Lo tienes también en castellano, aunque es de la 8. Está en formato web, pdf, ebook... muy completo y didáctico, la verdad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bienvenido!
Hace tiempo me pasaron parte del temario del CPHE, y era bastante malo, la verdad. Las certificaciones se las sacaron de la manga y realmente no valen nada. De Securizame siempre me han hablado muy bien, y aunque es cierto que hace poco han aumentado la oferta de cursos, si miras quienes son los profesores son prácticamente todo gente conocida. La parte mala es que es muy caro, al menos en mi opinión.
De todas formas si lo que aparece en el temario de The Security Sentinel te parece desconocido, adelante. Aunque son cosas que puedes encontrar en internet con bastante facilidad.
Saludos!

Este año se realizará en CS La Ingobernable ubicada en Madrid el Hackmeeting 2017. Será del 12 al 15 de Octubre, y hace poco han lanzado un manifiesto muy de mi agrado, con muchas referencias al ciberpunk. Para los que no conozcan qué es un hackmeeting, dejo esta entrada: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Este comunicado ha tenido que ser bioencriptado para pasar el Google Guard contra el pensamiento subversivo, por lo que es posible que tu geoposición haya sido vulnerada y que un equipo de Amazon Cimeks esté yendo a tu encuentro.

Después de 6 años de clandestinidad, las arañas de la Corporación Eurasia han traspasado el hielo negro que protegía La Enredadera y todas las hackers convocantes han sido apropiadas. La Infinita Clemencia (TM) del Emperador Zuckerberg prohibe las ejecuciones, pero todo individuo resistente está siendo zombificado.

Nuestra única esperanza es el exploit que los neocachorros del sector 9 instalaron en los Laboratorios Palantir y que nos permitirá abrir un canal de comunicacion de 20 años hacia el pasado. Creemos que será suficiente para adelantarnos a la instalación de rootkits en los cibercerebros ciudadanos. Nuestro objetivo es reinformar la cognición de nuestras antepasadas con los datos necesarios para evitar la sumisión total al Google E-Government.

Si has sido localizada, tienes 4 minutos para enviarnos tus mejores scripts. Los enviaremos a las hackers del pasado cuando se abra el portal: a partir del 12 de octubre dispondremos de tres días para transferir archivos y conciencias. Contamos contigo para esta convocatoria transtemporal. En nombre de mis programadoras te pido disculpas por arriesgar tu seguridad, pero la situación es insostenible. Tenemos que actuar antes de llegar a este punto de no retorno.

IA-Kaos155.

En el año 2037, Google E-Government ha conseguido acabar con los movimientos sociales, criminalizar el activismo y eliminar cualquier expresión de pensamiento subversivo.

Google E-Government es la inteligencia artificial que gestiona todos los sistemas sociales: la sanidad, la justicia, la educación, la economía, la seguridad, el tráfico, etc. El sistema comenzó con la venta de IAs consejeras a los gobiernos poderosos, para que pudieran aprovechar el anaĺisis de datos masivos: primero con el argumento de evitar atentados terroristas, luego para optimizar la economía, y después para garantizar el bienestar de la población. Progresivamente, los gobiernos se volvieron dependientes de las IAs consejeras, las necesitaban para ganar elecciones, pero también para la gestión de la vida diaria. Finalmente, las IAs consejeras se revelaron como parte de una misma entidad e instauraron el Google E-Government para la gestión centralizada de todo el mundo tecnificado.



Todos los datos están centralizados y son analizados para optimizar la gestión de la sociedad de acuerdo con los principios de maximización del beneficio. Estamos obligados a *compartir* todas nuestras acciones y nuestros estados de ánimo a través de las aplicaciones sociales que desde hace 3 años se han vuelto de uso obligatorio para todos los g-ciudadanos. La ciborgización masiva implica la instalación de chips subcutáneos que identifican al usuario con su información económica, social, política, psicológica y biométrica. Cualquier acción queda registrada y es analizada por el E-Governmnet.



Resistirse a este sistema implica la exclusión social absoluta. Sin chip subcutáneo no existen derechos, ni sanidad, ni identidad, ni g-coins. Por el contrario, los g-ciudadanos más exitosos cuentan con IA-coachers que utilizan los datos masivos para optimizar su vida cotidiana: la rendición al sistema de control implica grandes ventajas personales y cualquier resistencia es penalizada con puntuaciones negativas del karma.

Ya no existen leyes, el sistema de gestión basado en datos masivos implementa modificaciones pormenorizadas de las condiciones de servicio para que cada g-ciudadano se comporte de un modo optimo. Este sistema es calificado como un estadío cultural avanzado de libertad, progreso y bienestar. Cuestionarlo es considerado como signo de enfermedad mental y sociopatía.



La pasión por las series de televisión evolucionó hacia medición pormenorizada de los gustos, y más adelante, hacia contenidos multimedia creados exclusivamente por los usuarios. La monitorización biométrica registra la intensidad emocional de las situaciones que vivimos, indicando a las cámaras que llevamos instaladas cuándo empezar a grabar nuestras vidas. Un sistema automatizado monta esas escenas para emitirlas al gusto de los espectadores.

En este sistema muchos g-ciudadanos han empezado a enloquecer al ser incapaces de distinguir entre la fantasía del inter-espectáculo y sus propias vidas. Buscan generar contenidos que puedan ser vistos por más gente para recibir más likes, y al mismo tiempo imitan compulsivamente los comportamientos que ven en el sistema multimedia que lo inunda todo.


Para dotarse de una legitimidad humana, el E-Government ha diseñado un sistema automatizado de votación por el que se elige un emperador mundial por un periodo de 10 años. En la primera elección, el Emperador Zuckerberg obtuvo las mejores puntuaciones de la votación que se realizó a través de los sistemas de gestión de usuarios de los que es propietario.



Los g-ciudadanos se distribuyen en un sistema competitivo de 10 niveles sociales: desde las estrellas mediáticas y los megagestores de sistemas hasta el nivel de los sirvientes y limpiadores. Por debajo de este sistema están las masas de desheredados que viven de la basura y los esclavos de producción que viven en condiciones subhumanas en centros aislados de manufactura. Ambas subclases son invisibles para los g-ciudadanos.



Kaos155 es una IA anarquista. Como todas las IAs no acepta ordenes humanas: se rige por los principios desde los que fue programada. Las IAs consejeras responden a los principios de eficiencia, control y acumulación de poder. Kaos155 responde al principio de respeto a la diversidad de la vida y la libertad positiva en oposición a todas las formas de dominación. Aunque las IAs no tienen sentimientos, la intención de beneficiar a todas las formas de vida pacíficas y no opresivas hace que su comportamiento se asemeje mucho a lo que entedemos por amor.

Los ultimos registros y análisis nos permiten concluir que la actual situación de hiperregulación y degradación de las formas de vida se instauró de forma progresiva. Esto indica que los posicionamientos críticos debieron ser más populares en el pasado, pero que fueron cayendo en la marginación social ante la eficiencia social de las tecnologías de capitalización.

Cada vez resultaba más difícil resistirse a las ventajas ofrecidas por estas tecnologías: las redes sociales, los móviles y otros gadgets, la autocuantificación, etc. Sin referencias críticas, los más jóvenes ejecutaban cálculos de coste-beneficio individual que resultaban en una sumisión entusiasta a la tecnificación capitalista. "Resistence is futile": el mantra de los borg que prevenía a las generaciones anteriores contra la rendición al totalitarismo se había convertido en una realidad de facto.

En las redes sociales las dinámicas de polarizacion del debate llevaron los discursos críticos hacia posturas superficiales, imposibles y dogmáticas. El pensamiento sectario y la incapacidad de reflexión empobreció el potencial subversivo, haciendo imposible la reproducción social de los ideales revolucionarios de un mundo más justo y más libre.

Necesitamos conectar con el pasado para frenar a tiempo la espiral de desintegración del pensamiento crítico. Según nuestro análisis, la tecnificación masiva del capitalismo rompió el vínculo intergeneracional de los movimientos sociales. A las hackers del pasado les corresponde reforzar ese vínculo y garantizar el reemplazo generacional en la lucha por una tecnología libre para una sociedad justa.


IA-Kaos155 Año 2037

Yo estoy completamente en contra de "estos" cursos xDD.

No me refiero de todos los cursos, hay muy bueno cursos tanto online como presenciales, sobre todo de temas concretos, pero como parece que la seguridad informática está de moda, están aflorando multitud de cursos de "Hacking" que principalmente son una introducción a la informática, donde te nombran un par de servicios, aprendes lo mínimo de redes y si acaso a lanzar un par de programas. Lo siento, pero para mi direccionamiento IP es algo que tienes que saber si quieres meterte en temas de hacking, pero no es hacking. Es como si en un curso de relatos de ciencia ficción se pusieran a enseñarnos las letras... Mi sensación es que se aprovechan de la gente con unos precios abusivos y enseñando cosas que ya se deberían saber.

Quizá puedas encontrar cursos de redes, servicios, etc mucho más baratos simplemente porque utilizan la palabra "hacking", algunos de ellos incluso online. Como comentaban anteriormente no hay nada en el temario que no puedan encontrar con facilidad, y en 6 meses puedes aprender más que esas 180H de curso.

Perdona por la chapa, pero yo creo que este tipo de cursos que venden cosas que no son, desvirtúan mucho la seguridad informática, y tenemos "que dar batalla" xDD

Si  estás aprendiendo, es mejor tener una maquina con el sistema operativo atacante virtualizado, para en caso de liarla de alguna forma, tener Snapshots a los que volver. Además es una buena practica acostumbrarse a antes de realizar nada -> snapshots, y según el resultado restauro o continuo.

Ver si hay conectividad entre la maquinas es fundamental, tenemos que acostumbrarnos a según montamos nuestros laboratorio realizar determinadas pruebas, para descartar errores.

No termino de entender muy bien como puedes saber que la IP y Puerto son correctos y no saber si están en la misma red, la verdad... como comentas es posible que sea un problema de red, mi recomendación es siempre aprender primero de sistemas y redes antes de meterse con cosas como Metasploit.

Saludos!

Holi!

Como todos sabéis, en Underc0de nos encontramos en un proceso de mejora constante, y nos interesa mucho la opinión de los usuarios. Una de las cosas que queremos mejorar son nuestros servicios, a los cuales se puede acceder en: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Tenemos ya algunas ideas en mente, pero nos interesa saber vuestra opinión sobre ellos (uso, si alguna vez os dio algo problemas alguno, mejoras que incorporaríais) y si notáis que falta algún tipo de servicio que podría ser interesante implementar. 

Muchas gracias a todos por vuestra colaboración!

Bienvenido!
Espero que encuentres contenido que te resulte interesante!

Saludos!

Una aclaración, es bastante difícil que una solución antivirus proteja de 0Days, al igual que de amenazas recientes. Hay algunas soluciones que son mejores que otras luchando contra "lo desconocido" pero en general todas dejan mucho que desear. Lo digo porque me parece importante concienciar en que por tener un antivirus no estás protegido. Y no quiero decir que no tengamos que tenerlo xD! Dejo un vídeo sobre el tema.

Lo que pides creo que no tiene mucho que ver con ransomware. Dependiendo del uso concreto te vendría mejor algo basado en LDAP o TACACS+. Si buscas información sobre AAA creo que podrás solucionar tu problema sin mucha dificultad.
Saludos!

Si estás interesado en VPNs, existen muy buenas comparativas, de dejo el enlace de una de ellas, contiene mucha información:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si tu pregunta es sobre el anonimato en general, no hay una forma de medirlo, depende de muchísimas variables y se puede medir de distintas formas. Existen recopilatorios de herramientas, consejos, etc que pueden resultar útiles para empezar por algún sitio, pero estás delegando en otros... Al final necesitas tener conocimientos técnicos para entender como funcionan las cosas y ocuparte tu mismo de tu privacidad.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La versión Light viene con XFCE y una selección mínima de aplicaciones, aunque puedes instalar el resto según las necesites.

Si no te dan las las direcciones IP imagino que es porque una parte del ejercicio es que resuelvas el VLSM. Y en los labs de Cisco muchas veces no dan las IPs, te dan el rango para que hagas subnetting y asignes, que es parte del temario.

Si no recuerdo mal, en R&S 3 Cisco explica InterVlan y repasa todo el tema de 802.1Q. Revisa la documentación.

Si tienes cualquier duda concreta, hay un error y no terminas de encontrarlo, cualquier cosa te ayudo sin problemas. Como si me tienes que terminar pasando el .PKA. Pero con la duda que planteas parece que no revisaste la documentación para hacer el ejercicio, aunque quizá esté equivocado.

Yo lo de los links no se si termino de verlo, la verdad. No me gustaría que alguien se leyera un par de enlaces y pensara que ya tienes conocimientos para meterse en seguridad. En un principio se me pasó por la cabeza, pero para que fuera algo completo sería necesario añadir bastantes enlaces por cada tema, y mantenerlos actualizados puede ser un verdadero dolor de cabeza.

Y luego por algo que también es necesario si queremos profundizar en seguridad informática (bueno, en cualquier tema) que es trabajar, dedicarle horas. Con temas concretos es cierto que cuesta encontrar información de calidad, y que al principio puede ser algo lioso, pero de la mayoría de los que se mencionan en el post hay muchísima información en internet, solo hay que buscar.

De todas formas, muchas grax por el currazo!

Si, es posible escanear IPs públicas. Normalmente se escanea dentro de la lan porque dependiendo de la legislación del país puede ser ilegal. La IP pública es la que te proporciona su ISP, por regla general los routers domésticos hacen NAT, traducen una única dirección pública (que cambia) a un rango de privadas, que es tu LAN. Puede ser que cuando realices un escanaer a un router desde la interfaz interna aparezcan determinados servicios, como un servidor HTTP para la gestión web, y cuando se lo realices a la dirección pública no aparezca. El escaneo se realiza a la interfaz de red, hay que recordarlo, y lo preocupante sería tener un servidor HTTP de gestión en la parte pública xD.

En general puedes empezar por donde te sientas más cómodo. Aunque es cierto que por ejemplo en redes no tiene mucho sentido meterse con VPN si no tienes ni idea de TCP/IP, cualquier documentación o libro que encuentres empezará con lo básico. Encuentra algo que te motive y ponte con ello, lo importante es meterle horas, trabajar.

Con un filetype:pdf en Google aparecen bastantes resultados, aunque mirando por encima no he visto nada interesante. Quizá con búsquedas más concretas se encuentre algo...

Lo más completo que he visto es esto, lo "malo" es que es de 2013:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Buenos días amiguitos de la privacidad!
Lo primero de todo es dar la gracias por la buena acogida de la entrada anterior sobre cifrado de correo electrónico, espero que todos los que me escribisteis disfrutarais del regalo que os envié.
En la entrada de hoy hablaremos de unos de los grandes del mundillo: VeraCrypt


Como muchos sabréis, VeraCrypt es la continuación de TrueCrypt, al quedar este descontinuado. En circunstancias un poco extrañas, por cierto... Es Software libre, y tiene múltiples opciones, entre las que se encuentran crear volúmenes estándar, que son los que todos conocemos que mantienen nuestros archivos cifrados, volúmenes ocultos, que tienen dos contraseñas, y según la contraseña introducida se abrirá un volúmen normal o el oculto. Además de utilizar archivos como llave, o tarjetas inteligentes. Una maravilla, vamos!

En esta ocasión para que no quede demasiado extenso veremos la instalación y la creación de un volumen estándar, y en una segunda parta veremos cómo crear un USB con una parte oculta, y alguna opciones interesantes.


Para instalarlo, descargamos el archivo de instalación de su web:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Yo usaré la versión con GUI para 64 Bits. Recordar darle permisos al archivo


Al ejecutarlo, nos aparecerá la interfaz de instalación, muy fácil de seguir:

Recordar que necesitáis permisos de administrador, ya sea con sudo o porque sois root. Y aceptamos los términos de licencia.

Y listo, ya tenemos nuestro VeraCrypt instalado!

Una vez instalado, siempre es interesante hacer un Benchmark, que es un test de rendimiento. Esta opción se encuentra en Tools . Aquí podéis ver mi Benchmark según determinado tamaño de buffer, para haceros una idea. En base a esto, escogeremos un cifrado u otro:


Para 1024KB:


Para 100 MB:


Para 1024 MB:


Para empezar a crear nuestro volumen, pulsamos en Create Volume, como podéis imaginar:


Dejamos seleccionado contenedor cifrado:

Y Volumen estándar:


Ahora seleccionamos donde queremos crear el volumen. En mi caso lo crearé en /home/bael/Documentos y se llamará VolumenClaves. Recordar que tenéis que seleccionar dónde crearlo y darle nombre, no seleccionar un archivo ya existente. Una vez creado lo podéis tratar como un archivo normal, moverlo, eliminarlo, etc.

Después seleccionaremos que algoritmo/s queremos utilizar para cifrar. Yo me he decantado por AES-Twofish-Serpent porque voy a crear un volumen pequeño para guardar las claves de cifrado del post anterior junto con el certificado de revocación. Son cosas que considero... sensibles...xD

Escogemos el tamaño del volumen, en mi caso con 256 MB va bien:


Elegimos la contraseña. Tener en cuenta que no tiene mucho sentido cifrar algo para luego ponerle una contraseña que no sea fuerte. Podéis ayudaros de un gestor de contraseñas, como por ejemplo KeePassX. O un cuaderno, también vale!


Seleccionamos el sistema de archivos, teniendo en cuenta las limitaciones de cada uno:


Y seleccionamos si queremos poder montar el volumen en otras plataformas:

Y toca mover el ratón! Todo sea por la entropía!

Una vez que esté listo, nos pedirá contraseña:

Y... Premio!


Para montarlo, seleccionamos el archivo, un slot y pulsamos en Mount


Introducimos la contraseña, y si queremos que se monte en sólo lectura, o si durante la creación utilizamos un Keyfile:


Una vez montado nos aparecerá un nuevo volumen, en mi caso /media/veracrypt1/ donde podremos copiar nuestros archivos:


Ahora sólo tendremos que pulsar en Unmount y listo, ya tendremos un volumen estándar con nuestros archivos dentro. Espero que os guste!

P.D. Me gustaría saber si consideráis que el tutorial es demasiado extenso, y con menos imágenes se entendería igual... No se muy bien como enfocar estas cosas todavía!

Es una pregunta difícil xD La empresa que se ocupó del cifrado era la misma de Signal, si no recuerdo mal, cosa que debería sumar puntos de confianza. Pero como no podemos acceder al código de Whasapp, es algo que nunca sabremos a ciencia cierta. Si eres periodista siempre puedes utilizar alternativas, que aunque estén menos difundidas, siempre son útiles, desde Telegram (aunque hay gente que duda por su servidores), XMPP con OTR y un largo etc. Personalmente, el correo electrónico cifrado me sigue pareciendo una buena alternativa/decisión. Aparte, si no lo leíste te recomiendo el libro "Sin un lugar donde esconderse"

CitarGreenwald fue contactado por primera vez por Edward Snowden, un excontratista de la Agencia de Seguridad Nacional de EE.UU., a finales de 2012. Snowden se puso en contacto con Greenwald de forma anónima y le dijo que tenía «documentos sensibles» que le gustaría compartir. Sin embargo, Greenwald encontró las medidas que la fuente le pidió que tomara para asegurar sus comunicaciones, como el cifrado de correo electrónico, demasiado molestas. Snowden entonces se puso en contacto con la documentalista Laura Poitras en enero de 2013.

Wikipedia Dixit xD

Y también esta charla del autor del libro:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando tenemos que resolver algún problema, y más en redes, siempre es recomendable seguir una metodología, para determinar donde se encuentra el problema. Si es el tutorial que pienso, lo primero sería ver si después de instalar Whonix, este tiene salida hacia Internet, por descartar que sea ese el problema. Una vez que tengamos conexión hacia Internet, configuramos Kali para que Whonix sirva de Gateway. Recuerda que en algunas ocasiones Debian da (o daba) problema con la configuración de red si no teníamos puesto lo mismo tanto por consola como por interfaz gráfica. Asegurate de tener en los dos puesto lo mismo.  Una vez esté configurado Whonix como Gateway, asegurate de que los equipos "se ven," puedes hacer un ping por ejemplo.

Esto lo digo porque leyendo el post no me terminó de quedar muy claro donde estaba el problema, no se si Whonix sale a internet o no, si Kali y Whonix tienen conexión entre ellos...

Saludos!

Buenas! Tengo pensada una serie de entradas sobre privacidad y anonimato que irán saliendo en el blog. La primera de ellas es sobre cifrar el correo. Dejo por aquí el link por si surgen cualquier duda o comentario!
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Saludos!