Differences

This shows you the differences between two versions of the page.

--- curso_seguridad [2018/05/20 20:54] – etfiat
+++ curso_seguridad [2018/06/29 14:55] (current) – [Despedida] etfiat
@@ Line 12: / Line 12: @@
 Hola!
-Empezamos suave con unas preguntas para conocer el nivel y las necesidades del grupo, En que empecéis a participar iré activando más contenidos.
+Empezamos el curso con unas preguntas para conocer el nivel y las necesidades del grupo, En que empecéis a participar iré activando más contenidos.
 Este curso desarrollará la mayor parte de la actividad a través de foros, si tenéis alguna dificultad en la realización de las practicas podéis contactar conmigo para resolver las dudas, si es necesario habilitaré un chat para comunicaciones más interactivas o una salas de videoconferencia.
@@ Line 19: / Line 18: @@
 Respecto al software:
-Durante este curso voy a tratar de usar herramientas libres o de código abierto, esto es muy importante en el ámbito de la seguridad, el software libre nos ofrece libertades fundamentales, una de ellas es poder estudiar el código de las aplicaciones. Cuando no usamos software de fuentes abiertas la seguridad pasa a ser un acto de fe, nos tenemos que creer lo que dice el proveedor del software, no podemos revisar el código o contratar a alguien para revisarlo.
+Durante este curso voy a tratar de usar herramientas libres o de código abierto, esto es muy importante en el ámbito de la seguridad, el software libre nos ofrece libertades fundamentales, una de ellas es poder estudiar el código de las aplicaciones. En el campo de la seguridad es especialmente importante poder auditar el código fuente de lo que utilizamos.
-Supongo que la mayor parte usáis sistemas propietarios Microsoft y Apple, tampoco nos va a dar excesivos problemas la mayor parte de las aplicaciones que vamos a usar son multiplataforma. Si estáis interesados en usar sistema libre antes de entrar en materia os puedo dar instrucciones para crear una maquina virtual o una unidad usb arrancable con un sistema seguro.
+Cualquier duda que tengáis podéis consultarme por correo, si consideráis que puede ser un tema de interés general mejor usar el foro que el correo privado.
-De todas formas una practica tratará de crear una memoria usb autoarrancable con los datos y las comunicaciones cifradas, para poder transportar información sensible, o poder hacer operaciones de banca electrónica o compras por internet tanto en equipos como redes no confiables.
-Respecto a la bibliografía:
-    el libro de criptografía salvo para personal técnico que se sienta cómodo con las matemáticas es de un nivel muy superior a lo necesario en una introducción, pero tiene capítulos muy interesantes y accesibles  como los conceptos básicos y la criptografía clásica.
-    el segundo libro "x1red+segura" es un libro muy accesible y bastante completo, 100% recomendable  para iniciarse en al seguridad.
-    Finalmente en la introducción hay un par de link con un documental para que pasemos un poco de miedo y tomemos un poco más en serio la privacidad y un vídeo muy breve donde se ve la ingeniería social funcionando. Mucho ojo con la información que desvelamos por teléfono a personas con la identidad sin verificar al 100%. Las cartas que tiramos a la basura o cuando alguien nos pide una factura de electricidad o teléfono para hacernos ofertas. Podemos estar liberando información muy sensible.
-Cualquier duda me decís, si puede ser de interés general mejor usar el foro que el correo privado.
 Un saludo!
 ===== Repasamos conceptos =====
+Una de las organizaciones de referencia en la seguridad web es OWASP
+Open Web Application Security Project
 ===== Herramientas =====
 ===== Enlaces =====
@@ Line 57: / Line 49: @@
   * http://vulnweb.com/
   * https://www.vulnhub.com/
+  * https://pentesterlab.com/exercises/
+  * http://www.dvwa.co.uk/
 ==== Vulnerabilidades ====
@@ Line 68: / Line 62: @@
   * nmap -p22 -sV 155.210.13.0/24
+===== Despedida =====
+Buenas!
+La semana pasada deberíamos haber terminado el curso, pero lo dejaré abierto unos días para poder terminar las prácticas o plantear dudas.
+Ha sido un placer trabajar con vosotros, tanto la actitud como el nivel técnico han sido excelentes. Agradezco también vuestra paciencia con los detalles que debo pulir, es una primera edición de un tema complicado de impartir de forma no presencial y con un tiempo muy limitado. La versión 2.0 saldrá mejor.
+Para los que queráis seguir practicando CTF, vulnhub es un recurso muy interesante alguna máquina interesante que he probado es "Bulldog" y "Troll cave" son de un nivel algo más alto pero muy interesantes.
+También es interesante para practicar el análisis de vulnerabilidades web [[http://www.dvwa.co.uk/|Damn Vulnerable Web Application (DVWA)]] una aplicación web intencionadamente vulnerable donde podemos probar todo tipo de ataques.
+No he introducido por limitaciones de tiempo algunas aplicaciones, OpenVAS es muy interesante que lo probéis, hay mucha documentación en la red, pero la instalación y los análisis son muy largos para un curso de tan pocas horas.
+Otro tema interesante que se ha quedado fuera por falta de horas, para testear la seguridad de nuestras aplicaciones web, hay programas tipo proxy que analizan nuestra navegación por las aplicaciones buscando vulnerabilidades, muy recomendable que probéis al menos [[https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project|OWASP_Zed_Attack_Proxy_Project]]
+Quizá deberíamos revitalizar alguna de las listas sobre seguridad de REdIris, no hay nada de movimiento o no estoy suscrito en las listas correctas, estoy seguro que tenemos muchos temas interesantes que compartir y podemos lanzar algún CTF de vez en cuando para mantenernos en forma.
+Un saludo y muchas gracias.