Sunday, October 21, 2007

Hacking o un simple juego ?

Aunque puede parecer una version mas de Empresas de Seguridad y Linux, no lo es, pero, de alguna forma se relaciona.
Hace unas semanas aperture un canal IRC donde lo mas resaltante fueron unos ingresos de un norte americano (US citizen), un "cracker" y unas buenas conversaciones con un joven arequipeño. A la fecha, nadie ingresa.
El objetivo del canal era compartir conocimientos sobre hacking entre peruanos, la idea era generar un foro en linea de consultas y respuestas. Algunos propusieron desde dar charlas hasta realizar eventos, pero, nadie se comprometia.
Nadie preguntaba, todos sabian de todo, aparentemente. Al principio ingresaron unos cuantos conocidos locales y luego ya no habian conversaciones de interes para ellos o mas bien, no habian conversaciones.
Todo eso me dejo la duda sobre que pasa al respecto en nuestro pais donde hay una gran cantidad de gente que se autodenominan hackers o que impresionan a algunos con una que otra herramienta y, literalmente, los empiezan a alucinar como los super hackers.
Es decir, si existen hackers, no cumplen el principio basico de compartir el conocimiento o no los hay en realidad o la "idiosincracia peruana" les impide compartir o preguntar o ....?
Yo me quede sin respuesta y se que no la tendre porque este mundo del hacking (entiendase hacking orientado a seguridad) esta compuesto por un 70% de habladores y eso se refleja en nuestra sociedad informatica donde un traductor de programas, mantenedor de paquetes y de uno que otro juego intracentente es visto como un hacker.
De lo unico que puedo quedarme tranquilo es que la gente que trabaja conmigo si mantiene el espiritu, ganas y afan de aprender, preguntar, compartir y enseñar lo poco (o mucho?) que sabemos.
Uno de nuestros consultores ya se sumo a las certificaciones de forensia que tenemos (ya somos 3), otro anda investigando nuevos frameworks (w3af, inguma), seguimos formando gente en openSUSE y el proximo mes iniciamos una nueva campaña de concientizacion, esta vez, sobre Hacking VoIP.
La semana pasada estuve como invitado de ultimo momento en un congreso sobre sistemas e informatica de una prestigiosa universidad en Arequipa. Siempre me emociona ir para alla por las raices mias y de mi esposa, tanto como cuando vamos a Trujillo. De cerca de 12 expositores principales, apenas 4 eramos peruanos, 2 de ellos porque laboran para uno de los auspiciadores, 1 porque es local y 1 de casi paracaidista (yo). Esta buenisimo recibir gente de otros paises, pero, me gustaria ver que el ratio de invitaciones reciprocas a peruanos fuese el mismo, sin embargo, no pasa.
Esperemos que todo cambie para mejor, hay mucho joven capaz en nuestro pais que merece salir adelante y ser reconocido.

Tuesday, September 25, 2007

QUICKLY : Pseudo hackers, pseudo pruebas de penetración, pseudo expertos

En general, siempre doy la bienvenida a la competencia, incluso, tengo afan de compartir conocimientos y aprender, por eso aperture el canal #hackingperu en irc.freenode.net.
Pero, hoy vi un brochure una empresa que muchos sabemos no es tal, es mas bien, el cachuelo de un excelente tipo y excelente profesional de Seguridad.
Lo gracioso de su brochure es que indica :
"Emisión de certificado de “sistema o red segura”, si pasa airosamente todas las pruebas de seguridad." Wow! Que autoridad tienen para dar un certificado de este tipo?!! No tiene a nadie certificado en Ethical Hacking ni menos indican usar alguna metodologia reconocida en dichas lides.
Mas adelante hay otra parte jocosa : "Nuestros expertos comentan:.....En nuestra trayectoria, como especialistas de seguridad, hemos visto a más de una empresa de tecnología sorprender, incluso, a entidades financieras, con reportes de intrusión imprecisos, que fueron generados por herramientas comerciales de escaneo de vulnerabilidad, haciendo creer que lo ofrecido era un “hacking ético”. Antes de ser sorprendido, contáctenos." PERO, mas adelante indican "...empleando (sólo) donde fuera necesario las más famosas herramientas de escrutinio de vulnerabilidades de sistemas, entre ellas Nessus, Metasploit, Nikto, WebScarab y otras más de índole experto." Aca si les fallo la redaccion porque :
1. Que me digan como pueden cumplir en tiempos adecuados sin usar PRIMERO herramientas como las mencionadas.
2. Cuales de esas no son automatizadas ?! Osea, las "malas" son las comerciales y como estas no lo son, son las "buenas" ?
3. Nadie que labore en estos temas considera a Nikto usable hoy en dia y Metasploit es un framework para analisis de exploits, no para evaluar !!!

Naaaaaaaaa, un pobre brochure para alguien tan bueno como el dueño de esa empresa...!!!

Thursday, August 16, 2007

Dos sismos : ambos con buenas consecuencias para los mios.

Ayer se produjeron dos sismos para mi gente, mi familia y los de mi empresa. Por suerte, las consecuencias de ambos fueron buenas para los mios. Lamento muchisimo lo que esta pasando en Ica porque veo como han sufrido muchas familias y lo comparo con la mia, tuvimos la suerte de estar juntos y que no nos pase nada malo.
De que trato el primer sismo ? Porque el otro fue un tremendo terremoto que no tengo ni para que comentar.
El primer sismo fue sentido por MSN, me contacto un amigo periodista a contarme que le habian hablado negativamente sobre nuestro trabajo. Es decir, que nuestra labor en un cliente MUY GRANDE habia sido mala, PERO, que se destabacan nuestro excelente nivel tecnico.
Toco este tema en mi blog porque esto es solo un comentario y porque no he visto ninguna empresa que coloque cosas asi en sus web corporativos, es mas, nadie reconoce estos temas o se hacen los locos.
En nuestro caso hay varias explicaciones al tema con consecuencias concretas y todas buenas :

1. Nos toco hacer un trabajo tercerizado. Como cualquier empresa que inicia, es dificil llegar directamente a los clientes finales y por ello empresas mas grandes y que tienen capacidad comercial, pero, no tienen personal propio, contrata empresas pequeñas como Open-Sec que si tienen los conocimientos y experiencia requeridos.
De hecho, la labor en mencion fue vendida por una empresa I que contrato a una empresa I- que contrato a Open-Sec. Facilmente, se puede entender que se producen problemas de "telefono malogrado" y complacencias que todos esperan que el mas pequeño asuma y lo que es peor, el mas pequeño no tiene voto para acotar el alcance y cobertura que los mas grandes se afanan en ampliar para vender "mejor" al cliente su imagen. Como siempre digo, el cliente quiere pan con asado por "media luca" (medio Nuevo Sol) y ellos se lo dan exigiendo al ultimo en el stack por esa misma media luca.
Luego, vienen otros problemas: te pago cuando me paguen, te pago cuando tenga plata, te pago sin factura, etc.
Determinacion : ese fue el ultimo trabajo tercerizado que aceptamos. Desde que terminamos esa labor, decidimos no aceptar mas proyectos por intermediarios sino solamente clientes finales.

2. No existen propuestas serias ni un control de proyecto adecuado. Es conocido que los vendedores venden muchas veces vaporware y los tecnicos tenemos que cargar esa cruz, pero, hay extremos.
Sin embargo, el problema no queda en los vendedores de los proveedores, aun se ve en clientes grandes gente con mala actitud y aptitud y que a pesar de ser entidades privadas, quieren que una evaluacion de seguridad entregue los resultados que ellos quieren o les conviene. Peor es que los intermediarios exigen que el real proveedor entregue los servicios como el cliente quiere en forma y fondo.
En estas situaciones, ni los intermediarios ni el cliente entiende ni quiere entender que un proyecto debe ser gestionado adecuadamente y lanzan al piso los gantt, los objetivos, alcance y cobertura.
Determinacion : Seguir esparciendo el mensaje que cualquier labor de un proyecto debe ser tomada con seriedad y si no se tiene el conocimiento adecuado, reconocerlo y adquirirlo.

3. Una cosa es ser tecnico y otra consultor. Nuestra gente tiene una gran capacidad como tecnicos, son los mejores. De hecho, hemos realizado desde el año pasado el 80% de los servicios de ethical hacking en nuestro pais y este año incursionamos en analisis forense con exito. Seguimos contando con el unico CEH en Perú que labora en un proveedor, una persona mas se certitificara este año como CEH y yo ire por el CHFI.
Un consultor, por otro lado, debe tener la capacidad de comprender los requerimientos del cliente, analizarlos, plantear soluciones, revisarlas y adecuarlas con el cliente Y REDACTAR BUENOS ENTREGABLES. Esto ultimo quiere decir : buena ortografia y buena redaccion. (En mi blog y correos no uso acentos).
Determinacion : En Open-Sec solo se aceptaran trabajos de CONSULTORES y solamente son considerados buenos y completos si cuentan con una ortografia y redaccion CORRECTAS. No hay puntos intermedios.

4. No todos los clientes grandes son iguales ni todas las areas en un cliente son iguales.

La labor que genera este post no ha sido la mas grande que hemos realizado, de hecho, ha sido una de las mas pequeñas, pero, bien puntual y particular. Algo que no siempre solicitan los clientes, pero, algo para lo cual estamos preparados y que ya hicimos en dos oportunidades.
En ese mismo cliente, hemos trabajado en el pasado con su area de Seguridad de la Informacion en temas de tecnologia y nos ha ido muy bien, de hecho, los tomamos como referencia. Pero, la calidad y conocimientos no se transmiten por osmosis y ahora nos toco otra area que cuenta con personal profesional, pero, sin experiencia en temas de seguridad.
Determinacion : Cuando volvamos a tener un proyecto con una organizacion grande, incluiremos un entrenamiento previo de 8 horas respecto a las labores que desarrollaremos. Es mejor enseñarles y que comprendan a tener que explicarles cuanto es 2 mas 2.

5. Si se pide comprobar como un atacante puede afectar a la organizacion, no se debe exigir un comportamiento de tecnico de biblioteca.
Como le comente a mi esposa : imagina que pides evaluar la inseguridad del acceso a nuestro departamento, vivimos en un segundo piso donde hay 2 puertas y una ventana y le dices al "evaluador" : prueba si somos vulnerables, PERO, solo desde la puerta principal.
Ah! Pero, tambien, hazlo entre 10 am y 2 pm que siempre habra alguien en casa que lo detecte.
Absurdo total! Pero, eso es lo que los vendedores aceptan de los clientes y no podemos comprender las razones de ambos.
Determinacion : Si nueveamente nos piden hacer algo asi, no lo hacemos y se analizara la continuidad del proyecto. Esto es ETHICAL HACKING no un servicio de tallado a mano.

La historia aun no termina, no terminan de pagarnos por un servicio que el cliente ya recibio y dio su conformidad y lo que es peor, no tenemos ni siquiera una fecha de pago que depende de la buena voluntad de los intermediarios.

Como dijimos ayer :
A. Unas son de cal y otras de arena. El punto 3 atañe al 100% a Open-Sec.
B. Cuando el rio suena, es porque alguien esta tirando piedras. (Gustavo Vallejo)
C. Somos excelentes tecnicos (ethical hackers) y buenos consultores (no excelentes).

Saludos!

Sunday, August 12, 2007

Migrando...

Hace unas semanas recibi un mail de blog-city.com indicando que solamente hasta diciembre será un servicio gratuito.
Ya en el 2004 abri un blog aqui, asi que me estoy mudando.
No creo que "arrastre" todos los posts anteriores, como en cualquier mudanza, algunas cosas se echan a la basura.
Para iniciar este blog con algo mas que contar la mudanza, hare el consabido update ya que no publico tampoco en el otro hace tiempo :
1. Trabajo : Open-Sec es una empresa que ya despego y aunque seguimos sin tener vendedores, por lo menos, estamos en el punto en que nos llaman como empresa.
La gente de Open-Sec no es muy joven, de hecho, todos pasamos los 30 años y tenemos metas personales y profesionales bien particulares.
2. Familia : Creo que nunca terminará de crecer el orgullo que siento por mis hijos, siguen siendo los mejores. Tampoco puedo dejar de sentir orgullo por mi esposa y por mi que por lo menos hemos madurado en una relación donde sabemos que seguiremos juntos para siempre.
3. Profesional : Me siento contento de hacer lo que me gusta y que eso me este dando dinero, no hay mas que decir.
4. Seguridad : Seguimos en el camino de la seguridad informática. Mi vida es 90% de ethical hacking y 10% de análisis forense basado en la demanda del mercado. Este año voy por la certificación CHFI y mis compañeros en Open-Sec van por las de CEH (Gustavo), Network Security (Martha), CISM (Gustavo, el único bicho raro interesado en seguridad de la información).
5. Linux : Sigue siendo apasionante, pero, ya deje totalmente de lado el aspecto político-religioso. Es más, ni si quiera tengo metas personales respecto a certificaciones de Linux. En Open-Sec solamente Renzo sacarás las de SuSE por necesidad laboral. Igual, le duela a quien le duela y que haga feliz a la mitad del mundo más 1 : SuSE rulez!!!
6. Que hago hoy ? Me pase este día haciendo pruebas de seguridad a Trixbox. No digo hacking porque sería decir que estoy creandole o modificandole cosas. Motivo : hay un webo de gente newbie instalando Trixbox por todos lados, pronto verán los problemas de seguridad que tienen soluciones tan llave en mano como esta. Ojo: funciona muy bien, esta casi todo hecho, casi todo por default funciona perfecto, no hay que meter mucha información. Aja! muchos valores default y un sistema operativo sin hardening, terreno perfecto para los atacantes.
Hasta la próxima....