuestro país son estudiantes de
FP.

Los representantes de España en el WorldSkills de Calgary 2010 fueron los vencedores en las
mismas categorías de la primera edición de SpainSkills que se celebró en
Abril de 2009 en Madrid. En SpainSkills participan a su vez los representantes de las 17
comunidades autónomas.

La próxima edición de SpainSkills se celebrará en Madrid en Abril de 2011 para elegir a los estudiantes que representarán a España en el WorlSkills de Londres 2011, y el objetivo de AndalucíaSkills es seleccionar al mejor candidato posible para representar a esta comunidad.



En la web de RTVE puedes encontrar varios vídeos del último SpainSkills y aquí puedes leer el testproject del skill de soporte de PCs y redes, un documento en el que se plantea un ejemplo de prueba para que los candidatos vayan practicando.

Un saludo!


PD: Mapa para llegar hasta el IES Gonzalo Nazareno



Ver mapa más grande

Test de intrusión

NOTA: Durante el curso 2012/2013 se han actualizado estas diapositivas. Puedes encontrar la nueva versión en este artículo.

Hola!

Estas diapositivas, también del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes, son la primera parte de un tema en el que vamos a estudiar técnicas hacker y contramedidas a ataques. En concreto, en esta primera entrega hablamos de los Test de intrusión o test de penetración (pentest), un método para evaluar la seguridad de un sistema informático simulando un ataque desde una fuente maliciosa.

Esta presentación es una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios de formación impartidos por Antonio Guzmán y Marta Beltrán de la URJC de Móstoles.



Un saludo!

Resultados de España en Euroskills 2010

Hola!

Desde el día 8 hasta el 12 de diciembre se ha desarrollado en Lisboa la competición EuroSkills 2010, las Olimpiadas Europeas de Formación Profesional. Unos 500 jóvenes han competido en 50 perfiles diferentes para demostrar sus destrezas profesionales y dar a conocer a la sociedad el buen hacer de estos estudios.


España ha participado en esta edición con un equipo de 21 participantes que ha obtenido unos resultados muy buenos. Se han obtenido las siguientes medallas:


  • Pol Cámara, (Canarias), medalla de oro en la especialidad de Diseño web y medalla de plata en equipo de Cross Media Publishing.
  • Miguel Cubillas (Principado de Asturias), medalla de oro en la especialidad de Carpintería.
  • Víctor Vera (Andalucía), medalla de oro en la especialidad Maquinista de control numérico de la madera.
  • José Mª Puelles (Extremadura), medalla de bronce en la especialidad de Ebanistería.
  • Miguel, Víctor y José Mª han obtenido también la medalla de plata en equipo de Woodcraft Technologies.


Han obtenido Diploma de Excelencia por su participación:


  • Beatriz Ávila (Castilla - La Mancha), en la especialidad de Cocina y al trabajo en equipo de Cook&Serve.
  • Christian Etter (Illes Balears), en la especialidad de Servicio de Restaurante y al trabajo en equipo de Cook & Serve.
  • Aarón Díaz (Canarias), en la especialidad de Control Industrial.




El ministro de Educación, Ángel Gabilondo, ha recibido esta tarde en el aeropuerto de Barajas a la selección española y ha felicitado a todos los chavales por su esfuerzo y por los magníficos resultados obtenidos.





Puedes ver más fotos y vídeos de la inauguración, desarrollo de las pruebas y entrega de medallas.

Un saludo!

EuroSkills 2010 en directo

Hola!

Desde el día 8 hasta el 12 de diciembre se está desarrollando en Lisboa la competición EuroSkills 2010, las Olimpiadas Europeas de Formación Profesional. Unos 500 jóvenes competirán en 50 perfiles diferentes para demostrar sus destrezas profesionales y dar a conocer a la sociedad el buen hacer de estos estudios.


España participa en esta edición con un equipo de 21 participantes que competirán en varias categorías, entre ellas Office IT team: un equipo de 4 estudiantes que deben realizar tareas de administración de redes y sitemas, soporte de PCs y desarrollo, instalación, mantenimiento y actualización de software.

La competición se emitirá en directo a través de internet en esta web, y el programa será el siguiente:

  • Día 8 de diciembre – Ceremonia de apertura de 18 a 20 h.
  • Días 9,10 y 11 – competición de 9 a 18 h.
  • Día 12 – ceremonia de clausura y entrega de premios
Podéis ver fotos de la ceremonia de inauguración y de las competiciones aquí.

Un saludo!

Vulnerabilidad recursiva en proftpd

Hola!

Hoy he visto en los enlaces de la SECmana, en Security by default, que se ha descubierto que el servidor FTP principal de proftpd había sido comprometido y que el código de la versión 1.3.3 contenía una backdoor que permite a usuarios no identificados obtener acceso de root.

¡Qué divertido! Una vulnerabilidad en proftpd hace que las versiones de protfpd descargadas la semana pasada contuvieran otra... ¡me recuerda a Inception!

Pero la pregunta que se me ocurre es: ya de paso, ¿habrán arreglado la vulnerabilidad que ha permito modificar el código fuente de los ficheros alojados en el servidor FTP principal?

Si leemos el anuncio del descubrimiento en la web del propio proyecto, nos damos que cuenta de que la vulnerabilidad ya estaba arreglada, pero no la habían parcheado... ¡¡olé!!

En cualquier caso, se podría haber evitado esta situación si, como ya han hecho, el resumen del fichero original hubiera estado publicado en la web del proyecto y no sólo en el servidor FTP.

Así que, ya sabes, si te descargaste proftpd entre el día 28 de Noviembre y el 2 de Diciembre, casi seguro que te llevaste premio, ya que el servidor comprometido era el servidor de distribución rsync de todos los ftp espejo.
Y recuerda que, siempre que descargues un fichero, debes comprobar el resumen.

Un saludo!

¿Te quieren?

Hola!

Como cada año, mañana se celebra el día contra la violencia de género y, como cada año, se celebrarán miles de actos en todos los pueblos y ciudades...

El año pasado por estas fechas, Serafín Valverde (profesor del Instituto Gonzalo Nazareno) y María Cazenave (alumna) organizaron una performance que me parece muy interesante compartir con vosotros:




Un saludo!

Almacenamiento de la información y copias de seguridad

Hola!

En estas diapositivas, también del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes, hablamos del almacenamiento de la información y las copias de seguridad. El esquema que siguen es el siguiente:

1.Almacenamiento de la información
- Factores
- Almacenamiento secundario
- Almacenamiento redundante
- Almacenamiento remoto
2.Copias de seguridad
- Objetivos
- Concienciación de su importancia: usuarios
- Concienciación de su importancia: empresas
- Tipos de copias de seguridad
- Datos a almacenar
- Compresión
- Nomenclatura de los archivos de copias de seguridad
- Automatización


Respeto, ese gran desconocido

Hola!


Jono Bacon
, community manager de Ubuntu y autor de "The art of community" de O'Reilly (disponible bajo licencia CC-BY-NC-SA), ha pedido ayuda a la comunidad para elaborar un manifiesto para mantener las normas básicas de respeto, cordialidad y buena fé en el mundo de las comunidades abiertas y la cultura libre:





Según explica él mismo en la web del proyecto, OpenRespect fue fundado al apreciar con preocupación que las conversaciones y debates en el mundo OpenSource, FreeSource y Free Culture, se están volviendo un poco agresivas en los últimos años. El objetivo de OpenRespect es sencillo: ofrecer un manifiesto que promueva las muestras de respeto hacia los participantes de una discusión. Se trata de compartir este manifiesto y animar a la gente a que lo siga para que los miembros de las comunidades del software y la cultura libre se traten con respeto.





Además, ofrecen un par de guías que habrá que irse leyendo:

Lo cierto es que este es un problema que no afecta, ni mucho menos, de forma exclusiva a las comunidades libres... ¿Tendrá algo que ver el ejemplo de debates que pueden verse en la televisión a todas horas y en casi todas las cadenas?

Un saludo!

NetGUI, un simulador de redes libre con máquinas GNU/Linux

Hola!

Para este nuevo curso estamos preparando prácticas con un simulador de redes, similar a Packet Tracer de Cisco, pero pensado para trabajar con máquinas GNU/Linux.
NetGUI es un proyecto libre desarrollado por el Grupo de Sistemas y Comunicaciones de la Universidad Rey Juan Carlos de Móstoles.

Según lo definen ellos mismos, NetGUI es una interfaz gráfica para el sistema Netkit. NetGUI permite editar diagramas de redes, arrancar las máquinas virtuales (ordenadores y encaminadores) y pararlos, e interaccionar con las consolas de las máquinas virtuales.



¿Qué es Netkit?

Netkit es un entorno de software que permite realizar experimentos con redes de ordenadores virtuales sin necesidad de disponer de dispositivos de comunicaciones ni de ordenadores reales. Para utilizar Netkit sólo es preciso disponer de un ordenador personal con el sistema operativo GNU/Linux instalado.

Netkit permite arrancar varias máquinas virtuales (ordenadores, concentradores/hubs Ethernet, encaminadores) que emulan el funcionamiento de máquinas reales. Netkit está implementado utilizando máquinas virtuales User Mode Linux.


Para las clases de la asignatura Planificación y Administración de Redes es una herramienta que voy a utilizar muy a menudo, ya que permite que cada estudiante trabaje con un escenario de varias redes, conectadas por varios routers, en las que puedan plantearse averías o problemas de configuración. El estudiante arrancará los equipos, abrirá el terminal y tratará de localizar los problemas y solucionarlos modificando la configuración de las máquinas.

Un saludo!

ACTUALIZACIÓN: Puedes ver un ejemplo práctico de NetGUI, en el que se ilustra cómo configurar NAT en una máquian Linux, aquí

Cisco IOS: configuración básica de routers

Hola!

Este curso también imparto la asignatura Planificación y Administración de Redes del Ciclo Formativo de Grado Superior Administración de Sistemas Informáticos y Redes. Al tratarse de un ciclo nuevo, es el primer año que esta asignatura se imparte, así que me parece interesante compartir materiales que vayamos elaborando.

Estas diapositivas son las que vamos a usar durante esta semana en la que trabajaremos en la configuración de routers Cisco. Estudiaremos los comandos básicos del IOS y realizaremos prácticas en el laboratorio con los dispositivos físicos. Para la elaboración de las diapositivas me he basado, fundamentalmente, en este curso de Cisco.



Un saludo!

Introducción a la criptografía (II)

Hola!

En las diapositivas anteriores se realizaba una introducción a la criptografía y se mostraban las diferencias entre la criptografía de clave simétrica y la de clave pública.

En estas diapositivas, también del tema de introducción del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes, se trata de explicar cómo puede ayudarnos la criptografía a conseguir los objetivos de la seguridad informática a parte de la confidencialidad.


En estas últimas diapositivas se introducen las autoridades de certificación, se explica cómo se emiten los certificados y se muestra cómo funciona SSL.

Global Education Forum

A través del blog de mi amigo José Domingo Muñoz, me he enterado de que, esta misma semana, se va a llevar a cabo la Conferencia Educativa Global Education Forum:

Entre los ponentes podemos encontrar a Marc Prensky, Eduard Punset o Richard Gerver, y la agenda tiene una pinta muy buena.

El problema es que ya no quedan plazas para acudir de forma presencial al evento, aunque aún puedes registrarte para ver las charlas a través de Internet.

Un saludo!

Introducción a la criptografía (I)

Introducción a la criptografía II


Hola!

Estas diapositivas son también del tema de introducción del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes.

Se trata de una introducción a la criptografía basada en las diapositivas del GSYC de la URJC, en las que se introduce el término criptografía, se conoce la terminología básica, se presentan los riesgos de los que trataremos de protegernos y se muestran las diferencias entre la criptografía de clave simétrica y la de clave pública. Además, se proponen ejemplos de cifrado con 3des y RSA usando openssl.



Para realizar una introducción histórica, os recomiendo el vídeo Historia de la criptografía y su desarrollo en Europa, realizado por Intypedia, que se define como "La enciclopedia visual de la Seguridad de la Información en la Red" y es el nuevo proyecto de la Red Temática Criptored



Saludos!

Día mundial de los docentes 2010: la recuperación empieza con los docentes

El Día Mundial de los Docentes se viene celebrando cada 5 de octubre desde 1994, año de su instauración por la Unesco. Tiene como objeto movilizar apoyo para los docentes y garantizar la atención de las necesidades de las generaciones futuras.



En el Día Mundial de los Docentes de este año, cientos de miles de estudiantes, padres y militantes, provenientes de todo el mundo, rendirán homenaje a todos los docentes afectados, directa o indirectamente, por grandes crisis. (Puedes ver fotos de estos homenajes en el canal de Flickr de la Unesco)

Ya sea a raíz de catástrofes naturales, como los terremotos de Haití y China, o de la crisis económica mundial que, en el último año, ha azotado a muchas economías desarrolladas, los docentes y personal del sector de la enseñanza tienen un papel fundamental en la reconstrucción social, económica e intelectual de los países afectados.




La exposición "Homenaje a los docentes", recoge los testimonios de maestros que apoyan la recuperación económica en el mundo entero y una exposición de fotografías que muestran cómo los docentes ejercen a veces su misión en condiciones adversas.


Si eres alumno, ten un gesto agradable con tus docentes preferidos y dales la enhorabuena por su trabajo; y si eres maestro o profesor... ¡Feliz día del docente!


Controlar de forma automática si un proceso se está ejecutando

Hola!

El otro día tuve que escribir un script que me ayudara a controlar si un proceso de la máquina se está ejecutando y así poder iniciarlo si se hubiera muerto, y, aunque es algo sencillo, me parece interesante compartirlo.

Bien, supongamos que se trata de controlar un programa en ruby, "update_feeds", que debe estar ejecutándose continuamente. Si quisiéramos comprobar si el programa está en ejecución podríamos usar la orden ps -ef | grep update_feeds:
ps -ef muestra todos los procesos del sistema, y con grep hacemos que sólo se muestren las líneas que contengan la cadena update_feeds.


Como vemos en la imagen, se muestran 2 procesos: un proceso ruby ejecutando el script que se desea controlar y el proceso grep que acabamos de lanzar. Como sólo nos interesa el primero, podemos volver a usar grep para que sólo se muestren los procesos ruby:


Si la salida de la orden anterior se la pasamos a wc nos mostrará el número de líneas de la salida (en la primera columna), el número de palabras y de bytes:


Como el dato que nos interesa es el del número de líneas, podemos manipular la salida con la orden awk:


Bien, con esa combinación de órdenes podemos saber si el programa a controlar se está ejecutando o no, en función de si el valor obtenido es un 1 o un 0. Escribiendo un simple script podemos automatizar esta tarea. Aquí tienes un ejemplo de prueba que muestra "ok" por pantalla si el proceso está funcionando y lo arranca en caso contrario:

#!/bin/bash

cont=0
cont=`ps -ef | grep nombre_programa | grep ruby | wc | awk ' {print $1}'`
echo $cont
if [ $cont -eq 1 ]
then
echo "ok"
else
/usr/local/bin/ruby /....../nombre_programa
fi

Para poder probar el script debes darle permisos de ejecución con la orden chmod. Y por último, cuando lo hayas personalizado, debemos hacer que se ejecute periódicamente. Si, por ejemplo, queremos que una vez cada hora compruebe si el proceso está ejecutándose, podemos copiar el script de control al directorio /etc/cron.hourly. (Más info sobre cron)

Saludos!

Conclusiones del informe de seguridad de Secunia

Hola!

A mediados de año, Secunia emitió el informe de seguridad del primer semestre de 2010 que analiza la evolución de los riegos de seguridad en los últimos 5 años estudiando las vulnerabilidades encontradas, y realiza una predicción para el año 2010 basada en los datos de los 6 primeros meses.

La conclusión general es que, a pesar de los esfuerzos e inversiones realizados, la industria del software no es capaz de reducir el número de vulnerabilidades en los programas y aplicaciones producidos, por lo que se antoja muy necesaria una tecnología que permite gestionar de forma eficiente las actualizaciones.

El informe muestra un crecimiento alarmante en el número de vulnerabilidades de los programas de terceras partes instalados en los SO, un riesgo que usuarios y empresas no reconocen como tal. Esto se debe a que muchos usuarios y gran cantidad de empresas aún tienen la percepción de que los sistemas operativos Microsoft y los productos de esta compañía representan el vector de ataque principal. Además, la actualización y securización de estas aplicaciones resulta algo compleja y consume un cierto tiempo, lo que convierte a estos equipos con aplicaciones desactualizadas en objetivos claros para los criminales.

Algunos aspectos subrayados por el informe son los siguientes:

  • Desde 2005 no existe una variación importante en el número total de vulnerabilidades encontradas en los más de 29.000 productos observados por Secunia
  • Un grupo de 10 empresas (que incluyen a Apple, Oracle, Microsoft, IBM, Adobe o Cisco), aglutinan el 38% del total de vulnerabilidades.
  • Entre 2007 y 2009, el número de vulnerabilidades que afectan a un usuario típico de un PC ha pasado de 220 a 420. Por los datos de este año, esta cifra podría llegar a las 760.
  • Un usuario típico de PC con 50 programas instalados tiene 3,5 veces más vulnerabilidades en los 24 programas de terceras partes instalados que en las 26 aplicaciones Microsoft de su equipo. Se espera que esta ratio pase a 4.4 en 2010.
El informe finaliza con 2 consejos para reducir los riesgos actuales:

  • Precaución: usuarios y empresas deben cambiar la percepción de que los productos Microsoft son la mayor amenaza de seguridad. Se deben establecer mejores mecanismos en relación a los programas instalados de terceras partes
  • Actualizaciones unificadas: se necesita una nueva tecnología que permita a los usuarios instalar automáticamente actualizaciones de seguridad para un conjunto de aplicaciones

Y así, con este último consejo, aprovecha para promocionar su herramienta PSI

Vulnerabiliadades en los SO

Hola!

Estas diapositivas son también del tema de introducción del curso Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes.

Hablan de vulnerabilidades en los Sistemas Operativos, explicando que no pueden utilizarse como una unidad de medida para comparar la seguridad de dos SO distintos sin tener en cuenta otros muchos factores. Siguen el siguiente esquema:

  • Número de vulnerabilidades ≠ Seguridad
  • Número de vulnerabilidades en los SO
  • Estudio de Jeff Jones: 6 meses de vida
  • Avisos y corrección de vulnerabilidades


Espero que os sirvan. Un saludo!

Seguridad en servidores web

Hola!

Preparando material para la próxima clase del curso Seguridad Informática, en la que vamos a hablar de vulnerabilidades en los Sistemas Operativos, he estado recopilando estadísticas de diferentes fuentes para jugar un ratito haciendo cuentas.

Es evidente que la seguridad de un Sistema Operativo no puede evaluarse por el número de vulnerabilidades. Hay que tener en cuenta otros factores como la gestión que se hace de las propias vulnerabilidades, su nivel de criticidad, la facilidad de instalación de los parches, el número de ataques recibidos...

Cada cierto tiempo se publican informes que realizan estudios sobre el número de vulnerabilidades de diferentes Sistemas Operativos, como el publicado por Jeff Jones hace un tiempo, que suelen levantar bastante polémica.

Sólo por divertirme, he estado pensando en alguna otra forma de comparar la seguridad de diferentes SOs y se me ha ocurrido lo siguiente:

En zone-h mantienen estadísticas de los defacements realizados y llevan la cuenta del Sistema Operativo del servidor afectado:


Si calculamos el porcentaje de defacements realizados a máquinas Linux y Windows (sumando todas las versiones) obtenemos los siguientes datos:



2008 2009 2010
Linux 68,12 69,57 72,74
Windows 27,26 26,29 24,93


Como puede observarse, el porcentaje de servidores Linux comprometidos ha ido creciendo ligeramente en estos últimos tres años, al contrario de lo que ocurre con los servidores Windows, que parece ir disminuyendo.

Lo curioso llega al comparar estos porcentajes con los datos de Netcraft de Sistemas Operativos en servidores web, que muestran un empate técnico entre Linux y Windows:


Una conclusión rápida podría ser que, si hay el mismo número de servidores web Linux y Windows, y se producen más defacements en servidores Linux, podríamos inclinarnos a pensar que los servidores Linux son menos seguros.

Ya digo que se trataría de una conclusión rápida, porque hay que tener en cuenta muchos otros factores, como, por ejemplo, el nivel de profesionalidad de los administradores de los servidores, su formación, etc.

De hecho, Marcelo Almeida, en el informe de zone-h que comentábamos, recuerda que la mayoría de las vulnerabilidades explotadas se encuentran en las aplicaciones web, y que otras muchas se deben a malas configuraciones de seguridad de los hostings, que permiten a los atacantes obtener acceso completo a los servidores. Por tanto, habría que realizar un estudio mucho más riguroso para poder obtener algún tipo de conclusión.

Ya os comentaba que tan sólo ha sido para divertirme un rato mientras veía a Alonso ganar otra carrera :-)

Un saludo!

ADSL rural en UK

Hola!

En UK se ha realizado un experimento para denunciar el estado de la banda ancha en las zonas rurales y pedir velocidades de transmisión dignas.
Para ello han organizado una carrera en una granja de Yorkshire: al mismo tiempo que soltaban 10 palomas mensajeras cargadas con un pendrive, comenzaba la subida de un vídeo de 5 minutos a Internet. Una hora y cuarto después, las palomas habían alcanzado su destino en Skegness, a 120 kilómetros, mientras que tan sólo el 24% de los 300 MB había sido subidos.

Un experimento similar se realizó el año pasado en Durban Sudáfrica, con resultados similares.

Nada nuevo bajo el sol, en realidad: Andrew Tanenbaum en su libro "Redes de Computadoras". ya explicaba que si se llena un avión con dispositivos de almacenamiento grandes y se realiza un vuelo transatlántico, la velocidad de transmisión sería de varios Gbps.

De hecho, los bancos aún utilizan este tipo de medios físicos de transmisión: cargan sus cintas en camiones que transportan hasta la central, alcanzado velocidades de varios Gbps.

Supongo que la situación en muchas zonas rurales españolas no es mejor que la del experimento inglés. De hecho, a 20 km de Madrid, en una urbanización residencial que conozco personalmente, no llegó el ADSL hasta el 2005...

Un saludo!

Introducción a la seguridad informática (II)

Hola!

Introducción a la seguridad informática (I)
Introducción a la seguridad informática (II)

Esta segunda parte de las diapositivas cubren los siguientes contenidos:

1. Algo de terminología
- Activos
- Amenazas
- Vulnerabilidad
- Tiempo de reacción y día cero
- Análisis de vulnerabilidades
- Escáner de vulnerabilidades
- Ejercicio: GFI LANguard Scanner
- Riesgo
- Ataque
- Impacto

2. Ataques
- Tipos de atacantes
- Ataques internos
- Ataques externos
- Tipos de ataques

3. Política de seguridad.



Un saludo!

Introducción a la seguridad informática (I)

Introducción a la seguridad informática (I)
Introducción a la seguridad informática (II)

Hola!

Este curso tengo que impartir la asignatura Seguridad Informática del Ciclo Formativo de Grado Medio de Sistemas Microinformáticos y Redes. Al tratarse de un ciclo nuevo, es el primer año que esta asignatura se imparte, así que me parece interesante ir colgando el material que prepare por aquí.

Estas diapositivas son las que utilizaré durante la primera clase, en las que realizaremos una introducción a la seguridad informática, tratando de concienciar al alumnado de la importancia de la misma, utilizando el siguiente esquema:

Importancia de la seguridad informática
Ejercicio: vídeos y noticias
Definición de seguridad informática
Objetivos de la seguridad informática
Mecanismos utilizados para conseguir estos objetivos
Ejercicio: integridad de los archivos del sistema
Clasificación de la seguridad informática
Déficit de formación en técnicos y usuarios
Ejercicio: test sobre seguridad informática



En mi página de la asignatura puedes encontrar más información, enlaces, etc.
Un saludo!

CUSL también para estudiantes de grado medio y superior

Hola!

Al leer el anuncio de la V edición del Concurso Universitario de Software Libre me he llevado una agradable sorpresa al comprobar que los estudiantes de Grado Medio, Bachillerato y Grado Superior podrán participar con sus proyectos en esta edición.

Según las bases del concurso, el alumnado de Grado Medio y Bachillerato participará en la categoría junior, mientras que el alumnado de Grado Superior lo hará en la modalidad universitario y ciclo formativo grado superior.

Así que si eres estudiante de FP o bachillerato y tienes una idea interesante, anímate y participa.

Un saludo!

¿Cómo funciona prioritarios, la nueva herramienta de gmail?

Hola!

LLevaba varios días viendo un mensaje en mi correo de gmail que me avisaba de una nueva funcionalidad, prioritarios. Hoy por fin he visto el vídeo que muestra en qué consiste:




Aquí se puede encontrar más información del funcionamiento de este servicio, que puede resumirse así:

Para determinar qué mensajes entrantes son importantes, Gmail considera automáticamente una serie de factores, entre otros:

* A quién envías correos electrónicos (por ejemplo, si envías muchos correos a Juan, es probable que los mensajes de este remitente sean importantes).
* Qué mensajes abres (es probable que los mensajes que abras sean más importantes que los que ignoras).
* Qué palabras llaman tu atención (si siempre lees mensajes acerca de fútbol, es más probable que sea importante un mensaje nuevo que contenga las mismas palabras relacionadas con el fútbol).
* A qué mensajes respondes (si siempre respondes a los mensajes de tu madre, es probable que los mensajes que ella te envíe sean importantes).
* El uso reciente que has hecho de las estrellas, así como de las opciones de archivado y eliminación (es probable que los mensajes que destacas sean más importantes que los mensajes que archivas sin abrir).


Este servicio ofrece varias opciones de configuración y personalización, que básicamente consisten en la modificación de un mensaje marcado como prioritario o no, con los botones + y -, de forma que la aplicación vaya aprendiendo, y el uso de filtros para asegurarte de que ciertos mensajes (como los de la parienta) se marquen siempre como prioritarios (o viceversa :-P).

Tiene buena pinta, ya os contaré en unos días mi experiencia, ya que se trata de una funcionalidad en Beta.

Un saludo!

¡Este sitio es una web atacante!

Hola!

A través de este artículo de S21Sec, en el que explican qué hacer si tu dominio ha sido incluido en la lista de google como página que aloja malware, me ha picado la curiosidad para saber cómo funciona este servicio de protección anti-Malware y anti-Phishing de Firefox y Chrome.

Tanto Chrome como Firefox utilizan los datos de dos organizaciones sin ánimo de lucro, StopBadware.org y Antiphishing.org, para avisar al usuario que va a visitar una página que ha sido incluida en las listas de estas organizaciones como sospechosa:



El protocolo completo de navegación segura de google puedes encontrarlo aquí, pero vamos a hacer un resumen, que va a ser una traducción (más o menos libre) del comienzo de un artículo escrito por Oliver Fisher, que trabaja como ingeniero de software en google:

El protocolo de navegación segura muestra un aviso al usuario si se ha encontrado contenido sospechoso el sitio que va a visitar, pero ¿qué significa "sospechoso"?

Los escáneres automáticos de malware de google tienen una precisión muy alta y apenas producen falsos positivos.Parte de este éxito es que la definición de "sospechoso" en realidad es "que aloja sucio malware". Si los escáneres no están completamente seguros de que aloja malware, no lo añadirán a la lista de malware.

Sin embargo, cuando los escáneres hacen una revisión del sitio para comprobar si hay que retirarlo de la lista de malware, usan una definición de "sospechoso" más rigurosa. Si existe cualquier actividad sospechosa en el sitio, no se borra de la lista. A menudo, el sitio ha sido infectado con malware de diversas formas, y los escáneres tienen que estar seguros de que se ha eliminado todo el riesgo para el usuario.


Por tanto, si nos aparece un aviso del navegador advirtiendo de la posibilidad de que estemos accediendo a un sitio que aloja malware, es muy probable que así sea, así que, sólo si te van las emociones fuertes y el riesgo, pulsa el pequeño enlace que aparece en la esquina inferior derecha "Ignorar esta advertencia" ;-)

Saludos!

Manuales de Atención al Alumnado con Necesidades Específicas de Apoyo Educativo

La Consejería de Educación de Andalucía ha publicado este verano una actualización de las Guías de Atención al Alumnado con Necesidades Educativas Especiales, del año 2002, actualizándolas a los cambios normativos y teóricos que se han producido en el ámbito de la atención a la diversidad durante este tiempo.

Esta obra
, que contiene diez guías que incluyen además fichas sobre normativa, bibliografía, páginas web y direcciones de interés, es un magnífico apoyo para el profesorado que tiene que atender por primera vez a alumnado con este tipo de necesidades, así como para sus familias.

1.- Necesidades Específicas de Apoyo Educativo.
2.- Altas Capacidades Intelectuales.
3.- Limitaciones en la Movilidad.
4.- Trastornos Graves de Conducta.
5.- Trastornos Generales del Desarrollo.
6.- Síndrome de Down.
7.- Discapacidad Auditiva.
8.- Discapacidad Visual y Sordoceguera.
9.- Enfermedades Raras y Crónicas.
10.- Discapacidad Intelectual.

Saludos!

Nuevo webminar para enterder la vulnerabilidad WPA2 Hole 196

Como ya sabréis, investigadores de la empresa AirTight han encontrado una vulnerabilidad en el protocolo WPA/WPA2, llamada Hole 196, que permite a un atacante interno realizar de forma sencilla un MITM. Esto se debe a que GTK no tiene protección antiSpoofing (este problema de la GTK se explica en la página 196 del estándar, de ahí el nombre Hole 196).

Sohail Ahmad, uno de los investigadores que encontraron la vulnerabilidad, realizó la presentación en la Black Hat Arsenal de la DEFCON18 en las Vegas el pasado 29 de Julio, y aquí podéis encontrar las diapositivas y el paper que utilizó, así como un vídeo de la webminar que llevaron a cabo unos días después.

Pues bien, el 24 de Agosto a las 8 AM Pacific Time, por tanto, a las 17 horas de España, van a repetir el webminar, que tiene los siguientes objetivos:

* Entender cómo funciona la vulnerabilidad WPA2 Hole 196 y cómo puede ser explotada.
* Comprender los riesgos a los que se exponen los datos de tu empresa y la seguridad de la red.
* Evaluar las posibles contramedidas y determinar los pasos que puedes seguir para proteger tu red de esta vulnerabilidad.

Si queréis apuntaros, podéis hacerlo aquí.

Un saludo!

WPA Too (Hole 196): presentación y vídeo

Hola!

Hace uno días conocimos la noticia de una nueva vulnerabilidad en el protocolo WPA/WPA2 que afectaba a entornos PSK y Enterprise: un atacante interno puede realizar un MITM de forma muy sencilla debido a que los paquetes GTK no tienen protección antiSpoofing.

Aquí podéis encontrar la presentación que realizó Sohail Ahmad (el descubridor de la vulnerabilidad) en la Black Hat de las Vegas, y aquí el paper.

Además, la empresa donde trabaja Sohail Ahmad, AirTight Networks, ha realizado un webminar para explicar su funcionamiento, riesgos y soluciones. Podéis ver el vídeo aquí.

Un saludo!

Bit SUID, ¿cómo localizar ficheros que lo tengan activado?

Hola!

Hoy he aprendido un truco que me ha parecido muy interesante en el libro Seguridad en Redes, de Andrew Lockhart.

Tiene que ver con la localización de ficheros que tenga activado el bit SUID. Pero... ¿qué es el bit SUID? Vamos a la wikipedia:

Normalmente este bit se activa en ejecutables. Cuando a un ejecutable binario se le asigna el atributo setuid, usuarios normales del sistema pueden ejecutar ese archivo y obtener privilegios del usuario que posee dicho archivo (generalmente, root) en el proceso creado. Cuando el proceso obtiene privilegios de administrador, la aplicación puede realizar tareas en el sistema que usuarios normales generalmente no podrían hacer.

Si un fichero tiene activado el bit "Setuid" se identifica con una “s” en un listado de la siguiente forma:

-rwsr-xr–x 1 root shadow 27920 ago 15 22:45 /usr/bin/passwd

Por ejemplo el bit setuid se utiliza en el fichero /usr/bin/passwd para que todo el mundo pueda cambiar su contraseña de forma controlada. Pudiendo ejecutar este programa se consigue que un usuario pueda escribir en el fichero de claves(/etc/passwd) pero sin tener que dar permisos de escritura al fichero, lo cual seria un gran agujero de seguridad

Hasta aquí todo ok, pero...

Aunque la característica setuid es muy útil en muchos casos, puede plantear un riesgo de seguridad si el atributo setuid se asigna a programas ejecutables que no fueron diseñados cuidadosamente. Los usuarios pueden explotar una vulnerabilidad en programas defectuosos para conseguir privilegios elevados permanentemente.

Además, es probable que un atacante que ya haya obtenido privilegios de administrador pueda crear puertas traseras ocultas en ficheros ejcutables SUID o SGID, que distribuya por el sistema de archivos para obtener acceso en el futuro.

¿Cómo localizamos estos ficheros en nuestro sistema?

Usando la orden #find / \( -perm -4000 -o -perm -2000 \) -type f -exec ls -la {} \;

Saludos!

Concierto de Mark Knopfler en Córdoba

Buenas!

Este post se escapa bastante de la temática del blog, pero me apetecía contar lo bien que lo pasé en el concierto de Mark Knopfler en Córdoba el pasado domingo.



A pesar de que hizo muchísimo calor (40 grados cuando entramos a la plaza a las 21:00) y de que los asientos de la plaza eran de granito y les había estado pegando el sol todo el día (por lo que no veas cómo te quemaba el culete cuando te sentabas), una vez comenzó el concierto se me pasó el calor y comenzaron los escalofríos :-)

Mark siempre se rodea de músicos buenísimos y todas las canciones sonaron estupendamente (a excepción de un par de temas en los que una de las guitarras se acoplaba y sonó un pitido -> creo que el técnico de sonido no seguirá en la gira).

Me gustó mucho la selección de las canciones, diferente al de las 2 otras ocasiones en las que lo había visto en directo, incluyendo alguna que no conocía y que me encantó, como Hill Farmer's Blues:



Por supuesto, el público vibró más con los clásicos de Dire Straits: Romeo and Juliet, Sultans of Swing, Telegraph Road (en el solo del final la gente se volvió loca), Brothers in Arms y So Far Away.

Aunque a mí la canción que más me gustó fue Speedway at Nazareth. ¡IMPRESIONANTE!

Debo reconocer, sin embargo, que me dio la sensación de que este concierto había sonado algo peor que los anteriores, y que Mark no estaba tan fino a la guitarra como en otras ocasiones (así que,lo primero que pensé es que la edad y la lesión que le obligó a tocar sentado habían influido algo...). En el blog de Richard Bennet, que escribe las notas de la gira, parece que he encontrado algunas otras razones:

Aparte del calor, que les hacía sudar las manos y, en ocasiones, dificultaba la visión al caerles goterones en los ojos, había una inmensa cantidad de mosquitos alrededor de los músicos. Para más inri, Mark iba de blanco, por lo que estaba completamente rodeado. Richard Bennet asegura que cree que Mark debió comerse varios mosquitos y habla de una lucha entre el hombre y la naturaleza, como una analogía de la lucha entre el torero y el toro, ya que nos encontrábamos en la plaza de toros.

También dice que el público cordobés fue el más ruidoso de toda la gira y el que más aplaudió y animó.

En fin, una gran noche de verano. Mi enhorabuena a los organizadores del Festival de la guitarra de Córdoba por conseguir que artistas de este nivel vengan a tocar a España.

Saludos!

Chistes gráficos sobre educación (e-faro.info)

Hola!

A través del blog de mi amigo José Domingo Muñoz he encontrado esta viñeta que me ha hecho mucha gracia:



Creo que refleja bastante bien la realidad educativa española... al menos la que yo conozco, como alumno y como profesor. Me encanta el mensaje que transmite:

"Si quieres que algo cambie, cambia algo.
Si haces lo mismo de siempre, tendrás lo mismo de siempre"


Pues bien, en el dibujo aparece la web de los creadores y tienen una lista inmensa de chistes gráficos sobre educación. Muy recomendable.

Un saludo!

Formatear PenDrive en GNU/Linux

Hola!

Cada vez que tengo que formatear un PenDrive en GNU/Linux tengo que buscar en Internet porque siempre olvido el comando para hacerlo, así que he decidido escribirlo, a ver si así lo memorizo :-)

Lo primero que hay que hacer es comprobar la partición sobre la que se ha montado el PenDrive. Podemos hacerlo con la orden mount, pero a mí me resulta más cómodo localizarlo con df:



En mi caso, la partición era /dev/sdb1. A continuación hay que desmontar el PenDrive:

sudo umount /dev/sdb1

Y ya podemos formatearlo con el comando mkfs eligiendo el sistema de archivos (¡ojo con equivocarse al escribir el nombre de la partición que puedes formatear tu disco duro!):

sudo mkfs.vfat /dev/sdb1

Por último, podemos cambiar el nombre del PenDrive con la orden e2label:

sudo e2label /dev/sdb1 usbPenDrive

Saludos!

Controlar las presentaciones Impress con el móvil: mOOo Impress Controller

Buscando una aplicación que permita controlar las presentaciones Impress por bluetooth, he encontrado mOOo Impress Controller.



Existen varios tutoriales que explican su instalación y configuración, pero yo me he encontrado un par de problemillas al tratar de instalarlo en Ubuntu 10.04 que me han tenido un buen ratito buscando por Internet hasta que los he podido solucionar.

Primero: al tratar de instalar la extensión mOOo recibí un error: CannotRegister ImplementationException

Para solucionarlo tuve que instalar el paquete openoffice.org-java-common.

Segundo: una vez añadida la extensión en el ordenador e instalada la aplicación en el móvil, al buscar dispositivos bluetooth para controlar la presentación recibía el error BlueCove not installed.

Para solucionarlo instalé los paquetes bluez y libbluetooth-dev. Además hay que crear un enlace simbólico para que Bluez y BlueCove funcionen correctamente:

sudo ln -s /usr/lib/libbluetooth.so /usr/lib/libbluetooth.so.2

(Esto último me ha traido de cabeza...¡Gracias Luis!)

Listo, ya he comenzado a probarlo y funciona perfectamente.



Y tú, ¿conoces otras aplicaciones para controlar las diapositivas con el móvil?

Arquitectura Multiagente para el Servicio de Autobuses de Sevilla

Esta práctica de arquitectura multiagente, que tuvimos que realizar para la asignatura Arquitecturas Software y Familias de Productos, fue muy interesante.

Se trataba de desarrollar un modelo parcial de una sociedad de agentes en un dominio de
aplicación elegido por nosotros. Artículos, papers, presentaciones y libros teóricos de sistemas multiagentes existen muchos; sin embargo, nos resultó muy complicado encontrar documentación aplicada a la práctica, por lo que este ejercicio fue de los más difíciles de superar. Es por ello que me decido a compartirlo, para que futuros estudiantes lo tengan un pelín más sencillo y este documento pueda servirles de inspiración :-)

Nos decidimos a diseñar un sistema multiagente que pudiera ser implantado por la empresa de autobuses de Sevilla TUSSAM, de forma que los procesos que se llevan a cabo por los usuarios y trabajadores de la empresa queden registrados, para poder tener estadísticas precisas y exactas que ayuden a los responsables a tomar las mejores decisiones para aumentar la productividad y el grado de satisfacción de los usuarios.

Aquí os lo dejo:



Un saludo!

Generar archivos P12 (PKCS #12) con OpenSSL

PKCS (Public Key Cryptography Standard, Estándares de Criptografía de Clave Pública) es un conjunto de estándares que facilitan la administración y mantenimiento de certificados digitales X.509.

En concreto, PKCS #12, el estándar de sintaxis de intercambio de información personal, define un formato portable (empaquetado) para almacenar o transportar las claves privadas y los certificados digitales.

Este tipo de empaquetados presentan un formato binario y pueden contener distintos elementos. Lo habitual es crear un fichero que contendrá el certificado digital de un usuario (o servidor), la clave privada asociada y el certicado de la Autoridad de Certificación que firmó el certificado del usuario.

Este formato es el que entienden los sistemas Ms Windows y GNU/Linux, Java Key Store o Tomcat, entre otros. Por tanto, tras emitir la Entidad de Certificación los certificados de los usuarios y los servidores, pueden generarse ficheros .p12 para ser transportados e importados en los sistemas implicados en una VPN, por ejemplo.

¿Cómo se genera este tipo de ficheros con OpenSSL?



OpenSSL solicitará un password para proteger el fichero cifrándolo (que es opcional y puede dejarse en blanco) que será solicitado cuando se trate de importar el archivo generado, usuario.p12, en otro sistema.

Saludos!

NOTA: Este post está basado en el libro Redes Privadas Virtuales de Javier Andrés Alonso. Ed. Ra-Ma.

OpenVPN: Configuración de VPN basada en SSL/TLS

OpenVPN es un proyecto libre que implementa una solución VPN basada en SSL/TLS. En este post os voy a dejar las diapositivas de introducción a este producto y una guía de configuración del mismo para establecer VPNs de acceso remoto y sitio a sitio.

Estas diapositivas explican de forma sencilla las características principales del producto, que van a permitir comprender las ventajas e inconvenientes que presentan frente a otras soluciones VPN, y unas indicaciones para los primeros pasos con la aplicación: instalación, ficheros de configuración, parámetros principales y puesta en marcha.




Este otro documento es una guía más técnica en la que se definen los ficheros de configuración para servidores y clientes para establecer una VPN de acceso remoto y una VPN site-to-site, con autenticación TLS basada en certificados X.509.

Cisco IOS Easy VPN Server (Remote Access)

Encontrar documentación para implementar una VPN de acceso remoto basada en IPSec utilizando un router Cisco como servidor VPN, no ha sido una tarea sencilla. La mayor parte de las guías que he encontrado se referían a dispositivos ASA, y los recursos que explicaban la configuración usando el propio router como servidor utilizaban PPTP, un protocolo que ya ha quedado en desuso, o L2TP con autenticación IPSec.

Finalmente, en el libro CCSP SNRS Quick Reference Sheets, de Brandon James Carroll, he encontrado la solución. [En este enlace puedes consultar el libro online].

Las diapositivas que os paso muestran como configurar un router Cisco (con una versión de IOS 12.4 o superior) como servidor IOS Easy VPN Server, para implementar una VPN de acceso remoto basada en IPSec. Los clientes tendrán que usar para establecer la conexión el software Cisco Easy VPn Client.


Se puede usar Packet Tracer para comprobar el funciomaniento del escenario. Yo he usado la versión 5.2 del simulador, utilizando un router 1841 con la versión 12.3 de IOS. Tras configurar el router, lanzar el cliente de VPN, establecer la sesión VPN y recibir la nueva dirección IP para acceder a los recursos de la oficina central, cuando intento realizar un ping a una de las máquinas de la red interna, el simulador se cierra. Es una pena no poder observar el contenido de cada paquete enviado para estudiar la encapsulación ESP. Me imagino que en las versiones posteriores de Packet Tracer habrán solucionado este problema.

Saludos!

IPSec VPN site-to-site, CISCO IOS

Una de las cosas que más me gustan de CISCO es la documentación técnica que ponen a disposición de los usuarios en su web. En este caso, buscando información sobre la configuración de routers CISCO para implementar una VPN site-to-site basada en IPSec, encontré esta guía de configuración, que es estupenda.

Basándome en esta guía he preparado unas diapositivas que explican paso a paso los comandos necesarios para la configuración de una VPN IPSec entre dos oficinas utilzando un secreto compartido. De cada comando utilizado se ha incluido una breve explicación de su objetivo y de los diferentes parámetros que pueden usarse.

Además, para practicar, puede utilizarse Packet Tracert. Yo he realizado la prueba con la versión 5.2 del simulador, utilizando routers 1841 con la versión 12.3 del CISCO IOS. El único comando que no funciona en el simulador es de la configuración de los paquetes hello, que es un paso opcional, por lo que puede implementarse la VPN, estudiar los paquetes de la negociación IKE y observar cómo se encapsula toda la comunicación posterior con ESP. Es un gustazo verlo funcionando :-)

Un saludo!

VPN, redes privadas virtuales

Durante estas semanas estamos trabajando con diferentes soluciones VPN (Cisco, ISA Server y OpenVPN) y voy a ir colgando en el blog todo el material que estamos generando.

En este primer post os enlazo un par de presentaciones de introducción y conceptos básicos.

1. VPN - Virtual Private Network:
- Introducción
- Tipos de VPN
- Ventajas y limitaciones
- VPN tunneling protocols
- Soluciones VPN



2- IPSec VPNs:
- ¿Qué es IPSec?
- Los bloques que componen IPSec
- Modos de funcionamiento
- Autenticación de dispositivos en IPSec VPNs
- Tipos de claves criptográficas
- ¿Seguridad en una red pública? ¿Es posible?
- Algoritmos de cifrado
- Integridad
- IKE Fase 1
- IKE Fase 2
- IKE Fase 1.5

Instalar Moblin en HP Compaq

Hola!

Esta tarde, cansado del rendimiento de un netbook (HP Compaq) que venía instalado con XP, he decidido probar alguno de los SO diseñados para estos dispositivos.

Viendo el vídeo de presentación de Moblin parece que tiene muy buena pinta:





Como faltan 10 días para que salga la nueva versión de Ubuntu Netbook Remix me he decidido a probar Moblin.

Los pasos para su instalación son muy sencillos:

1. Descargar la imagen .img.

2. Copiar byte a byte la imagen al pendrive. Para ello he usado el programa Win32DiskImager.

Al lanzar el programa he obtenido el error 8. Me he ido a la página del proyecto y en uno de los foros he encontrado la solución, que era muy sencilla: hay que ejecutar el programa con permisos de administración.

3. Arrancar el netbook con el pendrive enchufado. Elegir el dispositivo desde el que arrancar (en mi Compaq pulsando F9) y escoger usb memory.

Los pasos de la instalación son muy sencillos (idioma, particionamiento...) y el proceso es rapidísimo.

Una vez instalado comienzo a jugar con la interfaz, que es muy atractiva e intuitiva. Pongo un par de notas, lanzo un par de juegos, pero, al arrancar el navegador... error :-/.

Me voy a buscar las redes y ... no se encuentra ninguna red. Parece que la tarjeta inalámbrica del Compaq no está soportada. Las actualizaciones de Moblin están paradas y el sitio parece poco actualizado. Leyendo un poco por Internet me he enterado de que el proyecto está parado, ya que Intel y Nokia han fusionado Moblin y Maemo en Meego.

Por lo que veo aún está un poco verde la historia. Mañana descargaré e instalaré la Ubuntu Netbook Remix, pero habrá que estar atento a la evolución de Meego.

Saludos!

FAVS, planetas de blogs docentes

Esta va a ser la primera de una serie de entradas en las que voy a ir colgando en el blog el material que elaboré durante el máster en Sistemas Telemáticos e Informáticos que he realizado los cursos 2007/2008 y 2008/2009.

Después de una temporada de descanso (y abandono del blog), me he decidido a volver a escribir. Y mientras voy cogiendo ritmo, iré publicando las memorias de las prácticas y todo el material que fui escribiendo durante esos dos años.

Voy a empezar por el final, por el Proyecto Fin de Máster. Así que os dejo por aquí la memoria y las diapositivas que utilicé en la presentación.


Favs
View more documents from jmorenol.