Sunday, October 04, 2009

Absurdo Logico

No se cuantas personas lean este blog porque he dejado de postear con frecuencia, pero, al menos se que esta indexado en Google y algun dia alguien lo leera.
Hay un par de casos que me han llevado a un convencimiento y que corresponde a lo que es un dicho popular : el peor enemigo de un peruano, es otro peruano.
Hace un tiempo tuvimos en mi organizacion un caso de impugnacion de un concurso publico con una entidad del Estado porque un postor presento un certificado adulterado de su consultor principal. La impugnacion la realizamos ante CONSUCODE (hoy OSCE) y luego de demostrar que teniamos la razon, le retiraron la buena pro, nos la dieron a nosotros e indicaron que dicha institucion del Estado debia tomar acciones.
Al postor que presento los documentos adulterados no solamente no lo han sancionado (esto fue setiembre del 2008) sino que incluso participo en un concurso similar para un servicio tambien similar solicitado por el OSCE.
Hoy recibi una citacion del Ministerio Publico para dar testimonio respecto a la denuncia que la institucion del Estado presento contra el consultor. Es bueno que se tomen acciones, pero, por que no he recibido una citacion similar para una denuncia con respecto al postor que presento los documentos adulterados ? Como les consta a estas personas (porque las instituciones son manejadas por personas) que fue el consultor quien adultero los documentos y no alguien del postor ? Sera que han denunciado a ambos y por esas cosas del tiempo y destiono luego me pediran testimoniar por la denuncia contra el postor ?
Ojala sea lo ultimo.
El otro caso corresponde a una institucion educativa de prestigio que hace un tiempo convoco a un consultor extranjero para un evento sobre hacking, dio una charla y tal vez hasta dieron un curso. Al poco tiempo empezaron a circular notas sobre esta persona por Internet y hasta sacaron un site donde se difundia el hecho que utilizara de manera no autorizada el nombre de una organizacion mundial que certifica hackers y que entregara material de ellos sin autorizacion.
Por la documentacion que he visto desde su site, usa informacion y logos que solo pueden ser usados por quienes representan a esta organizacion y en conversaciones con quienes la representan en Latino America nos han indicado su molestia por como esta persona hace uso de logos, graficos e informacion sin su autorizacion.
Bien, esta institucion educativa peruana volvio a convocar a este consultor este año para otro evento y lanzamiento de un curso de ETHICAL hacking. Ellos parecen no tener acceso a Internet, seguro viven aun en la epoca de los teletipos y las maquinas de escribir Olivetti.
A pesar que se les ha informado de todo esto, hacen oidos sordos y un amigo nuestro les hablo en persona sobre el tema, su respuesta fue alucinante : es que no hay gente como el aca...es decir, se referian a su capacidad y certificaciones.
Yo debo atribuir semejante ignorancia al hecho que la seguridad es un tema nuevo en nuestro pais y no a una majaderia, pero, no puedo evitar pensar que le creen al consultor porque es EXTRANJERO.
Asi que cuando vemos que nuestro mercado de seguridad informatica no crece como en otros paises, no basta con echarle la culpa a la negligencia corporativa, debemos analizar si no existen actitudes intermedias que minan cualquier tipo de avance de iniciativas locales favoreciendo a extranjeros solo por la estupidez de creer que todo lo que viene de afuera es mejor y mas grande y, claro, honesto.

Thursday, September 03, 2009

Una joyita !

Andrés Morales Zamudio: Andrés Morales is member of the CSIRT (computer security incident response team) team operated by Universidad Nacional de Ingenieria in Lima and is a member of the GIAC Advisory Board. He earned his Bachelor in Systems Engineering from the Universidad Nacional de Ingenieria. Also he holds OSCP, OSWP, GCIH, GPEN, CPTS and CEH certifications. In addition, Andres is currently pursuing his OSCE certification.

He is currently involved with Incident Handling, Penetration Testing and Forensic Analysis for a national organization. He enjoys giving network and security training courses for the internal CSIRT-UNI staff.

Por si no se dieron cuenta, es PERUANO!

Para no postear sin poner algo tecnico :

Preguntadole a un DNS por el contenido de su cache :

dig @ip_del_servidor_DNS www.milw0rm.org A +norecurse

Sunday, August 23, 2009

Tiempos turbulentos....

En el afan de mantener este blog con un perfil tecnico, he terminado sin postear desde el año pasado debido a una inmensa carga de trabajo.
De hecho, tanto esfuerzo tiene su fruto y nuestro equipo al dia de hoy ha desarrollado proyectos de ethical hacking, computacion forense y un par de analisis de brechas de InfoSec en nuestro querido Perú, Ecuador y Panamá, principalmente.
Ni tiempo hemos tenido para mas certificaciones (aunque parece que Cesar Cuadra ya saco el OSCP y estamos esperando la confirmacion) y planes como asistir a eventos como Ekoparty se han frustrado por esta carga de trabajo (de hecho quisimo participar en todo el CTF y solo lo hicimos en apenas un juego).
De hecho postee algo en el blog de Open-Sec (que tampoco se ha hecho mucho), se puede ver en : http://ehopen-sec.blogspot.com/
Al menos, el bloggear ya no me sirve como esa catarsis que resultaba cuando blogeaba en BlogCity, pero, a veces se extraña un poco y aun las redes sociales no cubren ese aspecto y Twitter es algo peor aun porque se espera una actualizacion constante de informacion.
De todas formas, este post no puede pasar sin poner algunas cosas tecnicas asi que ahi van :

1. Reglas Eticas del blogger :
- No bloggear lo de otros como si fuese de uno (no seamos hackers de blog!!!)
- No irrogarse conocimientos ni certificaciones que no le pertenecen.
- Blogear para difundir el conocimiento, no para vanagloriarse.

2. He empezado a usar Leo, un editor que sirver para muchas cosas, pero, principalmente permite manejar estructuras de informacion basandose en XML y me sirve perfecto para tomar notas personales y de los trabajos que hacemos. Hay un par de herramientas bien interesantes que hacen algo similar o son mas especificas, pero, requieren mucho mas software que Leo (Dradis y Yaptest).

3. Haciendo algo de "inteligencia competitiva" me encontre con este XSS :
http://www.xssed.com/search?key=infosecurityonline, lo sabran ellos ? Bueno, yo creo que no...

4. Para saber cuantos plugins tenemos cargados en nuestro Nessus :
find /opt/nessus/lib/nessus/plugins -name "*.nasl" | wc -l

5. Nessus 4.01 tiene una limitacion de hacer scanning a no mas de 16 hosts simultaneamente en el Home Feed :
SCAN-ERROR
Too many live hosts scanned in a row while on a HomeFeed - please upgrade to a ProfessionalFeed
Nessus ID : 19506
Reducing max_hosts to 16 (HomeFeed)

Hay mucho mas sobre nuevas herramientas (algunas mejor utilizadas como MSF y otras incluso corregidas como metagoofil), nuevas tecnicas y nuevas experiencias y materias de posteadas mas largas.

Algunos logros personales :
-Open-Sec works like a charm!
-El proximo mes voy como profe invitado a la ESPOL en Ecuador para su Maestria en Seguridad Informatica Aplicada (mi primera vez como profe invitado para una maestria).

Algunas metas :
-Este año debo sacar otra certificacion, puede ser una de forensia ya que no estoy seguro si otra de ethical hacking o penetration testing realmente daria valor a nuestros clientes. No me emociona el CISSP (pero, tampoco la veo poca cosa, al reves).
-Realizar el LimaHack 2009