miércoles, 23 de marzo de 2011

"El Conocimiento Cuesta"

Hace un par de días, encontré un muy buen blog con un post donde hacían alusión a una frase "EL CONOCIMIENTO CUESTA", esta frase podría ser desalentadora para muchos, creo que si hubiera recibido una respuesta como esa en mis inicios, sería algo tan desalentador como: "SI NO TIENES PLATA PARA ESTUDIAR, ENTONCES ESTUDIA EN OTRO LADO".

Y es algo que podría frustrar la sed de conocimientos de cualquiera...

Sin embargo, hoy casi 15 años después, quiero compartirles mi percepción de aquella frase que titula nuestro post...

Si alguno de ustedes mis queridos lectores y amigos, ha entrado alguna vez al mundo linux, y creo que a muchos de los mundos en tecnología y seguidad de la información, luego de hacer una pregunta ha recibido una respuesta tan poco "elocuente" como "RTFM" (que en castellano sería algo como Lee el maldito manual), probablemente no supo que significaba, o tal vez lo busco en internet (como yo la primera vez), y seguramete como a mi, les dió mucho coraje por que les estaban diciendo en otras palabras, "andate a leer y no preguntes tonterías"... recuerdo que odiaba aquella respuesta, me enviaban a revisar un manual que tenía miles de líneas, que me iba a quitar mucho tiempo y la verdad… QUE FLOJERA LEER TODO ESO…

Si es cierto, da flojera, sobre todo es un problema leer cuando entiendes la cuarta parte del texto por que hacen referencia a muchísima información que no sabes de que se trata y que en lugar de brindarte respuestas, lo que hacer es generarte otro mundo de dudas...

Hace mucho, un buen amigo me explicó su método para leer, que la verdad puede sonar denso, pero la verdad me ha servido mucho en estos años... cada vez que empezaba a leer un manual, un texto, un blog, un título y me encontraba con algo que desconocía, no se, una palabra, una tecnología, en fin lo que fuera... bajaba un nivel... que significa esto... empezaba a leer sobre este tema que desconocía, haciendo una pausa en el nivel anterior. De repente si me encontraba con otra cosa nueva, volvía a bajar otro nivel, y así los niveles que fueran necesarios, hasta que comprendiera todo el concepto... luego regresaba al nivel superior... y continuaba mi investigación... pues la verdad que si... suena a un trabajaso... suena a que no vas a terminar de leer nunca, saben que alguna vez llegué a bajar como 8 niveles, es mas, en el camino me encontré con otros temas mas interesantes así que empecé a leer de 2 temas en paralelo... una experiencia super marciana... pero la verdad que me enseñó muchísimo... por que cuando regresaba al texto anterior, no sólo sabía a que hacían alusión, si no que comprendía su aplicación, tenía ejemplos, y hasta podía darme cuenta a veces si lo que decían era verdad... recordemos que no todo lo que leemos es necesariamente correcto, si no preguntenle a Colón... ;)

En fin... esto en lo personal me ayudó a complementar algo que antes no tenía, y saben que es? me dió una base... me dió una base sobre un conocimiento que antes no sabía que existía, y me hizo saber mas sobre las cosas, me hizo mas sabio, y con eso de que el conocimiento es poder... por que no "mas poderoso"... esa sed de conocimiento, esa sed por entender las cosas, esa sed es la que me motivó...

Pues aquí me encuentro hoy luego de mucho tiempo de haber pasado por linux, unix, windows,mac, luego de haber pasado por miles de hobies, de intereses, y demás... y ahora dedicado a los temos de seguridad de la información, la verdad que entiendo que querían decir con esa frase de “el conocimiento cuesta”...

Desde mi humilde y quizá errado concepto, creo que no se referían al tema material necesariamente, se referían al esfuerzo, tiempo y dedicación que hace que el conocimiento adquirido tenga un valor,

Cada vez que alguien me respondió con un RTFM, lo que quería no era que tenía flojera de darme la respuesta o que no la sabía (al menos me imagino que no en la mayoría de los casos) lo que hacían era enseñarme que en este mundo no hay un manual de como hacer las cosas en 5 pasos sin tener un entendimiento total del problema… cuando escuchaste “el conocimiento cuesta" probablemente es por que buscabas respuesta a tus interrogantes y no el camino para llegar a la respuesta…

Creo que el conocimiento cuesta, debido a las horas, días, noches, el esfuerzo, la frustración y el sentir de lograr tus objetivos, de obtener tu primer root, de ingresar a tu primer sistema, o de explotar tu primer vulnerabilidad, así como antes fué el instalar mi primer linux, o levantar mi primer sevidor web, como fué mi primer kernel panic, o el primer pantallaso azul por andar jugando con debuggers… aquel programa que no hacía lo que tenía que hacer… y la satisfacción de hacer que funcione correctamente… creo que a ese costo hacían referencia, al menos es a ese costo al que yo haría mención… es el costo que me dió en lo personal caracter… que me enseñó que el conocimiento está ahí… y que no hay imposibles… y como dijo un buen amigo, el asunto está en cuanto tiempo te va a lograr superarlos…

Así que cuando les digan que "El Conocimiento Cuesta" ya saben que significa... y cuando les responda RTFM, ya saben que quiero decir ;)

Un abrazo y seguiremos conversando...

Juan Pablo.

martes, 22 de marzo de 2011

LimaHack@UTP... Les prometo que es la última... jejeje

A pedido del público (la verdad ya no se de que público, a mi me pidieron que participara, y yo dije que si jejeje)...

Al parecer nuestros amigos de la UTP nos han solicitado una réplica (esta es la última que replicamos mi charla en Lima, se los prometo)...

Pero así como en el LimaHack tuvimos ciertas "mini cambios" desde el que fué en la UPC, luego el de la UNMSM, esta vez también tenemos algunos cambios...

Veamos...

de la versión UPC a la versión UNMSM tuvimos por ejemplo, que las virtuales de Andrés con su charla phd en metasploit funcionaron todas sin excepción, en todas explotó y logró linea de comandos, pantallazos, root, es mas hasta le dió tiempo para puentearse el antivirus, y creo que hasta se colgó un windows 7 y le dió tiempo para volver a intentar el exploit (que puedo decir, es la vehemencia de nuestros expositores...)

Otro cambio fué de mauricio por mauricio, a que me refiero... de la versión UPC a la versión UNMSM tuvimos un cambio de Mauricio Urizar a Mauricio Velazco los cuales no sólo cambiaron de apellido, si no que también cambiaron de expositor (bueno era obvio no?) y de exposición... en la cual nuestro amigo Mauricio Velazco nos deleitó con una charla de lo como hacer un exploit desde encontrar la vulnerabilidad, en si hizo 2, uno que fué como hacer un exploit para una vulnerabilidad local, y otro para una vulnerabilidad remota, y todo desde un GDB, en lo personal yo soy mas de usar Immnunity, OllyDbg para esas cosas, incluso en linux usaba EDB por la mala costumbre y dependencia a la interfase gráfica...

Y pronto prometo sentarme a ver IDA o DDD para su versión linuxera, pero no nos vayamos del tema...

La cosa es que empezó a hacer todo el trabajo desde el fuzzing, el overflow, la generación buffer, el payload, la explotación, y como consecuencia la shell rooteada...

Muy interesante sobretodo considerando que fué demo en vivo, hay veces que murphy se encarga que estas demos no funcionen como deben... este no fué el caso... super buena esa charla la verdad... sobretodo para aquellos que quieren dejar el script-kidismo y pasar a algo mas interesante que algún RFI o un SQL Injection clásico (sin ofender a los presentes ;) jeje)...

y bueno, yo si les dije lo mismo, pero les conté un par de cosas mas por ahí... y para variar metí mi cuchara en el tema de miguel febres, cuando le hicieron la consulta sobre como reversar routers, y bueno, en si su consulta era mas por el lado de no reversar, si no de hacer cosas nuevas con el router, así que por ahí conversamos un poco de arduino con el público, en abril llega mi pedido a Lima que está en casa de unos parientes en el país del norte, y les prometo que les compartiré la experiencia y si puedo alguna presentación... (se aceptan donaciones... placas arduino, shields, osciloscopios, multímetro decente, en fin...)

ahhhhh si... también hubo cambio de presentador de último minuto, lastimosamente no pudo estar nuestro amigo Walter Cuestas quien es el presentador oficial del limahack, quien me pidió que fuera el maestro de ceremonias, la verdad que no se si lo hice bien, pero me divertí... espero que ustedes también... ahora... les aviso para los amigos de la UTP, si se vale reir ah... (en la UNMSM debo decir que estuvieron un poquito parcos pero se soltaron al final)...

mmm veamos... que mas... ah si....

En esta oportunidad hubo un Capture the flag... la verdad bastante bueno... tenía 5 equipos de objetivo, doom total... "pwn all the stuff" lastimosamente sólo pudieron ownear uno de los equipos y las reglas decían que para ganar había que ownear mínimo 2. Así que se le otorgó un premio consuelo al amigo que logró ownear sólo 1 equipo... En fin cosas que tiene la vida...

Bueno... pues para esta edicion tercera del limahack y última repetición, al menos es lo que hemos acordado para poder hacer la próxima edición en el segundo semestre del año si mis cálculos no son incorrectos...

Pues esta edición trae algunas novedades... y algunas figuritas repetidas... jejeje

Pues tendremos a nuestro amigo andrés con el phd en metasploit, la verdad que no me cansaría de ver esa charla... super buen material, casi todo es demos... vale la pena llegar temprano...

Luego estaré yo con la acostumbrada charla de lockpicking, pero esta vez voy a incluirle un poco de forense con lockpicking debido a algunas de las consultas que me hicieron vía correo electrónico... y por ahí vamos a ver si hacemos algo de lockpicking práctico o algo así... no se... veremos... (siempre digo lo mismo y no lo hago... así que ya saben, si les interesa vayan a escucharme de nuevo... jejeje...

Y la charla de mauricio de "tumbandose a Linux" creando exploits para linux, desde linux, la verdad que super completa... si ya la vieron, practiquen y lleven sus preguntas, o escuchenla de nuevo por si se les pasó algo...

y si no la han visto, no se la pierdan esta vez...

y también tendremos a nuestros amigos del CTF, quienes explicarán en que consistió el reto del CTF, y algunas de las maneras de como ownear el CTF... Esta charla es nueva en el repertorio...

Así que si no se la quieren perder... no se olviden de ir ESTE SÁBADO 26 de Marzo, en la UTP... a las 8:30 AM (sean puntuales por favor) que empezaremos así no hayan llegado... jejeje

Mayores informes: AQUI

martes, 15 de marzo de 2011

Una wiki que podría interesarles...

Como algunos sabrán... y otros como yo, no (al menos hasta ahora), la palabra wiki es una palabra que proviene del "hawaiano" que significa "Rápido", (ahora comprendo lo que quieren decir con wikipedia)...

En fin... Hace unos días, revisando entre foros, google, algunos blogs amigos entre otras cosas, encontré que los amigos de backtrack, han sacado una nueva Wiki la cual creo que será de mucha utilidad para ustedes...

La intención de los amigos de Backtrack, es cubrir las preguntas mas comunes que tenemos los usuarios de este completo Linux LiveCD.

Algunos de los temas que podemos encontrar están relacionados con temas como:

Customización, aquí encontrarán ayudas para lo que es instalación de esta fabulosa distro, así como algunas consideraciones que podrían tener en cuenta para hacer mas "suya" la instalación de esta distribución.

Wireless Drivers, todo lo referido a este tema que llega a complicarnos la existencia a mas de uno sobre todo cuando no estamos seguros de las capacidades de inyección de paquetes de nuestra tarjeta de red.

Hacking VoIP, en donde encontrarán una completa publicación sobre mucho de lo que tienen que saber con ejemplos bastante ilustrativos.

Estos y otros temas podrán echarles un vistaso en esta wiki... si bien no tiene mucho tiempo, la verdad que las publicaciones que podemos encontrar ahí están super interesantes... esperemos que siga creciendo la cantidad de contenido...

Y tengan presente que estos modelos de publicación son modelos colaborativos, así que si lo creen conveniente, ustedes también podrán publicar sus aportes en este lugar... como dice el dicho: "el cielo es el límite..."

Estamos leyendonos...


Nota: Por si no encontraron el link en la palabra wiki en el segundo párrafo de este post, se los dejo aquí para que no lo pierdan de vista:

Backtrack Wiki


Un abrazo

Juan Pablo.

lunes, 7 de marzo de 2011

Blog Update... 07 Marzo 2011

Como sabrán algunos, de hace algún tiempo atrás he reactivado este blog que tenía bastante abandonado, hoy estoy tratando de compartir algo del trabajo que he hecho como parte de mi trabajo en el rubro de la seguridad informática y de la información. Estoy subiendo poco a poco mis presentaciones que he preparado en los últimos años... y cada vez que puedo hacerme un tiempito, trato de complementar con algún tema que me parece relevante, y comentar algo al respecto... por ratos también trato de compartirles algunas noticias que me parecen curiosas...

Por lo pronto, estoy pensando empezar a twitear, así que probablemente esos comentarios de las noticias se puedan convertir en twiteos... (aún no he decidido embarcarme en aquel mundo de compartir tus actividades con el mundo... pero puede ser algo interesante).

En fin, si les interesa ya saben donde encontrarme...

Es escrito por mi, Juan Pablo Quiñe Paz, un peruano fanático de la tecnología y que vive y respira pensando las 24 horas del día en seguridad de la información... Hoy humildemente con poco mas de 2300 visitas a la fecha, super gratificante saber que puedo compartir con ustedes mis dos centavitos... y por ahí mostrarles algo nuevo en el tema de seguridad, o tal vez un punto de vista diferente...

En esta oportunidad he incluido 2 secciones dentro del blog...

La 1ra, la de incluir la opciòn de seguidores, por que voy a reducir los mails de recordatorio para no incomodar a los no interesados, así que si les interesa enterarse de las novedades en mi Blog, les sugiero que se inscriban para por ahí les avise de los updates y los nuevos posts.

Y la 2da, va mas por el lado de las Trivias, así que como podrán ver en parte de las opciones que aparecen en el blog en el lado derecho... y a fin de darle un pequeño espacio divertido dentro del mismo, he iniciado el día de hoy, una "simpática" encuesta sólo para geeks (la verdad que hay que ser geek para identificar sin la ayuda entre paréntesis, a quienes me refiero en las opciones de respuesta)...

En esta oportunidad, la pregunta es...

"Cual es la corporación mas malévola???"

Denle una mirada a las opciones de respuesta...


Por si acaso, para los asiduos al blog, últimamente no he estado escribiendo en el blog, por que se me juntaron 2 sucesos uno importante, y el otro demandante de tiempo... el fallecimiento de mi abuelo paterno, y mi mudanza de depa...

Como se imaginarán, sobre el abuelo, es una pena que nos afecta, pero toca comprender que es parte del proceso de la vida, estamos aquí con un fin... y de alguna manera nuestras acciones son las que muestran un reflejo de nosotros... en su caso, fueron 95 años bien vividos, en los cuales con su ejemplo me enseñó valores, me enseñó a ser correcto, a querer a su familia, y a compartir con ella sus muchas historias que el contaba... ademas me llenó de orgullo cada vez que en algún momento me cruzaba por la vida con alguien que lo conocía y me compartía su respeto y admiración por su persona...

Si bien su partida para estar al lado del arquitecto del universo me dejan una gran pena ... me dejan un bonito recuerdo en la mente y el corazón...

Y con respecto a la mudanza como se imaginarán... las tardes y noches últimas han pasado de colgarse a la máquina... por cargar cajas, y desempacar cosas...

Pero eso ya está terminando, así que los invito a seguir visitando el blog, que trataré de mantenerlo con constantes publicaciones y demás...

Bueno, eso es todo amigos ... no los distraigo mas...

Estamos conversando...


Juan Pablo....

viernes, 4 de marzo de 2011

Formas distintas de "concientizar" a nuestros usuarios finales

Navegando entre webs, links y tweets, me encontré con esto que me pareció super interesante:

http://www.nakedpassword.com/

Por lo que pude ver es una web en la que presentan una forma de convencer a tus usuarios a usar un password complejo...

Lo que han desarrollado es una pequña aplicación que se incluiría como parte del código de acceso a tu aplicación...

en la sección de password, aparece una chica (a la que llaman Sally) y cuando tu password empieza a subir el nivel de complejidad, "Sally" empieza a despojarse de sus prendas...

Algo bastante simpático y básico (consideren que la gráfica es tamaño ícono de pc) en la "campaña" de la concientización de los usuarios finales...

Me pregunto como harían con un sitio para niños?
ponen a barney, y empieza a bailar? mientras mas complejo el pass?

y uno de adolecentes... aparece barney, y lo empiezas destruir de manera "simpática" al mismo personaje a medida que haces tu web mas compleja... jeje... que entretenido...

Y como sería una web de emos :S mejor ni me imagino...

Mejor pensemos en una de partidos políticos...
Se imaginan? Una cuerda en el cuello de tu "candidato favorito" a la presidencia y mientras se vuelve mas compleja tu contraseña, lo vas ahorcando... y así de a pocos... se le sale un ojo, y luego el otro ojo... y al final la lengua y aparecen unas "X" sobre los ojos (cual anime)...

Me pregunto de que tamaño pondrías tu pass....

En fin... creo que la idea está super buena... y como vemos... las ideas que podríamos utilizar para volver mas "compleja" tu contraseña, son infinitas... Imágenes parciales que se van descubriendo... respuestas simples a preguntas complejas que aparecen de a pocos...

Todas estas ideas con el afán de pensar en una forma mas "amena" de aplicar buenas prácticas de seguridad...

Pero en lo personal creo que ya el tema de las contraseñas por si solas, cada vez son un factor menos seguro en el tiempo, empiezo a creer que la utilización de tokens, como serían los tipo tarjetas de coordenadas, o tokens (como los de RSA disculpando el cherry...) donde aparece un número aleatorio que cambia cada minuto, se van convirtiendo en una necesidad constante...

Como dice la teoría, existen 3 métodos de autenticación:
Lo que sabes (por ejemplo: un password)
Lo que tienes (por ejemplo: una tarjeta, un token)
Lo que eres (básicamente algo biométrico: el iris, una huella, tu voz, la forma de tu escritura, en fin)

y últimamente la tendencia a "donde estás" como un cuarto método o factor de autenticación...

Normalmente la recomendación es utilizar mas de un factor de autenticación... creo que el pensar en algo random, para evitar cosas como los "keyloggers" (capturadores de contraseña), o "shoulder surfing" (observar por el hombro lo que tipeas)... es una buena forma de protección... pero en fin... es una buena iniciativa... y vale la pena compartirla...

Reseña del Lima Hack@UNMSM

La verdad antes que nada quiero agradecer a todos los asistentes por su participación... la verdad que tuvimos una asistencia bastante considerable... esta vez tuvimos un auditorio para 200 personas... y la verdad que ha sido muy grato ver la participación de la gente...

De repente les sonará tonto... pero es muy loco como se siente que la gente se empieza a soltar, y como el nivel de la gente empieza a subir... y ustedes dirán... este loco como aluscina no? pues saben cual es mi indicador para ello? simple, el nivel de preguntas que se hacían...

Poco a poco vas encontrando gente que conoce del tema, vas encontrando gente que está incursionando en los temas que tratamos, o incluso gente que conoce del tema, y empieza a cuestionarse las preguntas que probablemente muchos de los expositores como yo nos hacemos...

Es super interesante sentir como poco a poco esta movida que son las charlas del limahack están teniendo una acogida entre nosotros...

Una cosa que inconcientemente queremos decirles, (y con el temor de parecer xenofóbico), es que les estamos mostrando a muchos de aquellos incrédulos muchachos (como nosotros alguna vez lo fuimos) que hay un mundo mas allá... y que no es necesario ser extranjero para conocer muchos de estos temas... tenemos las mismas facilidades... y si en algún momento nos estancamos... hacerles sentir... que no están solos... que hay gente como ustedes que les gusta este tema... que no es un camino fácil... que el aprendizaje nunca acaba, que se requiere de constante investigación de constante curiosidad, y de mucha dedicación...

Es un rubro en el cual lo que aprendes hoy, probablemente en unos años (o tal vez en unos meses) estará obsoleto...

Pero no es para desanimarlos... es para hacerles entender... que el camino si bien no será fácil... tendrá muchísimas recompensas día a día...

Esto es parte de lo que desde mi humilde y quizá errada opinión (IMHO como se dice en inglés)... creo que está dándoles indirectamente estas charlas...

Y bueno... a los expositores, nos encanta hacerlo (las charlas... lo otro también... jejeje)... nos encanta compartir un poco de lo que hacemos, con gente que le gusta, lo entiende, o quiere entenderlo...

Esperemos que continúe el apoyo, y que cresca la participación de los asistentes...


Bueno... sobre las charlas... que les puedo contar...

mmm veamos... tuvimos una pequeña baja con Cesar que no pudo estar en el evento, lamentablemente el trabajo y los problemas logísticos lo dejaron varado en el norte de nuestro país... pero sabemos que estará con nosotros en otra oportunidad...

luego una charla super interesante con Andrés Morales sobre Metasploit... jugando con los muchos módulos haciendo y des-haciendo payloads, meterpreter, puenteando antivirus y una que otra cosita mas por ahí... bueno... debo comentarles una cosilla, la vez pasada en la charla de LimaHack Andrés tuvo muchos problemas con sus virtuales y no pudo hacer todas las demos en vivo, esta vez le funcionó todo... así que los que creyeron que ya la habían visto... se la perdieron... estuvo muy buena...

Luego la charla de Miguel Febres, que a pesar de haberla escuchado la vez pasada (esta si era repetida pues... que les puedo decir)... igual uno siempre encuentra y descubre cosillas que dejó pasar por alto la vez anterior...

Luego vino la charla de este humilde servidor... que la verdad que me fué difícil... este público no rie fácilmente... y creo que me pareció ver a uno que otro tomando apuntes... y otro haciendo su pedido de lockpicks en línea... jejeje... espero que se hayan divertido con ella... la verdad que el lockpicking es un tema en el que he incursionado de hace poco tiempo... pero no termina de facinarme... (y bueno... de desfalcarme el bolsillo a veces... :p jeje)... la verdad que es un mundo nuevo que me parece super interesante, y me permite considerar mas variables al momento de diseñar mis estrategias de seguridad (o al momento de comprar un candado, o una chapa para una puerta...) en fin... un rubro mas al cual dedicarle un tiempito del día...

Y finalmente la charla de Mauricio Velazco sobre explotación de vulnerabilidades, estafué una nueva charlar que no estuvo en el evento anterior... sobre exploits locales y remotos... partiendo desde cero, haciendo fuzzing, y llegando a lograr línea de comando en ambos casos...

Bastante didáctica, y bastante completa la verdad...

Por ahí tenemos rumores que repitamos por tercera y última vez seguro con algunos upgrades y ligeros cambios... pero la escencia se mantiene...

Seguramente la tendremos a finales de marzo para luego hacer un upgrade para la charla dl limahack 2011 oficial que aún no tiene ni tiempo, ni expositores ni fecha conocida... así que a aguardar que nos depara el tiempo y el destino...

Un abrazo y sigan participando y apoyando esta movida que son las charlas Limahack (ojo... y seguimos esperando que se concreten las invitaciones de provincia...)...

Salu2

Juan Pablo.