Saturday, January 19, 2013

Algunos puntos para los cuales 140 caracteres no son suficientes...Enero 2013

Hay una serie de temas que me tienen hace meses pendiente de escribir y el querido Twitter solo me dejaria escribir a puchitos, asi que aca van, cortos, pero, van :

---> Hackers :

Wow! Parecen conejos! Los hackers se multiplican, sobre todo esos que leen mucho y que saben mucho!
Seguro que alguien dira que yo solo alucino a los de Open-Sec (por años somos el unico equipo de hackers peruanos que solamente nos dedicamos a esto y que nos va muy bien), pero, mas alla de mis "preferencias" por este team, tambien saben que siempre me excluyo de esa elite de verdaderos hackers (tal vez aun arrastro algo de linuxero donde no se aceptan las autocalificaciones y cada que alguien dice que soy hacker, digo : no, solo soy parte de un team de hackers DE VERDAD.
Pero, eso de "leen mucho" es cachoso porque leen mucho por Internet, prueban poco, investigan nada y hasta hacen tutoriales y videos y cuanta vaina puedan hacer para obtener el "reconocimiento popular".
Tambien, eso de "saben mucho" es cachoso porque se afanan tanto en demostrar lo mucho que saben que pierden el sentido basico de cualquiera que este metido en esto : nunca sabras mucho de todo!
Lo que si creo que falta es resaltar a los aficionados y profesionales que si estan haciendo las cosas MUY BIEN sin importar su nivel de conocimientos porque pueden estar iniciando, madurando o perfeccionando.
Tambien, se que alguien pensara, luego de lo que sigue, "claro, es su pata", pero, que diablos! Por que Andres Morales Zamudio no es una mega-estrella del mundo del hacking a nivel internacional si sabe muchisimo mas que varios argolleros que andan pululando por los eventos de hacking en Latino America ?!
Facil respuesta : Andres no se autoproclama genio ni tiene una banda de amigos que lo haga por el, Andres no tuitea frecuentemente, tampoco bloguea re-fritos y menos "crea" toolz refritas ni anda pidiendo que lo inviten a dar charlas a eventos.
Y asi puedo nombrar un buen grupo de gente peruana : Cesar Cuadra, Alfredo García, Mauricio Urizar, Camilo Galdos, Juan Oliva, Hernan Parodi (todos los anteriores son Open-Sec), Fernando Flores, Oscar Martinez, Mauricio Velazco (99.9% still Open-Sec guy), casi todos los que exponen en LimaHack (aunque tambien caen por ahi varios lammers, otros alucinados y otros que se presentan, pero, la charla la hace otro) y seguro me faltan varios nombre, PERO, tambien omito otros varios adrede.
Si, ya se, suena a amargura todo esto, pero, ojo, no es por mi, es porque siempre andamos, los peruanos, alucinando lo que venga de fuera y aunque pasa asi en otros paises (lo vemos cuando nos toca salir de nuestro querido pais), aca es alucinante.

--->Posts re-fritos :

Quieres ser famoso como hacker ? Bloguea re-fritos, osea, esas cosas que ya se publicaron miles de veces, pero, que tu publicitaras como si recien se hicieran, como obras ineditas.
Solamente tomen un momento para buscar en Google textos similares o identicos, no se limiten a buscar en Español, busquen en Ingles y otros idiomas, total, hay traductores everywhere.
Hace poco leia el reclamo de uno de estos "hackers" sobre que otro "hacker" habia publicado cosas suyas sin el debido "reconocimiento", el segundo "hacker" pide disculpas por la omision y a mi me da risa porque he encontrado mas de un texto del primer "hacker" (el ofendido) que son copia fiel de otros posts hechos en Ingles, claro, pone otros screenshots, señal que al menos probo lo que decia el blog original.

--->Hackers certificados :

De hecho que los "balotarios" estan haciendo un buen trabajo, sobre todo en las certificaciones que no actualizan sus bases de datos de preguntas.
Cada vez hay mas gente certificada sin entrenamiento (100% aceptable), pero, sin experiencia previa que determine un nivel de conocimientos como para aprobar un examen de certificacion.
Y ya que la economia peruana es de las mejores, hay dinero para invertir en examenes asi sean caros.
Siento que terminare dando la razon a muchas personas que me decian que el asunto de las certificaciones perderia valor en el tiempo porque lejos de ser un factor de medicion, se convierte en un factor de engaño.
Peor aun cuando hay gente que ya perdio la certificacion y no tienen la honestidad de comunicarlo y aun se presentan como gente certificada.
Por ejemplo, casi nadie sabe que si uno mantiene vigente la certificacion de C|EH, hay un certificado adicional que demuestra dicha vigencia.
Tampoco saben que otros como Mile2 y GIAC mantienen bases de datos publicas donde se puede ver si la certificacion de la persona es vigente o no.


--->Hackeando a los Hackers :

Esta es breve :

1. Debes aprender Linux, no puedes ser hacker usando solo MS Windows, no seas payaso!
2. Debes aprender Ingles, al menos, de lo contrario, como diablos siquiera leeras un readme ?! Menos pensar en modificar la tool o crear una.
3. Debes tener perfil de desarrollador para llegar a un nivel alto, de lo contrario, estaras limitado a ser un buen profesional (osea, hoy haces hacking, mañana instalas un firewall, pasado eres un gerente sin memoria tecnica).
4. Debes leer mucho.
5. Debes investigar mucho.
6. No debes tener horario de oficina.
7. Penetrar no es meterse a un server, es meterse a todos los que puedas incluido el que esta apagado! (medio broma, facil es un server con wake-on-lan).
8. Debes saber mas que tus toolz.
9. Tus toolz son necesarias, aprende a usarlas bien, cuidalas, quieralas, mejoralas, mandalas al asilo cuando creas que ya son viejas (algun dia las podras recoger para darles un paseito).
10. Aceptalo: tendras que trabajar en equipo!

--->Concursos del Estado Peruano :

Estos son mas gracioso cada vez, siempre hacen la lista de Papa Noel, se da el concurso y siempre gana el mas barato.  Teniendo empresas como aquella (viene de otro continente) que se baja los pantalones a cada rato, es facil conseguir servicios baratos.
Solo conozco una entidad donde hay una persona que sabe mucho y una vez que dije algo asi, se molesto porque me dijo que me iba directamente contra el (esa empresita acababa de ganar un concurso en su entidad).  Pero, la cosa es que los tecnico no deciden, aceptenlo!
Ayer y hoy me llaman 2 personas por un concurso en una entidad del Estado donde no quieren que gane el unico postor que se presento.  Como  ?!  Son conscientes de unos antecedentes negativos de dicho postor, pero, nunca se animaron a divulgarlo por ser "polites", por no ser parte de un chisme o porque la hipocresia gana al peruano y siempre quiere ser nice.
Ahora, corren a pedir ayuda para impedir que le den la buena pro a ese postor, que buena vaina!
Leo las bases, no veo el nombre del postor, "miro mas alla de lo evidente" y zas! salen sus siglas, URL, talla del brasiere, talla de correa, etc.  Y ahora no quieren que gane ?! No pues! Dejenlo que gane y exijanle que haga el servicio como debe ser!

--->Algo técnico para no quedar sin demostrar :

No es perfecto, pero, me sirve siempre :

#!/bin/bash
#Uso : xtracthosts.sh dominio wget|directorio archivo_urls
#dominio como acme.com (sin nombre de host ni cname)
#la palabra wget o el nombre del directorio de una descarga previa
#archivo de texto con urls como http://www.acme.com y https://www.acme.com
#Si, en mi desorden, publique primero una version que no es la ultima
if [ $2 = "wget" ]; then
    wget -r --no-check-certificate -i $3
fi
if [ $2 != "wget" ]; then
    cd $2
else
    cd www.$1
fi
url="http|https://*.$1"
grep -R -E "$url" * | cut -d "/" -f 4 | cut -d '"' -f 1 | grep $1 | cut -d "'" -f 1 | sort -u > ../hosts-$1.txt
cat ../hosts-$1.txt
cd ..