Friday, December 31, 2010

Ultimo post del 2010

Siempre he escuchado gente que pide que el año actual se "vaya" rapido porque les resulto muy malo y esperan que el proximo sea mejor. Yo siempre esperaba que el proximo sea mejor, pero, consideraba que el presente ya habia terminado y nada mas.
Esta vez es diferente, me auno a los que esperan que se VAYA pronto el 2010, fue un año de extremos, mas extremos que los polos norte y sur.

Esto sera un analisis rapido, son 9:26 pm en Lima, Perú...

Tecnicamente, el año fue de lo mejor porque tanto a nivel de equipo como individualmente quede convencido que hay buenas capacidades. Esto suena BIEN "panudo", pero, tuvimos oportunidad de compararnos con colegas en eventos diversos; conocer de las vulnerabilidades mas recientes y entenderlas, pero, mas aun, explicarselas a los demas en charlas y clases; encontrar vulnerabilidad en los servicios de los clientes que otros no encontraron (incluso hubo un caso donde una vulnerabilidad fue divulgada hasta con videos por un "iluminado" y no tenia ni idea hasta donde se podia llegar); modificamos y hackeamos mas toolz que antes (incluso MVelazco desarrollo una nueva y personalmente encontre como pasar por alto las restricciones de una tool de analisis de vulnerabilidad que se esta haciendo mas popular); entrenamos mas de 100 personas en ethical hacking; participamos exitosamente en algunos CtF; en fin, solo puedo pensar en exitos tecnicos.
En el otro extremo y bien relacionado a esto, no consegui que alguien maneje los proyectos en mi lugar y, muy a mi pesar, sigo siendo la cara visible de Open-Sec. Asi no importa que seamos la unica organizacion peruana que tiene 4 hackers de staff y que todos estemos certificados por EC Council y algunos por Offensive Security, GIAC, ISC2, etc. Si los demas no los conocen ni saben de sus certificaciones, es lo mismo que nada.

El desarrollo de la empresa lo resumo en : menos dinero que el año 2009, pero, mejores clientes y de mas renombre.
Una persona me dijo algo : "Lo que la gente ve en Uds. es que son estables a traves de los años". Y es que es bien raro encontrar organizacion que vivan haciendo servicios unicamente y no vendiendo productos y, peor/mejor aun, servicios de ethical hacking.
Pero, se ve que es de extremos ? Poca plata y mejores clientes.
Este año me toco terminar la iniciativa de Ecuador y, sin embargo, llegamos hasta Honduras.
Perú es un medio dificil para hacer negocios de seguridad porque, LAMENTABLEMENTE, aun existen clientes que evaluan subjetivamente basados en cosas el origen extranjero de las empresas, si haces eventos grandes, si les regalan cursos, etc.

En lo familiar, fue lo mismo : pase por la peor de las situaciones en mi vida y al mismo tiempo tengo la mejor familia que alguien pueda desear.
Considero que cada cosa mala da lugar a algo bueno. El problema que afronte me permitio encontrar amigos muy buenos y que incluso me acompañaron en la decision que tome, asi no sea necesariamente lo que ellos harian.

Dado que me propuse no postear cosas personales en este blog, no colocare nombres ni mas detalles y solamente algunas cosas que me vienen a la mente como premisas para el proximo año :
  • Decir la verdad siempre de frente A LA PRIMERA. Mi norma es decir siempre la verdad, pero, muchas veces trato de postergarlo por no aparecer como rebelde o conflictivo. Eso me ha traido incluso reclamos en los ultimos 2 dias por no decir a alguien que solamente queria ayudarlo aunque en realidad no lo necesitaba.
  • Difundir mas los exitos de los peruanos en cuanto foro se pueda dar.
  • Dedicar mas tiempo a mejorar mi estado de salud.
  • Obtener al menos una certificacion de hacking adicional (este año priorize la inversion en las certificaciones de otros, el 2011 es mio!).
  • No participar en eventos donde no haya etica y eso implica no aceptar como sponsors a empresas de dudosa etica.
Finalmente, solo quiero desearle un año 2011 MUY BUENO a cualquiera que lea este post, se amigo, enemigo o lo que sea.

FELIZ 2011 !!!!

Saturday, December 18, 2010

Mea culpa y entrevista en lamula.pe

El jueves participe de LimaHack 2010 y en algun momento de aquellos donde no pude con mi genio, mencione como Operation Payback demostro que para hacer ataques no todo es tema de toolz y que mover a las masas es mejor estrategia.
Incluso, mencione el hecho que en algunos casos no habia que descargar nada sino entrar con el browser, seleccionar el objetivo (de acuerdo a lo que ordenara Anonymous) y listo. Dije tambien que alli habia un buen "chunk" de hexa que era un javascript en base64 (creo que no di tanto detalle) y mencione que eso podia ser cualquier cosa.
Entonces, el MEA CULPA : olvide que yo mismo, dias atras, habia compartido con algunos el hecho que este ataque de DDoS usaba LOIC (tambien se usaron otros similares como HOIC aunque no es tan elaborado y no se encuentran los fuentes a pesar que se anuncia con abierto).
Este LOIC es una tool y por eso el MEA CULPA porque SI hay una TOOL de por medio. En realidad, trate de rescatar el hecho que esta tool permite generar un DDOS con colaboracion voluntaria motivada por la convocatoria por redes sociales (twitter en particular).
Incluso, LOIC tiene un "modo" hivemind que permite entregar la maquina propia a un bot controlado via IRC (al mejor estilo del fenecido proyecto SETI).

Aprovecho este mismo post para comentar sobre una entrevista que nos hizo lamula.pe durante LimaHack 2010 : http://lamula.pe/2010/12/17/hackers-peruanos-wikileaks-julian-assange-lamer-insurance/4042
Hace tiempo que no mencionaba el termino lammer porque ultimamente prefiero llamarlos "iluminados", pero, lo cierto es que me gusto el espacio para desmitificar un poco el asunto.
Por ahi lei un comentario que decia que un hacker no se autocalifica segun Eric Raymond y su definicion de hacker como alguein que investiga profusamente algo y comparte ese conocimiento. Yo mismo durante varios años explique el concepto junto con el glider y decia que un cheff tambien puede ser un hacker en su terreno.
Ja! Pero, hay muchas cosas que no ayudan a explicarse por ser purista y exacto, asi que hacker es un termino referido a hackers de tecnologia, para todo lo demas que vuele la imaginacion.
En lo que si me voy a mantener siempre es que un hacker no debe autocalificarse. Yo soy un hacker etico certificado y lo digo porque tengo la certificacion de C|EH que la emite un tercero (EC Council), pero, tambien soy un Evaluador de Penetraciones Certificado (Certified Penetration Tester suena menos erotico) por GIAC/SANS y es mas o menos lo mismo.
Si no tuviese esas certificaciones diria que soy un hacker ? Seguro que no al igual que siempre aclaro el hecho que no soy ingeniero sino tecnico, asi que, no es un tema de dogmas sino de sinceridad y honestidad con uno mismo.
Claro, si alguien me pregunta si me gusta hackear yo respondere que es lo maximo despues de mi familia. Sexo y musica quedan en la cola al paso de los años.