Mi experiencia en OWASP Sevilla

Bueno, como comienzo la entrada... Fue enterarme del evento a través de recomendados de Twitter mientras debatía en las redes sobre forense.

El evento era en Sevilla, una charla-taller que se hacía en El Cubo de Sevilla (Pabellón de Francia) y la primera impresión nada más llegar fue "wow". El edificio hace homenaje a su nombre, aquel cubo que mirabas arriba o al frente (porque si mirabas abajo veías una caída de unos 100 metros mínimo) pero tocaba entrar en las instalaciones.
Llego y me encuentro algo que, como yo decía, parecían instalaciones de Google España (vamos, embobado, que no lo creía.) y llego a la sala de Staff donde es la charla pero antes me doy una vuelta por las instalaciones.

Inevitable no asomarse al vacío, a aquel "precipicio" que no sabías cuanto podía tener de profundidad por sus numerosos espejos. A medida que iba caminando por la zona veía zonas y grupos de trabajo de todo tipo, orientado a jóvenes emprendedores que iban desde comercios hasta desarrollo de videojuegos.

Tras dar una vuelta por la zona me dirijo a la charla, donde la temática principal era la seguridad y anonimato, explicado por varios ponentes en la que salí bastante contento.

Comenzamos la charla con @ramon_salado hablando sobre TOR, lo que de verdad es y que no es tan malo como dicen. Entre las cosas que se comentaron fueron su funcionamiento, alternativas al típico TOR y el tema de los nodos o hosts de salida y cómo salen perjudicados estos y sobre todo su opinión sobre un debate que hay hoy en día en internet... ¿"VPN + TOR" o "TOR + VPN"?



A continuación, creo recordar que nos tocó VPN con @twajoseluis donde nos explicaba como escoger una VPN, en que basarse, cómo es su funcionamiento y recordando que no existe una seguridad que sea 100% fiable o segura además de como convertir un router en una VPN, usarla estando de vacaciones...

Pasamos tras esto a @Ghostmanoficial y a como montar una VPN "casera" en cinco minutos con una RaspberryPi, unos ejecutables y una microSD. El experimento funcionó bastante bien además de hacernos una demostración en vivo del procedimiento de instalación.

Por último aprendimos con @juanjodomenech un poco de teoría sobre los sistemas operativos anonimizados y que hacer en caso de no tener uno. Aquí conocimos algunos como TAILS, Whonix y Kodachi.

Puede que me deje cosas en el tintero. De aquellos que me conocen saben que es costumbre pero quería terminar la entrada dando las gracias a @OWASP_Sevilla por la charla-taller y espero que nos traigan pronto muchas más cosas.

Música SIN infringir la ley | TIPS

Buenas tardes chicos. En una de esas tardes en las que hablo con mi familia me entero que "Fulanito hizo un vídeo con música de Semana Santa y le han puesto una multa gorda". Así que me tocó explicar el tema de Copyright, Derechos de Autor, Propiedad Intelectual, etc. y se me ocurrió la idea de "¿Y si lo subo al blog para quienes no lo saben?" Así que esa es la situación de ahora, la que detallamos a continuación pero vamos a comenzar con un problema.

"Juan graba un vídeo de gatitos e inserta audio de una canción cualquiera famosa. Juan como es un "luser", descarga la canción a través de un portal en plan "INSERTA TU URL DE YOUTUBE Y DESCARGA EN MP3", lo mete en el vídeo y lo sube pero a los cinco minutos le silencian el vídeo, debe pagar una multa y no sabe el por qué"

Vamos a comenzar hablando un poco de términos:

• Copyright: "Derecho exclusivo de un autor, editor o concesionario para explotar una obra literaria, científica o artística durante cierto tiempo"
• Derechos de Autor: "Cantidad de dinero que el autor de una obra cobra como participación en los beneficios que producen su difusión, publicación o reproducción"
• Luser: Por ejemplo alguien como tú, un usuario con conocimientos de informática y/o internet que son básicos cuyo ejemplo podría salir en PdH, XFiles, charlas, etc..

Ahora que tenemos nuestras definiciones vamos a empezar a analizar la situación de Juan.

Comenzamos con que inserta en un vídeo de gatitos una canción famosa, que NO es suya y la obtiene ilegalmente descargándola de Internet, sin consentimiento de autor (o eres un amigo de quien hizo la canción o eres millonario, si es así no se que haces aquí). Al descargar un audio de esta manera estamos creando un delito de descarga ilegal de contenidos (lo mismo que si creas algo y te lo roban) pero sigamos.

A continuación lo inserta en un vídeo, lo cual es crear una obra derivada, sin consentimiento del autor pero suponemos que lo guarda para el (si no me registran no saben nada) pero nuestro amigo Pepe lo sube a YouTube para compartirlo lo cual también es ilegal hacerlo porque publicas contenido creado con otro contenido el cuál no tienes permisos para crear obras derivadas.

A este punto le llega el aviso a Pepe de que su vídeo es silenciado o eliminado pero como es tan guay, eleva el tono del audio para que no se lo coja y se lo admita (YouTube es más listo que tú, créeme) pero también lo monetiza (aquí llegamos al punto de ser idiota) así que le llaman a su casa y acaba en juicio y pagando la multa correspondiente en el mejor de los casos.

Ahora tras ver la historia de Pepe vamos a ver la de Jose.

"Jose es un chaval que hace reportajes y vlogs y quiere usar música de fondo pero Jose es listo y busca música SIN copyright y monetiza el vídeo y acaba ganando más que Pepe."

Lo que hace Jose es buscar en Google "Música sin Copyright" y se descarga una que le gusta, hace el vídeo y lo sube y se hace rico pero Jose no hace todo bien porque, si coges algo indica de donde viene.

DONDE BUSCAR Y DESCARGAR MÚSICA SIN COPYRIGHT

Te dejo acá abajo una lista de webs que permiten descargarse este tipo de música y puede ser mejor que las más famosas (sigue leyendo que queda una última pregunta)

https://licensing.jamendo.com/es/catalogo
http://www.locutortv.es/musicalibredederechos.htm
https://www.youtube.com/channel/UCUFDNffZtBGisDliMx12fYw
https://www.youtube.com/channel/UCXxq51UqKuInU10uu6ov4aw
https://www.youtube.com/channel/UCzanuyCMo2I0UJKksLELAZg

¿QUE PASA SI SUBEN UN VÍDEO CON UNA CANCIÓN SIN COPYRIGHT  PERO EL DUEÑO PONE DERECHOS DE AUTOR AL VÍDEO COMPLETO?

Esta es una duda interesante, la cual me ha comido la cabeza bastante así que me he puesto a investigar (y preguntar a compañeros) y os comento mi conclusión (la de los compañeros llegarán cuando respondan)

@majeflomon : Si nos encontramos en esta situación, la canción está libre de derechos. Recordemos que algo que sea libre de derechos NO exime que pueda usarse para generar beneficios (a salvo que lo indique alguna Licencia Creative Commons (En las Non-Comercial lo encontramos)
 por lo cual es legal crear obras derivadas, subirlas y monetizar pero NUNCA se podrá poner derechos a esa canción ya que estás en pleno derecho de usarla. Aún así, en las webs de arriba tienes la posibilidad en algunas de comprar la licencia desde 4,99€, algo que a la larga merece la pena.

@palabradehacker : "Hola Manuel pues no sabría decirte exactamente puesto que no soy abogada. Que una música sea libre y no sea necesario el reconocimiento de autor no significa que no tenga autor sino que igual ha pasado el suficiente tiempo como para que sea de dominio público. Por ejemplo en la biblioteca de YouTube hay música con derechos de autor que necesitan el reconocimiento y música libre que YouTube pone a disposición y es la que yo uso, que no quiere decir que no tenga reconocimiento sino que YouTube ya lo realiza y porque son piezas que igual ha llegado a acuerdos, son de dominio público como he dicho."

@petruxIT : "En principio, y sin carácter legal -sigo sin ser abogado- habría que ver en qué condiciones se comparte la música (podría ser CC y toda obra derivada debería compartir misma licencia), o podría ser copy-left (que creo que se comparte libre pero sin ánimo de lucro). Ninguno de estos dos modelos se te aplica al caso. Te queda, entiendo, la posibilidad de usar música libre pero autorizada para su uso comercial o adquirir una licencia -que suelen ser económicas- para música que no sea libre. Complicado. Pero entiendo que al no ser tú el autor de la música libre que usas en el vídeo no puedes tener derechos sobre ella; sí los tendrías sobre la totalidad de la obra, como un todo, pero cualquier otra persona podría emplear esa misma música para cualquier otro proyecto que podría liberar con copyright o CC o como fuere."

Hablando de Seguridad | Petrux y @conpilar_zgz

Buenas Tardes ;)
Como es sabido por muchos el pasado 10 de Marzo tuvo lugar en Zaragoza #CONPilar2017, una CON de hackers, estudiantes de seguridad y cualquiera que quisiera venir en donde se compartieron buenos momentos entre talleres y descansos. Por suerte, y doy gracias, contamos con la experiencia de Pedro, mayor conocido en las redes sociales como @petruxIT.
Pedro, Guardia Civil y cibercolaborador fue un ponente en @hackandkids, la parte de la CON orientada a los más pequeños que desean iniciarse en la ciberseguridad.
Sin más os dejo la experiencia escrita por Pedro y esperemos que se animen más personas a acudir a las CON, de nuevo muchas gracias ;)

Una semana después...

Ese es el tiempo que ha pasado desde la CONPilar de este año, y aún dura la resaca. Sí, resaca, causada por lo consumido desde el viernes cuando comenzaba la tarde  y hasta el sábado ya acabando el día.

¿Que qué hemos consumido? Pues, salvando las diferencias, algo parecido al maná celestial; algo capaz de mantenernos unidos, atentos, disfrutando, aprendiendo, enseñando, compartiendo... Hemos compartido espíritu "hacker".

Mucha gente, como diría ese gran Fran a quien echamos en falta, y "mucho diferentes" pero todos juntos. Enseñando esos grandes maestros venidos de Córdoba, Guipúzcoa, Logroño, León, Guadalajara... Y de más cerca también, de Ejea y ¡de la misma Zaragoza! Aprendiendo un montón de gente de distintos ámbitos profesionales, con diferentes intereses en lo tocante a tecnología: desde los más técnicos hasta los que ¿simplemente? son padres con preocupaciones por lo que que el surfear por la web puede acarrear a los niños.

Niños que, dicho sea de paso, han tenido por vez primera en estos eventos el suyo propio: track completo, de todo el día, su "Hack&Kids". Porque este mundo digital que se nos viene encima es suyo, y es desde ya nuestra obligación el ponerles al día, el formarles, el enseñarles el camino correcto y el espíritu del "learn, hack and share".

Aprendimos, y con los mejores: Francisco Pérez Bes, Secretario General del Incibe; el magnífico Jorge Bermúdez, Fiscal de Criminalidad Informática de Guipúzcoa; el mítico Román Ramírez, fundador de la RootedCON; el siempre agudo y divertido Eloy Villa, sufridor de usuarios adictos a los tutoriales de YouTube; Pilar Andrade, empresaria apasionada por la tecnología y convencida de la cooperación; José María Otín, Inspector Jefe del GDT de la UDYCO del CNP; Pedro Canut, abogado y... ¡mil cosas más! que nos ilustró sobre el cyberbullying; ¡y la mente privilegiada de Marcos, el minion curioso! que nos demostró lo fácil que es estar sentado disfrutando de una charla para, de repente, encontrarse al otro lado, de pie, impartiéndola.

¿Y los niños? Aprendiendo a programar con Marta, Jacob y Miguel -tres "abejitas de la HoneyCON" que vinieron zumbando en cuanto los necesitamos; descubriendo con Pedro en plan DIY como se pueden enviar y recbir mensajes secretos por distintos canales de comunicación; interiorizando las pautas mínimas que deben observar en la navegación por la red... ¡y sufriendo los ataques de un malo-malísimo Eloy Villa (sí, también estuvo con los mayores)! que les demostró en vivo y en directo lo peligrosas que son las redes WiFi abiertas.

Y en los descansos, networking. Conoces personas nuevas con mucho que enseñar, con mucho que compartir, con ganas de aprender; de repente te encuentras charlando como si fuérais amigos de toda la vida con cualquiera de los ponentes, con esa magnífica gente que ha sido capaz de sacar adelante la CON, con otros asistentes, perfectos desconocidos que dejan de serlo...

¿Entiendes ahora el por qué de la resaca?¿Entiendes ahora el por qué de ir a una CON? Estás avisado: ir a una CON es superar un punto de no-retorno.

Mi consejo: Ve.

@petruxIT.

Puedes ver su blog en http://goigon.blogspot.com.es/

Por mi parte cierro la entrada con la filosofía que él me ha enseñado "Learn, Hack and Share"

Privatiza tus archivos sin programas

Buenas tardes tirando a noches. Hoy os traigo una guía de como elaborar un "Locker" en Windows de una manera fácil y sin que nos dé problemas a la hora de usarlo pero para entender como hacerlo os responderé a la pregunta:

¿Qué carajo es un locker y para que lo quiero?
Un locker, en palabras que entendería mi yo de hace 8 años sería básicamente "un programa que hace una carpeta y la esconde" así sin más.
Pues entendiendo qué es un locker veremos como hacerlo en cualquier versión de Windows y hasta poder llevarlo en un USB.

1. Creamos un bloc de notas con el nombre que queramos, es decir, como si quieres llamarlo "Locker" o "Apuntes de Mates" porque escondas ahí lo que sea.
2. Entramos en ese fichero y copiamos el siguiente tocho que al principio ni un usuario experto entendería (bueno, sí.)

Y SEÑORAS Y SEÑORES ESTE ES NUESTRO TOCHO

cls 

@ECHO OFF 

title Folder Locker 

if EXIST "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" goto UNLOCK 

if NOT EXIST Locker goto MDLOCKER 

:CONFIRM 

echo Esta Seguro de que quiere proteger la Carpeta(S/N) 

set/p "cho=>" 

if %cho%==S goto LOCK 

if %cho%==s goto LOCK 

if %cho%==n goto END 

if %cho%==N goto END 

echo Venga, una S o una N. 

goto CONFIRM 

:LOCK 

ren Locker "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" 

attrib +h +s "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" 

echo Tu carpeta ha sido bloqueada

goto End 

:UNLOCK 

echo Venga, ahora la clave

set/p "pass=>" 

if NOT %pass%== (LA CLAVE AQUI) goto FAIL 

attrib -h -s "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" 

ren "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" Locker 

echo Folder Unlocked successfully 

goto End 

AIL 

echo Vuelve a poner la clave que te has equivocado

goto end 

:MDLOCKER 

md Locker 

echo Creaste bien la carpeta privada

goto End 

:End 

Si te estás echando las manos a la cabeza tranquilo, te lo voy a poner fácil.
Una vez que has copiado esto, si te fijas hay una línea en negrita que pone (LA CLAVE AQUI), pues bien, borras incluso los paréntesis, es decir, debe de quedar un espacio después del "=" y antes del "goto".

Ya has hecho lo más difícil, ahora toca guardarlo bien y para ello nos vamos en el bloc de notas arriba a la izquierda, Archivo y luego a "Guardar Como". Seleccionamos "Todos los archivos" y el nombre del archivo será "LoQueQuierasPoner.bat" y lo guardamos. Recalco el .bat porque sino esto no sirve para nada, así de simple.