Podcast 1984 Qemm, S4ur0n, Belky y Jcea

DevSecOps, una historia de amor https://podcast.jcea.es/podcast1984/5
Notas:


00:00: Presentación.

02:03: Jesús Cea (@jcea) entrevista
a Javier Espejo (@javiespejo) sobre sus antecedentes
y la charla que ha presentado a la llamada a ponencias del congreso
Navaja Negra: DevSecOps, una historia de amor.

02:30: ¿Quien es Javier Espejo?
05:00: Madrid Wireless.


09:10: Drivers WIFI para modo monitor.
09:40: Linux AP.
09:50: US Robotics.


10:55: Entrando en materia: DevSecOps, una historia de amor, charla presentada
a la llamada a ponencias del congreso de seguridad informática
Navaja Negra.


11:30: ¿Qué es DevOps?
18:05: ¿Qué es DevSecOps?
25:14: ¿Cómo se convence a la gente del dinero para que inviertan en seguridad ANTES
de que ocurran cosas malas? Se ve el coste pero no se ve el beneficio.
27:00: Desde un punto de vista empresarial pagar multas puede ser más barato o conveniente
que prevenir el problema.
29:20: ¿Impacto real de aplicar DevSecOps?
32:05: ¿Cómo vendes DevSecOps?. La empresa es
Raipson.
35:00: ¿Qué hace el producto Raipson SecOps?
36:50: ¿Alguna sorpresa para Navaja Negra.
37:50: Cierre.


38:27: Autonomía digital: Pedro
(@nn2ed_s4ur0n) nos es explica por qué
y cómo montar nuestra propia VPN.

Pedro hace referencia constante a un documento que aún no está online.
Lo lamentamos.


38:27: La privacidad y el anonimato son fundamentales para la democracia.
39:35: ¿Qué es una VPN?
40:40: Algunos servicios listos para usar:

VPN Providers.
VPN Gate - Public VPN Relay Servers.
Free VPN Servers List.


41:35: Siete mitos sobre anonimato y privacidad.
44:24: Preguntas que debemos hacernos al emplear un servicio
VPN ajeno.
46:25: Monta tu propio servicio
VPN. Ejemplo detallado.


52:10: Despedida.

La libertad significa responsabilidad. Por eso la mayoría de los hombres le tienen tanto miedo - George Bernard Shaw https://podcast.jcea.es/podcast1984/4
Notas:


00:00: Presentación.

00:50: Luis Jurado (@streaming10).

01:40: Iván Eguiguren (@ivan_eguiguren).

02:36: El debate: Ética y responsabilidad de los leaks.

04:25: Pedro introduce el caso Hacking Team.
Empresa de desarrollo de hacking ofensivo con numerosos clientes gubernamentales por todo el mundo.

06:56: Luis opina sobre la legalidad y la práctica del "hacking oficial", pinchado especialmente por Antonio.

14:18: Pedro habla del artículo 588c.

15:30: Antonio centra el debate en la parte técnica.

16:50: Pedro habla de Hacking Team.

18:45: Listado de clientes
de Hacking Team, incluyendo organismos españoles.

19:50: Tres exploits, en
Flash y en
Microsoft Windows.

23:32: Alternativas en cuestión de navegadores web, buscadores, etc.

24:20: Pedro retoma la descripción técnica DETALLADA de los
exploits.

30:20: Se comentan casos como el de Ashley Madison.

31:30: ¿Qué pasa con la responsabilidad de publicar esa información? Opina Luis y Pedro.

39:40: Algunos desgloses de datos de Ashley Madison
relativos a España. ¿Responsabilidades?

47:40: Cerrando el tema. Conclusiones de los tres participantes.


52:15: Autonomía digital:


52:15: Iván Eguiguren (@ivan_eguiguren)
nos habla sobre reversing o ingeniería inversa,
con algunos ejemplos prácticos.


01:08:40: Despedida.

¿Ya tienes tu carné de "hacker"? https://podcast.jcea.es/podcast1984/3
Notas:


00:00: Presentación.

01:41: El debate: Reglamento de la ley de seguridad privada.

01:41: Javier introduce el tema.

05:20: Pedro concreta detalles del borrador actual.

07:47: Jesús no lo tiene claro en absoluto. Debate con Pedro.

11:25: A Javier le preocupa quién es el responsable de emitir esas certificaciones.

12:20: Antonio opina que hay mala fe, una intención de tener a los "hackers" fichados.

14:21: Pedro centra el debate.

17:13: Antonio insiste en su opinión de que esto es para controlar. Jesús opina
que ya estamos controlados de sobra a través de listas de correo, congresos, etc.

18:25: Jesús reflexiona sobre las barreras de entradas y el intrusismo.

21:20: Se habla de intereses y objetivos ocultos.

23:35: Jesús hace de abogado del diablo.

24:50: Antonio apunta el detalle importante de que el borrador actual mete
en el mismo saco a las empresas de seguridad física y a las de seguridad lógica.

29:00: Resumen final. Queda mucho por ver y discutir.



31:13: Pedro entrevista a Kioardetroya
(Jaime Álvarez):


31:30 Jaime está actualmente en paro. Esto sirve de punto de entrada
para reflexionar sobre el mercado laboral en seguridad.

34:00: ¿El carné de "hacker" servirá para algo en el mercado laboral?

37:00: Bugtraq-Team y
USB Rubber Ducky.

40:40: Hack&Beers el 10 de julio de 2015.

41:30: La responsabilidad de seguridad se impone al usuario en vez de
a la empresa.

42:30: Microterrorismo.


45:40: Autonomía digital: Javier nos habla de hardening en sistemas Linux.


46:20: No instalar paquetes innecesarios.
47:20: Mantener al día los paquetes que sí sean necesarios.
48:00: Cómo mantener los paquetes actualizados.
49:30: Acceso remoto, control de puertos abiertos:
Port Knocking,
VPNs
y a través de una máquina de entrada al resto de la red.
51:10 si vas a dejar el SSH
abierto a internet, no lo pongas en el puerto 22.
52:10: No permitir el acceso root remoto por
SSH.
53:30: Port Knocking.
54:50: Bloqueo de IPs: Fail2ban.
58:40: Securizar la aplicación:

01:00:25: Web Application Firewall.
01:01:00: Mod Security.
01:02:00: Mod Evasive.
01:03:05: Protección webs a través de cabeceras HTTP. Por ejemplo,
X-XSS-Protection.

01:03:50: Control de acceso de usuarios legítimos:
Snoopy,
LDAP.
01:06:30: Base de datos: activar los logs de auditoría de acceso.
01:08:10: Políticas de claves.
01:09:13: Copias de seguridad y logs.


01:11:15: Despedida.

Nuestra credulidad es su fuerza https://podcast.jcea.es/podcast1984/2
Notas:


00:00: Presentación.

02:27: Noticias breves:


02:27: I Evento Telemático
de ANSI:

Charla -
Ley Seguridad Ciudadana y LECrim.
Charla
Debate Seguridad Domestica El Enemigo En Casa.

04:22: Facebook integra OpenPGP en sus notificaciones
de correo electrónico. La nota de prensa:
Securing Email Communications from Facebook.
05:00: El autor del ransomware
Locker publica el listado de claves necesarias para
descifrar los ficheros de los usuarios.
05:40: Libro Cibercrimen,
escrito por Manel Medina y Mercè Molist.


07:20: En el debate hablaremos sobre la
TTIP.


08:10: Javiér presenta el
Tratado transatlántico de comercio e inversiones.
09:45: Antonio habla del espionaje internacional.
10:00 Derechos laborables, servicios públicos, medicamentos.
11:19: A Jesús no le parece mal la globalización. El problema es irse al máximo
común divisor.
13:17: Antonio insiste en el tema del espionaje masivo, ley mordaza, etc.
14:45: Jesús presenta tu teoría del egoismo productivo.
15:30: Javier indica que el terrorismo y similares proporcionan excusas para aprobar
leyes abusivas contando con el apoyo del público.
16:20: Jesús opina que el público está dispuesto a ceder en lo que sea con tal de
mantener su percepción de nivel de vida y su percepción de seguridad.
19:43: Jesús: La propia TSA confirma que la seguridad aérea es un coladero:

US Airport Screeners Missed 95% of Weapons, Explosives In Undercover Tests.
24:38: Antonio: Si damos al público en general por perdido, ¿qué opciones tenemos?
26:20: Jesús: Proporcionar seguridad "a pesar" del público, que no sea una elección.
27:00: La epifanía de Jesús con
FireSheep (en el podcast Jesús habla de BlackSheep.
Es una errata, el nombre correcto es FireSheep).
31:00: Tras Snowden, nada
ha cambiado. ¿O sí?.
31:40: Antonio: ¿privacidad?
32:20: Jesús ignora a Antonio y sigue contando su rollo. Más detalles en su artículo
Nada
ha cambiado desde Snowden. ¿O si?.
34:30: Jesús da su opinión sobre las peticiones de muchos gobiernos de limitar
la calidad del cifrado en las comunicaciones.
35:40 Jesús: Ya se ha abierto la caja de Pandora. La tecnología no se puede prohibir
porque los malos lo usarán y los buenos estarán desprotegidos.
39:00: Javier habla de la ley antiterrorista francesa.
39:30: Jesús: arbitrariedad en la aplicación de leyes que se infringen de forma masiva.
40:30: Jesús: Estas propuestas de ley son globos sonda.
44:30: Asimetría entre violaciones de la ley de protección de datos por parte
de empresas privadas o por parte de organismos públicos.
45:20: Antonio pide un resumen final.
45:50: Jesús da su receta.
46:30: Javier recuerda que el tema del debate era la
TTIP y
que el público debe informarse y resistirse.
47:50: Antonio aporta su opinión.

48:18: Javier nos habla de la
ingeniería
social, presentando un ejemplo práctico.

Quien renuncia a su libertad por seguridad, no merece ni libertad ni seguridad https://podcast.jcea.es/podcast1984/1
Notas:


00:00: Presentación.
01:13: Noticias breves.

01:13: Primer encuentro telemático
de la asociación ANSI.
01:43: Las impresiones de Belky durante el Mundo Hacker Day.
06:18: El
ayuntamiento de Cádiz asegura que un virus informático ha borrado los documentos del caso Matadero
que solicitaba el juez.

10:20: El debate: Ley mordaza y reforma del código penal.

20:20: Pedro nos hablar sobre los artículos 197bis y 197ter.
25:34: MANIFIESTO PARA PROYECTOS DE SOFTWARE DE SEGURIDAD:
¡No soy un delincuente!
27:20: El carné de "hacker" y titulación oficial.

30:50: La entrevista: Dani (Cr0hn).

31:40: Dani nos explica qué es ¿qué es OWASP?.
33:10: Cómo se fundó el capítulo de OWASP Madrid.
37:20: Herramientas elaboradas por Dani (y otros) o a las que contribuye:
GoLismero (Framework de código abierto multiplataforma
para el testeo de seguridad), plecost (analizador
para vulnerabilidades de Wordpress).
50:34: El congreso de seguridad Navaja Negra
cumple cinco años. Primer fin de semana de octubre de 2015. ¡Eventos nocturnos!.

01:04:22: El monográfico: Javier Espejo (Qemm)

01:04:22: Javier nos habla sobre el uso despreocupado de redes inalámbricas
que no son de confianza.
01:10:30: Políticas y gestores de claves.
01:11:10: Si el servicio es gratis, el producto eres tú.
01:11:40: Ingeniería social.
01:17:10: Ransomware.
Javier nos habla de cómo funciona la utilidad
Anti Ransom de Yago Jesús.
01:19:14: El WPS
sigue siendo la debilidad de muchas redes wifi privadas.
01:19:45: Consejos finales.

1:22:20: Cierre del programa.