cybercamp-visitante

Cybercamp 2015 – Mi experiencia como visitante

Hace unas semanas se celebró la segunda edición de Cybercamp, un congreso de seguridad organizado por INCIBE en el que se ofrecen charlas, talleres y otras actividades para profesionales y familias con un objetivo común: concienciar sobre la importancia de la seguridad de la información.

Los editores de SecurityInside no podíamos faltar, por la proximidad del evento (en mi caso personal) y porque varios de los nuestros son parte de INCIBE. Es por eso que os ofreceremos tres posts desde tres puntos de vista diferente: como visitante (este es el primero de ellos), como participante (nuestro compañero Pedro estuvo trabajando sin descanso en el hackatón) y como staff (el compañero Antonio formó parte de la plantilla que ayudó a que todo saliera redondo).

En este caso me toca contaros lo que vi en esas tres intensas jornadas de aprendizaje y diversión…

 

Día 1: Llegando a Cybercamp

Tras llegar y pasar por los controles y el mostrador de acreditación, pude comenzar a estudiar el plano. Debo decir que la localización de este año me ha parecido más confusa que la de la primera edición. Tuve algún que otro problema para poder acceder a las zonas, pero poco a poco me pude ir haciendo con el entorno.

 

The need of multi-tasking teams within cybersecurity departments

Aurélie Pols nos contó su experiencia profesional y personal en la que ve cómo la seguridad abarca cada vez más factores y ámbitos. La necesidad de estar al día de legislaciones (nacionales e internacionales), tecnología y cyberseguridad es ya algo que no se puede obviar y que nos exige más preparación a los profesionales del sector.

Puedes descargar la presentación aquí.

 

¿Cómo conseguir financiación para fundar mi startup de seguridad?

Javier Martín nos contó los secretos de la financiación y la forma en la que constituir tu empresa si eres, como yo, de los que quieren dar ese paso en un futuro.

Puedes descargar la presentación aquí.

 

Día 2: Mejora tu seguridad con herramientas Microsoft gratis

Simón Roses presentó un taller en el que habló de las herramientas que Microsoft pone a nuestra disposición de forma gratuíta y que pueden ayudarnos en la complicada tarea de la gestión de seguridad.

Puedes ver el vídeo del taller aquí.

 

How can (bad guys or even u) can rule the world?

Pablo González contó de primera mano la investigación que ha realizado en este año sobre la posibilidad de obtener una botnet con relativa facilidad, haciendo uso de información pública y servidores vulnerables.

Puedes descargar la presentación aquí.

 

Seguridad web: Ataques a la lógica de negocio

Miguel Ángel Hernandez dió un repaso a los problemas habituales en tecnologías web y cómo afectan a la lógica de negocio. Hizo una demostración en la que podía comprar tallas no disponibles o comprar en modo 2×1 basándose en errores no controlados de diferentes webs.

Puedes descargar la presentación aquí.

 

Low-Hanging Fruit

Chema Alonso hizo una de sus presentaciones cargadas de humor en las que nos alertó de los peligros de centrarse en tecnologías de seguridad, dejando de lado lo básico como una buena política de actualizaciones, de contraseñas o de metadatos.

Puedes ver la presentación aquí.

 

21 días

Rubén Santamarta subió al escenario para dar una charla diferente. Nada de demostraciones técnicas y mucho de experiencia personal, algo que también ayuda a los que tenemos en mente salir del país y vivir alguna que otra aventura.

Puedes ver la presentación aquí.

 

¿Cómo se hizo «El bueno, el feo y el malo”?

Raúl Siles puso atención sobre los dispositivos móviles y los peligros que les acechan. Estamos conectados y no somos conscientes de lo sencillo que es tomar el control de determinada información.

Puedes descargar la presentación aquí.

 

HoneyStation, Detección, Análisis y visualización de Ciberataques en tiempo real

Francisco J. Rodríguez nos dejó a todos impresionados con una prueba de concepto de increíble calidad. Un trabajo personal que pone sobre la mesa información en tiempo real de los ataques que se están produciendo con todo tipo de detalle.

Puedes descargar la presentación aquí.

 

¿Qué hace un técnico de ciberseguridad en una empresa?

Gonzalo Sánchez realizó una presentación en la que nos contó los elementos básicos de un SGSI y la forma en la que aplicar la ISO 27.001 en un entorno corporativo.

Puedes descargar la presentación aquí.

 

Día 3: Python, hacking y sec-tools

Daniel García nos puso las pilas por la mañana temprano con un taller de Python orientado al desarrollo de herramientas de ayuda en auditoría.

Puedes ver el vídeo del taller aquí.

 

Cookies y privacidad

Alejandro Ramos nos contó lo descubierto en su investigación sobre el uso de cookies y la relación entre su uso y la privacidad de usuarios.

Puedes ver el vídeo del taller aquí.

 

Necesitamos OPSEC

David Barroso nos mostró cantidad de ejemplos reales en los que se hace necesaria una operativa de seguridad, tanto en entornos corporativos como a nivel de familia.

Puedes ver la presentación aquí.

 

Riesgos de seguridad en el siglo XXI: familias y profesionales

Román Ramírez nos dió un golpe de realidad poniendo sobre la mesa la exposición que tenemos, en un mundo interconectado, sobre nuestros datos personales. Quizá la charla más dura para un público familiar, pero llena de ejemplos totalmente necesarios.

Puedes ver la presentación aquí.

 

Mis conclusiones…

Estas son las charlas y talleres a los que pude asistir, pero quedaron muchas opciones en el tintero debido al solapamiento. Por suerte, todo el material está disponible tanto en la web de Cybercamp (sección de materiales) como en su canal de YouTube.

Además de todo esto, pude darme una vuelta por los stands de patrocinadores, los de ayuda a emprendimiento o a búsqueda de empleo, el hackatón, los retos de seguridad, las actividades para familias, los talleres de robótica… mil cosas que hacer y que aprender en tres días intensos pero divertidos.

Además, con el extra añadido de encontrar por allí a grandes amigos y conocidos. Detalles y discusiones aparte, un evento interesante en conjunto que aporta mucho a la concienciación, a la formación y al empleo.

El año que viene, más. ¡Allí nos veremos!

SecurityInside en el AWS Summit de Barcelona

El pasado 5 de Noviembre se celebró en Barcelona un congreso relacionado con el servicio cloud de Amazon, el conocido como Amazon Web Services.

Como parte del equipo de Touchvie (¿qué? ¿que todavía no conoces Touchvie? Si eres cinéfilo o seriéfilo, pásate por aquí, te va a gustar), estuve en el evento conociendo de primera mano las novedades del servicio y poniendo especial atención al aspecto de la seguridad.

Hubo sesiones de todo tipo, orientadas a servicios, a procesos, a gestión… te movieras en el entorno en el que te movieras, había una charla para ti. En este post os hablaré de las que vi y dejaré enlaces a todas para que puedas estar al tanto de lo que se nos mostró allí.

¿Pero qué es AWS?

Amazon Web Services es un conjunto formado por plataforma y colección de servicios de computación en la nube, ofrecidos por el gigante Amazon. Es uno de los grandes “cloud services”, al nivel de Microsoft Azure o Google Cloud Platform.

El conjunto de servicios crece de forma constante, cuando empecé a usarlo apenas había EC2 (computación virtualizada), S3 (almacenamiento masivo) y RDS (bases de datos).

Hoy en día las opciones se han multiplicado y podemos acceder a un gran conjunto de elementos que ponen a nuestra disposición un abanico tan amplio, que podemos montar el 100% de la infraestructura de una empresa “a golpe de click” y sin inversiones en costosos equipos físicos.

aws-summit-2

Aquí sólo pagas por uso y la gestión, actualización y mantenimiento del hardware corre del lado de Amazon, siendo (en la mayoría de los casos) transparente para el usuario.

En mi experiencia laboral he tenido que usar y montar entornos de este tipo, he de decir que la sensación y respuesta ha sido más que positiva, por lo que este evento me parecía totalmente interesante.

Sesiones: Bienvenida

Guillem Veiga, Head of AWS Ibérica nos recibió en el AWS Summit de Barcelona con una presentación general en la que nos habló del buen estado de salud del servicio y nos contó un poco de historia sobre la evolución del mismo.

Podéis ver las trasnparencias en este enlace.

Sesiones: AWS Security

aws-summit-3

Posteriormente Bill Murray, Director of AWS Security Programs nos contó los secretos de la gestión de seguridad, tratando de plasmar que se trata de uno de los focos importantes de la empresa.

Cuando tratas de cambiar el chip a terceros para que no vean los servicios cloud como algo negativo o peligroso es vital que tu oferta sea lo más segura y estable posible.

Amazon cuenta con expertos internacionales que tratan de ofrecer una experiencia libre de problemas (desde el punto de vista de lo que gestionan ellos) y con las herramientas necesarias para que la parte gestionada por el usuario no sea un canal inseguro.

En este sentido, partiendo de la seguridad desde el diseño, todos los servicios ofrecen configuración de políticas y gestión de usuarios basados en roles, grupos… También ofrecen herramientas como el “Amazon Inspector” que evalúa la configuración de tu entorno para aconsejarte medidas correctivas ante posibles amenazas.

Puesto que la seguridad es un pilar básico de sus servicios, continuamente están añadiendo y mejorando aspectos. Cuentan también con planes de formación con entornos reales para que puedas poner en práctica todo lo aprendido.

En próximos entradas de SecurityInside.info profundizaré en todo esto, ya que me toca muy de cerca en el día a día (¡estad atentos!).

Si te interesa todo esto, puedes descargar la presentación desde este enlace.

Sesiones: Integración de infraestructuras híbridas

El siguiente paso me llevó a ver la forma en la que adoptar los servicios AWS partiendo de una estructura totalmente operativa. Es el caso de aquellas empresas que llevan tiempo funcionando y cuentan con elementos propios pero quieren migrar hacia el cloud.

Hace unos años tuve la oportunidad de hacer algo así. Se trataba de un proyecto en el que se había presupuestado un total de 250.000€ para servidores en tres años. Gracias a AWS pude ofrecer una alternativa totalmente operativa y funcional rebajando el coste a 75.000€ en el mismo periodo. ¿No es interesante?

Amazon trata de no centrar todo en el coste, no quieren vender sus servicios por el hecho de que abaratan costes a la empresa (ojo, que no es poco). Tratan de resaltar que aportan un nivel de gestión, escalado y soporte que queda muy lejos de aquello a lo que nos hemos acostumbrado hasta ahora.

En esta charla, Victor Pareja, Sr. Solutions Architect, nos contó varios casos de estudio, con diferentes alternativas organizadas por niveles, de forma que pudiéramos comprobar cómo es posible la integración con diferentes servicios.

Sin duda, una presentación muy interesante que puedes descargar desde este enlace.

Sesiones: Introducción a IoT

Después me acerqué a ver qué novedades se presentaban con respecto al cada día más habitual IoT (Internet of things). Una sesión que resultó muy interesante gracias al uso del servicio Lambda del que ya soy todo un fan. Para resumir, son porciones de código que se ejecutan sin tener que tener un servidor y en función de diferentes eventos de entrada.

Carlos Conde nos hizo un ejemplo en el que utilizaba el «dash button» para automatizar cosas como levantar un entorno de desarrollo o realizar un backup completo de infraestructura con sólo una pulsación. Esto lanza un evento que ejecuta el código de una lambda y realiza cualquier acción. Todo el poder de AWS de forma sencilla y automática. ¿Se puede pedir más?

Todo esto, además con la opción de dar permisos y roles a «tus cacharritos». Resumiendo, que te dan la capacidad de hacer casi cualquier cosa mediante el internet de las cosas gracias a la maravillosa combinación de sensores, conectividad y data analytics.

Para finalizar nos puso un video en el que se hacía un repaso a la automatización de los almacenes de Amazon mediante el uso de «robots-estantería» corriendo sobre este servicio (¡que todavía está en beta!).

Muy muy interesante, una tecnología que va a pegar fuerte en el futuro cercano y cuya presentación puedes descargar desde aquí.

Sesiones: AWS Mobile Hub

Un poco más alejado de mi mundo, esta sesión de desarrollo movil me pareció muy interesante ya que afrontaba lo complicado que es arrancar un desarrollo en iOS/Android con la cantidad de servicios y necesidades actuales. Las aplicaciones de hoy en día deben tener una serie de capacidades que todos esperamos como mínimas y que implican un coste elevado de tiempo aunque no tengan nada que ver con la funcionalidad que queremos ofrecer.

Hablamos de cosas tan básicas como:

  • Registro y login de usuarios.
  • Notificaciones push.
  • Recursos multimedia ilimitados tanto en local como online.
  • Almacenamiento local de datos de usuario.
  • Métricas y analítica.
  • Capacidad de computación cloud.

En este charla, Danilo Poccia, AWS Technical Evangelist, nos contó todas las novedades e hizo una demo completa para ambos sistemas en la que pudimos comprobar que, en apenas cinco minutos, ambas apps tenían todas esas funcionalidades completas.

Si lo tuyo es el desarrollo de apps, esta presentación te va a parecer muy interesante.

Sesiones: Desplegando escritorios virtuales a escala

A esta sesión le tenía muchas ganas por lo práctico (aunque no novedoso del servicio). Esto de montar en una empresa una flota de terminales simples que ejecuten el sistema de forma remota, hace que podamos tener una infraestructura completa que se pueda apagar al irnos a casa. Empresas totalmente virtuales que pueden despegar con coste mínimo es algo que vamos a ver a menudo dentro de no mucho.

Amazon nos permite lanzar escritorios virtuales con el software que nuestros empleados necesiten y nos podemos olvidar de licencias y renovaciones de equipos. La virtualización de escritorios con «terminales tontos» es un concepto que ya existe desde hace años, pero las conexiones de red actuales hacen que ahora sea totalmente usables.

Carlos Sanchiz, de AWS, nos contó el servicio con sus opciones y, posteriomente, Patricio Muñoz nos expuso el caso real de escritorios virtuales en Abengoa.

Si te interesa el tema, no dudes en echarle un ojo a la presentación.

Resto de sesiones

El resto de sesiones se solapaban con estas y no pude ir a más. Por suerte, Amazon ha puesto disponibles las presentaciopnes para que podamos tenerlas a mano y revisar en cualquier momento. Aquí os dejo el resto:

Extra: Battle of the Startup Bands

aws-summit-4

Y para terminar, un extra que (personalmente) me pareció un puntazo. Las startups y equipos presentes estaban invitados a armonizar el cierre de congreso con una lucha de bandas. No hay nada mejor que un día de tecnología, con amigos y terminando con música en directo.

Si nada se tuerce, espero estar el año que viene de nuevo para seguir aprendiendo de AWS, para (quizás) presentar la experiencia Touchvie y (ojalá) tocar algo con amigos. ¿Qué mas se puede pedir?

Siguiente parada: Cybercamp Madrid

Y mañana me voy al Cybercamp de INCIBE, donde coincido con dos compañeros de SecurityInside (Antonio y Pedro). En breve tendreís una entrada con las impresiones y comentarios del evento, que seguro nos trae mucho más que aprender.

¡Si nos vemos por allí no dudes en saludar!

seguridad_pymes

5 consejos básicos de seguridad para PYMES sin dinero

La tecnología es ya algo que forma parte de nuestro día a día tanto a nivel personal como empresarial. Mi hija maneja el smartphone y la tablet con soltura (mucho mejor que sus abuelos), algo extensible a la mayoría de personas menores de 40 años.

En el mundo de hoy es impensable una empresa u organización que no tenga una fuerte base tecnológica, estemos hablando de base de datos de clientes, soluciones ERP o una simple (o compleja) página web.

Si echamos un vistazo a la situación actual es España, nos encontramos con que la inmensa mayoría de las empresas que nos rodean tienen menos de 250 trabajadores, lo que se conoce como PYME (Pequeña Y Mediana Empresa):

pymes

En este escenario podemos ahondar un poco más para darnos cuenta de que el uso de la tecnología es básico en este tipo de empresas:

uso_tecnologia

Sin embargo, cuando nos acercamos a evaluar las medidas de seguridad, planes de contingencia o de continuidad de negocio vemos con poco asombro (lamentablemente) que la situación es precaria.

planes de seguridad

Está claro que hay que invertir en seguridad

Desde nuestro punto de vista no hay más que ver los números para darse cuenta de que no se puede tener todo (o gran parte) del negocio sobre elementos tecnológicos y no tener un plan o medidas de seguridad que nos permitan tener cierto control sobre nuestra actividad habitual.

Sin embargo, las PYMEs en general no están demasiado concienciadas de este problema y suelen ver con cierto malestar las propuestas de, lo que consideran, un gasto absurdo en seguridad.

Convencer a este sector es todo un reto para los que nos movemos en este mundo, yo me he encontrado con esta situación en no pocas ocasiones y es algo muy complicado de abordar.

 

Las PYMEs sin dinero

Pero también hay que entender que los servicios profesionales en seguridad son caros y que muchas de estas empresas prefieren arriesgarse antes que afrontar el coste de un trabajo serio y profesional que les permita mantener su entorno dentro de unos límites aceptables de seguridad.

Si trabajas en alguna de estas empresas y tienes un rol técnico, si eres el responsable de sistemas, trabajas con la web o simplemente quieres aportar tu granito de arena a concienciar a tus compañeros y te encuentras en algunas de las PYMEs sin dinero (para invertir en seguridad), te quiero aportar cinco sencillos consejos para que la situación de tu empresa sea un poco mejor. Pero antes, para que entiendas lo importante que es esto, no estaría mal que supieras que…

 

Los “malos” ya no son lo que eran

Hace tiempo nos vendían la imagen del hacker malo como alguien encerrado en un cuarto rodeado de cables, generalmente a oscuras, con poca vida social y los ojos rojos de no dormir…

hacker_malo

dummies

 

Hoy en día la cosa ha cambiado y cualquiera que tenga un poco de interés por aprender puede hacerse con un manual o realizar una simple búsqueda en Google que le indique paso por paso qué tiene que hacer para fastidiar a la empresa de la competencia.

maldadPero aún hay más, si estás interesado pero te puede la pereza, sólo tienes que dar un par de vueltas por la deep web o hasta Youtube para encontrar alguien que lo haga por ti a cambio de unos cuantos bitcoins… ¿No te lo crees? ¿Conoces a el Gwapo?

 

¿Realmente me afecta?

Claro, la situación actual en estas PYMEs es pensar “a mí no me va a pasar”. Es un razonamiento habitual que se convierte en pánico cuando algo ocurre.

Pero volviendo a lo que te contaba, si te encuentras en esta situación en la que la empresa no tiene intención (por economía o decisión) de invertir en seguridad, al menos ten en cuenta estos cinco consejos que te ayudarán (sin apenas gastar un euro) a evitar, al menos, los ataques de botón gordo (aquellos que pueden realizarse sin conocimientos técnicos avanzados).

 

1) Examina tu información pública y semi pública:

La primera fase de un ataque sobre tu empresa va a consistir en la búsqueda de información que pueda aportar un mapa de lo que hay tras tu “fachada”.

Tener conocimiento de lo que enseñas es básico para intentar controlarlo y tratar de no ofrecer más de la cuenta. Para hacerlo, puedes usar algunos servicios web que te van a ofrecer una visión de cómo se te ve desde el exterior, como por ejemplo:

IntoDNS.com: te ofrece un informe de los que tu DNS dice de ti

intodns

DNSQueries.com: te ofrece varias utilidades para conocer información sobre tus sistemas de cara al público (dominio, ips, banners, puertos abiertos…).

dnsqueries

BriConsejo: trata de no mostrar banners, logs o servicios que no sean necesarios para tu actividad. Toda la información que no esté estrictamente relacionada con tu negocio, no debe estar expuesta.

 

2) Monitoriza tus servicios y servidores:

En muchas de estas empresas hay problemas incluso para saber si las cosas funcionan o no. Tener un control sobre si tu negocio está operativo es esencial y puedes contar con herramientas sencillas y gratuitas para conseguirlo.

Nagios / Icinga: dos sabores (el segundo es un fork del primero) para monitorizar de forma interna tus procesos y recursos, con ellos puedes tener todo bajo control

nagios

Monitor.us: servicio de la gente de TeamViewer que monitoriza de forma externa tus servidores, web… y te permite configurar alertas por mail y sms.

monitor

BriConsejo: saber qué o cuándo falla tu entorno es vital para poder recuperarse. En función de la actividad de tu negocio el tiempo que puedes permitirte tener algo parado es muy variable y puede ser vital.

 

3) Realiza una evaluación de seguridad de tus servicios:

Una auditoría de tus sistemas abiertos al público es vital, si tu empresa no quiere o no puede hacerlo con un profesional, al menos puedes utilizar ciertos servicios que te examinan e informan de las vulnerabilidades habituales.

WebSiteSecurityAudit: examina tu web o servidor en busca de vulnerabilidades y te las muestra ordenadas por prioridad junto con una explicación y consejos para solucionar el problema.

websitesecurityaudit

Detectify: similar pero con la posibilidad de recibir avisos y de exportar informes.

detectify

BriConsejo: trata al menos de eliminar las vulnerabilidades graves que te muestran estos servicios. Si ellos las detectan, alguien con mala intención también lo hará.

 

4) Haz copias de seguridad de tus datos importantes:

El espacio en disco está hoy en día casi regalado, no escatimes en backups y si son automáticos mejor (que al final siempre se nos olvida). Una solución híbrida que mantenga copias en local y remoto (puedes usar un disco duro y algún servicio cloud) te permitirá tener todo a buen recaudo por muy poco dinero.

Cloudberry backup: vale, no es gratis pero son apenas 30€ que te permitirán automatizar tus backups cifrando todo con unos sencillos clicks.

cloudberry

BriConsejo: ni lo pienses, tener tu información a salvo en varios lugares te costará muy poco y será maravilloso haberlo hecho si algún día lo pierdes todo…

 

5) Formación y concienciación del personal:

Habla con tus compañeros, envíales posts o noticias con incidentes de seguridad, puedes incluso utilizar el kit de concienciación de INCIBE o ponerles algunas de las charlas que te ofrecemos desde esta web.

Piensa que si consigues un pequeño cambio en la mentalidad de la gente, si consigues implantar una mínima cultura de seguridad en una PYME sin dinero habrás tenido éxito.

BriConsejo: al menos, trata de trasladar la necesidad del uso de contraseñas fuertes y de no abrir adjuntos de origen desconocido. Sólo con esto estarás haciendo mucho por tus compañeros.

 

Un vistazo general

Ojo, no estoy recomendando estos servicios como alternativas a un trabajo profesional, simplemente aconsejo este tipo de pasos en la situación particular de que te encuentres en una PYME sin dinero (para invertir en seguridad).

Quizás, poner en práctica estos consejos te pueda ayudar a cambiar la mentalidad de los que te rodean. Puede que poner sobre la mesa un pequeño informe con los problemas y soluciones detectados con estos cinco pasos sea el empujón necesario para que se comprenda que la seguridad no es un gasto si no una inversión que termina siendo rentable.

Como siempre digo, si ves algún error, no estás de acuerdo con lo que cuento o quieres hacer alguna aportación, no dudes en pasarte por los comentarios.

Logotipo de la certificación GIAC

Cómo preparar un examen de certificación GIAC a través de SANS

Los exámenes de certificación GIAC son famosos por su dificultad, al no contar con material oficial para preparar certificaciones con un nivel técnico muy alto, y por ser exámenes a libro abierto. Sin embargo, SANS pensó en ello convirtiéndose hoy en día en un gran aliado a través de sus cursos de formación.

Leer más