sábado, 26 de julio de 2014

Empezar desde 0 y ser profesional de la seguridad en 2 meses.

Es algo sistémico: siempre llegan al buzón de correo muchas preguntas relacionadas a cómo empezar en el mundo de la seguridad para dar el paso a la parte profesional.

En muchas ocasiones son estudiantes, gente que está cursando ingenierías tecnológicas, y también hay un nutrido grupo de personas que trabajan en informática (desarrollo / sys admin) que les apetece iniciarse en este apasionante mundo, con la esperanza de convertirlo en su profesión.

Sin duda hay mucha información en internet, muchos blogs, tutoriales, recursos, cursos y libros. Cada uno puede iniciarse como más se ajuste a su forma de mejorar sus 'skills', pero a mi particularmente me gusta seguir un método basado en libros. Creo que es el pilar sobre el que debería sustentarse toda formación. Un libro siempre va a estar ahí, es 'consultable' y se puede leer en modo diagonal (para luego incidir en temas específicos) o leerlo letra-por-letra.

Dado que Chema, a través de la editorial 0xWord, ofrece un montón de interesantes packs de libros, me voy a tirar al ruedo y voy a crear mi propio pack llamado: De 0 a profesional de la seguridad en 2 meses

Ahora que es verano y que a la gente le suele sobrar tiempo, es el momento ideal de aprovechar estos calurosos meses para dar un giro al expediente profesional. Asumiendo el criterio de 1 libro x 1 semana. 8 libros = 8 semanas = 2 meses

Los libros que he seleccionado son bajo criterio personal, los habrá mejores, los habrá distintos, incluso el orden puede variar según gustos, pero, esta es mi elección:

La base: Mucha gente cae una y otra vez en el error de empezar por libros de hacking e intentar dar el 'super salto' de la nada a un libro que hable de SQLI o exploiting. En mi humilde opinión es un fallo, aquí aplica el famoso 'dal cela pulil cela', antes de llegar a lo divertido, conviene tener una formación de base sobre seguridad en sistemas operativos lo más extensa posible. Antes de romper: saber como está fortificado.


Para mi, el mejor libro sobre seguridad en Windows, todos los resortes, mecanismos y el conocimiento necesario sobre cómo funciona un sistema Windows

Una vez estés harto de claves de registro, políticas de seguridad y ventanas, tu siguiente paso es cambiar todo eso por la línea de comandos, una shell y dominar al indómito Linux


¿Te han gustado los sistemas operativos? Todavía te falta un paso más antes de saltar al pentesting: Las redes. Es asombroso la cantidad de personas que llegan a adquirir un nivel muy respetable en pentesting que luego flaquean mucho en temas de red. Por eso, es importante entender cómo funciona IPV4 y el que se presupone será su descendiente IPV6


Momento de empezar a sacar partido a los conocimientos que has adquirido y empezar a conocer herramientas para saber encontrar vulnerabilidades y explotarlas. Relájate, no es necesario que este libro lo termines en una semana, puedes dedicarle un poco más de tiempo. Lo merece


El libro con el que, sin duda, más te vas a divertir. ¿El motivo? básicamente que hoy día hay miles y miles de sitios con este tipo de vulnerabilidades, apuesta a que en tu futura actividad profesional vas a rellenar mil informes con este tipo de vulnerabilidades.


Una vez hayas terminado este libro, sentirás que se te han desbloqueado un montón de conocimientos que, hasta ese momento, pensabas que estaban reservados a un selecto grupo de personas. Ojo ! este libro requiere poner los 5 sentidos.


En este punto deberías tener un conocimiento técnico muy elevado, conoces y dominas la forma en la que un sistema puede ser vulnerable, tanto a nivel Web como a nivel interno. Has usado un buen número de herramientas, pero ... como dice el anuncio: la potencia sin control no sirve de NADA. Y esto es 100% cierto en el mundo profesional. De nada vale tener un ninja si luego no es capaz de tener método y saber ser ordenado mentalmente para rematar un buen trabajo. Este libro te aportará orden mental y formas de presentar tu trabajo con estilo profesional.


Por último, pero no por ello menos importante, creo que es de alta relevancia que un buen profesional de la seguridad adquiera conocimientos de informática forense. Es una disciplina muy 'CSI', en la que se puede desarrollar un alto grado de creatividad.

Fuente: http://www.securitybydefault.com/2014/07/de-0-profesional-de-la-seguridad-en-2.html

viernes, 25 de julio de 2014

Putin quiere controlar TOR a base de talon, de momento 100.000€

TOR ha demostrado ser una auténtica molestia para organizaciones y gobiernos que quieren controlar qué partes de Internet visitamos; de ahí que sea objetivo constante de ataques y que su código esté constantemente bajo lupa. Curiosamente, Rusia ha optado por una opción bastante directa: ofrecer recompensas para el que consiga crackear TOR para obtener información de los usuarios de su red. También es llamativo que solo empresas dentro de la lista blanca del gobierno ruso para trabajar en proyectos secretos puedan aplicar a la oferta, lo que apunta a un uso político de posibles vulnerabilidades descubiertas. La recompensa es de casi cuatro millones de rublos, que al cambio son unos 111.000 dólares o unos 83.000€.

Rusia va a por TOR

Rusia es un país que ha vivido muchas polémicas en los últimos años relacionadas con la persecución de ideas políticas, así como el tratamiento a homosexuales; por su parte los perseguidos han empezado a usar software que garantice el anonimato en Internet, y TOR es uno de estos programas.

Por eso el FSB (sucesor del KGB) ha pedido en varias ocasiones a los legisladores rusos que prohíban su uso; sin embargo, esta oferta para crackear TOR no viene del FSB sino del ministerio del Interior, por lo que puede que el objetivo no sea la represión política.


En vez de eso el líder del Partido Pirata ruso, Stanislav Sharikov cree que el objetivo es la pornografía infantil que abunda en ciertos lugares de la red TOR; eso no quita que si finalmente se encontrase una vulnerabilidad esta pueda ser aprovechada con otros fines. Al fin y al cabo, este mismo discurso es el que EEUU repite para justificar sus propios ataques a nodos de la red TOR, pero en realidad las principales detenciones realizadas hasta ahora se basan en cargos de tráfico de drogas.

Fuente: http://globalvoicesonline.org/2014/07/24/russia-tor-privacy-nsa/

La estafa del USB 3.0

Desde hace unos meses tengo un portatil Asus con tres puertos de acceso a USB (uno de ellos 3.0). Bien, ese puerto casi no lo he utilizado por falta de dispositivos que lo soportasen sin embargo hace una semana que por motivos que no vienen al caso me compre una pendrive de 8Gb de la marca Kingston y que promete ir a 3.0 siempre que y en tanto y en cuanto el pc llevara una entrada USB que estubiera preprarada paea ello.para recibir esa ingente cantidad de datos, ademas son faciles de identificar puesto que la entrada de uno y la salidad de otro son de color azul, bueno.

La Wikipedia dice textualmente lo siguiente:

--USB 3.0 tiene una velocidad de transmisión de hasta 5 Gbit/s, que es 10 veces más rápido que USB 2.0 (480 Mbit/s). USB 3.0 reduce significativamente el tiempo requerido para la transmisión de datos, reduce el consumo de energía y es compatible con USB 2.0-- ¡¡MENTIRA¡¡, ni por asomo este formato llega conseguir esta velocidad, al menos en mis pruebas de concepto: Como veis en la captura la velocidad no se acerca ni de lejos a lo que promete ¿Porque nos engañan de esta vil manera?, en fin.

miércoles, 23 de julio de 2014

Vuelven los clientes P2P con fuerza.

Parece que las cosas han cambiado ultimammente con respecto a las descargas de datos en Internet, si, definitivamente han cambiado y lo seguiran haciendo gracias a dios. Desde que cayo el todo poderoso Kim Dotcom y su super Megasitio de descarga la Big Megaupload (gracias en parte al FBI Americano, todo sea dicho) las cosas han cambiado un "poquito" tiranto a mucho.

Las webs de descarga directa han entrado directamente en barrena y lo mejor o peor (depende del punto de vista) es que esto va para largo. Webs como la propia Megaupload, MediaFire, Rapidshare, File Serve....ect,ect,ect,...estan tocadas y muchas hundidas o "casi" y otras estan simplemente aterrorizadas por lo ocurrido con Mega y por eso Internet que tiene vida propia ha decidido ella mismita volver a sus antiguos fueros los cuales nunca debio abandonar, aunque en realidad nunca se abandonaron del todo y por eso estan volviendo con fuerza ¿A que nos referimos?, pues a los clientes P2P, a clientes como UTorrent.

Es obvio que los ususarios de Internet han decidido coger otro camino para sus descargar y como no podia ser de otra manera los elegidos han sido los clientes de descarga de archivos torrent como Utorrent y la verdad es que actualmente y desaciedo el mito de que van muy lentos, ahora en la actualidad van como un tren desbocado, si no miren esta captura: