Como ultimamente hago, de un solo post, varios temas.
=>Prefiero empezar positivo : tras un largo proceso de 2 meses, finalmente se hizo justicia en un proceso de contratación en el Estado donde nuestro equipo perdió ante una conocida empresa local (regional?) que presentó un certificado GIAC adulterado y que me tocó impugnar. Finalmente, el Tribunal de CONSUCODE falló a nuestro favor.
Es cierto que la comunicación del Director de GIAC sobre este certificado y la ausencia de respuesta de la mencionada empresa fueron los factores determinantes, pero, también la justicia con la que actuaron los miembros del Tribunal.
Si la empresa sabía de esa adulteración o fueron sorprendidos por esta persona, es algo que ya no me compete y será revisado por la autoridad que corresponda.
Ahora, ha ejecutar el proyecto!
=> Defaceos, Defacements, Hackeos, "Hacked by". Es casi imposible pertenecer al mundo del hacking y dejar de comentar respecto a estos temas. Publicamente, siempre digo que hacer un defacement (como en realidad se debe llamar a los "hackeos de web") es una labor simple para gente que recien empieza a hacer hacking.
De esta forma, los "atacantes" consiguen notoriedad porque el 99% de las veces las vulnerabilidades de los sitios afectados no permiten llegar a los verdaderos activos de información de la organización, pero, en verdad, hace tanto daño como si le hicieran "grafiti" a la fachada del local principal de estas organizaciones, feo, no ?
Esta semana, debido a una nueva discusion entre peruanos y chilenos, alguien defaceo el web institucional del Ministerio de Defensa. Sera porque no le otorgo valor a estos "ataques" que me entere mucho tiempo después de ocurrido el hecho o porque tengo mucho trabajo.
Es más, en el último ethical hacking que realizamos, una de las preocupaciones principales de la organización era saber si podían "defacearle" el web y realmente los problemas iban por otro lado que si podían afectar a sus activos de información bajo ataques realmente de hackers.
El problema que yo veo es : si me pintan la fachada con grafiti, la pinto como debe ser y espero que Serenazgo este más listo la próxima, pero, si me "defacean" el web, basta con restaurar el contenido original ? Por favor, hagan algo por asegurarse! Y ese efecto, conocido como "re-defacement" no es solamente local, pasa en TODOS lados!
=> El tema anterior me lleva a este : por qué no invierten en seguridad informática como debe ser ? En los años que tengo en este tema, solo conozco de 2 casos donde han hecho inversiones serias en UNICAMENTE 2 personas para entrenarlos como CEH y GPEN (además de otros cursos como análisis de intrusiones), respectivamente.
Los servicios de ethical hacking siempre corresponden a costos bajos que no superan los 10 ó 12 mil dolares en el 90% de los casos.
Las inversiones en protección de seguridad perimetral hacia Internet son muchas veces espectaculares, pero, siempre orientadas por factores netamente comerciales. Como siempre digo, aún los clientes creen que los vendedores se preocupan por ellos cuando lo único que les importa es su cuota de venta y sus comisiones. Bueno, al fin, de eso viven.
Los técnicos de estas empresas son realmente expertos en los productos que sus empleadores venden y probablemente algunos más, pero, su conocimiento y experiencia en hacking es cercano al nulo porque invierten en entrenarlos en el despliegue de los productos y no en aprender como se comporta un atacante.
Localmente, la mayoría de empleos de tecnología tienen sueldos medios a bajos y en el Estado es peor aún, debido a eso, EN LA MAYORIA DE ENTIDADES, no se cuenta con personal adecuado en términos de preparación previa, skills y experiencia. Y cuando se tiene alguien con skills, no invierten en entrenarlo en temas de hacking.
Después de ese defacement al Ministerio de Defensa, que harán además de haber restaurado el contenido original y mantener el error en el phpBB (que creo es por donde ingresaron) ?
Revisarán cuando menos su seguridad perimetral hacia Internet ? Revisarán sus políticas de seguridad informática ? sí las tienen, Harán un aseguramiento de los servicios tecnológicos que ofrecen ? Mandarán a su gente a prepararse de verdad en seguridad informática y no a manejar productos ? Seguirán usando Linux por ser uno de los sistemas operativos más seguros y no solamente porque son más baratos o son gratuítos ? Alguien les hará ver que la seguridad también se da a nivel de las aplicaciones ?
Lo más seguro es que les caerán 30 vendedores diciendoles que no debieron usar Linux, que usen MS Windows, que lleven los cursos de seguridad de Microsoft, que se certifiquen, que usen "firewalls basado en hardware" y no software, que compren! que compren! que compren!
Ah! Y cómo sabrán después de toda la inversión que sí estan seguros ? "Nuestros ingenieros titulados y colegiados expertos en seguridad han evaluado la seguridad de la protección instalada por ellos mismos usando las más avanzadas herramientas utilizadas por los hackers".
Ojala siquiera supieran usar nmap adecuadamente, menos pensar en verlos probando si el filtro de contenido detiene el envio de un exploit o una inyección del tipo que sea.
=> Espero tener tiempo el resto de la semana para un post técnico que hace tiempo no hago.
Wednesday, December 03, 2008
Monday, November 03, 2008
Dos temas : un orgullo peruano GPEN y una pelicula extraña para nuestros dias
De alguna forma me hace sentir orgulloso que a la fecha los unicos certificados como GIAC Penetration Tester somos 2 peruanos (el otro es Andres Morales, el mismo que comento en este blog, miren ese puntaje!). El mismo que gano el war game de Ekoparty. Go for the CEH Andres!
Lo de la pelicula parece que no tiene nada que hacer con esto, verdad ? Pues asi es, pero, me parecio tan importante como lo anterior.
High School Musical es una pelicula fuera de serie, de lo mejor que he visto al menos durante este año. Claro, lo primero que uno piensa es que es una pelicula gringa (green-ga?) para adolescentes huecos y que no tiene nada que hacer con nuestra pauperrima realidad peruana.
Yo tengo varios aspectos que admirar de esa pelicula :
1. La demostracion de enorme creatividad de Disney. Despues de Dreamworks, Pixart, etc. parecia que estaba muerto, pero, no andaba de parranda. Ratatouille gano el Oscar y High School Musical es una pelicula para adolescentes que fascina a todos los jovenes. Definitivamente, Disney resurgio.
2. Aquellos que disfrutan de buen sonido, coreografia, escenografia y calidad musical, tienen que ver esta pelicula. Digna de los mejores musicales y partituras de Broadway.
3. Para calabacines ? No! que bah! Desde los dialogos hasta las letras de las canciones describen situaciones comunes que se presentan entre amigos, enamorados jovenes, padres e hijos y cuestiones y cuestionamientos de los jovenes.
4. Mi hija mayor, adolescente, me pregunta : Por que todas las peliculas peruanas tienen que poner el sexo como motivo principal ? En High School Musical apenas se da un beso! Wow! Una pelicula de nuestros dias que fascine a los jovenes sin sexo!
5. El sentir final es que no todo es negro en el panorama juvenil, que hay cosas sanas que generan sentiemientos sanos y que uno quisiera tener todo ese talento y energia que demuestran esos jovenes en la pelicula. (Keneth Ortega es el creador).
Ahora de "quacker" a comentarista de peliculas! Facil se hace mas billete por ahi....
Lo de la pelicula parece que no tiene nada que hacer con esto, verdad ? Pues asi es, pero, me parecio tan importante como lo anterior.
High School Musical es una pelicula fuera de serie, de lo mejor que he visto al menos durante este año. Claro, lo primero que uno piensa es que es una pelicula gringa (green-ga?) para adolescentes huecos y que no tiene nada que hacer con nuestra pauperrima realidad peruana.
Yo tengo varios aspectos que admirar de esa pelicula :
1. La demostracion de enorme creatividad de Disney. Despues de Dreamworks, Pixart, etc. parecia que estaba muerto, pero, no andaba de parranda. Ratatouille gano el Oscar y High School Musical es una pelicula para adolescentes que fascina a todos los jovenes. Definitivamente, Disney resurgio.
2. Aquellos que disfrutan de buen sonido, coreografia, escenografia y calidad musical, tienen que ver esta pelicula. Digna de los mejores musicales y partituras de Broadway.
3. Para calabacines ? No! que bah! Desde los dialogos hasta las letras de las canciones describen situaciones comunes que se presentan entre amigos, enamorados jovenes, padres e hijos y cuestiones y cuestionamientos de los jovenes.
4. Mi hija mayor, adolescente, me pregunta : Por que todas las peliculas peruanas tienen que poner el sexo como motivo principal ? En High School Musical apenas se da un beso! Wow! Una pelicula de nuestros dias que fascine a los jovenes sin sexo!
5. El sentir final es que no todo es negro en el panorama juvenil, que hay cosas sanas que generan sentiemientos sanos y que uno quisiera tener todo ese talento y energia que demuestran esos jovenes en la pelicula. (Keneth Ortega es el creador).
Ahora de "quacker" a comentarista de peliculas! Facil se hace mas billete por ahi....
Wednesday, October 15, 2008
Ekoparty, BS-Con, Andres y otras hierbas
Durante fines de setiembre y principios de octubre se llevaron a cabo un par de convenciones de seguridad en Argentina que han sido bien interesantes. A mi modo de ver, más por organizar muy bien estas convenciones y compartir conocimiento diverso con los asistentes a través de charlas y cursos rápidos.
Algunos de los tópicos resultan simpáticos solamente, pero, otros son vigentes y hasta proyectados al corto plazo estricto. Ademas, estas convenciones estan rodeadas de actividades de competitivas y recreacionales.
De hecho, Andres, un joven que hizo unos comentarios a un post mio y que conoci en una charla que di en una universidad, asistio a una de estas convenciones (Ekoparty) y gano una competencia de las que me parece le gustan, Capture the Flag. Bien hecho, no me llama la atencion porque en esa charla parecia que el unico que me entendia era el y era el unico que estaba informado.
Estoy seguro que pronto lo veremos galardonado con esas certifficaciones vanales y faciles de obtener como CEH, GPEN, CISSP, etc. (es un sarcasmo, just in case).
He evitado decir "eventos" y mas bien los califico como convenciones porque un evento es lo que hacen los vendedores de productos y cebo de culebra en aquellos "eventos de seguridad" que si han llegado a nuestro pais.
Importante : Aunque no comulgo con I-Sec, si he de reconocer que su llegada a Perú puso de moda el tema de seguridad, antes, eran "esfuerzos populares que nunca derriban la negligencia corporativa".
Ahora, que nos falta a los peruanos para poder organizar un Ekoparty, por ejemplo ? Dos cosas :
1. Hacer a un lado cualquier tipo de ego que impide que la gente metida en seguridad se una para avanzar como comunidad de profesionales.
2. Querer firmemente compartir el conocimiento para elevar el nivel local.
Aun recuerdo cuando aperture un canal IRC llamado hackingperu. Entraron de todos lados, para que ? Para preguntar donde conseguir libros piratas, que se les enseñe a crackear y en 2 o 3 casos, si para aprender sobre hacking. Coloboradores ? Cero! Nadie asumia el compromiso de dar una charla por el canal o algo similar.
A mi y la gente que trabaja conmigo no nos parece extraño esto porque estamos metidos en el mundo del Open Source y Linux, asi que para nosotros es normal, comun, de todos los dias.
Seria buenisimo tener algo como el Ekoparty Lima, pero, organizado por nosotros y no que tal vez tengan que venir de Argentina a organizarlo (aunque si sugeriria consultarles en base a su experiencia en la organizacion).
Algunos de los tópicos resultan simpáticos solamente, pero, otros son vigentes y hasta proyectados al corto plazo estricto. Ademas, estas convenciones estan rodeadas de actividades de competitivas y recreacionales.
De hecho, Andres, un joven que hizo unos comentarios a un post mio y que conoci en una charla que di en una universidad, asistio a una de estas convenciones (Ekoparty) y gano una competencia de las que me parece le gustan, Capture the Flag. Bien hecho, no me llama la atencion porque en esa charla parecia que el unico que me entendia era el y era el unico que estaba informado.
Estoy seguro que pronto lo veremos galardonado con esas certifficaciones vanales y faciles de obtener como CEH, GPEN, CISSP, etc. (es un sarcasmo, just in case).
He evitado decir "eventos" y mas bien los califico como convenciones porque un evento es lo que hacen los vendedores de productos y cebo de culebra en aquellos "eventos de seguridad" que si han llegado a nuestro pais.
Importante : Aunque no comulgo con I-Sec, si he de reconocer que su llegada a Perú puso de moda el tema de seguridad, antes, eran "esfuerzos populares que nunca derriban la negligencia corporativa".
Ahora, que nos falta a los peruanos para poder organizar un Ekoparty, por ejemplo ? Dos cosas :
1. Hacer a un lado cualquier tipo de ego que impide que la gente metida en seguridad se una para avanzar como comunidad de profesionales.
2. Querer firmemente compartir el conocimiento para elevar el nivel local.
Aun recuerdo cuando aperture un canal IRC llamado hackingperu. Entraron de todos lados, para que ? Para preguntar donde conseguir libros piratas, que se les enseñe a crackear y en 2 o 3 casos, si para aprender sobre hacking. Coloboradores ? Cero! Nadie asumia el compromiso de dar una charla por el canal o algo similar.
A mi y la gente que trabaja conmigo no nos parece extraño esto porque estamos metidos en el mundo del Open Source y Linux, asi que para nosotros es normal, comun, de todos los dias.
Seria buenisimo tener algo como el Ekoparty Lima, pero, organizado por nosotros y no que tal vez tengan que venir de Argentina a organizarlo (aunque si sugeriria consultarles en base a su experiencia en la organizacion).
Friday, September 26, 2008
GIAC Certified Penetration Tester desde ayer
No voy a comentar detalles respecto al examen, solamente dire que pienso que ocurre lo mismo que en el CEH y todos los demas :
1. El criterio propio se debe quedar guardado durante el examen.
2. Si no se ha llevado el curso, hay que tener experiencia de campo y vigente.
3. El material de apoyo ayuda en forma minima porque al ser permitido solamente en forma impresa, se pierde mas tiempo buscando. Es mejor un buen block al lado y anotar el analisis o reflexiones.
Ya no sumare mas certificaciones de hacking, salvo que alguien me ofrezca US$10,000 mensuales, con 14 sueldos al año y beneficios adicionales. Ahi tal vez optaria por las de ISECOM o las de Mile2.
Me parece justo agradecer a SANS/GIAC y a Cesar Farro (el proctor/supervisor del examen) por haberme permitido dar el examen en forma gratuita (despues del contest que SANS/GIAC organizo para los CEH) y por haberme dedicado tiempo sin cobrarme un sol/dolar/euro/etc. durante la supervision de este examen, respectivamente.
1. El criterio propio se debe quedar guardado durante el examen.
2. Si no se ha llevado el curso, hay que tener experiencia de campo y vigente.
3. El material de apoyo ayuda en forma minima porque al ser permitido solamente en forma impresa, se pierde mas tiempo buscando. Es mejor un buen block al lado y anotar el analisis o reflexiones.
Ya no sumare mas certificaciones de hacking, salvo que alguien me ofrezca US$10,000 mensuales, con 14 sueldos al año y beneficios adicionales. Ahi tal vez optaria por las de ISECOM o las de Mile2.
Me parece justo agradecer a SANS/GIAC y a Cesar Farro (el proctor/supervisor del examen) por haberme permitido dar el examen en forma gratuita (despues del contest que SANS/GIAC organizo para los CEH) y por haberme dedicado tiempo sin cobrarme un sol/dolar/euro/etc. durante la supervision de este examen, respectivamente.
Tuesday, September 23, 2008
Una Personal
Me habia hecho el proposito de no postear cosas personales, pero, dejaria de ser un blog.
Hoy fallecio la madre de mi Amigo, compadre y colega Gustavo Vallejo.
La verdad, posteo porque no recuerdo haber sentido otro fallecimiento como este y el de Layka. Se que para aquellos que no me conocen el igualar el fallecimiento de la madre de Tavo con Layka sonara a cualquier cosa menos algo positivo. Los que me conocen, saben que Layka fue mi primera "hija" y la pase muy mal cuando nos dejo.
Pero, esta tristeza no es por la madre de Tavo como tal, a la cual conocia, admiraba y era imposible no apreciar y estimar porque era muy, pero, muy simpatica.
Esta tristeza es por no haber podido estar con Tavo en ese momento, ser el respaldo que todos necesitamos por mas que las situaciones nos hagan fuertes, abrazarlo y que sienta que estamos con el, abrazarlo como hizo con mi Mafi durante el terremoto del 15 de agosto del 2007 y a la que no solto sino hasta que todo paso.
Antes de escribir esto, recorde que Tavo estuvo conmigo cuando Layka se puso mal y hasta el final en una amanecida que siempre quisiera olvidar y nunca podre.
Life goes on...
Hoy fallecio la madre de mi Amigo, compadre y colega Gustavo Vallejo.
La verdad, posteo porque no recuerdo haber sentido otro fallecimiento como este y el de Layka. Se que para aquellos que no me conocen el igualar el fallecimiento de la madre de Tavo con Layka sonara a cualquier cosa menos algo positivo. Los que me conocen, saben que Layka fue mi primera "hija" y la pase muy mal cuando nos dejo.
Pero, esta tristeza no es por la madre de Tavo como tal, a la cual conocia, admiraba y era imposible no apreciar y estimar porque era muy, pero, muy simpatica.
Esta tristeza es por no haber podido estar con Tavo en ese momento, ser el respaldo que todos necesitamos por mas que las situaciones nos hagan fuertes, abrazarlo y que sienta que estamos con el, abrazarlo como hizo con mi Mafi durante el terremoto del 15 de agosto del 2007 y a la que no solto sino hasta que todo paso.
Antes de escribir esto, recorde que Tavo estuvo conmigo cuando Layka se puso mal y hasta el final en una amanecida que siempre quisiera olvidar y nunca podre.
Life goes on...
Wednesday, September 10, 2008
GIAC Incident Handler no es lo mismo que un Ethical Hacker
Más allá de quiénes ostentan esta certificación de GIAC/SANS o quienes venden cursos de manejo de incidentes como cursos de hacking, la palabra formal de Ed Skoudis, instructor/consultor de SANS y autor de los cursos 504 y 560, es :
What is the focus of SANS Security 560, and how does it differ from SANS Security 504?
SANS Security 560 deals with penetration testing and ethical hacking, in depth, covering numerous techniques for finding and exploiting flaws in a target environment using a consistent, high-quality testing regimen. SANS Security 504 focuses on incident handling, addressing practical methods for preparing for, detecting, and responding to computer attacks. In short, 560 covers penetration testing and ethical hacking, while 504 addresses incident handling.
Aren't the courses pretty much the same?
Not at all. 560 is very different from 504. We cover a variety of different tools in each class. Even when both classes cover the same topic or tool, they cover it from a completely different perspective. Take Metasploit and password attacks as examples. In 504, we talk about how these attacks work, emphasizing how to defend against them, and addressing how incident handlers can respond to their use. In 560, we get a lot deeper, talking about how to use each and every tool, with detailed, hands-on exercises that cover some of the features that incident handlers don't really need to know about but pen testers will likely use quite often. The idea is that incident handlers need to know what the attacks are from a broad perspective so that they can detect and respond to them in their environment. But, incident handlers don't need to know how to launch every one of the attacks we cover. Penetration testers, on the other hand, need to be able to use every tool we analyze, not just recognize its use against their environments. Thus, SANS 560 has triple the amount of hands-on exercises as 504, which itself includes numerous useful exercises tailored for incident handlers.
From a bottom-line perspective, 504 is more broad because incident handlers need to know about a lot of attack vectors that are typically not allowed for penetration testers by the rules of engagement. For example, incident handlers need to understand how to respond to bots and rootkits. But, the vast majority of penetration testers are prohibited from installing bots or rootkits on target machines. In the end, 560 is deeper, because penetration testers need hands-on experience with each tool, while 504 is more broad, because incident handlers need to focus on recognizing each tool's use in their environments.
Does 560 supersede 504 or supplant it?
No. 560 does not supersede 504. 504 is still a vital course, which we will continue to update and offer, supporting people in their careers as incident handlers. 560 is for penetration testers and ethical hackers.
I've already taken 504. Should I take 560 as a follow-on?
560 was designed as a perfect follow-on for people who have already taken 504 and are looking to get into more depth with tools used in professional penetration testing and ethical hacking. 560 is not recycled 504 material; it is an entirely new class with an entirely new set of slides and exercises.
I've taken neither 504 nor 560. Where should I start?
If you are more interested in incident handling, 504 is the course for you. If you need to develop your penetration testing skills, start with 560. Neither course is a pre-requisite for the other.
Por si no quedo claro, el curso SANS Security 504: Hacker Techniques, Exploits, and Incident Handling es post-mortem, el atacante ya se te metió y quieres aprender a lidiar con él/ella y que no se te vuelva a meter. El curso 560 Network Penetration Testing and Ethical Hacking es para aprender las técnicas y conocer las herramientas usadas por los atacantes más comúnes.
Habrá que esperar que alguno de los certificados locales GIAC/SANS se animen a tomar el challenge o llevar el curso para que lo puedan impartir acá.
Aprovecho el post para dar una estadística local, ya son 4 CEHs los que existen en nuestro querido Perú :
1. Ricardo Berrospi (SBS).
2. Eduardo Delgado (Deloitte).
3. Cesar Cuadra (Freelance, asociado a Open-Sec).
4. WCuestas (Open-Sec).
Alguien más ?
What is the focus of SANS Security 560, and how does it differ from SANS Security 504?
SANS Security 560 deals with penetration testing and ethical hacking, in depth, covering numerous techniques for finding and exploiting flaws in a target environment using a consistent, high-quality testing regimen. SANS Security 504 focuses on incident handling, addressing practical methods for preparing for, detecting, and responding to computer attacks. In short, 560 covers penetration testing and ethical hacking, while 504 addresses incident handling.
Aren't the courses pretty much the same?
Not at all. 560 is very different from 504. We cover a variety of different tools in each class. Even when both classes cover the same topic or tool, they cover it from a completely different perspective. Take Metasploit and password attacks as examples. In 504, we talk about how these attacks work, emphasizing how to defend against them, and addressing how incident handlers can respond to their use. In 560, we get a lot deeper, talking about how to use each and every tool, with detailed, hands-on exercises that cover some of the features that incident handlers don't really need to know about but pen testers will likely use quite often. The idea is that incident handlers need to know what the attacks are from a broad perspective so that they can detect and respond to them in their environment. But, incident handlers don't need to know how to launch every one of the attacks we cover. Penetration testers, on the other hand, need to be able to use every tool we analyze, not just recognize its use against their environments. Thus, SANS 560 has triple the amount of hands-on exercises as 504, which itself includes numerous useful exercises tailored for incident handlers.
From a bottom-line perspective, 504 is more broad because incident handlers need to know about a lot of attack vectors that are typically not allowed for penetration testers by the rules of engagement. For example, incident handlers need to understand how to respond to bots and rootkits. But, the vast majority of penetration testers are prohibited from installing bots or rootkits on target machines. In the end, 560 is deeper, because penetration testers need hands-on experience with each tool, while 504 is more broad, because incident handlers need to focus on recognizing each tool's use in their environments.
Does 560 supersede 504 or supplant it?
No. 560 does not supersede 504. 504 is still a vital course, which we will continue to update and offer, supporting people in their careers as incident handlers. 560 is for penetration testers and ethical hackers.
I've already taken 504. Should I take 560 as a follow-on?
560 was designed as a perfect follow-on for people who have already taken 504 and are looking to get into more depth with tools used in professional penetration testing and ethical hacking. 560 is not recycled 504 material; it is an entirely new class with an entirely new set of slides and exercises.
I've taken neither 504 nor 560. Where should I start?
If you are more interested in incident handling, 504 is the course for you. If you need to develop your penetration testing skills, start with 560. Neither course is a pre-requisite for the other.
Por si no quedo claro, el curso SANS Security 504: Hacker Techniques, Exploits, and Incident Handling es post-mortem, el atacante ya se te metió y quieres aprender a lidiar con él/ella y que no se te vuelva a meter. El curso 560 Network Penetration Testing and Ethical Hacking es para aprender las técnicas y conocer las herramientas usadas por los atacantes más comúnes.
Habrá que esperar que alguno de los certificados locales GIAC/SANS se animen a tomar el challenge o llevar el curso para que lo puedan impartir acá.
Aprovecho el post para dar una estadística local, ya son 4 CEHs los que existen en nuestro querido Perú :
1. Ricardo Berrospi (SBS).
2. Eduardo Delgado (Deloitte).
3. Cesar Cuadra (Freelance, asociado a Open-Sec).
4. WCuestas (Open-Sec).
Alguien más ?
Tuesday, June 17, 2008
Codificando scripts en Bash
Mi buen Amigo RenzoP me hizo una pregunta ahora que me motivo a postear esta explicacion de como imbuir un script, archivo, binario, etc. dentro de un script de Bash y luego utilizarlo.
Este metodo es utilizado para muchas labores, en el mundo en el que ando, la primera vez que lo vi fue con el instalado de Nessus de las versiones 2.X (aun existe en la 2.2.11) donde hay un script de autoinstalacion que tiene imbuido un tarball con el binario instalador de Nessus.
La forma sencilla es utilizando uuencode y uudecode. Los scripts a continuacion carecen de lineas de limpieza y estetica porque solamente tienen fines de explicacion.
1. Tenemos un script como :
cat radio.sh
#!/bin/bash
mplayer -wid 58723239 -slave -vo xv,sdl,x11 -ao alsa,oss,sdl,arts -framedrop -contrast 0 -brightness 0 -hue 0 -saturation 0 -cache 384 'http://s7.viastreaming.net:7320' -identify
2. Lo codificamos con uuencode :
uuencode radio.sh radio.decoded > radio.encoded
uuencode permite codificar archivos binarios para su transmision en formato ASCII por medio que solamente permiten este formato (pagina man)
3. Finalmente, se imbuye (existe esa palabra ?) el script codificado dentro de otro que solamente hace la extraccion y ejecucion :
Esta codificacion es muy comun en lenguajes de scripting para distribuir programas binarios con autoinstaladores, para ocultar el contenido de scripts (la decodificacion se deriva a un directorio temporal y antes de concluir la ejecucion del script padre, se elimina el script decodificado del directorio temporal) y, de hecho, hay herramientas que no solo codifican sino encriptan y comprimen.
Este metodo es utilizado para muchas labores, en el mundo en el que ando, la primera vez que lo vi fue con el instalado de Nessus de las versiones 2.X (aun existe en la 2.2.11) donde hay un script de autoinstalacion que tiene imbuido un tarball con el binario instalador de Nessus.
La forma sencilla es utilizando uuencode y uudecode. Los scripts a continuacion carecen de lineas de limpieza y estetica porque solamente tienen fines de explicacion.
1. Tenemos un script como :
cat radio.sh
#!/bin/bash
mplayer -wid 58723239 -slave -vo xv,sdl,x11 -ao alsa,oss,sdl,arts -framedrop -contrast 0 -brightness 0 -hue 0 -saturation 0 -cache 384 'http://s7.viastreaming.net:7320' -identify
2. Lo codificamos con uuencode :
uuencode radio.sh radio.decoded > radio.encoded
uuencode permite codificar archivos binarios para su transmision en formato ASCII por medio que solamente permiten este formato (pagina man)
- radio.sh es el script del punto 1.
- radio.decoded es el nombre que ira incluido dentro del archivo codificado que viene a continuacion de los permisos del archivo como se vera mas adelante y que sera usado para la decodificacion.
- radio.encoded es el nombre del archivo codificado que se genera.
3. Finalmente, se imbuye (existe esa palabra ?) el script codificado dentro de otro que solamente hace la extraccion y ejecucion :
Esta codificacion es muy comun en lenguajes de scripting para distribuir programas binarios con autoinstaladores, para ocultar el contenido de scripts (la decodificacion se deriva a un directorio temporal y antes de concluir la ejecucion del script padre, se elimina el script decodificado del directorio temporal) y, de hecho, hay herramientas que no solo codifican sino encriptan y comprimen.
Saturday, June 07, 2008
Charla de Ethical Hacking
Esto es de hace unos meses, me pareció que es interesante porque no todos pueden asistir a estos eventos...
Thursday, May 29, 2008
Posteando otra vez...
No es que me sobre el tiempo ahora, pero, la verdad el trabajo absorve cada vez mas y el tiempo frente a las maquinas es para investigar, chatear, mailear, hacer propuestas, hacer informes y no queda tiempo para continuar con esta suerte de diario personal que son estos blogs.
Ademas, me puse el objetivo de hacer este blog relacionado unicamente a temas no familiares como ocurri con la version anterior en blog-city y por ello, probablemente era mas leido o porque posteaba mas y mas seguido....no lo se.
Aca algunas topicos recientes que valen la pena ser comentados :
PD: Alguien me posteo un comentario duro, breve y estupido. Sono a alguien dolido por mis criticas. Solo apruebo los comentarios que no son anonimos porque considero que la gente tiene que respaldar sus opiniones con su nombre, por eso mi blog no tiene un alias sino dice claramente : wcuestas.
Ademas, me puse el objetivo de hacer este blog relacionado unicamente a temas no familiares como ocurri con la version anterior en blog-city y por ello, probablemente era mas leido o porque posteaba mas y mas seguido....no lo se.
Aca algunas topicos recientes que valen la pena ser comentados :
- Soy lector asiduo de algunos blogs como taosecurity.blogspot.com y un planeta como http://www.darknet.org.uk/. Recomiendo ambos porque ofrecen una buena forma de estar al tanto de opiniones expertas, maduras y mesuradas sobre seguridad de la informacion y seguridad informatica (en el caso de TaoSecurity) y sobre ultimas versiones de herramientas de hacking, forensia y noticias de ambos dos (en DarkNet).
- Claro, aca va el punto picante : muchos entran a estos blogs, traducen los posts y luego los postean en sus blogs sin ningun reparo hacer aparecer todo como fruto de su investigacion o emanacion de genialidad.
- Personalmente, he enviado correos con textos traducidos de TaoSecurity a personas que se les interesara y siempre indico la fuente.
- Lo ultimo que vi robado de DarkNet fue un texto sobre metagoofil que fuera traducido y publicado en el blog de un consultor local de seguridad, mas un admin de seguridad que consultor, pero, asi se anuncia.
- Ahi va un reto, aunque la verdad no creo que esta persona lea este blog : que aplique esa receta copiada al web de mi empresa y postee la informacion obtenida con metagoofil. Sencillamente, no obtendra algo sino modifica el script.
- Un comentario reciente : Perú esta cambiando y pronto el tema de seguridad será importante y lucrativo, es decir, seguridad en tanto servicios. El espionaje industrial será una realidad. Importará ser el primero en exportar uva. No coloco el nombre de la persona que me lo dijo por asuntos de privacidad, es una persona muy conocida en medios de prensa y en verdad, me puso a pensar respecto a este tema y por ultimo, ojala que sea asi.
- Schneier publico un articulo relacionado a las inversiones en seguridad y claro, me entere por TaoSecurity. Una parte interesante es la que refleja el comportamiento de las organizaciones que no se consideran importantes para ser atacadas o que creen que son invulnerables. Alli, Scheneier indica que se debaten entre el pequeño riesgo de una inversion en seguridad versus el alto riesgo de ser atacados y las consecuencias de ese ataque. Casi siempre, prefieren asumir la postura de eludir la toma de acciones y descartan el pequeño riesgo. (Nota: he colocado "pequeño riesgo" y "alto riesgo" adrede y no por mala traduccion para dar mayor realce a los calificativos del riesgo).
- El nuevo tema en seguridad : PCI. Yo se que no es nuevo, pero, aca ya estan empezando a ponerle la punteria, por angas o por mangas, porque lo quieren o porque se los exigen.
- Cada vez el tema de hacking se vuelve mas especializado, cada vez mas salen toneladas de herramientas y cada vez mas hay que dedicar tiempo a analizarlas, modificarlas, corregirlas, etc.
- Sobre este punto tengo un debate interno muy personal : empezar a formar parte de los proyectos que desarrollan las herramientas ? Veo dificil que podamos tener tiempo para meternos en esa responsabilidad. Postear nuestras modificaciones o ampliaciones en algun sitio ? Podria tomarse como una actitud negativa ya que lo correcto seria aportar al desarrollo de las herramientas ? Mantener estas herramientas solo para nuestro team como hasta ahora ? Hey! No somos http://www.hackersforcharity.org/, pero, muchas veces conversamos largo y tendido sobre como el compartir conocimientos ayudaria a que la seguridad se maneje mejor en nuestro medio y hasta ahora solo cuando realizamos talleres de ethical hacking es que podemos hacerlo, aun asi, no es suficiente un taller.
PD: Alguien me posteo un comentario duro, breve y estupido. Sono a alguien dolido por mis criticas. Solo apruebo los comentarios que no son anonimos porque considero que la gente tiene que respaldar sus opiniones con su nombre, por eso mi blog no tiene un alias sino dice claramente : wcuestas.
Thursday, January 31, 2008
Sobre certificaciones de Ethical Hacking y otras hierbas
Hace mas de un mes respondi un mail a una lista de seguridad. Hace años que no participo de listas de interes escribiendo, solamente las leo, pero, como podran apreciar, si revisan el thread en los archivos de securityfocus.com, no solo en Perú se hablan sandeces.
Es obvio, como le decia a un amigo de esta lista, que yo he de defender la certificacion de CEH porque a pesar del tiempo transcurrido, seguimos siendo solamente 2 en Perú y no mas de 20 en Latino America.
Tambien es obvio que los demas defiendan las que tienen, pero, lo que nadie puede cambiar es el hecho que hasta hoy solamente existen 3 certificaciones que garantizan que los consultores sepan el comportamiento de un atacante versus el comportamiento de alguien dedicado a defender.
En este terreno caen todos los cursos y certificaciones que hacen analisis de intrusiones, osea, analisis post penetracion del atacante, y aquellos que se anuncian como incluir tecnicas de hacking y cuando se revisa el desarrollo del curso se trata solamente de enseñar el uso de algunas herramientas de evaluacion de seguridad informatica.
Dicho eso, me reafirmo en que los unicos cursos y certificaciones relacionadas a ethical hacking son los entregados por ISECOM, Mile2 y EC Council.
Como comentario local puedo mencionar que en el taller de ethical hacking realizamos en mi empresa han llegado varias personas que han llevado esos cursos de pseudo-hacking en otras microempresas o pseudo-empresas y descubren el mundo real de los atacantes. Igual, no los convierte ni en atacantes ni en ethical hackers porque solo el desarrollo tecnico y profesional es lo que permiten obtener dicha posicion.
Hay un curso que SANS esta por estrenar, mientras no lo estrene, no existe.
En lo personal, aprecio el desarrollo de las empresas peruanas, sin embargo, hay las que lo hacen por meritos propios y hay las que se llenan la boca de elogios a si mismos y se irrogan capacidades y sitiales que no tienen. Como propone Eric Raymond, al hacker de verdad se le reconoce como tal, el de mentira se autodenomina hacker.
Antes de ayer escuche otra cosa que me gusto tambien : los que saben como hacerlo, lo hacen y los que no, son instructores.
Saludos!
From: Walter Cuestas <wcuestas@gmail.com>
> > To: pen-test@securityfocus.com
> > Sent: Thursday, December 20, 2007 12:20:49 AM
> > Subject: Re: GCIA, GSEC, GCIH, CISSP, CEH ???
> >
> > Just to say that every comment about CEH seems to be based on
> > versiones previous to 5 (some comments seems based on books from EC
> > Council and 2 others that are so far from current EC Council
> > material).
> > Today, CEH is the start point and next steps for people who wants to
> > demonstrate their knowledge and expertise, thtrough certifications,
> > are ECSA and finally get LPT (if you need this one).
> >
> > Since the first mail of this thread, I have reviewed every syllabus,
> > exam topics, exam and labs demos, training videos and so on.
> >
> > IMHO, there are just three sources for pen test related certifications
> > : EC Council, ISECOM and Mile2 (based on CEH).
> >
> > SANS has a lot of certifications that are good complement for CEH,
> > OPST, OPSA, CPTS and CPTE, but, I can't find an specific pen test
> > certification from SANS.
> >
> > Also, as all of you know, there is no certification neither a set of
> > exams that really demonstrate the actual knowledge of people.
> > These certifications are just a complement for a professional career.
> >
> > BTW, I have reviewed some of the recommended training based on videos
> > and they seem to be just BackTrack courses.
> >
> >
> > >
> > > Regards,
Es obvio, como le decia a un amigo de esta lista, que yo he de defender la certificacion de CEH porque a pesar del tiempo transcurrido, seguimos siendo solamente 2 en Perú y no mas de 20 en Latino America.
Tambien es obvio que los demas defiendan las que tienen, pero, lo que nadie puede cambiar es el hecho que hasta hoy solamente existen 3 certificaciones que garantizan que los consultores sepan el comportamiento de un atacante versus el comportamiento de alguien dedicado a defender.
En este terreno caen todos los cursos y certificaciones que hacen analisis de intrusiones, osea, analisis post penetracion del atacante, y aquellos que se anuncian como incluir tecnicas de hacking y cuando se revisa el desarrollo del curso se trata solamente de enseñar el uso de algunas herramientas de evaluacion de seguridad informatica.
Dicho eso, me reafirmo en que los unicos cursos y certificaciones relacionadas a ethical hacking son los entregados por ISECOM, Mile2 y EC Council.
Como comentario local puedo mencionar que en el taller de ethical hacking realizamos en mi empresa han llegado varias personas que han llevado esos cursos de pseudo-hacking en otras microempresas o pseudo-empresas y descubren el mundo real de los atacantes. Igual, no los convierte ni en atacantes ni en ethical hackers porque solo el desarrollo tecnico y profesional es lo que permiten obtener dicha posicion.
Hay un curso que SANS esta por estrenar, mientras no lo estrene, no existe.
En lo personal, aprecio el desarrollo de las empresas peruanas, sin embargo, hay las que lo hacen por meritos propios y hay las que se llenan la boca de elogios a si mismos y se irrogan capacidades y sitiales que no tienen. Como propone Eric Raymond, al hacker de verdad se le reconoce como tal, el de mentira se autodenomina hacker.
Antes de ayer escuche otra cosa que me gusto tambien : los que saben como hacerlo, lo hacen y los que no, son instructores.
Saludos!
From: Walter Cuestas <wcuestas@gmail.com>
> > To: pen-test@securityfocus.com
> > Sent: Thursday, December 20, 2007 12:20:49 AM
> > Subject: Re: GCIA, GSEC, GCIH, CISSP, CEH ???
> >
> > Just to say that every comment about CEH seems to be based on
> > versiones previous to 5 (some comments seems based on books from EC
> > Council and 2 others that are so far from current EC Council
> > material).
> > Today, CEH is the start point and next steps for people who wants to
> > demonstrate their knowledge and expertise, thtrough certifications,
> > are ECSA and finally get LPT (if you need this one).
> >
> > Since the first mail of this thread, I have reviewed every syllabus,
> > exam topics, exam and labs demos, training videos and so on.
> >
> > IMHO, there are just three sources for pen test related certifications
> > : EC Council, ISECOM and Mile2 (based on CEH).
> >
> > SANS has a lot of certifications that are good complement for CEH,
> > OPST, OPSA, CPTS and CPTE, but, I can't find an specific pen test
> > certification from SANS.
> >
> > Also, as all of you know, there is no certification neither a set of
> > exams that really demonstrate the actual knowledge of people.
> > These certifications are just a complement for a professional career.
> >
> > BTW, I have reviewed some of the recommended training based on videos
> > and they seem to be just BackTrack courses.
> >
> >
> > >
> > > Regards,
Wednesday, January 02, 2008
Primer post del 2007 : DE TODO !!!
Normalmente escribo al final del año, pero, ahora me dedique mas a cumplir un objetivo de limpieza en mi casa y pasar tiempo con los mios que con la chamba y cosas asi, buen, un balance en verdad.
Entonces, no puedo evitar tocar algunos puntos del año pasado :
1.Me mude para aca. Mi viejo y querido blog-city decidio empezar a cobrar por los blog y con ellos me corri para esta suerte de conjunto habitacional de los blogs. Si alguien esta interesado en mis posts en blog-city, los he puesto en HTML y comprimido, los pueden descargar desde este URL.
2. Familia : fue un año muy duro. De hecho la situacion economica planteo situaciones dificiles, pero, mas alla de eso, mantener un matrimonio tantos años con personas tan "peculiares" como nosotros, es un reto complejo y bien dificil de evitar que los hijos sean participes y se vean muy afectados.
A esto puedo sumar la nueva experiencia de una hija adolescente en un medio educativo con un sin fin de taras y fallas "voluntarias" que afectan a una joven a pesar de su capacidad intelectual y formacion humana.
Me queda la certeza de saber que estamos haciendo lo correcto, de estar convencido que mis 3 hijos tienen un talento sin fin, una bondad sin limites, una belleza sin par y que asumen retos y los cumplen con exito :
Mafi encabeza este año la lista no solo por las calificaciones del colegio sino por un comportamiento destacado en cada cosa que ha hecho, sea intelectual, cultural, social y fisica. No importa lo que sea, ella lo hace bien. Tal vez su logro mas destacado fue el segundo puesto en el concurso de Ingles del colegio y seguir siendo la mas elocuente de los Cuestas-Zegarra.
Sigue Scarlett, la adolescente que debio sumar, por un error mio, la "adolescencia molinarina" a su vida, pero, que con la ayuda de personas interesadas en la formacion de nuestros hijos, consiguio superar sus temores y alcanzar posiciones de exito. Ella tenia miedo a las Matematicas, termino de finalista en el concurso del colegio, gracias al apoyo de su profesor y la gente en la casa. Sigue siendo la mas loca y lider de sus hermanos.
Dejo al final al chato Aarom adrede, porque primero son las mujeres y porque es el engreido de todos :) El chato es hablador (con propiedad y estilo geneticamente heredado), galan (no hay mujer que se le resista), habil (cuando quiere, hace unos golazos), inteligente (sus calificaciones y capacidad de concentracion lo demuestran), tragon (dejaria de ser Cuestas Zegarra si no fuera tragon) y buen hombre. Su mayor logro : cinturon blanco-punta amarilla en 9no KUP de Tae Kwon Do.
De mi esposa no pongo nada porque en su vida "internet" yo no existo, ella si existe en la mia, pero, no le dare mas espacio que este parrafo.
Mi familia tambien esta compuesta por mi madre, mujer sumamente complicada, pero, es mi madre, y mi abuela, a la cual considero debo mucho y cuya enfermedad nos ha complicado mucho a todos.
Este año mi familia tuvo la enorme suerte de estar siempre junta, unida y fuerte ante cada acontecimiento negativo, de esos que el 2007 trajo a montones, como el terremoto de Agosto donde estabamos todos juntos e incluso mi madre llego a los pocos minutos.
3. Amigos : ha sido un año muy peculiar en este sentido porque sufri varias decepciones, imagino que yo tambien decepcione.
Este año no puedo calificar como otros al "Amigo del Año", quien estuvo mas cercano a mi y me hace muy feliz, es mi hijo, asi que tocaria decir que tuve 3 Mejores Amigos en el 2007 : Aarom, Scarlett y Mafi.
Si quiero mencionar a varios Amigos : VLemos, sencillamente, amigo incondicional; GVallejo, me demostro el dia del terremoto que no me equivoque al hacerlo padrino de Mafi, no la solto para nada, es raro, pero, lo acepto como es; RCastelo, ha vivido momentos muy dificiles y creo que eso ha hecho que seamos mas amigos.
Los que me decepcionaron fueron 2, al menos son los que me dejaron mas dañado, mejor no los menciono.
4. Profesional : el 2007 no fue destacado por alguna certificacion, de hecho, no obtuve una tan importante como el CEH que aun sigue siendo LA certificacion en Ethical Hacking, pero, si creo que aprendi mucho, desarrolle muchas habilidades, comparti lo que aprendi, entregue buenos resultados a los clientes y gane experiencias valiosisimas.
5. Agradecimientos : aunque esto no es como el Oscar, si creo que debo agradecer a muchas personas por su apoyo, sus opiniones, su interes, su compañia, por creer en mi : PTrejos, CRenzo, RPortocarrero,JMunoz, ATello, BColom, FNeira, MGalvez, MUrizar, MMunoz, MLazaro, YSuarez, VPazce, FTrujillo y claro, Alicia Cuestas Zegarra que a pesar de renegar, siempre esta alli apoyandome.
6. Open-Sec (o el trabajo en si) : que duro es hacer empresa en Perú, si, duro y dificil, como he visto el 2007 en general, con logros y mayor presencia, con nuevos proyectos y retos, pero, con mas problemas relacionados al medio peruano que cualquier otra cosa.
Este año me sirvio para confirmar una vez mas que la coima esta afincada en nuestras organizaciones sin importar si son estatales o privadas. Esto es, si una organizacion es coimera, lo seguira siendo y digo "organizacion" porque existen verdaderas mafias al respecto.
Le interesa a alguien ? No, de hecho hemos tenido experiencias multiples de este tipo : empresas que ponen cualquier documento para ganar un concurso y dicho documento no es revisado complacientemente y de acuerdo a los intere$e$ del negocio, empresas que ponen a personas que no estan en su staff o personas que finalmente no ejecutan los proyectos, empresas cuyo personal tiene su empresa para "cachuelos" y hacen que los contraten para labores criticas en forma indirecta y hasta montan un circo de concurso publico, empresas que piden servicios importantes a empresas importantes, pero, que cierran trato con quien acepta coimear, etc, etc, etc, etc.
Este año decidimos terminar de aceptar subcontrataciones porque son la instititucionalizacion del "perro muerto" o "te pago cuando me de la gana".
Obtuvimos excelentes clientes, siendo el mejor uno de los bancos mas grandes en Perú; iniciamos dando servicios de computacion forense; seguimos siendo el mejor equipo de ethical hacking de Perú y si se nos escapo algun negocio al respecto, fue por competencia, leal o desleal (la de las coimas y arreglos previos).
La competencia leal nos da duro por nuestra carencia de capacidad en ventas, algo que parece ser nuestro karma.
El tema de Linux se enfoco en VoIP y con ello definimos una nueva meta para el 2008.
Open-Sec se consolida como empresa, mas alla del exito en el mercado, entra en una etapa de estabilidad que hacia el 2009 debe determinar un crecimiento bien importante.
7. Ranking :
La mejor familia del 2007 : Los Cuestas-Zegarra
Los mejores hijos del 2007 : Scarlett (aka kireitor), Mafalda (aka mafitac), Aarom (aka el chato)
Las mejores mujeres del 2007 : Las de mi casa : Esposa, Madre, Abuela.
El exito laboral del 2007 : el proyecto realizado para el BCP.
El mejor proyecto Linux del 2007: SuSE y GW en el BBVA.
El evento del 2007 : Open-Sec Day 2007.
Los peores errores del 2007 : trabajar para el PJ, MINEDU e I-Sec. Eso nos demostro que ni la excelente calidad de nuestro trabajo hace que las personas necias se comporten en forma reciproca.
Lo peor del 2007 : la sensacion y casi conviccion que Alan Garcia dejara nuestro pais peor que en su primer mandato.
Los mayores momentos de orgullo : cuando MafitaC saco el segundo puesto en el concurso de Ingles, cuando Scarlett paso a la final del concurso de Matematica, cuando Aarom obtuvo su cinturon blanco de punta amarilla.
La distro del 2007 : OpenSUSE de lejos!
Y que hay para el 2008 ? Mucho mas !
1. Familia : cambio de colegio de Scarlett, seguir mas pegado a mis hijos, quiero ser su padre y mejor Amigo, mas empeño en mantener el matrimonio, mas paciencia con mi madre, tranquilidad para mi abuela, mas tiempo FELIZ.
2. Profesional : este año debo obtener 2 certificaciones : una de SANS sobre hacking o el CLP y la otra es la de dCAP.
3. Open-Sec : wow! Mulitples retos : hacer dinero con VoIP como partner de Digium en Perú y Ecuador, basta de soporte comunitario ineficiente o de alianzas con empresas extranjeras que hablan mucho y hacen poco; seguir haciendo negocios en base a seguridad informatica, ethical hacking a fondo; realizar inversiones rentables en Perú y Ecuador; certificar mas a nuestro personal; nuevo local; nuevos consultores, tecnicos y vendedor; mantener clientes como el banco y crecer con ellos y en base a ellos.
4. Mensajes aparte :
- Acabemos con los "pirañas de cabina" y "hackers de blog".
- Hagamos del negocio VoIP basado en Linux algo serio.
- Demuestrame que Trixbox es mas limitado que un Asterisk.
- Compartamos el conocimiento.
Espero que todos los buenos deseos de las personas se cumplan este año.
Bienvenido 2008!!!
Entonces, no puedo evitar tocar algunos puntos del año pasado :
1.Me mude para aca. Mi viejo y querido blog-city decidio empezar a cobrar por los blog y con ellos me corri para esta suerte de conjunto habitacional de los blogs. Si alguien esta interesado en mis posts en blog-city, los he puesto en HTML y comprimido, los pueden descargar desde este URL.
2. Familia : fue un año muy duro. De hecho la situacion economica planteo situaciones dificiles, pero, mas alla de eso, mantener un matrimonio tantos años con personas tan "peculiares" como nosotros, es un reto complejo y bien dificil de evitar que los hijos sean participes y se vean muy afectados.
A esto puedo sumar la nueva experiencia de una hija adolescente en un medio educativo con un sin fin de taras y fallas "voluntarias" que afectan a una joven a pesar de su capacidad intelectual y formacion humana.
Me queda la certeza de saber que estamos haciendo lo correcto, de estar convencido que mis 3 hijos tienen un talento sin fin, una bondad sin limites, una belleza sin par y que asumen retos y los cumplen con exito :
Mafi encabeza este año la lista no solo por las calificaciones del colegio sino por un comportamiento destacado en cada cosa que ha hecho, sea intelectual, cultural, social y fisica. No importa lo que sea, ella lo hace bien. Tal vez su logro mas destacado fue el segundo puesto en el concurso de Ingles del colegio y seguir siendo la mas elocuente de los Cuestas-Zegarra.
Sigue Scarlett, la adolescente que debio sumar, por un error mio, la "adolescencia molinarina" a su vida, pero, que con la ayuda de personas interesadas en la formacion de nuestros hijos, consiguio superar sus temores y alcanzar posiciones de exito. Ella tenia miedo a las Matematicas, termino de finalista en el concurso del colegio, gracias al apoyo de su profesor y la gente en la casa. Sigue siendo la mas loca y lider de sus hermanos.
Dejo al final al chato Aarom adrede, porque primero son las mujeres y porque es el engreido de todos :) El chato es hablador (con propiedad y estilo geneticamente heredado), galan (no hay mujer que se le resista), habil (cuando quiere, hace unos golazos), inteligente (sus calificaciones y capacidad de concentracion lo demuestran), tragon (dejaria de ser Cuestas Zegarra si no fuera tragon) y buen hombre. Su mayor logro : cinturon blanco-punta amarilla en 9no KUP de Tae Kwon Do.
De mi esposa no pongo nada porque en su vida "internet" yo no existo, ella si existe en la mia, pero, no le dare mas espacio que este parrafo.
Mi familia tambien esta compuesta por mi madre, mujer sumamente complicada, pero, es mi madre, y mi abuela, a la cual considero debo mucho y cuya enfermedad nos ha complicado mucho a todos.
Este año mi familia tuvo la enorme suerte de estar siempre junta, unida y fuerte ante cada acontecimiento negativo, de esos que el 2007 trajo a montones, como el terremoto de Agosto donde estabamos todos juntos e incluso mi madre llego a los pocos minutos.
3. Amigos : ha sido un año muy peculiar en este sentido porque sufri varias decepciones, imagino que yo tambien decepcione.
Este año no puedo calificar como otros al "Amigo del Año", quien estuvo mas cercano a mi y me hace muy feliz, es mi hijo, asi que tocaria decir que tuve 3 Mejores Amigos en el 2007 : Aarom, Scarlett y Mafi.
Si quiero mencionar a varios Amigos : VLemos, sencillamente, amigo incondicional; GVallejo, me demostro el dia del terremoto que no me equivoque al hacerlo padrino de Mafi, no la solto para nada, es raro, pero, lo acepto como es; RCastelo, ha vivido momentos muy dificiles y creo que eso ha hecho que seamos mas amigos.
Los que me decepcionaron fueron 2, al menos son los que me dejaron mas dañado, mejor no los menciono.
4. Profesional : el 2007 no fue destacado por alguna certificacion, de hecho, no obtuve una tan importante como el CEH que aun sigue siendo LA certificacion en Ethical Hacking, pero, si creo que aprendi mucho, desarrolle muchas habilidades, comparti lo que aprendi, entregue buenos resultados a los clientes y gane experiencias valiosisimas.
5. Agradecimientos : aunque esto no es como el Oscar, si creo que debo agradecer a muchas personas por su apoyo, sus opiniones, su interes, su compañia, por creer en mi : PTrejos, CRenzo, RPortocarrero,JMunoz, ATello, BColom, FNeira, MGalvez, MUrizar, MMunoz, MLazaro, YSuarez, VPazce, FTrujillo y claro, Alicia Cuestas Zegarra que a pesar de renegar, siempre esta alli apoyandome.
6. Open-Sec (o el trabajo en si) : que duro es hacer empresa en Perú, si, duro y dificil, como he visto el 2007 en general, con logros y mayor presencia, con nuevos proyectos y retos, pero, con mas problemas relacionados al medio peruano que cualquier otra cosa.
Este año me sirvio para confirmar una vez mas que la coima esta afincada en nuestras organizaciones sin importar si son estatales o privadas. Esto es, si una organizacion es coimera, lo seguira siendo y digo "organizacion" porque existen verdaderas mafias al respecto.
Le interesa a alguien ? No, de hecho hemos tenido experiencias multiples de este tipo : empresas que ponen cualquier documento para ganar un concurso y dicho documento no es revisado complacientemente y de acuerdo a los intere$e$ del negocio, empresas que ponen a personas que no estan en su staff o personas que finalmente no ejecutan los proyectos, empresas cuyo personal tiene su empresa para "cachuelos" y hacen que los contraten para labores criticas en forma indirecta y hasta montan un circo de concurso publico, empresas que piden servicios importantes a empresas importantes, pero, que cierran trato con quien acepta coimear, etc, etc, etc, etc.
Este año decidimos terminar de aceptar subcontrataciones porque son la instititucionalizacion del "perro muerto" o "te pago cuando me de la gana".
Obtuvimos excelentes clientes, siendo el mejor uno de los bancos mas grandes en Perú; iniciamos dando servicios de computacion forense; seguimos siendo el mejor equipo de ethical hacking de Perú y si se nos escapo algun negocio al respecto, fue por competencia, leal o desleal (la de las coimas y arreglos previos).
La competencia leal nos da duro por nuestra carencia de capacidad en ventas, algo que parece ser nuestro karma.
El tema de Linux se enfoco en VoIP y con ello definimos una nueva meta para el 2008.
Open-Sec se consolida como empresa, mas alla del exito en el mercado, entra en una etapa de estabilidad que hacia el 2009 debe determinar un crecimiento bien importante.
7. Ranking :
La mejor familia del 2007 : Los Cuestas-Zegarra
Los mejores hijos del 2007 : Scarlett (aka kireitor), Mafalda (aka mafitac), Aarom (aka el chato)
Las mejores mujeres del 2007 : Las de mi casa : Esposa, Madre, Abuela.
El exito laboral del 2007 : el proyecto realizado para el BCP.
El mejor proyecto Linux del 2007: SuSE y GW en el BBVA.
El evento del 2007 : Open-Sec Day 2007.
Los peores errores del 2007 : trabajar para el PJ, MINEDU e I-Sec. Eso nos demostro que ni la excelente calidad de nuestro trabajo hace que las personas necias se comporten en forma reciproca.
Lo peor del 2007 : la sensacion y casi conviccion que Alan Garcia dejara nuestro pais peor que en su primer mandato.
Los mayores momentos de orgullo : cuando MafitaC saco el segundo puesto en el concurso de Ingles, cuando Scarlett paso a la final del concurso de Matematica, cuando Aarom obtuvo su cinturon blanco de punta amarilla.
La distro del 2007 : OpenSUSE de lejos!
Y que hay para el 2008 ? Mucho mas !
1. Familia : cambio de colegio de Scarlett, seguir mas pegado a mis hijos, quiero ser su padre y mejor Amigo, mas empeño en mantener el matrimonio, mas paciencia con mi madre, tranquilidad para mi abuela, mas tiempo FELIZ.
2. Profesional : este año debo obtener 2 certificaciones : una de SANS sobre hacking o el CLP y la otra es la de dCAP.
3. Open-Sec : wow! Mulitples retos : hacer dinero con VoIP como partner de Digium en Perú y Ecuador, basta de soporte comunitario ineficiente o de alianzas con empresas extranjeras que hablan mucho y hacen poco; seguir haciendo negocios en base a seguridad informatica, ethical hacking a fondo; realizar inversiones rentables en Perú y Ecuador; certificar mas a nuestro personal; nuevo local; nuevos consultores, tecnicos y vendedor; mantener clientes como el banco y crecer con ellos y en base a ellos.
4. Mensajes aparte :
- Acabemos con los "pirañas de cabina" y "hackers de blog".
- Hagamos del negocio VoIP basado en Linux algo serio.
- Demuestrame que Trixbox es mas limitado que un Asterisk.
- Compartamos el conocimiento.
Espero que todos los buenos deseos de las personas se cumplan este año.
Bienvenido 2008!!!
Subscribe to:
Posts (Atom)