securityinside

SecurityInside desde dentro – Repaso de fin de año

/en /por

Como habréis visto, esta semana andamos de vacaciones, pero hemos querido aprovechar que se acaba el año en el que este blog ha arrancado, para echar la vista atrás y ver los números de esta aventura.

Queremos que esta web sea un punto de encuentro a nuestras experiencias laborales y personales y, si es con tu colaboración, mejor que mejor. Por eso te contamos los datos tal y como son.

 

Las entradas más vistas

En lo que va de año hemos publicado un total de 64 posts con temáticas diferentes, pero los que más visitas han tenido son estos:

  1. Servicios ocultos en Tor, ¿cómo consiguen pasar desapercibidos?
  2. Cómo preparar un examen de certificación GIAC a través de SANS
  3. Cookies, Supercookies, y otros amigos. ¿Estoy siendo controlado?
  4. Evitando HSTS, ¿una cuestión de tiempo?
  5. HSTS, una defensa contra MITM y sslstrip
  6. Anonimato en Internet ¿es posible?
  7. Exfiltración del IMEI en aplicaciones móviles
  8. Auditoría de código: algo necesario pero que nunca hacemos (parte 1)
  9. Amenaza Silenciosa I
  10. I2P: Una red anónima que deberías conocer

 

El progreso de la web

Desde que arrancamos, hemos ido poco a poco ganando confianza de los lectores, eso debe significar que os gusta lo que os estamos contando, ¡esperamos seguir así!

si-stats1

si-stats2De aquí podemos sacar algunos datos interesantes:

  • Hemos recibido un total de 11.997 visitas.
  • Entre ellas había 8.393 usuarios distintos.
  • Estas visitas han sumado un total de 18.006 páginas vistas.
  • El número medio de páginas por visita es de 1,5.
  • El promedio de tiempo en el sitio es de 1 minuto 35 segundos.
  • El porcentaje de rebote es del 79,05%.
  • El porcentaje de nuevas visitas es del 69,96%.

 

Procedencia

Tenemos la suerte de contar con lectores de diferentes partes del mundo, ¡gracias!

si-stats2

Nuestras redes sociales

  • Los comentarios totales en el blog suman 21 registros.
  • Twitter: contamos con 75 seguidores.
  • YouTube: tenemos 4 vídeos publicados y 4 seguidores.

 

Lo que queremos mejorar

Queremos ofrecerte nuevos contenidos, creemos que el formato vídeo es muy potente y trataremos de hacer más tutoriales o pruebas de concepto. Estamos dándole vueltas a la posibilidad de hacer algún contenido tipo podcast y en un futuro cercano, quizás montar algún reto. Lo estamos hablando y os contaremos las novedades conforme se vayan concretando.

Nos gustaría conseguir algún que otro post invitado, fomentar las entrevistas (en breve tendréis una muy interesante) y lanzar alguna que otra encuesta. Por supuesto, también estamos abiertos a vuestras ideas.

 

Lo que hemos aprendido

En este tiempo nos hemos encontrado con el problema de escribir lo que hacemos. No es sencillo trasladar tus tareas habituales a un texto, pero es muy útil para futuras referencias y, en resumen, un sano ejercicio para afianzar conocimiento.

Gestionar un blog es mucho más que escribir y ya está. Organizar las tareas y cumplir los objetivos es algo que se aprende cada día y que, seguro, nos aportará mucho a nuestra vida laboral.

 

Y Feliz año 2.016 a todos

La semana que viene volvemos a la carga con nuevas entradas, con algunas que tenemos a medias y con toda nuestra energía. Esperamos contar contigo para la vuelta o… ¿te lo vas a perder?

Espacio habilitado para el desarrollo del Hackathon

Crónica del Hackathon en CyberCamp 2015

/en , /por

Por segundo año consecutivo INCIBE organiza el evento de seguridad CyberCamp con el objetivo de atraer, identificar, gestionar e impulsar la generación del talento en seguridad. Un lugar de encuentro donde los desarrolladores tienen la oportunidad de demostrar su potencial en el Hackathon, una competición enfocada al desarrollo de herramientas de seguridad.

Leer más

de-charleta

De Charleta: “Hacking Web Apps” (Brent White)

/en /por

Brent White contó en DEF CON 2015 los puntos básicos de lo que podría ser un ataque web o una auditoría (pentest), según el color de tu sombrero. Un acercamiento para aquellos que estén interesados en este tipo de tareas o para los que quieran profundizar en la seguridad de su web.

Brent is an Offensive Security Consultant at Solutionary NTT Group Security Company and has spoken at numerous security conferences, including DEF CON 22‹SE Village. He has held the role of Web/Project Manager and IT Security Director at the headquarters of a global franchise company. His experience includes Internal and External Penetration Assessments, Social Engineering and Physical Security Assessments, Wireless and Application Vulnerability Assessments and more.

DEF CON 15.

English.

https://twitter.com/brentwdesign
http://wehackpeople.tumblr.com/

seguro-interesa

¡Seguro que te interesa! – 14

/en /por

En esta sección os dejamos las noticias que nos han llamado la atención y que consideramos te pueden ser de ayuda. Es por eso que es… ¡seguro que te interesan!

[15/12/2015] Los creadores de la aplicación MacKeeper han confirmado una brecha de seguridad que ha expuesto los datos (nombres de usuario, contraseñas y otra información) de más de 13 millones de usuarios.

[16/12/2015] Dos investigadores de la Universidad Politécnica de Valencia han descubierto una vulnerabilidad un tanto extraña en la mayoría de sistemas Linux que cuentan con las versiones 1.98-2.02 del gestor de arranque Grub2. Simplemente con pulsar 28 veces la tecla Retroceso durante el arranque los atacantes pueden tomar el control local del sistema evitando cualquier tipo de autenticación.

[17/12/2015] Lío en Brasil con WhatsApp, a vueltas con la información privada.

 

cybercamp-visitante

Cybercamp 2015 – Mi experiencia como visitante

/en , , /por

Hace unas semanas se celebró la segunda edición de Cybercamp, un congreso de seguridad organizado por INCIBE en el que se ofrecen charlas, talleres y otras actividades para profesionales y familias con un objetivo común: concienciar sobre la importancia de la seguridad de la información.

Los editores de SecurityInside no podíamos faltar, por la proximidad del evento (en mi caso personal) y porque varios de los nuestros son parte de INCIBE. Es por eso que os ofreceremos tres posts desde tres puntos de vista diferente: como visitante (este es el primero de ellos), como participante (nuestro compañero Pedro estuvo trabajando sin descanso en el hackatón) y como staff (el compañero Antonio formó parte de la plantilla que ayudó a que todo saliera redondo).

En este caso me toca contaros lo que vi en esas tres intensas jornadas de aprendizaje y diversión…

 

Día 1: Llegando a Cybercamp

Tras llegar y pasar por los controles y el mostrador de acreditación, pude comenzar a estudiar el plano. Debo decir que la localización de este año me ha parecido más confusa que la de la primera edición. Tuve algún que otro problema para poder acceder a las zonas, pero poco a poco me pude ir haciendo con el entorno.

 

The need of multi-tasking teams within cybersecurity departments

Aurélie Pols nos contó su experiencia profesional y personal en la que ve cómo la seguridad abarca cada vez más factores y ámbitos. La necesidad de estar al día de legislaciones (nacionales e internacionales), tecnología y cyberseguridad es ya algo que no se puede obviar y que nos exige más preparación a los profesionales del sector.

Puedes descargar la presentación aquí.

 

¿Cómo conseguir financiación para fundar mi startup de seguridad?

Javier Martín nos contó los secretos de la financiación y la forma en la que constituir tu empresa si eres, como yo, de los que quieren dar ese paso en un futuro.

Puedes descargar la presentación aquí.

 

Día 2: Mejora tu seguridad con herramientas Microsoft gratis

Simón Roses presentó un taller en el que habló de las herramientas que Microsoft pone a nuestra disposición de forma gratuíta y que pueden ayudarnos en la complicada tarea de la gestión de seguridad.

Puedes ver el vídeo del taller aquí.

 

How can (bad guys or even u) can rule the world?

Pablo González contó de primera mano la investigación que ha realizado en este año sobre la posibilidad de obtener una botnet con relativa facilidad, haciendo uso de información pública y servidores vulnerables.

Puedes descargar la presentación aquí.

 

Seguridad web: Ataques a la lógica de negocio

Miguel Ángel Hernandez dió un repaso a los problemas habituales en tecnologías web y cómo afectan a la lógica de negocio. Hizo una demostración en la que podía comprar tallas no disponibles o comprar en modo 2×1 basándose en errores no controlados de diferentes webs.

Puedes descargar la presentación aquí.

 

Low-Hanging Fruit

Chema Alonso hizo una de sus presentaciones cargadas de humor en las que nos alertó de los peligros de centrarse en tecnologías de seguridad, dejando de lado lo básico como una buena política de actualizaciones, de contraseñas o de metadatos.

Puedes ver la presentación aquí.

 

21 días

Rubén Santamarta subió al escenario para dar una charla diferente. Nada de demostraciones técnicas y mucho de experiencia personal, algo que también ayuda a los que tenemos en mente salir del país y vivir alguna que otra aventura.

Puedes ver la presentación aquí.

 

¿Cómo se hizo «El bueno, el feo y el malo”?

Raúl Siles puso atención sobre los dispositivos móviles y los peligros que les acechan. Estamos conectados y no somos conscientes de lo sencillo que es tomar el control de determinada información.

Puedes descargar la presentación aquí.

 

HoneyStation, Detección, Análisis y visualización de Ciberataques en tiempo real

Francisco J. Rodríguez nos dejó a todos impresionados con una prueba de concepto de increíble calidad. Un trabajo personal que pone sobre la mesa información en tiempo real de los ataques que se están produciendo con todo tipo de detalle.

Puedes descargar la presentación aquí.

 

¿Qué hace un técnico de ciberseguridad en una empresa?

Gonzalo Sánchez realizó una presentación en la que nos contó los elementos básicos de un SGSI y la forma en la que aplicar la ISO 27.001 en un entorno corporativo.

Puedes descargar la presentación aquí.

 

Día 3: Python, hacking y sec-tools

Daniel García nos puso las pilas por la mañana temprano con un taller de Python orientado al desarrollo de herramientas de ayuda en auditoría.

Puedes ver el vídeo del taller aquí.

 

Cookies y privacidad

Alejandro Ramos nos contó lo descubierto en su investigación sobre el uso de cookies y la relación entre su uso y la privacidad de usuarios.

Puedes ver el vídeo del taller aquí.

 

Necesitamos OPSEC

David Barroso nos mostró cantidad de ejemplos reales en los que se hace necesaria una operativa de seguridad, tanto en entornos corporativos como a nivel de familia.

Puedes ver la presentación aquí.

 

Riesgos de seguridad en el siglo XXI: familias y profesionales

Román Ramírez nos dió un golpe de realidad poniendo sobre la mesa la exposición que tenemos, en un mundo interconectado, sobre nuestros datos personales. Quizá la charla más dura para un público familiar, pero llena de ejemplos totalmente necesarios.

Puedes ver la presentación aquí.

 

Mis conclusiones…

Estas son las charlas y talleres a los que pude asistir, pero quedaron muchas opciones en el tintero debido al solapamiento. Por suerte, todo el material está disponible tanto en la web de Cybercamp (sección de materiales) como en su canal de YouTube.

Además de todo esto, pude darme una vuelta por los stands de patrocinadores, los de ayuda a emprendimiento o a búsqueda de empleo, el hackatón, los retos de seguridad, las actividades para familias, los talleres de robótica… mil cosas que hacer y que aprender en tres días intensos pero divertidos.

Además, con el extra añadido de encontrar por allí a grandes amigos y conocidos. Detalles y discusiones aparte, un evento interesante en conjunto que aporta mucho a la concienciación, a la formación y al empleo.

El año que viene, más. ¡Allí nos veremos!