SlideShare una empresa de Scribd logo
Tu DevOP me da
trabajo: Soy auditor
de seguridad
Daniel García (cr0hn) - @ggdanielMADRID · NOV 27-28 · 2015
MADRID · NOV 27-28 · 2015
<spam>Me</spam>
➡ Auditor de seguridad y hacking ético.
➡ Programador Python.
➡ Organizador de “saraos”.
➡ Creador de más de 15 herramientas de seguridad.
➡ Trabajo en Abirtone.
∘ Formación muy especializada.
∘ Asesoramiento.
∘ Herramientas de hacking a medida.
https://www.linkedin.com/in/garciagarciadaniel
https://twitter.com/ggdaniel
MADRID · NOV 27-28 · 2015
De que NO va esta charla
MADRID · NOV 27-28 · 2015
De que NO va esta charla
MADRID · NOV 27-28 · 2015
De que NO va esta charla
MADRID · NOV 27-28 · 2015
De que NO va esta charla
MADRID · NOV 27-28 · 2015
De que NO va esta charla
MADRID · NOV 27-28 · 2015
¿ De qué va esta charla?
Fallos y “despiestes” que cometen
muchos los sysadmin / DevOps y de
cómo se pueden mitigar.
MADRID · NOV 27-28 · 2015
Lo primero… ¿qué es un DevOP?
MADRID · NOV 27-28 · 2015
Lo primero… ¿qué es un DevOP?
MADRID · NOV 27-28 · 2015
Lo primero… ¿qué es un DevOP?
MADRID · NOV 27-28 · 2015
Lo primero… ¿qué es un DevOP?
MADRID · NOV 27-28 · 2015
Lo primero… ¿qué es un DevOP?
MADRID · NOV 27-28 · 2015
MADRID · NOV 27-28 · 2015
Servidores web
MADRID · NOV 27-28 · 2015
Banners (1/2)
➡ Exponen el servidor web y/o la versión que está
corriendo en el servidor.
➡ Algunos exponen la tecnología de backend usada, y su
versión.
➡ La versión del servidor en producción podría contener
fallos públicos … o no públicos.
➡ Cuanta menos información ofrezcamos a un atacante
mejor.
MADRID · NOV 27-28 · 2015
Banners (2/2)
MADRID · NOV 27-28 · 2015
Banners (2/2)
MADRID · NOV 27-28 · 2015
Banners (2/2)
MADRID · NOV 27-28 · 2015
Banners (2/2)
MADRID · NOV 27-28 · 2015
Banners (2/2)
MADRID · NOV 27-28 · 2015
Verbos HTTP
➡ Limitar a aquellos estrictamente necesarios.
➡ Desactivar verbos potencialmente peligrosos:
∘ CONNECT
∘ PATCH
∘ PUT
∘ TRACE
∘ DELETE
➡ Usar listas blancas para servir contenido dinámico.
MADRID · NOV 27-28 · 2015
Verbos HTTP
➡ Limitar a aquellos estrictamente necesarios.
➡ Desactivar verbos potencialmente peligrosos:
∘ CONNECT
∘ PATCH
∘ PUT
∘ TRACE
∘ DELETE
➡ Usar listas blancas para servir contenido dinámico.
MADRID · NOV 27-28 · 2015
Algoritmos de cifrado (1/2)
➡ SSL permite configurarle varios algoritmos de cifrado.
➡ Por defecto vienen activos todos, en la mayoría de las
distribuciones.
➡ No usar algoritmos de cifrado débiles.
∘ Nulos.
∘ Md5
➡ No usar algoritmos de cifrado criptográficamente comprometidos.
∘ RC4
∘ *CBC*
MADRID · NOV 27-28 · 2015
Algoritmos de cifrado (2/2)
MADRID · NOV 27-28 · 2015
Algoritmos de cifrado (2/2)
MADRID · NOV 27-28 · 2015
Algoritmos de cifrado (2/2)
MADRID · NOV 27-28 · 2015
Instalaciones por defecto
MADRID · NOV 27-28 · 2015
Ficheros por defecto en el servidor
➡ Ficheros configuración en servidores de produccción.
➡ Ficheros de licencia, readme o agradecimientos.
➡ “Restos” de instalaciones guiadas.
➡ NO solo han de ser controladas en la instalación,
también en las actualizaciones.
➡ Protección con medidas genéricas: .htaccess
MADRID · NOV 27-28 · 2015
Ficheros por defecto en el servidor
➡ Ficheros configuración en servidores de produccción.
➡ Ficheros de licencia, readme o agradecimientos.
➡ “Restos” de instalaciones guiadas.
➡ NO solo han de ser controladas en la instalación,
también en las actualizaciones.
➡ Protección con medidas genéricas: .htaccess
MADRID · NOV 27-28 · 2015
Ficheros por defecto en el servidor
➡ Ficheros configuración en servidores de produccción.
➡ Ficheros de licencia, readme o agradecimientos.
➡ “Restos” de instalaciones guiadas.
➡ NO solo han de ser controladas en la instalación,
también en las actualizaciones.
➡ Protección con medidas genéricas: .htaccess
MADRID · NOV 27-28 · 2015
Aplicaciones de ejemplo
➡ Pueden dar información útil a un atacante.
➡ Pueden contener fallos de seguridad.
➡ Puede que hayan sido concebidas para ser instalas en
entornos de DESARROLLO únicamente.
➡ La documentación también es una “aplicación” por
defecto -> da información a un atacante.
MADRID · NOV 27-28 · 2015
Usuarios por defecto
MADRID · NOV 27-28 · 2015
Administración mal configurada
MADRID · NOV 27-28 · 2015
SSH
➡ NO permitir versiones del protocolo obsoletas o
vulnerables: SSHv1.
➡ Denegar el acceso root remoto.
➡ Limite de intentos de loging.
➡ Permitir solamente orígenes válidos, cuando sea
posible.
➡ Cambiar puerto por defecto.
MADRID · NOV 27-28 · 2015
Servicios olvidados
MADRID · NOV 27-28 · 2015
RPCBind
➡ Servicio de soporte a otros servicios.
➡ Por defecto escucha en todas las interfaces.
➡ SAMBA / NFS usan RPC.
➡ Un atacante podría listar los procesos que están
usando el RPC y acceder a ellos:
∘ http://examples.oreilly.com/networksa/tools/
rpc_proxy.pdf
MADRID · NOV 27-28 · 2015
RPCBind
➡ Servicio de soporte a otros servicios.
➡ Por defecto escucha en todas las interfaces.
➡ SAMBA / NFS usan RPC.
➡ Un atacante podría listar los procesos que están
usando el RPC y acceder a ellos:
∘ http://examples.oreilly.com/networksa/tools/
rpc_proxy.pdf
MADRID · NOV 27-28 · 2015
CUPSD
➡ Servicio de impresión de *NIX.
➡ Activo por defecto en prácticamente todas las nuevas
distribuciones de Linux.
➡ Puede usarse para:
∘ Obtener usuarios del sistema.
∘ “Incordiar” enviando a imprimir información.
➡ Puede contener fallos de seguridad.
MADRID · NOV 27-28 · 2015
DHCP
➡ SOLO debe de estar activo como CLIENTE en redes
locales.
➡ En servidores debería ser desactivado -> nuestro
proveedor nos proporcionará una IP pública estática.
➡ Existen numerosas formas de atacar a un cliente
DHCP:
∘ Envió de información falsa y modificación de
configuración de red.
MADRID · NOV 27-28 · 2015
Servicios abiertos
MADRID · NOV 27-28 · 2015
Escucha en todas interfaces
➡ No todos los servicios han de escuchar en todas las
interfaces.
➡ Las BBDD de datos no deberían de estar públicas.
➡ Los contenedores de aplicaciones deberían de
apoyarse en un frontal para servir contenido.
MADRID · NOV 27-28 · 2015
Broking / mensajería (1/2)
➡ Usados para distribución de
carga.
➡ Escuchan en todas las interfaces,
por defecto.
➡ Que no usen un protocolo “user-
friendly” no implica que se pueda
extraer contenido de ellos.
MADRID · NOV 27-28 · 2015
Broking / mensajería (2/2)
MADRID · NOV 27-28 · 2015
Broking / mensajería (2/2)
MADRID · NOV 27-28 · 2015
Broking / mensajería (2/2)
MADRID · NOV 27-28 · 2015
MongoDB
➡ Expuesta al público para consumirse directamente su
información.
➡ Comprobar privilegios.
➡ Conexiones por segundo.
➡ Securizar la conexión.
➡ Restringir acceso a información.
MADRID · NOV 27-28 · 2015
MongoDB
➡ Expuesta al público para consumirse directamente su
información.
➡ Comprobar privilegios.
➡ Conexiones por segundo.
➡ Securizar la conexión.
➡ Restringir acceso a información.
MADRID · NOV 27-28 · 2015
Cachés
MADRID · NOV 27-28 · 2015
Memcache
➡ No implementa autenticación.
➡ Fue intentada para rendimiento, no para seguridad.
➡ Que no esté expuesta a internet, no implica que no se
pueda acceder a ella -> a través de un fallo en la
aplicación que la usa.
➡ Separar almacenes de información por aplicación.
MADRID · NOV 27-28 · 2015
Redis
➡ Uno de sus principales usos es el de caché.
➡ Sistema clave/valor.
➡ Almacenes de información compartidos y sin
autenticación, por defecto.
➡ Tiene un lenguaje propio de consulta -> susceptible de
ataques de inyección.
MADRID · NOV 27-28 · 2015
Rendimiento
Un chiste de descanso
Un chiste de descanso
MADRID · NOV 27-28 · 2015
Bases de datos
MADRID · NOV 27-28 · 2015
Roles y credenciales
➡ Las credenciales: root/root … no es una una contraseña
segura.
➡ Limitar acceso de administración al sistema local.
➡ No exponer una base de datos a internet.
➡ Cambiar el puerto por defecto, cuando sea posible.
MADRID · NOV 27-28 · 2015
Restricción de accesos
➡ Limitar el acceso de los usuarios:
∘ Acceso a bases de datos.
∘ Acceso a tablas.
∘ Operaciones en tablas / bases de datos.
∘ Operaciones en tablas.
➡ Limitar el acceso a funciones propias del motor
∘ Funciones de acceso al S.O.
∘ Funciones críticas o cuyo uso es muy restringido.
MADRID · NOV 27-28 · 2015
“Scripts” vulnerables
MADRID · NOV 27-28 · 2015
Fallos de seguridad en código
➡ CUIDADO con los “scripts rápidos”.
∘ Se suelen dejar olvidados en el servidor.
∘ No se suelen protegen.
➡ SQL Injection / Cross Site Scripting (XSS) -> te podría
pasar a ti.
➡ Log inyection: muy usado para ocultar el rastro.
MADRID · NOV 27-28 · 2015
Sistema operativo
MADRID · NOV 27-28 · 2015
Algoritmos de cifrado
MD5 / SHA1 son algoritmos de cifrado “rotos”
-> se pueden encontrar colisiones con
relativa facilidad.
MADRID · NOV 27-28 · 2015
Políticas de contraseñas
➡ Cuidado con las políticas de contraseñas y los usuarios:
∘ Contraseñas muy cortas -> crakeable con software.
∘ Contraseñas muy largar y con cambios muy
habituales….
MADRID · NOV 27-28 · 2015
Políticas de contraseñas
➡ Cuidado con las políticas de contraseñas y los usuarios:
∘ Contraseñas muy cortas -> crakeable con software.
∘ Contraseñas muy largar y con cambios muy
habituales….
MADRID · NOV 27-28 · 2015
Comandos del sistema operativo
➡ En producción NUNCA deberían de estar disponibles
ciertos comandos / aplicaciones:
∘ gcc
∘ hex
∘ netcat
∘ hexedit
∘ sudo…
MADRID · NOV 27-28 · 2015
Protocolo de red “inofensivos”
➡ ICMP
∘ Alerta de la presencia en la red.
∘ Si se necesita, filtrar por
orígenes válidos.
∘ No permitir todos los tipos.
MADRID · NOV 27-28 · 2015
Protocolo de red “inofensivos”
➡ ICMP
∘ Alerta de la presencia en la red.
∘ Si se necesita, filtrar por
orígenes válidos.
∘ No permitir todos los tipos.
MADRID · NOV 27-28 · 2015
IPv6
➡ Activo por defecto en todos los sistemas.
➡ Prácticamente un desconocido.
➡ Su filtrado en firewalls tiene que ser activado
expresamente -> reglas para IPv4 NO son compatibles
con IPv6 (la mayoría).
➡ Los IDS tienen que ser activados y configurados para
detectar ataques de IPv6.
➡ Existen DECENAS de ataques.
MADRID · NOV 27-28 · 2015
Kernel (1/2)
➡ Los módulos no usados pueden contener fallos.
➡ Cualquier módulo puede cargarse.
➡ Por defecto, están activos muchos protocolos no
usados: SCTP.
➡ Compilaciones sin medidas de protección anti-exploits.
➡ Soluciones:
∘ Kernel monolíticos.
∘ Firmar los módulos
MADRID · NOV 27-28 · 2015
Kernel
Kernel (2/2)
https://wiki.gentoo.org/wiki/Signed_kernel_module_support
MADRID · NOV 27-28 · 2015
Kernel
Kernel (2/2)
https://wiki.gentoo.org/wiki/Signed_kernel_module_support
MADRID · NOV 27-28 · 2015
Kernel
Kernel (2/2)
https://wiki.gentoo.org/wiki/Signed_kernel_module_support
MADRID · NOV 27-28 · 2015
Kernel
Kernel (2/2)
https://wiki.gentoo.org/wiki/Signed_kernel_module_support
MADRID · NOV 27-28 · 2015
¿Dudas o preguntas?
¡Gracias!

Más contenido relacionado

La actualidad más candente

OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
Websec México, S.C.
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
Websec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
Websec México, S.C.
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
RootedCON
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Websec México, S.C.
 
Skipfish
Skipfish Skipfish
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 
Skipfish
SkipfishSkipfish
Fragments, all you need to know for create multi-device apps.
Fragments, all you need to know for create multi-device apps.Fragments, all you need to know for create multi-device apps.
Fragments, all you need to know for create multi-device apps.
Enrique Diaz
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
kelly
 
Sysdig
SysdigSysdig
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 

La actualidad más candente (12)

OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
 
Skipfish
Skipfish Skipfish
Skipfish
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Skipfish
SkipfishSkipfish
Skipfish
 
Fragments, all you need to know for create multi-device apps.
Fragments, all you need to know for create multi-device apps.Fragments, all you need to know for create multi-device apps.
Fragments, all you need to know for create multi-device apps.
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
 
Sysdig
SysdigSysdig
Sysdig
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 

Destacado

Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6
Daniel Garcia (a.k.a cr0hn)
 
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker imagesRootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
Daniel Garcia (a.k.a cr0hn)
 
Cybercam 2014
Cybercam 2014Cybercam 2014
Introduccion muy básica a Python
Introduccion muy básica a PythonIntroduccion muy básica a Python
Introduccion muy básica a Python
Daniel Garcia (a.k.a cr0hn)
 
Identificando y rompiendo servicios de las 4 capas de TCP/IP
Identificando y rompiendo servicios de las 4 capas de TCP/IPIdentificando y rompiendo servicios de las 4 capas de TCP/IP
Identificando y rompiendo servicios de las 4 capas de TCP/IP
Daniel Garcia (a.k.a cr0hn)
 
Security in NodeJS applications
Security in NodeJS applicationsSecurity in NodeJS applications
Security in NodeJS applications
Daniel Garcia (a.k.a cr0hn)
 
The art of disguise - Antifingerprinting techniques
The art of disguise - Antifingerprinting techniquesThe art of disguise - Antifingerprinting techniques
The art of disguise - Antifingerprinting techniques
Daniel Garcia (a.k.a cr0hn)
 
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadorasQué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
Daniel Garcia (a.k.a cr0hn)
 
Extreme security in web servers
Extreme security in  web serversExtreme security in  web servers
Extreme security in web servers
Daniel Garcia (a.k.a cr0hn)
 
The Gift of Git [Español: La Palabra de Git]
The Gift of Git [Español: La Palabra de Git]The Gift of Git [Español: La Palabra de Git]
The Gift of Git [Español: La Palabra de Git]
Alfonso Felipe Cabargas Madrid
 
Der Erfolgstag
Der ErfolgstagDer Erfolgstag
Der Erfolgstag
Christoph Hennig
 
Mel norman media sauce - workshop 4
Mel norman   media sauce - workshop 4Mel norman   media sauce - workshop 4
Mel norman media sauce - workshop 4
Anna-Marie Taylor
 
manowar
manowarmanowar
manowar
metaleras
 
Alex Steffen: How to change absolutely everything without leaving town
Alex Steffen: How to change absolutely everything without leaving townAlex Steffen: How to change absolutely everything without leaving town
Alex Steffen: How to change absolutely everything without leaving town
Collaboratory Melbourne
 
Novena a san Juan Eudes
Novena a san Juan EudesNovena a san Juan Eudes
Novena a san Juan Eudes
Unidad de Espiritualidad Eudista
 
Максим все лучшее за 5 лет часть1
Максим все лучшее за 5 лет часть1Максим все лучшее за 5 лет часть1
Максим все лучшее за 5 лет часть1
spmx
 
Sepa handbook
Sepa handbookSepa handbook
Sepa handbook
Rajeev Kumar
 
Puntos libres canaima
Puntos libres canaimaPuntos libres canaima
Puntos libres canaima
CBIT09
 

Destacado (18)

Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6
 
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker imagesRootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
 
Cybercam 2014
Cybercam 2014Cybercam 2014
Cybercam 2014
 
Introduccion muy básica a Python
Introduccion muy básica a PythonIntroduccion muy básica a Python
Introduccion muy básica a Python
 
Identificando y rompiendo servicios de las 4 capas de TCP/IP
Identificando y rompiendo servicios de las 4 capas de TCP/IPIdentificando y rompiendo servicios de las 4 capas de TCP/IP
Identificando y rompiendo servicios de las 4 capas de TCP/IP
 
Security in NodeJS applications
Security in NodeJS applicationsSecurity in NodeJS applications
Security in NodeJS applications
 
The art of disguise - Antifingerprinting techniques
The art of disguise - Antifingerprinting techniquesThe art of disguise - Antifingerprinting techniques
The art of disguise - Antifingerprinting techniques
 
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadorasQué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
 
Extreme security in web servers
Extreme security in  web serversExtreme security in  web servers
Extreme security in web servers
 
The Gift of Git [Español: La Palabra de Git]
The Gift of Git [Español: La Palabra de Git]The Gift of Git [Español: La Palabra de Git]
The Gift of Git [Español: La Palabra de Git]
 
Der Erfolgstag
Der ErfolgstagDer Erfolgstag
Der Erfolgstag
 
Mel norman media sauce - workshop 4
Mel norman   media sauce - workshop 4Mel norman   media sauce - workshop 4
Mel norman media sauce - workshop 4
 
manowar
manowarmanowar
manowar
 
Alex Steffen: How to change absolutely everything without leaving town
Alex Steffen: How to change absolutely everything without leaving townAlex Steffen: How to change absolutely everything without leaving town
Alex Steffen: How to change absolutely everything without leaving town
 
Novena a san Juan Eudes
Novena a san Juan EudesNovena a san Juan Eudes
Novena a san Juan Eudes
 
Максим все лучшее за 5 лет часть1
Максим все лучшее за 5 лет часть1Максим все лучшее за 5 лет часть1
Максим все лучшее за 5 лет часть1
 
Sepa handbook
Sepa handbookSepa handbook
Sepa handbook
 
Puntos libres canaima
Puntos libres canaimaPuntos libres canaima
Puntos libres canaima
 

Similar a Tu DevOp me da trabajo: Soy auditor de seguridad

Codemotion 2015 crash y youdebug
Codemotion 2015   crash y youdebugCodemotion 2015   crash y youdebug
Codemotion 2015 crash y youdebug
jmiguel rodriguez
 
presentation_2730_1447416286 VPN.pdf
presentation_2730_1447416286 VPN.pdfpresentation_2730_1447416286 VPN.pdf
presentation_2730_1447416286 VPN.pdf
ssuser1c9c1c
 
Linkerd a fondo
Linkerd a fondoLinkerd a fondo
Linkerd a fondo
Paradigma Digital
 
SimpleSAMLphp
SimpleSAMLphpSimpleSAMLphp
SimpleSAMLphp
Jaime Pérez Crespo
 
Detectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOSDetectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOS
Pavel Odintsov
 
Ecs codemotion
Ecs codemotionEcs codemotion
Ecs codemotion
Engisoft Cloud Services
 
El valor de alue en la red 2015 6900 core
El valor de alue en la red 2015   6900 coreEl valor de alue en la red 2015   6900 core
El valor de alue en la red 2015 6900 core
Fernando Rivas Plata Velez
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.cl
Cristian Sepulveda
 
Pasos para instalar una empresora en red
Pasos para instalar una empresora en redPasos para instalar una empresora en red
Pasos para instalar una empresora en red
angela guarin
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García
 
presentation_6358_1542737886.pdf
presentation_6358_1542737886.pdfpresentation_6358_1542737886.pdf
presentation_6358_1542737886.pdf
WiaytelPeru
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
Websec México, S.C.
 
ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE
ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE
ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE
Telecomputer
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad Global
Internet Security Auditors
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
pacvslideshare
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolaris
Victor M. Fernández
 
Tutorial LACNOG/LACNIC26 SDN&NFV
Tutorial LACNOG/LACNIC26 SDN&NFVTutorial LACNOG/LACNIC26 SDN&NFV
Tutorial LACNOG/LACNIC26 SDN&NFV
Marcelo Fernandez
 
Esos contenedores, ¡a producción! (Commit Conf 2018)
Esos contenedores, ¡a producción! (Commit Conf 2018)Esos contenedores, ¡a producción! (Commit Conf 2018)
Esos contenedores, ¡a producción! (Commit Conf 2018)
Eduard Tomàs
 
Seguridad en Servidores CentOS con Elastix + Buenas Prácticas
Seguridad en Servidores CentOS con Elastix + Buenas PrácticasSeguridad en Servidores CentOS con Elastix + Buenas Prácticas
Seguridad en Servidores CentOS con Elastix + Buenas Prácticas
rodrimartin
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
Jaime Andrés Bello Vieda
 

Similar a Tu DevOp me da trabajo: Soy auditor de seguridad (20)

Codemotion 2015 crash y youdebug
Codemotion 2015   crash y youdebugCodemotion 2015   crash y youdebug
Codemotion 2015 crash y youdebug
 
presentation_2730_1447416286 VPN.pdf
presentation_2730_1447416286 VPN.pdfpresentation_2730_1447416286 VPN.pdf
presentation_2730_1447416286 VPN.pdf
 
Linkerd a fondo
Linkerd a fondoLinkerd a fondo
Linkerd a fondo
 
SimpleSAMLphp
SimpleSAMLphpSimpleSAMLphp
SimpleSAMLphp
 
Detectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOSDetectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOS
 
Ecs codemotion
Ecs codemotionEcs codemotion
Ecs codemotion
 
El valor de alue en la red 2015 6900 core
El valor de alue en la red 2015   6900 coreEl valor de alue en la red 2015   6900 core
El valor de alue en la red 2015 6900 core
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.cl
 
Pasos para instalar una empresora en red
Pasos para instalar una empresora en redPasos para instalar una empresora en red
Pasos para instalar una empresora en red
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
presentation_6358_1542737886.pdf
presentation_6358_1542737886.pdfpresentation_6358_1542737886.pdf
presentation_6358_1542737886.pdf
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
 
ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE
ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE
ORIGIN STACK EL APLIANCE DE VIRTUALIZACIÓN ENTERPRISE
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad Global
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolaris
 
Tutorial LACNOG/LACNIC26 SDN&NFV
Tutorial LACNOG/LACNIC26 SDN&NFVTutorial LACNOG/LACNIC26 SDN&NFV
Tutorial LACNOG/LACNIC26 SDN&NFV
 
Esos contenedores, ¡a producción! (Commit Conf 2018)
Esos contenedores, ¡a producción! (Commit Conf 2018)Esos contenedores, ¡a producción! (Commit Conf 2018)
Esos contenedores, ¡a producción! (Commit Conf 2018)
 
Seguridad en Servidores CentOS con Elastix + Buenas Prácticas
Seguridad en Servidores CentOS con Elastix + Buenas PrácticasSeguridad en Servidores CentOS con Elastix + Buenas Prácticas
Seguridad en Servidores CentOS con Elastix + Buenas Prácticas
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 

Más de Daniel Garcia (a.k.a cr0hn)

Sonatype DevSecOps Leadership forum 2020
Sonatype DevSecOps Leadership forum 2020Sonatype DevSecOps Leadership forum 2020
Sonatype DevSecOps Leadership forum 2020
Daniel Garcia (a.k.a cr0hn)
 
Rooted con 2020 - from the heaven to hell in the CI - CD
Rooted con 2020 - from the heaven to hell in the CI - CDRooted con 2020 - from the heaven to hell in the CI - CD
Rooted con 2020 - from the heaven to hell in the CI - CD
Daniel Garcia (a.k.a cr0hn)
 
12 tricks to avoid hackers breaks your CI / CD
12 tricks to avoid hackers breaks your  CI / CD12 tricks to avoid hackers breaks your  CI / CD
12 tricks to avoid hackers breaks your CI / CD
Daniel Garcia (a.k.a cr0hn)
 
Security in AWS Lambdas - NavajaNegra CON 2018
Security in AWS Lambdas - NavajaNegra CON 2018Security in AWS Lambdas - NavajaNegra CON 2018
Security in AWS Lambdas - NavajaNegra CON 2018
Daniel Garcia (a.k.a cr0hn)
 
Rooted 2018 - Crawlino: The next level of crawling systems
Rooted 2018 - Crawlino: The next level of crawling systemsRooted 2018 - Crawlino: The next level of crawling systems
Rooted 2018 - Crawlino: The next level of crawling systems
Daniel Garcia (a.k.a cr0hn)
 
Ingenieria social aplicada: Mucho mas fácil de lo que parece
Ingenieria social aplicada: Mucho mas fácil de lo que pareceIngenieria social aplicada: Mucho mas fácil de lo que parece
Ingenieria social aplicada: Mucho mas fácil de lo que parece
Daniel Garcia (a.k.a cr0hn)
 
Ingeniería social aplicada: Mucho más fácil de lo que parece
Ingeniería social aplicada: Mucho más fácil de lo que pareceIngeniería social aplicada: Mucho más fácil de lo que parece
Ingeniería social aplicada: Mucho más fácil de lo que parece
Daniel Garcia (a.k.a cr0hn)
 
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressIII Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
Daniel Garcia (a.k.a cr0hn)
 

Más de Daniel Garcia (a.k.a cr0hn) (8)

Sonatype DevSecOps Leadership forum 2020
Sonatype DevSecOps Leadership forum 2020Sonatype DevSecOps Leadership forum 2020
Sonatype DevSecOps Leadership forum 2020
 
Rooted con 2020 - from the heaven to hell in the CI - CD
Rooted con 2020 - from the heaven to hell in the CI - CDRooted con 2020 - from the heaven to hell in the CI - CD
Rooted con 2020 - from the heaven to hell in the CI - CD
 
12 tricks to avoid hackers breaks your CI / CD
12 tricks to avoid hackers breaks your  CI / CD12 tricks to avoid hackers breaks your  CI / CD
12 tricks to avoid hackers breaks your CI / CD
 
Security in AWS Lambdas - NavajaNegra CON 2018
Security in AWS Lambdas - NavajaNegra CON 2018Security in AWS Lambdas - NavajaNegra CON 2018
Security in AWS Lambdas - NavajaNegra CON 2018
 
Rooted 2018 - Crawlino: The next level of crawling systems
Rooted 2018 - Crawlino: The next level of crawling systemsRooted 2018 - Crawlino: The next level of crawling systems
Rooted 2018 - Crawlino: The next level of crawling systems
 
Ingenieria social aplicada: Mucho mas fácil de lo que parece
Ingenieria social aplicada: Mucho mas fácil de lo que pareceIngenieria social aplicada: Mucho mas fácil de lo que parece
Ingenieria social aplicada: Mucho mas fácil de lo que parece
 
Ingeniería social aplicada: Mucho más fácil de lo que parece
Ingeniería social aplicada: Mucho más fácil de lo que pareceIngeniería social aplicada: Mucho más fácil de lo que parece
Ingeniería social aplicada: Mucho más fácil de lo que parece
 
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressIII Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
 

Último

MONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdfMONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
darilpisco021
 
Actividad integradora 6 curso multimedia
Actividad integradora 6 curso multimediaActividad integradora 6 curso multimedia
Actividad integradora 6 curso multimedia
AliiIxh
 
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdfMONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
darilpisco021
 
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdfTRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
anacruztone06
 
Copia de LaHoja_20240527_200357_0000.pptx
Copia de LaHoja_20240527_200357_0000.pptxCopia de LaHoja_20240527_200357_0000.pptx
Copia de LaHoja_20240527_200357_0000.pptx
jcoloniapu
 
Análisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de ArtesAnálisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de Artes
al050121024
 
importancia de la organizacion moderna jjj
importancia de la organizacion moderna jjjimportancia de la organizacion moderna jjj
importancia de la organizacion moderna jjj
gallegoscarneronelso
 
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6GAVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
jesusdeveloper00
 
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdfUSOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
politamazznaa
 
Sesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artificalSesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artifical
Angeles del Rosario Escobar Mendoza
 
TEMA 1. DESTILACION [Autoguardado]_copia.pptx
TEMA 1. DESTILACION [Autoguardado]_copia.pptxTEMA 1. DESTILACION [Autoguardado]_copia.pptx
TEMA 1. DESTILACION [Autoguardado]_copia.pptx
ArmandoCastro93
 
RL Tema 2 - Instalación física de una red.ppt
RL  Tema 2 - Instalación física de una red.pptRL  Tema 2 - Instalación física de una red.ppt
RL Tema 2 - Instalación física de una red.ppt
lvaroFernndez37
 
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdfDocumento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
sthefannydelgado765
 
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docxAPLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
jordanovillacorta09
 
El uso de las tics en la vida cotidiana y en otros hábitos
El uso de las tics en la vida cotidiana y en otros  hábitosEl uso de las tics en la vida cotidiana y en otros  hábitos
El uso de las tics en la vida cotidiana y en otros hábitos
241560435
 
- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla
BERTILAARTEAGATOLENT1
 
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
hadzitbalchetranspar
 
YouTube xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
YouTube  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxYouTube  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
YouTube xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
SharisNoelySancaYana1
 
cáncer a la próstata ( Contreras Vivanco Juan David).pptx
cáncer a la próstata ( Contreras Vivanco Juan David).pptxcáncer a la próstata ( Contreras Vivanco Juan David).pptx
cáncer a la próstata ( Contreras Vivanco Juan David).pptx
contrerasvivancoj
 
Herramientas de la web 2.0.pptx
Herramientas    de     la    web    2.0.pptxHerramientas    de     la    web    2.0.pptx
Herramientas de la web 2.0.pptx
anittaeunice
 

Último (20)

MONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdfMONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
 
Actividad integradora 6 curso multimedia
Actividad integradora 6 curso multimediaActividad integradora 6 curso multimedia
Actividad integradora 6 curso multimedia
 
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdfMONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google)1.pdf
 
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdfTRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
 
Copia de LaHoja_20240527_200357_0000.pptx
Copia de LaHoja_20240527_200357_0000.pptxCopia de LaHoja_20240527_200357_0000.pptx
Copia de LaHoja_20240527_200357_0000.pptx
 
Análisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de ArtesAnálisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de Artes
 
importancia de la organizacion moderna jjj
importancia de la organizacion moderna jjjimportancia de la organizacion moderna jjj
importancia de la organizacion moderna jjj
 
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6GAVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
AVANCES TECNOLOGICOS DE ADMINISTRACION DE REDES - RED-6G
 
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdfUSOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
USOS_Y_TIPOS_DE_APLICACIONES_MOVILES_removed.pdf
 
Sesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artificalSesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artifical
 
TEMA 1. DESTILACION [Autoguardado]_copia.pptx
TEMA 1. DESTILACION [Autoguardado]_copia.pptxTEMA 1. DESTILACION [Autoguardado]_copia.pptx
TEMA 1. DESTILACION [Autoguardado]_copia.pptx
 
RL Tema 2 - Instalación física de una red.ppt
RL  Tema 2 - Instalación física de una red.pptRL  Tema 2 - Instalación física de una red.ppt
RL Tema 2 - Instalación física de una red.ppt
 
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdfDocumento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
 
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docxAPLICACIONES EN INTERNET-GOOGLE4 XD.docx
APLICACIONES EN INTERNET-GOOGLE4 XD.docx
 
El uso de las tics en la vida cotidiana y en otros hábitos
El uso de las tics en la vida cotidiana y en otros  hábitosEl uso de las tics en la vida cotidiana y en otros  hábitos
El uso de las tics en la vida cotidiana y en otros hábitos
 
- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla- El Cerebro Femenino como se desarrolla
- El Cerebro Femenino como se desarrolla
 
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
El Foro Mundial de la Educación Dakar (2000) tarea de METODOLOGIA 15 DE JUNIO...
 
YouTube xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
YouTube  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxYouTube  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
YouTube xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 
cáncer a la próstata ( Contreras Vivanco Juan David).pptx
cáncer a la próstata ( Contreras Vivanco Juan David).pptxcáncer a la próstata ( Contreras Vivanco Juan David).pptx
cáncer a la próstata ( Contreras Vivanco Juan David).pptx
 
Herramientas de la web 2.0.pptx
Herramientas    de     la    web    2.0.pptxHerramientas    de     la    web    2.0.pptx
Herramientas de la web 2.0.pptx
 

Tu DevOp me da trabajo: Soy auditor de seguridad

  • 1. Tu DevOP me da trabajo: Soy auditor de seguridad Daniel García (cr0hn) - @ggdanielMADRID · NOV 27-28 · 2015
  • 2. MADRID · NOV 27-28 · 2015 <spam>Me</spam> ➡ Auditor de seguridad y hacking ético. ➡ Programador Python. ➡ Organizador de “saraos”. ➡ Creador de más de 15 herramientas de seguridad. ➡ Trabajo en Abirtone. ∘ Formación muy especializada. ∘ Asesoramiento. ∘ Herramientas de hacking a medida. https://www.linkedin.com/in/garciagarciadaniel https://twitter.com/ggdaniel
  • 3. MADRID · NOV 27-28 · 2015 De que NO va esta charla
  • 4. MADRID · NOV 27-28 · 2015 De que NO va esta charla
  • 5. MADRID · NOV 27-28 · 2015 De que NO va esta charla
  • 6. MADRID · NOV 27-28 · 2015 De que NO va esta charla
  • 7. MADRID · NOV 27-28 · 2015 De que NO va esta charla
  • 8. MADRID · NOV 27-28 · 2015 ¿ De qué va esta charla? Fallos y “despiestes” que cometen muchos los sysadmin / DevOps y de cómo se pueden mitigar.
  • 9. MADRID · NOV 27-28 · 2015 Lo primero… ¿qué es un DevOP?
  • 10. MADRID · NOV 27-28 · 2015 Lo primero… ¿qué es un DevOP?
  • 11. MADRID · NOV 27-28 · 2015 Lo primero… ¿qué es un DevOP?
  • 12. MADRID · NOV 27-28 · 2015 Lo primero… ¿qué es un DevOP?
  • 13. MADRID · NOV 27-28 · 2015 Lo primero… ¿qué es un DevOP?
  • 14. MADRID · NOV 27-28 · 2015
  • 15. MADRID · NOV 27-28 · 2015 Servidores web
  • 16. MADRID · NOV 27-28 · 2015 Banners (1/2) ➡ Exponen el servidor web y/o la versión que está corriendo en el servidor. ➡ Algunos exponen la tecnología de backend usada, y su versión. ➡ La versión del servidor en producción podría contener fallos públicos … o no públicos. ➡ Cuanta menos información ofrezcamos a un atacante mejor.
  • 17. MADRID · NOV 27-28 · 2015 Banners (2/2)
  • 18. MADRID · NOV 27-28 · 2015 Banners (2/2)
  • 19. MADRID · NOV 27-28 · 2015 Banners (2/2)
  • 20. MADRID · NOV 27-28 · 2015 Banners (2/2)
  • 21. MADRID · NOV 27-28 · 2015 Banners (2/2)
  • 22. MADRID · NOV 27-28 · 2015 Verbos HTTP ➡ Limitar a aquellos estrictamente necesarios. ➡ Desactivar verbos potencialmente peligrosos: ∘ CONNECT ∘ PATCH ∘ PUT ∘ TRACE ∘ DELETE ➡ Usar listas blancas para servir contenido dinámico.
  • 23. MADRID · NOV 27-28 · 2015 Verbos HTTP ➡ Limitar a aquellos estrictamente necesarios. ➡ Desactivar verbos potencialmente peligrosos: ∘ CONNECT ∘ PATCH ∘ PUT ∘ TRACE ∘ DELETE ➡ Usar listas blancas para servir contenido dinámico.
  • 24. MADRID · NOV 27-28 · 2015 Algoritmos de cifrado (1/2) ➡ SSL permite configurarle varios algoritmos de cifrado. ➡ Por defecto vienen activos todos, en la mayoría de las distribuciones. ➡ No usar algoritmos de cifrado débiles. ∘ Nulos. ∘ Md5 ➡ No usar algoritmos de cifrado criptográficamente comprometidos. ∘ RC4 ∘ *CBC*
  • 25. MADRID · NOV 27-28 · 2015 Algoritmos de cifrado (2/2)
  • 26. MADRID · NOV 27-28 · 2015 Algoritmos de cifrado (2/2)
  • 27. MADRID · NOV 27-28 · 2015 Algoritmos de cifrado (2/2)
  • 28. MADRID · NOV 27-28 · 2015 Instalaciones por defecto
  • 29. MADRID · NOV 27-28 · 2015 Ficheros por defecto en el servidor ➡ Ficheros configuración en servidores de produccción. ➡ Ficheros de licencia, readme o agradecimientos. ➡ “Restos” de instalaciones guiadas. ➡ NO solo han de ser controladas en la instalación, también en las actualizaciones. ➡ Protección con medidas genéricas: .htaccess
  • 30. MADRID · NOV 27-28 · 2015 Ficheros por defecto en el servidor ➡ Ficheros configuración en servidores de produccción. ➡ Ficheros de licencia, readme o agradecimientos. ➡ “Restos” de instalaciones guiadas. ➡ NO solo han de ser controladas en la instalación, también en las actualizaciones. ➡ Protección con medidas genéricas: .htaccess
  • 31. MADRID · NOV 27-28 · 2015 Ficheros por defecto en el servidor ➡ Ficheros configuración en servidores de produccción. ➡ Ficheros de licencia, readme o agradecimientos. ➡ “Restos” de instalaciones guiadas. ➡ NO solo han de ser controladas en la instalación, también en las actualizaciones. ➡ Protección con medidas genéricas: .htaccess
  • 32. MADRID · NOV 27-28 · 2015 Aplicaciones de ejemplo ➡ Pueden dar información útil a un atacante. ➡ Pueden contener fallos de seguridad. ➡ Puede que hayan sido concebidas para ser instalas en entornos de DESARROLLO únicamente. ➡ La documentación también es una “aplicación” por defecto -> da información a un atacante.
  • 33. MADRID · NOV 27-28 · 2015 Usuarios por defecto
  • 34. MADRID · NOV 27-28 · 2015 Administración mal configurada
  • 35. MADRID · NOV 27-28 · 2015 SSH ➡ NO permitir versiones del protocolo obsoletas o vulnerables: SSHv1. ➡ Denegar el acceso root remoto. ➡ Limite de intentos de loging. ➡ Permitir solamente orígenes válidos, cuando sea posible. ➡ Cambiar puerto por defecto.
  • 36. MADRID · NOV 27-28 · 2015 Servicios olvidados
  • 37. MADRID · NOV 27-28 · 2015 RPCBind ➡ Servicio de soporte a otros servicios. ➡ Por defecto escucha en todas las interfaces. ➡ SAMBA / NFS usan RPC. ➡ Un atacante podría listar los procesos que están usando el RPC y acceder a ellos: ∘ http://examples.oreilly.com/networksa/tools/ rpc_proxy.pdf
  • 38. MADRID · NOV 27-28 · 2015 RPCBind ➡ Servicio de soporte a otros servicios. ➡ Por defecto escucha en todas las interfaces. ➡ SAMBA / NFS usan RPC. ➡ Un atacante podría listar los procesos que están usando el RPC y acceder a ellos: ∘ http://examples.oreilly.com/networksa/tools/ rpc_proxy.pdf
  • 39. MADRID · NOV 27-28 · 2015 CUPSD ➡ Servicio de impresión de *NIX. ➡ Activo por defecto en prácticamente todas las nuevas distribuciones de Linux. ➡ Puede usarse para: ∘ Obtener usuarios del sistema. ∘ “Incordiar” enviando a imprimir información. ➡ Puede contener fallos de seguridad.
  • 40. MADRID · NOV 27-28 · 2015 DHCP ➡ SOLO debe de estar activo como CLIENTE en redes locales. ➡ En servidores debería ser desactivado -> nuestro proveedor nos proporcionará una IP pública estática. ➡ Existen numerosas formas de atacar a un cliente DHCP: ∘ Envió de información falsa y modificación de configuración de red.
  • 41. MADRID · NOV 27-28 · 2015 Servicios abiertos
  • 42. MADRID · NOV 27-28 · 2015 Escucha en todas interfaces ➡ No todos los servicios han de escuchar en todas las interfaces. ➡ Las BBDD de datos no deberían de estar públicas. ➡ Los contenedores de aplicaciones deberían de apoyarse en un frontal para servir contenido.
  • 43. MADRID · NOV 27-28 · 2015 Broking / mensajería (1/2) ➡ Usados para distribución de carga. ➡ Escuchan en todas las interfaces, por defecto. ➡ Que no usen un protocolo “user- friendly” no implica que se pueda extraer contenido de ellos.
  • 44. MADRID · NOV 27-28 · 2015 Broking / mensajería (2/2)
  • 45. MADRID · NOV 27-28 · 2015 Broking / mensajería (2/2)
  • 46. MADRID · NOV 27-28 · 2015 Broking / mensajería (2/2)
  • 47. MADRID · NOV 27-28 · 2015 MongoDB ➡ Expuesta al público para consumirse directamente su información. ➡ Comprobar privilegios. ➡ Conexiones por segundo. ➡ Securizar la conexión. ➡ Restringir acceso a información.
  • 48. MADRID · NOV 27-28 · 2015 MongoDB ➡ Expuesta al público para consumirse directamente su información. ➡ Comprobar privilegios. ➡ Conexiones por segundo. ➡ Securizar la conexión. ➡ Restringir acceso a información.
  • 49. MADRID · NOV 27-28 · 2015 Cachés
  • 50. MADRID · NOV 27-28 · 2015 Memcache ➡ No implementa autenticación. ➡ Fue intentada para rendimiento, no para seguridad. ➡ Que no esté expuesta a internet, no implica que no se pueda acceder a ella -> a través de un fallo en la aplicación que la usa. ➡ Separar almacenes de información por aplicación.
  • 51. MADRID · NOV 27-28 · 2015 Redis ➡ Uno de sus principales usos es el de caché. ➡ Sistema clave/valor. ➡ Almacenes de información compartidos y sin autenticación, por defecto. ➡ Tiene un lenguaje propio de consulta -> susceptible de ataques de inyección.
  • 52. MADRID · NOV 27-28 · 2015 Rendimiento
  • 53.
  • 54. Un chiste de descanso
  • 55. Un chiste de descanso
  • 56. MADRID · NOV 27-28 · 2015 Bases de datos
  • 57. MADRID · NOV 27-28 · 2015 Roles y credenciales ➡ Las credenciales: root/root … no es una una contraseña segura. ➡ Limitar acceso de administración al sistema local. ➡ No exponer una base de datos a internet. ➡ Cambiar el puerto por defecto, cuando sea posible.
  • 58. MADRID · NOV 27-28 · 2015 Restricción de accesos ➡ Limitar el acceso de los usuarios: ∘ Acceso a bases de datos. ∘ Acceso a tablas. ∘ Operaciones en tablas / bases de datos. ∘ Operaciones en tablas. ➡ Limitar el acceso a funciones propias del motor ∘ Funciones de acceso al S.O. ∘ Funciones críticas o cuyo uso es muy restringido.
  • 59. MADRID · NOV 27-28 · 2015 “Scripts” vulnerables
  • 60. MADRID · NOV 27-28 · 2015 Fallos de seguridad en código ➡ CUIDADO con los “scripts rápidos”. ∘ Se suelen dejar olvidados en el servidor. ∘ No se suelen protegen. ➡ SQL Injection / Cross Site Scripting (XSS) -> te podría pasar a ti. ➡ Log inyection: muy usado para ocultar el rastro.
  • 61. MADRID · NOV 27-28 · 2015 Sistema operativo
  • 62. MADRID · NOV 27-28 · 2015 Algoritmos de cifrado MD5 / SHA1 son algoritmos de cifrado “rotos” -> se pueden encontrar colisiones con relativa facilidad.
  • 63. MADRID · NOV 27-28 · 2015 Políticas de contraseñas ➡ Cuidado con las políticas de contraseñas y los usuarios: ∘ Contraseñas muy cortas -> crakeable con software. ∘ Contraseñas muy largar y con cambios muy habituales….
  • 64. MADRID · NOV 27-28 · 2015 Políticas de contraseñas ➡ Cuidado con las políticas de contraseñas y los usuarios: ∘ Contraseñas muy cortas -> crakeable con software. ∘ Contraseñas muy largar y con cambios muy habituales….
  • 65. MADRID · NOV 27-28 · 2015 Comandos del sistema operativo ➡ En producción NUNCA deberían de estar disponibles ciertos comandos / aplicaciones: ∘ gcc ∘ hex ∘ netcat ∘ hexedit ∘ sudo…
  • 66. MADRID · NOV 27-28 · 2015 Protocolo de red “inofensivos” ➡ ICMP ∘ Alerta de la presencia en la red. ∘ Si se necesita, filtrar por orígenes válidos. ∘ No permitir todos los tipos.
  • 67. MADRID · NOV 27-28 · 2015 Protocolo de red “inofensivos” ➡ ICMP ∘ Alerta de la presencia en la red. ∘ Si se necesita, filtrar por orígenes válidos. ∘ No permitir todos los tipos.
  • 68. MADRID · NOV 27-28 · 2015 IPv6 ➡ Activo por defecto en todos los sistemas. ➡ Prácticamente un desconocido. ➡ Su filtrado en firewalls tiene que ser activado expresamente -> reglas para IPv4 NO son compatibles con IPv6 (la mayoría). ➡ Los IDS tienen que ser activados y configurados para detectar ataques de IPv6. ➡ Existen DECENAS de ataques.
  • 69. MADRID · NOV 27-28 · 2015 Kernel (1/2) ➡ Los módulos no usados pueden contener fallos. ➡ Cualquier módulo puede cargarse. ➡ Por defecto, están activos muchos protocolos no usados: SCTP. ➡ Compilaciones sin medidas de protección anti-exploits. ➡ Soluciones: ∘ Kernel monolíticos. ∘ Firmar los módulos
  • 70. MADRID · NOV 27-28 · 2015 Kernel Kernel (2/2) https://wiki.gentoo.org/wiki/Signed_kernel_module_support
  • 71. MADRID · NOV 27-28 · 2015 Kernel Kernel (2/2) https://wiki.gentoo.org/wiki/Signed_kernel_module_support
  • 72. MADRID · NOV 27-28 · 2015 Kernel Kernel (2/2) https://wiki.gentoo.org/wiki/Signed_kernel_module_support
  • 73. MADRID · NOV 27-28 · 2015 Kernel Kernel (2/2) https://wiki.gentoo.org/wiki/Signed_kernel_module_support
  • 74. MADRID · NOV 27-28 · 2015 ¿Dudas o preguntas? ¡Gracias!