Publicaciones

Libros

	Cuando estaba terminando mi Licenciatura en Informática en la universidad, UPM, tuve la oportunidad de escribir un par de libros junto a mi novia, sobre Java (el lenguaje de programación) y Corba (la arquitectura distribuida de comunicaciones). Ambos fueron empleados como material para varios cursos de formación que impartimos allí:
"Programación en Java" , Servicio Publicaciones UPM, ISBN: 84-85632-87-7, Octubre 1998. "Arquitectura de Objetos Distribuidos CORBA" , Servicio Publicaciones UPM, ISBN: 84-85632-97-4, Enero 2000.
Entre el 2001 y el 2002, cuando estaba acabando el Master de "Experto Universitario en Seguridad y Comercio Electrónico" por la UNED-DIEEC, escribí un libro de seguridad sobre la familia de protocolos TCP/IP y sus servicios asociados. El mismo fue publicado bajo la licencia GNU Free Documentation License con el objetivo de que estuviera disponible para la mayor cantidad de gente:
“Análisis de seguridad de la familia de protocolos TCP/IP y sus servicios asociados” , GNU FDL, Primera Edición, Junio 2002. Fichero PDF: (MD5: 92f99f347dd2cbefe704f4cab38dcfad) Fichero ZIP: (MD5: 73565f33523de972b5b89e07c5a535f9) El libro pretende aglutinar un compendio de las amenazas, ataques y vulnerabilidades, así como de las protecciones, defensas y herramientas relacionadas con la seguridad de la familia de protocolos de comunicaciones más empleada hoy en día: TCP/IP. Igualmente, se analizan algunos de los servicios que se ofrecen típicamente sobre esta pila de protocolos. Su enfoque es eminentemente técnico, siendo de especial interés, además de los detalles reflejados en los contenidos expuestos a lo largo del trabajo, el numeroso conjunto de referencias Web incluido en la bibliografía y anexos.
Gracias a todos los que me han enviado su opinión durante estos años indicando lo valioso que les ha sido. Gracias también a todos los que lo han publicado a lo largo y ancho de Internet: RedIRIS, CryptoRed, TLDP-ES/LuCAS/Hispalinux, ArCERT, Bib. Informática, MundoPC, elhacker, WebSecure, LMData, ABCdatos, Bossma, datafull.com, Todo-Linux.com, Shell Security... Google.
He estado involucrado en la revisión técnica del libro “Securing HP-UX Step by Step” del SANS (2005).
	Editor técnico del libro "Linksys WRT54G Ultimate Hacking", escrito por P. Asadoorian y L. Pesce, y publicado por Syngress en junio de 2007.

SANS/GIAC Practicals

Entre los años 2003 y 2005 he estado trabajando muy duro para obtener la certificación por excelencia del SANS/GIAC, el GSE. A lo largo del camino he tenido la oportunidad de publicar numerosos trabajos, denominados practicals, asociados a cada una de las certificaciones necesarias:

Tema Título Cert. Cuándo? Gestión de incidentes Real World ARP Spoofing GCIH Agosto 2003 Detección de intrusos Detecting Real World ARP Spoofing attacks and other IDS detects analysis GCIA Diciembre 2003 Auditoría Auditing 802.11 wireless networks (Linksys BEFW11S4) GSNA Febrero 2004 Unix Linux kernel rootkits: protecting the system’s “Ring-Zero” GCUX Mayo 2004 Cortafuegos The IPv6 menace... and GIAC Security Architecture GCFW Agosto 2004 Análisis Forense Computer Forensics Investigation - Analyze an Unknown Image GCFA Diciembre 2004 Windows Eliminación del Practical (Marzo 2005) GCWN Mayo 2005

SecurityFocus

Artículos publicados en SecurityFocus Infocus. Infocus publica artículos técnicos detallados divididos en 8 áreas: pruebas de intrusión, cortafuegos, Microsoft, Unix, detección de intrusos (IDS), virus, respuesta ante incidentes y conocimientos básicos.

"Sebek 3: tracking the attackers, part one". Raul Siles, GSE. 2006-01-16. The first of this two-part series will discuss what Sebek is and what makes it so interesting, first by looking at the new capabilities of version 3 and how it integrates with GenIII Honeynet infrastructures. "Sebek 3: tracking the attackers, part two". Raul Siles, GSE. 2006-02-13. The second article in this honeypot series discusses best practices for deploying Sebek 3 inside a GenIII honeynet, and shows how to patch Sebek to watch all the attacker's activities in real-time. "Wireless Forensics: Tapping the Air - Part One". Raul Siles, GSE. 2007-01-02. This two-part series looks at the issues associated with collecting and analyzing network traffic from wireless networks in an accurate and comprehensive way; a discipline known as wireless forensics. Part one of this article focuses on the technical details and challenges for traffic acquisition, and provides design requirements and best practices for wireless forensics tools. "Wireless Forensics: Tapping the Air - Part Two". Raul Siles, GSE. 2007-01-08. The second part addresses the main considerations and challenges for wireless traffic analysis, including advanced anti-forensic techniques and some legal aspects associated with this discipline.

Hakin9

La revista bimensual Hakin9 Starter Kit, es una guía paso a paso de técnicas de hacking. Cubre técnicas básicas para explotar vulnerabilidades en sistemas informáticos. La revista muestra ejemplos de nivel básico e intermedio sobre los temas de seguridad más populares. Cada revista está centrada en un tema concreto.

"Knock Knock Knocking On Firewall’s Door" (Volúmen 1, No. 2. - 2/2007) Este artículo es una breve introducción al concepto conocido como port knocking, y específicamente a una de sus variantes, Single Packet Authorization (SPA). Desde un punto de vista práctico, el artículo proporciona una guía paso a paso para desplegar fwknop (una implementación open-source the SPA) usando FC6 Linux, e incluye enlaces e información adicional para aquellos que estén interesados en profundizar más en estas tecnologías.

SANS Advisor

El SANS Advisor es una revista que se especializa en artículos muy breves y pragmáticos sobre las novedades del SANS, seguridad, operación, auditoría y temas legales relacionados con IT. Puedes suscribirte para recibir una notificación de los nuevos ejemplares a través de tú cuenta del portal del SANS.

"Chatty Windows Wireless (WiFi) Networks" (Volúmen 1, No. 3. - Septiembre, 2005) Breve artículo (Technology Corner) describiendo la información que es revelada por Windows al activar la tarjeta inalámbrica (WiFi). Una versión extendida del artículo detallando la investigación realizada está disponible aquí!!

SANS Research & Analyst

SANS realiza análisis e investigaciones independientes periódicas sobre productos y tecnologías de seguridad. Uno de los programas de investigación es el "SANS Product Testing Program".

"SANS Testing Report on LogLogic LX 2000 Appliance" - Jerry Shenk, Raul Siles & Stephen Northcutt. Artículo perteneciente al "SANS Product Testing Program" en el que se analiza el producto LogLogic series 3, LX 2000. El LX 2000 es capaz de recolectar eventos de log de forma consistente y precisa al 150% de su capacidad - con ratios de mensajes por encima de los 4.500 mensajes por segundo - sin perder datos.

En el año 2006, SANS publicó un programa llamado "SANS Industry Analysts", centrado en realizar estudios e investigaciones para identificar nuevas tendencias en los mercados de IT, seguridad de IT, operaciones y auditoría de IT.

"Penetration testing: Assessing Your Overall Security Before Attackers Do" - Junio 2006 Stephen Northcutt, Jerry Shenk, Dave Shackleford, Tim Rosenberg, Raul Siles and Steve Mancini. Patrocinado por: CORE Impact

RaDa

A finales del verano de 2004 desarrollé el código de RaDa (Raúl & David) con mi colega David Pérez. RaDa es un troyano (y puerta trasera) que puede ser empleado por un atacante para controlar un sistema ubicado en la red de una organización desde Internet a través del protocolo HTTP; su principal objetivo era demostrar como era posible comprometer incluso entornos con una red perimetral segura. Este especimen de malware fue publicado en la presentación "Hand me the remote, Ma!" en un SANS@Night, por mis amigos David Pérez y Jorge Ortiz, durante la conferencia SANS Network Security 2004 en Las vegas en Octubre de 2004. Una versión limitada del mismo fue también empleada para el concurso de seguridad SotM32. Los conceptos de diseño del mismo se basan en Setiri , un troyano que fue presentado en el Blackhat USA de 2002.

Honeynet Project

SotM (Scan of the Month)

En Octubre de 2004 lideré el concurso Scan of the Month (SotM) del Honeynet Project, concretamente el número 32, junto a mis colegas David Pérez y Jorge Ortiz. El propósito del consurso era analizar un nuevo binario de malware, construido por nosotros, una versión limitada de RaDa, con el objetivo de reforzar el valor de realizar análisis de ingeniería inversa de malware, y así mejorar (a través del aprendizaje de la comunidad de seguridad) los métodos, herramientas y procedimientos empleados para éstos análisis. El informe final con la solución oficial está disponible aquí!.

Artículos

HoneySpot: The Wireless Honeypot. Monitorizando las actividades de los atacantes en redes inalámbricas. Diseño y arquitectura. He escrito un artículo (en inglés) para aumentar la concienciación y ayudar a la implantación de honeypots inalámbricos o wireless, principalmente centrado en tecnologías 802.11 (WiFi). El artículo proporciona una visión general del diseño y la arquitectura de los honeypots wireless, denominados HoneySpots.

Open Source

A la vez que trabajaba en los diferentes proyectos de investigación en seguridad en los que he estado involucrado, encontré algunos errores asociados a las increibles y útiles herramientas open-source disponibles en Internet; cuando me ha sido posible he intentado colaborar en arreglarlos (toda la documentación está en el idioma de las herramientas analizadas, típicamente e inglés ).

Snort NIDS: algoritmo de búsqueda MWM (Octubre 2004) Adore-ng, rootkit de kernel de Linux: reexportación de la tabla de syscalls (Mayo 2004) Autopsy, software de análisis forense: gestión de áreas libres mediante "dcat" (Mayo 2004) Sebek honeynet tool: longitud de los paquetes UDP (Mayo 2005) Sebek honeynet tool: parche de captura de "escrituras" (Diciembre 2005) Honeywall CD-ROM: "roo" Honeynet gateway (Mayo 2005)

Prensa & Entrevistas

Durante mi carrera como profesional de seguridad he sido entrevistado o asistido a varios eventos y ruedas de prensa relaccionadas con la industria de la seguridad de IT. Lo siento pero, como ya sabes, los periodistas no siempre reflejan lo que uno realmente dijo :

Marzo 2007: Como miembro del Spanish Honeynet Project, fuí entrevistado por el CiberP@ís, el suplemento de tecnología de El País, el periódico de mayor tirada en España. Septiembre/Octubre 2006: Fuí entrevistado sobre detección de intrusos, gestión de incidentes y Honeynets en el número 10 (Año II) de la edición española de la revista E.Security (European Security). Junio 2006: Formé parte en una mesa redonda (o desayuno de prensa) de Re@ Seguridad, dónde analizamos la seguridad de los entornos y tecnologías inalámbricas. El evento fue publicado en el ejemplar de Julio de 2006 de esta revista de seguridad de IT. Septiembre 2005: Al mes siguiente de obtener la certificación GSE (GIAC Security Expert) en Agosto de 2005, fuimos entrevistados por el CiberP@ís, el suplemento de tecnología de El País, el periódico de mayor tirada en España.

Otros

Adicionalmente he publicado otros artículos relacionados con seguridad:

Otoño 2006: Escribí un artículo sobre "Deperimeterization - what, why, how?" en el ejemplar de Otoño de 2006 (Volumen 1, Ejemplar 1) de la revista Information Security Now publicada por BCS-ISSG (British Computer Society - INFORMATION SECURITY SPECIALIST GROUP). Noviembre 2007: Contribuí en un artículo escrito por Paul Asadoorian sobre "Attacking consumer embedded devices" en (IN)Secure magazine, número 14.

KYE (Honeynets)

He actuado como editor técnico, colaborador y/o crítico en los documentos publicados por el Honeynet Project, conocidos como KYE (Know Your Enemy):

Know your Enemy: Web Application Threats. Febrero 2007. Know your Enemy: Behind the Scenes of Malicious Web Servers. Noviembre 2007.

Concursos

Durante los últimos años (2000-2004) he participado en varios concursos de seguridad he incluso he llegado a ganar algunos . Me considero un forofo de éstos ya que constituyen una oportunidad excelente para practicar y aprender nuevas cosas relacionadas con la seguridad:

Junio 2006: 2º lugar (creatividad) en el “Star Hacks, Episode V” (respuestas) de Intelguardians (Ed Skoudis). Marzo 2004: Ganador del “Lord of the Ring-Zero” de CounterHack.net (Ed Skoudis). Febrero 2004: 4º lugar en el “You’ve been hacked" de CounterHack.net (Ed Skoudis). Noviembre 2003: 3er lugar en el “Spinal Hack" de CounterHack.net (Ed Skoudis). Mayo 2003: Ganador del “When Trinity Hacked the IRS D-Base..." de CounterHack.net (Ed Skoudis). Mayo 2002: 11ª posición en el “The Reverse Challenge” del Honeynet Project. Junio 2002: 5º lugar en el SotM 21 del Honeynet Project. Febrero 2001: 5º lugar en el SotM 12 del Honeynet Project.