Monday, November 22, 2010

Tiempos movidos...mucho de todo

Y esa siempre es la razón por la cual es más dificil bloggear en los últmos tiempos, son tiempos movidos donde se hace mucho y de todo.

Las vulnerabilidades siempre parecen ser más de lo mismo y a veces llego a pensar que mi percepción sobre el negocio de los virus y antivirus se da también en las vulnerabilidades. Es dificil aceptar que sigan dandose tantos descuidos en aplicaciones comerciales que tienen grandes inversiones en el desarrollo de software.

Pero, por otro lado, también parece increíble que aún existan aplicaciones hechas a medida que sean tan vulnerables a SQLi, XSS, etc. o que sigan metiendo tanta información en variables de sesión o que consideren que los atacantes nunca querrán vulnerar sus aplicaciones.

Aún en países como el nuestro, el hacker es un ser casi extraterrestre y no se llega a crecer en la misma cantidad de especialistas en hacking que se tiene en otros países. Esto podría paracer bueno para alguien que vive de eso dado que no hay mucha competencia, pero, no es así porque como siempre (pueden ver mis otros posts), el cliente no sabe lo que hay y encima hay mucho charlatan, local y foraneo.

Más allá de todo esto, no hay otra cosa como andar todo el tiempo investigando, analizando lo que pasa con el software, el hardware y la seguridad como un todo. Sí alguien tiene sed de conocimiento, entonces debe practicar el hacking, la medicina y/o la cocina. En todos ellos hay creatividad constante, investigaciones a raudales y una sed de conocimiento satisfecha al vencer retos.

En los últimos meses he visto como personas de Ecuador, Honduras y Perú aprenden técnicas de hacking teoricamente, luego hacen algunas pruebas y cuando son sometidos a retos del mudno real es que realmente empiezan a disfrutarlo. En lo personal, quisiera ver más expertos en hacking en Perú, sean de Open-Sec o no, pero, que se dediquen y que sean responsables por lo que hacen. Que no sean ejecutores de herramientas ni consultores de alto nivel, sino gente que investigue a fondo, que asuma retos y que entregue una buena calidad en cada cosa que ejecute.

Tecnicamente puedo decir que, para varias, los últimos meses han sido de dedicación casi total a MetaSploit con algunas paseadas por NeXpose/Sapyto(bizploit) y una búsqueda constante de una herramienta automatizada para analizar webs que de veras la haga, pero, hasta ahora, la mejor herramienta sigue siendo la revisión "a mano" del los web (claro, usando los queridos NoScript, Agent Switcher, Poster, Tamper Data, Grounspeed, Firebug y Hackbar).

No puedo dejar de comentar en esta especie de catarsis bloggera que estoy haciendo después de mucho tiempo, la noticia del día : Novell fue adquirido por Attachmate. Sabía que hacian emuladores de terminal y nada más. Creo que es la mejor forma de terminar para Novell en las manos de un pequeño desconocido que descuartizado por un gigante aunque el holding que esta detrás de Attachmate es liderado por Microsoft y ya sabemos de donde salió el dinero para esa compra.
Novell se constituyó en una parte muy importante de mi vida, pero, movimientos absurdos como comprar CTP y dejar que sus "ejecutivos" asuman el control de una corporación de tecnología hizo que entre otras cosas despidan a Eric Schmidt, creador del proyecto de Java en Sun y hoy día CEO de Google.

Hasta la proxima!