Podcast 1984 Qemm, S4ur0n, Belky y Jcea
-
- Technology
Podcast1984.
-
Podcast 1984 #5: Historias de lo nuestro
DevSecOps, una historia de amor https://podcast.jcea.es/podcast1984/5
Notas:
00:00: Presentación.
02:03: Jesús Cea (@jcea) entrevista
a Javier Espejo (@javiespejo) sobre sus antecedentes
y la charla que ha presentado a la llamada a ponencias del congreso
Navaja Negra: DevSecOps, una historia de amor.
02:30: ¿Quien es Javier Espejo?
05:00: Madrid Wireless.
09:10: Drivers WIFI para modo monitor.
09:40: Linux AP.
09:50: US Robotics.
10:55: Entrando en materia: DevSecOps, una historia de amor, charla presentada
a la llamada a ponencias del congreso de seguridad informática
Navaja Negra.
11:30: ¿Qué es DevOps?
18:05: ¿Qué es DevSecOps?
25:14: ¿Cómo se convence a la gente del dinero para que inviertan en seguridad ANTES
de que ocurran cosas malas? Se ve el coste pero no se ve el beneficio.
27:00: Desde un punto de vista empresarial pagar multas puede ser más barato o conveniente
que prevenir el problema.
29:20: ¿Impacto real de aplicar DevSecOps?
32:05: ¿Cómo vendes DevSecOps?. La empresa es
Raipson.
35:00: ¿Qué hace el producto Raipson SecOps?
36:50: ¿Alguna sorpresa para Navaja Negra.
37:50: Cierre.
38:27: Autonomía digital: Pedro
(@nn2ed_s4ur0n) nos es explica por qué
y cómo montar nuestra propia VPN.
Pedro hace referencia constante a un documento que aún no está online.
Lo lamentamos.
38:27: La privacidad y el anonimato son fundamentales para la democracia.
39:35: ¿Qué es una VPN?
40:40: Algunos servicios listos para usar:
VPN Providers.
VPN Gate - Public VPN Relay Servers.
Free VPN Servers List.
41:35: Siete mitos sobre anonimato y privacidad.
44:24: Preguntas que debemos hacernos al emplear un servicio
VPN ajeno.
46:25: Monta tu propio servicio
VPN. Ejemplo detallado.
52:10: Despedida. -
Podcast 1984 #4: Ética y responsabilidad
La libertad significa responsabilidad. Por eso la mayoría de los hombres le tienen tanto miedo - George Bernard Shaw https://podcast.jcea.es/podcast1984/4
Notas:
00:00: Presentación.
00:50: Luis Jurado (@streaming10).
01:40: Iván Eguiguren (@ivan_eguiguren).
02:36: El debate: Ética y responsabilidad de los leaks.
04:25: Pedro introduce el caso Hacking Team.
Empresa de desarrollo de hacking ofensivo con numerosos clientes gubernamentales por todo el mundo.
06:56: Luis opina sobre la legalidad y la práctica del "hacking oficial", pinchado especialmente por Antonio.
14:18: Pedro habla del artículo 588c.
15:30: Antonio centra el debate en la parte técnica.
16:50: Pedro habla de Hacking Team.
18:45: Listado de clientes
de Hacking Team, incluyendo organismos españoles.
19:50: Tres exploits, en
Flash y en
Microsoft Windows.
23:32: Alternativas en cuestión de navegadores web, buscadores, etc.
24:20: Pedro retoma la descripción técnica DETALLADA de los
exploits.
30:20: Se comentan casos como el de Ashley Madison.
31:30: ¿Qué pasa con la responsabilidad de publicar esa información? Opina Luis y Pedro.
39:40: Algunos desgloses de datos de Ashley Madison
relativos a España. ¿Responsabilidades?
47:40: Cerrando el tema. Conclusiones de los tres participantes.
52:15: Autonomía digital:
52:15: Iván Eguiguren (@ivan_eguiguren)
nos habla sobre reversing o ingeniería inversa,
con algunos ejemplos prácticos.
01:08:40: Despedida. -
Podcast 1984 #3: Reglamento de seguridad privada
¿Ya tienes tu carné de "hacker"? https://podcast.jcea.es/podcast1984/3
Notas:
00:00: Presentación.
01:41: El debate: Reglamento de la ley de seguridad privada.
01:41: Javier introduce el tema.
05:20: Pedro concreta detalles del borrador actual.
07:47: Jesús no lo tiene claro en absoluto. Debate con Pedro.
11:25: A Javier le preocupa quién es el responsable de emitir esas certificaciones.
12:20: Antonio opina que hay mala fe, una intención de tener a los "hackers" fichados.
14:21: Pedro centra el debate.
17:13: Antonio insiste en su opinión de que esto es para controlar. Jesús opina
que ya estamos controlados de sobra a través de listas de correo, congresos, etc.
18:25: Jesús reflexiona sobre las barreras de entradas y el intrusismo.
21:20: Se habla de intereses y objetivos ocultos.
23:35: Jesús hace de abogado del diablo.
24:50: Antonio apunta el detalle importante de que el borrador actual mete
en el mismo saco a las empresas de seguridad física y a las de seguridad lógica.
29:00: Resumen final. Queda mucho por ver y discutir.
31:13: Pedro entrevista a Kioardetroya
(Jaime Álvarez):
31:30 Jaime está actualmente en paro. Esto sirve de punto de entrada
para reflexionar sobre el mercado laboral en seguridad.
34:00: ¿El carné de "hacker" servirá para algo en el mercado laboral?
37:00: Bugtraq-Team y
USB Rubber Ducky.
40:40: Hack&Beers el 10 de julio de 2015.
41:30: La responsabilidad de seguridad se impone al usuario en vez de
a la empresa.
42:30: Microterrorismo.
45:40: Autonomía digital: Javier nos habla de hardening en sistemas Linux.
46:20: No instalar paquetes innecesarios.
47:20: Mantener al día los paquetes que sí sean necesarios.
48:00: Cómo mantener los paquetes actualizados.
49:30: Acceso remoto, control de puertos abiertos:
Port Knocking,
VPNs
y a través de una máquina de entrada al resto de la red.
51:10 si vas a dejar el SSH
abierto a internet, no lo pongas en el puerto 22.
52:10: No permitir el acceso root remoto por
SSH.
53:30: Port Knocking.
54:50: Bloqueo de IPs: Fail2ban.
58:40: Securizar la aplicación:
01:00:25: Web Application Firewall.
01:01:00: Mod Security.
01:02:00: Mod Evasive.
01:03:05: Protección webs a través de cabeceras HTTP. Por ejemplo,
X-XSS-Protection.
01:03:50: Control de acceso de usuarios legítimos:
Snoopy,
LDAP.
01:06:30: Base de datos: activar los logs de auditoría de acceso.
01:08:10: Políticas de claves.
01:09:13: Copias de seguridad y logs.
01:11:15: Despedida. -
Podcast 1984 #2: TTIP
Nuestra credulidad es su fuerza https://podcast.jcea.es/podcast1984/2
Notas:
00:00: Presentación.
02:27: Noticias breves:
02:27: I Evento Telemático
de ANSI:
Charla -
Ley Seguridad Ciudadana y LECrim.
Charla
Debate Seguridad Domestica El Enemigo En Casa.
04:22: Facebook integra OpenPGP en sus notificaciones
de correo electrónico. La nota de prensa:
Securing Email Communications from Facebook.
05:00: El autor del ransomware
Locker publica el listado de claves necesarias para
descifrar los ficheros de los usuarios.
05:40: Libro Cibercrimen,
escrito por Manel Medina y Mercè Molist.
07:20: En el debate hablaremos sobre la
TTIP.
08:10: Javiér presenta el
Tratado transatlántico de comercio e inversiones.
09:45: Antonio habla del espionaje internacional.
10:00 Derechos laborables, servicios públicos, medicamentos.
11:19: A Jesús no le parece mal la globalización. El problema es irse al máximo
común divisor.
13:17: Antonio insiste en el tema del espionaje masivo, ley mordaza, etc.
14:45: Jesús presenta tu teoría del egoismo productivo.
15:30: Javier indica que el terrorismo y similares proporcionan excusas para aprobar
leyes abusivas contando con el apoyo del público.
16:20: Jesús opina que el público está dispuesto a ceder en lo que sea con tal de
mantener su percepción de nivel de vida y su percepción de seguridad.
19:43: Jesús: La propia TSA confirma que la seguridad aérea es un coladero:
US Airport Screeners Missed 95% of Weapons, Explosives In Undercover Tests.
24:38: Antonio: Si damos al público en general por perdido, ¿qué opciones tenemos?
26:20: Jesús: Proporcionar seguridad "a pesar" del público, que no sea una elección.
27:00: La epifanía de Jesús con
FireSheep (en el podcast Jesús habla de BlackSheep.
Es una errata, el nombre correcto es FireSheep).
31:00: Tras Snowden, nada
ha cambiado. ¿O sí?.
31:40: Antonio: ¿privacidad?
32:20: Jesús ignora a Antonio y sigue contando su rollo. Más detalles en su artículo
Nada
ha cambiado desde Snowden. ¿O si?.
34:30: Jesús da su opinión sobre las peticiones de muchos gobiernos de limitar
la calidad del cifrado en las comunicaciones.
35:40 Jesús: Ya se ha abierto la caja de Pandora. La tecnología no se puede prohibir
porque los malos lo usarán y los buenos estarán desprotegidos.
39:00: Javier habla de la ley antiterrorista francesa.
39:30: Jesús: arbitrariedad en la aplicación de leyes que se infringen de forma masiva.
40:30: Jesús: Estas propuestas de ley son globos sonda.
44:30: Asimetría entre violaciones de la ley de protección de datos por parte
de empresas privadas o por parte de organismos públicos.
45:20: Antonio pide un resumen final.
45:50: Jesús da su receta.
46:30: Javier recuerda que el tema del debate era la
TTIP y
que el público debe informarse y resistirse.
47:50: Antonio aporta su opinión.
48:18: Javier nos habla de la
ingeniería
social, presentando un ejemplo práctico. -
Podcast 1984 #1: La ley mordaza
Quien renuncia a su libertad por seguridad, no merece ni libertad ni seguridad https://podcast.jcea.es/podcast1984/1
Notas:
00:00: Presentación.
01:13: Noticias breves.
01:13: Primer encuentro telemático
de la asociación ANSI.
01:43: Las impresiones de Belky durante el Mundo Hacker Day.
06:18: El
ayuntamiento de Cádiz asegura que un virus informático ha borrado los documentos del caso Matadero
que solicitaba el juez.
10:20: El debate: Ley mordaza y reforma del código penal.
20:20: Pedro nos hablar sobre los artículos 197bis y 197ter.
25:34: MANIFIESTO PARA PROYECTOS DE SOFTWARE DE SEGURIDAD:
¡No soy un delincuente!
27:20: El carné de "hacker" y titulación oficial.
30:50: La entrevista: Dani (Cr0hn).
31:40: Dani nos explica qué es ¿qué es OWASP?.
33:10: Cómo se fundó el capítulo de OWASP Madrid.
37:20: Herramientas elaboradas por Dani (y otros) o a las que contribuye:
GoLismero (Framework de código abierto multiplataforma
para el testeo de seguridad), plecost (analizador
para vulnerabilidades de Wordpress).
50:34: El congreso de seguridad Navaja Negra
cumple cinco años. Primer fin de semana de octubre de 2015. ¡Eventos nocturnos!.
01:04:22: El monográfico: Javier Espejo (Qemm)
01:04:22: Javier nos habla sobre el uso despreocupado de redes inalámbricas
que no son de confianza.
01:10:30: Políticas y gestores de claves.
01:11:10: Si el servicio es gratis, el producto eres tú.
01:11:40: Ingeniería social.
01:17:10: Ransomware.
Javier nos habla de cómo funciona la utilidad
Anti Ransom de Yago Jesús.
01:19:14: El WPS
sigue siendo la debilidad de muchas redes wifi privadas.
01:19:45: Consejos finales.
1:22:20: Cierre del programa.