Para estas vacaciones os recomiendo que os pidáis un “juego de seguridad”. La verdad es que yo no he jugado a ninguno, pero me parecen interesantes por su valor educativo y lúdico.

Tras una conversación en twitter, Adam Shostack y Jeremiah Grossman, el primero ha preparado esta lista con los ‘juegos de mesa’ con enfoque en seguridad informática.

Os pongo aquí la lista por aquello de que no quede muy descafeinado el post, aunque tendréis que ir a la fuente para ver más detalles:

  • Control-Alt-Hack
  • Elevation of privilege: the threat modeling game
  • Hacker
  • [D0x3d!]
  • NetRunner

Particularmente interesante es [D0x3d!] ya que es open source y es posible descargarse las cartas para imprimirlas, mezclarlas y personalizarlas.

Si alguno los tiene, los compra o se los regalan, que nos cuente qué tal. Por otro lado, si necesitáis jugadores no dudéis en avisarnos y montamos un secandbeer con tablero.

Para el que no lo sepa todavía, la Universidad de Sevilla publicita un Curso Experto en seguridad de la información.

Este curso pretende ser bastante práctico y está avalado por profesionales con experiencia real y enfoques diversos que creo que puede ser muy beneficioso para todo aquel que quiera iniciarse o ampliar sus conocimientos en seguridad de la información.

Particularmente, habrá tres personajes habituales de Sevilla Sec&Beer haciendo de profesores en algunos de los módulos:

  • Vic, que explicará los conceptos básicos de la gestión de la seguridad y dará una visión realista sobre la situación actual de la gestión de la seguridad (amenazas, actores, mercado, etc.)
  • Oly, que dará su particular versión sobre estándares y buenas prácticas de seguridad, qué hacer con ellos y cómo sobrevivir al mundo del compliance
  • Chmeee (yo mismo) que explicaré cómo utilizar OWASP y OSSTMM para la realización de análisis de seguridad aderezado con ejemplos y alguna que otra acrobacia

Además hay más gente buena implicada impartiendo los módulos del curso por lo que seguro que los que os apuntéis no lo vais a lamentar.

Y, encima, tendréis la posibilidad de asistir de gratis al Sevilla Sec&Beer (vale, que ya es gratis, pero os miraremos con mejores ojos) pero ¿qué otro máster o curso experto tiene esta posibilidad, eh?

En fin, no me enrollo más para que esto no parezca un corte publicitario. Echad un ojo al temario y, si os gusta la seguridad, queréis aprender de gente que nos llevamos años peleando con este asunto y tener la oportunidad de trabajar en este campo tan interesante, digo… estresante, esta es vuestra oportunidad.

Y ya de paso, aprovecho para invitar al resto de profesores a nuestras convocatorias de Sevilla Sec&Beer.

El otro día tuve una extraña discusión. Resulta que dos personas no se creían que, una vez autenticado en una web, sólo con el JSESSIONID pudiera acceder a esa web ya autenticado en otro equipo. WTF???

Como comprenderéis este grado de desconocimiento es GRAVE. Y más si se trata de los responsables de diseñar, configurar o programar sistemas.

Si bien está claro que no se puede saber de todo, sí hay que informarse muy bien de las tecnologías que uno usa. De la forma de usarlas, de las precauciones que hay que tener, de su rendimiento, de su funcionamiento interno, etc.

Por lo tanto, el lunes desmotivador de hoy está dedicado al desconocimiento de las tecnologías y su impacto en la seguridad protagonizada por la simpática pata de los Wonder Pets.

En fin, y para que no todo sea tristeza… Os propongo cantar conmigo la canción de los ‘Secure Pets’, listos para acudir en cualquier momento para salvar a personal de IT en peligro.

“Un programador…
que no sabe de sesiones web
esto es seriooo
hay que ayudarle
Al programador ayudemos
Al programador ayuedmos” Los Secure Pets.

Os recomiendo estos dibujitos si tenéis críos (o incluso si no) porque son geniales. Y por cierto, otra de las enseñanzas para seguridad es la canción que cantan cuando están haciendo algo: “¿Qué funciona siempre? Trabajo en equipo“. Pues eso.

El amigo Wysopal (“quizá me conocáis de L0phtcrack, @stake, etc.”) ha preparado una lista de aplicaciones web inseguras con las que se pueden practicar técnicas de análisis de seguridad web sin miedo a romper nada o a que te metan en la cárcel (o peor, te quiten el Internet).

En fin, como ya he hecho publicidad y he puesto el enlace, voy a fusilar literalmente la lista aquí, para tenerla más a mano. Eso sí, para ver la lista actualizada, id a su artículo.

Offline:

Virtual Machines (VMs) or ISO images:

Online/Live:

Recordad que las aplicaciones web son una de las primeras líneas de defensa y que, por mucho WAF que pongas, suponen un riesgo de seguridad al que dedicarle mucho mimo. Mientras más sepas sobre seguridad web, mejor.

Sobre este tema, os recomiendo el último libro de M. Zalewski (lcamtuf): ‘The Tangled Web: A Guide to Securing Modern Web Applications’, del que podéis leer el tercer capítulo de gratis.