Podcast 1984

DevSecOps, una historia de amor http://podcast.jcea.es/podcast1984/5 Notas: 00:00: Presentación. 02:03: Jesús Cea (@jcea) entrevista a Javier Espejo (@javiespejo) sobre sus antecedentes y la charla que ha presentado a la llamada a ponencias del congreso Navaja Negra: DevSecOps, una historia de amor. 02:30: ¿Quien es Javier Espejo? 05:00: Madrid Wireless. 09:10: Drivers WIFI para modo monitor. 09:40: Linux AP. 09:50: US Robotics. 10:55: Entrando en materia: DevSecOps, una historia de amor, charla presentada a la llamada a ponencias del congreso de seguridad informática Navaja Negra. 11:30: ¿Qué es DevOps? 18:05: ¿Qué es DevSecOps? 25:14: ¿Cómo se convence a la gente del dinero para que inviertan en seguridad ANTES de que ocurran cosas malas? Se ve el coste pero no se ve el beneficio. 27:00: Desde un punto de vista empresarial pagar multas puede ser más barato o conveniente que prevenir el problema. 29:20: ¿Impacto real de aplicar DevSecOps? 32:05: ¿Cómo vendes DevSecOps?. La empresa es Raipson. 35:00: ¿Qué hace el producto Raipson SecOps? 36:50: ¿Alguna sorpresa para Navaja Negra. 37:50: Cierre. 38:27: Autonomía digital: Pedro (@nn2ed_s4ur0n) nos es explica por qué y cómo montar nuestra propia VPN. Pedro hace referencia constante a un documento que aún no está online. Lo lamentamos. 38:27: La privacidad y el anonimato son fundamentales para la democracia. 39:35: ¿Qué es una VPN? 40:40: Algunos servicios listos para usar: VPN Providers. VPN Gate - Public VPN Relay Servers. Free VPN Servers List. 41:35: Siete mitos sobre anonimato y privacidad. 44:24: Preguntas que debemos hacernos al emplear un servicio VPN ajeno. 46:25: Monta tu propio servicio VPN. Ejemplo detallado. 52:10: Despedida.

La libertad significa responsabilidad. Por eso la mayoría de los hombres le tienen tanto miedo - George Bernard Shaw http://podcast.jcea.es/podcast1984/4 Notas: 00:00: Presentación. 00:50: Luis Jurado (@streaming10). 01:40: Iván Eguiguren (@ivan_eguiguren). 02:36: El debate: Ética y responsabilidad de los leaks. 04:25: Pedro introduce el caso Hacking Team. Empresa de desarrollo de hacking ofensivo con numerosos clientes gubernamentales por todo el mundo. 06:56: Luis opina sobre la legalidad y la práctica del "hacking oficial", pinchado especialmente por Antonio. 14:18: Pedro habla del artículo 588c. 15:30: Antonio centra el debate en la parte técnica. 16:50: Pedro habla de Hacking Team. 18:45: Listado de clientes de Hacking Team, incluyendo organismos españoles. 19:50: Tres exploits, en Flash y en Microsoft Windows. 23:32: Alternativas en cuestión de navegadores web, buscadores, etc. 24:20: Pedro retoma la descripción técnica DETALLADA de los exploits. 30:20: Se comentan casos como el de Ashley Madison. 31:30: ¿Qué pasa con la responsabilidad de publicar esa información? Opina Luis y Pedro. 39:40: Algunos desgloses de datos de Ashley Madison relativos a España. ¿Responsabilidades? 47:40: Cerrando el tema. Conclusiones de los tres participantes. 52:15: Autonomía digital: 52:15: Iván Eguiguren (@ivan_eguiguren) nos habla sobre reversing o ingeniería inversa, con algunos ejemplos prácticos. 01:08:40: Despedida.

¿Ya tienes tu carné de "hacker"? http://podcast.jcea.es/podcast1984/3 Notas: 00:00: Presentación. 01:41: El debate: Reglamento de la ley de seguridad privada. 01:41: Javier introduce el tema. 05:20: Pedro concreta detalles del borrador actual. 07:47: Jesús no lo tiene claro en absoluto. Debate con Pedro. 11:25: A Javier le preocupa quién es el responsable de emitir esas certificaciones. 12:20: Antonio opina que hay mala fe, una intención de tener a los "hackers" fichados. 14:21: Pedro centra el debate. 17:13: Antonio insiste en su opinión de que esto es para controlar. Jesús opina que ya estamos controlados de sobra a través de listas de correo, congresos, etc. 18:25: Jesús reflexiona sobre las barreras de entradas y el intrusismo. 21:20: Se habla de intereses y objetivos ocultos. 23:35: Jesús hace de abogado del diablo. 24:50: Antonio apunta el detalle importante de que el borrador actual mete en el mismo saco a las empresas de seguridad física y a las de seguridad lógica. 29:00: Resumen final. Queda mucho por ver y discutir. 31:13: Pedro entrevista a Kioardetroya (Jaime Álvarez): 31:30 Jaime está actualmente en paro. Esto sirve de punto de entrada para reflexionar sobre el mercado laboral en seguridad. 34:00: ¿El carné de "hacker" servirá para algo en el mercado laboral? 37:00: Bugtraq-Team y USB Rubber Ducky. 40:40: Hack&Beers el 10 de julio de 2015. 41:30: La responsabilidad de seguridad se impone al usuario en vez de a la empresa. 42:30: Microterrorismo. 45:40: Autonomía digital: Javier nos habla de hardening en sistemas Linux. 46:20: No instalar paquetes innecesarios. 47:20: Mantener al día los paquetes que sí sean necesarios. 48:00: Cómo mantener los paquetes actualizados. 49:30: Acceso remoto, control de puertos abiertos: Port Knocking, VPNs y a través de una máquina de entrada al resto de la red. 51:10 si vas a dejar el SSH abierto a internet, no lo pongas en el puerto 22. 52:10: No permitir el acceso root remoto por SSH. 53:30: Port Knocking. 54:50: Bloqueo de IPs: Fail2ban. 58:40: Securizar la aplicación: 01:00:25: Web Application Firewall. 01:01:00: Mod Security. 01:02:00: Mod Evasive. 01:03:05: Protección webs a través de cabeceras HTTP. Por ejemplo, X-XSS-Protection. 01:03:50: Control de acceso de usuarios legítimos: Snoopy, LDAP. 01:06:30: Base de datos: activar los logs de auditoría de acceso. 01:08:10: Políticas de claves. 01:09:13: Copias de seguridad y logs. 01:11:15: Despedida.

Nuestra credulidad es su fuerza http://podcast.jcea.es/podcast1984/2 Notas: 00:00: Presentación. 02:27: Noticias breves: 02:27: I Evento Telemático de ANSI: Charla - Ley Seguridad Ciudadana y LECrim. Charla Debate Seguridad Domestica El Enemigo En Casa. 04:22: Facebook integra OpenPGP en sus notificaciones de correo electrónico. La nota de prensa: Securing Email Communications from Facebook. 05:00: El autor del ransomware Locker publica el listado de claves necesarias para descifrar los ficheros de los usuarios. 05:40: Libro Cibercrimen, escrito por Manel Medina y Mercè Molist. 07:20: En el debate hablaremos sobre la TTIP. 08:10: Javiér presenta el Tratado transatlántico de comercio e inversiones. 09:45: Antonio habla del espionaje internacional. 10:00 Derechos laborables, servicios públicos, medicamentos. 11:19: A Jesús no le parece mal la globalización. El problema es irse al máximo común divisor. 13:17: Antonio insiste en el tema del espionaje masivo, ley mordaza, etc. 14:45: Jesús presenta tu teoría del egoismo productivo. 15:30: Javier indica que el terrorismo y similares proporcionan excusas para aprobar leyes abusivas contando con el apoyo del público. 16:20: Jesús opina que el público está dispuesto a ceder en lo que sea con tal de mantener su percepción de nivel de vida y su percepción de seguridad. 19:43: Jesús: La propia TSA confirma que la seguridad aérea es un coladero: US Airport Screeners Missed 95% of Weapons, Explosives In Undercover Tests. 24:38: Antonio: Si damos al público en general por perdido, ¿qué opciones tenemos? 26:20: Jesús: Proporcionar seguridad "a pesar" del público, que no sea una elección. 27:00: La epifanía de Jesús con FireSheep (en el podcast Jesús habla de BlackSheep. Es una errata, el nombre correcto es FireSheep). 31:00: Tras Snowden, nada ha cambiado. ¿O sí?. 31:40: Antonio: ¿privacidad? 32:20: Jesús ignora a Antonio y sigue contando su rollo. Más detalles en su artículo Nada ha cambiado desde Snowden. ¿O si?. 34:30: Jesús da su opinión sobre las peticiones de muchos gobiernos de limitar la calidad del cifrado en las comunicaciones. 35:40 Jesús: Ya se ha abierto la caja de Pandora. La tecnología no se puede prohibir porque los malos lo usarán y los buenos estarán desprotegidos. 39:00: Javier habla de la ley antiterrorista francesa. 39:30: Jesús: arbitrariedad en la aplicación de leyes que se infringen de forma masiva. 40:30: Jesús: Estas propuestas de ley son globos sonda. 44:30: Asimetría entre violaciones de la ley de protección de datos por parte de empresas privadas o por parte de organismos públicos. 45:20: Antonio pide un resumen final. 45:50: Jesús da su receta. 46:30: Javier recuerda que el tema del debate era la TTIP y que el público debe informarse y resistirse. 47:50: Antonio aporta su opinión. 48:18: Javier nos habla de la ingeniería social, presentando un ejemplo práctico.

Quien renuncia a su libertad por seguridad, no merece ni libertad ni seguridad http://podcast.jcea.es/podcast1984/1 Notas: 00:00: Presentación. 01:13: Noticias breves. 01:13: Primer encuentro telemático de la asociación ANSI. 01:43: Las impresiones de Belky durante el Mundo Hacker Day. 06:18: El ayuntamiento de Cádiz asegura que un virus informático ha borrado los documentos del caso Matadero que solicitaba el juez. 10:20: El debate: Ley mordaza y reforma del código penal. 20:20: Pedro nos hablar sobre los artículos 197bis y 197ter. 25:34: MANIFIESTO PARA PROYECTOS DE SOFTWARE DE SEGURIDAD: ¡No soy un delincuente! 27:20: El carné de "hacker" y titulación oficial. 30:50: La entrevista: Dani (Cr0hn). 31:40: Dani nos explica qué es ¿qué es OWASP?. 33:10: Cómo se fundó el capítulo de OWASP Madrid. 37:20: Herramientas elaboradas por Dani (y otros) o a las que contribuye: GoLismero (Framework de código abierto multiplataforma para el testeo de seguridad), plecost (analizador para vulnerabilidades de Wordpress). 50:34: El congreso de seguridad Navaja Negra cumple cinco años. Primer fin de semana de octubre de 2015. ¡Eventos nocturnos!. 01:04:22: El monográfico: Javier Espejo (Qemm) 01:04:22: Javier nos habla sobre el uso despreocupado de redes inalámbricas que no son de confianza. 01:10:30: Políticas y gestores de claves. 01:11:10: Si el servicio es gratis, el producto eres tú. 01:11:40: Ingeniería social. 01:17:10: Ransomware. Javier nos habla de cómo funciona la utilidad Anti Ransom de Yago Jesús. 01:19:14: El WPS sigue siendo la debilidad de muchas redes wifi privadas. 01:19:45: Consejos finales. 1:22:20: Cierre del programa.