DaboBlog

lsb_release -a > Debian GNU/Linux. Por David Hernández (Dabo) ¿Ciframos? GPG Key 0xBC695F37

Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, GNU/Linux, Hacking | Redes, Mi Opinión, Sec Tools

A continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio «almacén de links» ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS, Twitter y Facebook) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 45/2012: (Anteriores).

(Del 5 al 11 de noviembre) Primero van los más recientes.

Criptografía básica: diferencia entre clave simétrica y asimétrica –> http://bit.ly/UBG0On | Por @donnieRock
Critical Bugs In Call of Duty: Modern Warfare 3, CryEngine 3 –> http://bit.ly/UBFqju (DoS, Remote Shell, etc)
Trusted Path Execution – reduce attack vector –> http://bit.ly/UBF3pb | «TPE is a feature presented in Grsecurity users […]»
How should look like almost perfect nagios plugin ? Look at –> http://bit.ly/UBEOui | Source : http://blog.witalis.net
Testing Network And TCP Optimizations –> http://bit.ly/SUTg3l | #SysAdmin
Pentoo 2012.0 Beta3 Release –> http://bit.ly/UBE8oR | «Gentoo-based live CD containing a collection of pentesting tools»
[Post] DaboBlog Podcast, número 38. “Kernel Panic” y “Manzanas Traigo” –> http://bit.ly/ST0qFd
RT @daboweb: [Post]: Disponible Joomla! 3.0.2 y 2.5.8 (actualizaciones de seguridad) http://bit.ly/TxemRv
@Seguridadjabali Android Jellybean bloqueará aplicaciones maliciosas | bSecure
Python for Pentesters and Hackers: Check out the videos and testimonials!
RT @debianhackers: [blog] Hackers&developers http://www.debianhackers.net/hackersdevelopers …
Haciendo lo que más me gusta. Entre terminales, servers (uno comprometido) y trazas de Red. en @apache_ctl -;)
Detecting CSRF vulnerabilities (with the OWASP CSRFTester) –> http://bit.ly/TNqS3K
¿Ya has leído las #reflexiones de @JosebaEnjuto tras el #debate de blogueros en #6ENISE? Aquí las tienes http://bit.ly/PGyNk4
The investigation of LVM2 –> http://bit.ly/Z6aMmR | «Trying to extract partitions from a corrupted disk with no partition table!» […]
Flu ‏@fluproject II CONFERENCIAS DE SEGURIDAD NAVAJA NEGRA – 30 de Noviembre / 1 de Diciembre
Speakers #MkitAyD 12/12/12: @gpresman @holesec @pjanices @identidadrobada @camicelli @chinoogawa @MatiasKatz https://www.mkit.com.ar/blog/angeles-y-demonios/ … Anotate!
MT @oreixa: Este año estaré junto con Dabo y @seguridadjabali en el #FIMP 2012
How To Secure Apache2 With LinOTP –> http://bit.ly/QjQLsH «The Way to set up two factor authentication with one time passwords for Apache2»
How to Prevent Password Encryption Exploits –> http://bit.ly/QjQy8M
Secure Deletion of Data in GNU/Linux (Part 1) -> http://bit.ly/QjQ82j | Part 2: http://bit.ly/QjQ6rm
Managed Web Application Firewall – «Identifying and Stopping Complex Web-based Attacks» –> http://bit.ly/QjPxO7 | #Hacking
MySQL Attacks Self-Detection –> http://bit.ly/QjPfHb
@aetsu Los peligros de un XSS – Un ejemplo universitario: 2º asalto => #0verl0ad #XSS #BeEF
Securing Big Data: «Security Recommendations for Hadoop and NoSQL» [New Paper] –> http://bit.ly/QjNtpx | PDF, 18 pages.
Out-of-date Software Affects Websites Big and Small –> http://bit.ly/QjN1Ya | «We identified more than 6,000 sites […]»
#TYLER, Anonymous y Project Mayhem 2012 (Vídeo): http://bit.ly/SaBDID . Update en @anonymousaction –> http://bit.ly/QjMrtq
RT @jordi_prats: crear snapshot y obtener la posición del MySQL con mylvmbackup: http://bit.ly/QjKZHI
Leyendo a @aramosf en @secbydefault: «Honeypot con Kippo – I» –> http://bit.ly/QjKJbG | #SysAdmin

DaboBlog Podcast, número 38. «Kernel Panic» y «Manzanas Traigo».

Publicado el Por en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

!Hola! volvemos el día 10 tal y como me comprometí en el pasado audio, con un episodio más ligero en cuanto a la duración que el anterior (3 horas, muchas gracias por las más de 1.500 descargas que lleva) y entre Racks (con Forat) y camiones de Manzanas, algún «flame» ligero que no pasa de eso, en una charla entre amigos que compartimos con todos vosotros. Nos volveremos a escuchar a primeros de diciembre.

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

Contenidos incluidos; (Duración 1,49 h)

> Intro (00:00 hasta el minuto 3:40)

(Por David Hernández, Dabo) Presentación sobre este episodio 38 sobre el FIMP 2012.

> Kernel Panic (Minuto 03:42 hasta el 1:14 h)

En Twitter; Dabo y Forat (Diego aka n1mh estará en el próximo).

Este episodio es muy esperando, tanto por la vuelta al micro de Forat tras 3 meses sin grabar, como por la esperada «unión de la fuerza» ;D, contándonos cómo fue la experiencia con el «Rack Project». También nos deja sus impresiones con la nueva versión de Ubuntu 12.10 (la comentada guía del Desktop), desde el interesante punto de vista de un usuario de Unity, sin faltar los inofensivos «flames» entre Androides / Linuxeros y Maqueros que no pasan de algo anecdótico ;).

> Manzanas Traigo (1:14 h hasta 1:49 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En «Manzanas Traigo» nos ha faltado Gorka (está buscándose en algún mapa;) y después del último episodio con 2 keynotes analizadas, tanto Antonio como Óscar dejan unas pinceladas de alguna noticia publicada estos últimos 15 días (salidas y entradas en diferentes departamentos de Apple), sensaciones con el iPhone 5, alguna aplicación, lo que nos trae el último update de IOS, patentes seguimos con los mapas y nos comemos un bocata de «pan de jengibre» con crema de manzana xD, etc. Junto a Oscar Reixa, A. J Pérez y lur.

Seguir leyendo

DaboBlog Podcast, número 37. «Kernel Panic» y «Manzanas Traigo».

Publicado el Por en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

!Hola! Aquí estamos de nuevo, todos juntos, revueltos y en un episodio «record» en cuanto a duración y también de tiempo sin asomarnos a vuestros reproductores de audio. Recuperamos tras el parón veraniego el hábito de grabar y esta vez ha sido Kernel Panic quien ha esperado primero por el lanzamiento de IOS 6 / iPhone 5 y después por la Keynote de ayer (iPad mini, nuevos iMacs, Macbook, etc). Por lo que cuando le deis al «play», habrá algún «salto en el tiempo» y sobre todo a modo de disclaimer como digo en la intro, vaya un «escúchese con gran dosis de ironía» -;).

También, algunos problemas en el audio (Kernel Panic) y otros contratiempos de índole personal o carga laboral que influyen en tu ritmo habitual de publicación han retrasado la «release» . Una vez explicado, os informo que en principio y si todo sale bien, el número 38 saldrá publicado el día 10 de Noviembre con el Rack de Forat y otras historias de Tuxes y manzanas.

Contenidos incluidos; (Duración 2,56 h)

> Intro (00:00 hasta el minuto 04:00)

(Por David Hernández, Dabo) Presentación sobre este episodio 37

> Kernel Panic (Minuto 04:02 hasta el 1:19 h)

En Twitter; Dabo , Diego aka n1mh y como invitado Oreixa (Forat estará en el próximo).

Después de aquel acceso no autorizado que tuvimos en otro episodio, Oreixa vuelve a un Kernel Panic no apto para fans de CentOS ;) y es que, como viene siendo habitual cuando grabo con Diego, (n1mh) se nos ve (demasiado / preocupante;) el plumero con Debian (ya le daremos por cierto un repasillo a algún tema de SUSE Enterprise Server y los problemas que un SysAdmin se puede encontrar si no se han hecho bien los deberes). Vuelvo a recordar el «tómese con las necesarias dosis de ironía» y ahí damos un repaso a cuestiones relacionadas con inofensivos «flames» entre Androides y Fruteros, algún Windows que da más guerra de lo lógico, temas de seguridad y el punto de vista de los tres sobre temas a tener en cuenta si te quieres iniciar en la administración de sistemas.

> Manzanas Traigo ( 1:19 h hasta 2:56 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En «Manzanas Traigo» mucha novedad, tanto en software como en hardware, con las dos últimas keynotes (IOS 6, iPhone 5, nuevos MB, iMac, iPad, y sus respectivos lanzamientos analizados (la de ayer sólo con Oscar para hacernos eco cuando ya estaba el audio listo para publicar), con controversias, opiniones de todo tipo sobre usabilidad, opciones, versiones, tamaños, localizaciones y «cuestiones de situación», actualizaciones (o no !) varias, aplicaciones útiles o no tanto, rumores confirmados (iPad Mini) en la segunda parte del audio (la Keynote de ayer, es curioso escuchar lo que opinamos y lo que al final salió;) y en general, con la gran cantidad de cambios y novedades, os podéis imaginar viendo la duración lo calentito que viene este episodio. Junto a Oscar Reixa, A. J Pérez y lur.

Seguir leyendo

Sem 42/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, GNU/Linux, Hacking | Redes, Mi Opinión, Sec Tools, Seguridad Informatica

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 42/2012: (Anteriores).

(Del 15 al 21 de Octubre) Primero van los más recientes.

@jantonioCalles Informe Flu – 94 -> http://www.flu-project.com/informe-flu-94.html …
@mkpositivo Por si desconectaste el finde: Noticias LOPD 150 http://ow.ly/eEDMk
Extensión PECL PHP para geolocalización –> http://bit.ly/S2Tnr2 (Usando la base de datos gratuita de MaxMind y libGeoIP) | Por @jordi_prats
Mitigating the Wireless Hacking Station –> http://bit.ly/S2RLhd | «I covered an all in one wireless exploit device previously» […]
Si empezáis con Ubuntu o queréis ayudar a alguien a hacerlo, os recomiendo su Guía del Desktop. Basada en la 12.10 –> http://bit.ly/S2JUQt
Buen post de @RooteandoBlog. «Servidor proxy Squid, Sarg y DansGuardian» (en Debian) –> http://bit.ly/S2IDJo
@securizame patrocina el Curso de Perito Forense de la ANTPJI en la Universidad Politecnica de Valencia @lawwait pic.twitter.com/F4USgTq7
11 Basic GNU/Linux Nmap command Examples for SysAdmins –> http://bit.ly/VjY9qm
Google announces new ARM-based Chromebooks –> http://bit.ly/S2vj7C | Available from Monday 22 October and will be priced at $249 (3G, 330$)
Prepare your data center for the zombie apocalypse –> http://zd.net/S2tUhv #SysAdmin #BearGrylls #Drugs ;)
Multiply Your Encrypted GNU/Linux Backups with Horcrux / rsync –> http://bit.ly/S2suU6 (For easily managing backups to multiple locations)
Reading.. «Bypassing the Android Permission Model 4: SMS Botnets Based on Malicious Rooting » -> http://bit.ly/S2q1Jr
Para interesados en seguridad y WordPress. (Vídeo) «WordPress Security Hangout» 1:15 min de duración (ENG). –> http://bit.ly/S2plnj
Reading.. «GitHub and HSBC hit by DDoS attacks» –> http://bit.ly/S2nLlk
#Debian Installer 7.0 Beta3 release (os recomendamos darle un vistazo) –> http://bit.ly/S2drtC
Veo que el amigo y SysAdmin @juanatoniofm (por fin;) se anima con su blog. Leyendo: «Mosh Mejora SSH» –> http://bit.ly/S2eUAf
Tras el cambio de Twitter Tools, al final he optado en varios blogs por usar WP to Twitter –> http://bit.ly/S2bRIm (también integra bit.ly)
@troncosoalex Buenas, ya lo hice / hicimos ;) Mira el especial SysAdmin con @gallir –> http://bit.ly/9kWpc0 y el texto de apoyo,
[Post]: 23 y 24 de octubre, Seguridad de la Información en el #6ENISE http://bit.ly/S7JZ7E
Cada vez más, ojo con esos links y privados. MT @TheXC3LL: ¡Cuidado! Últimamente recibo DMs hacia URLs maliciosas vía usuarios de confianza
Recomendable #linuxIO sobre VIM (con @midesweb, @ktzar y @voylinux) MT @deswebcom: Vídeo del Hangout disponible aquí: http://bit.ly/TtlsH8
Para los que me preguntaban por alternativas a Twitter Tools tras el cambio –> http://bit.ly/Ttj7w6 y http://bit.ly/TtjfeV | Por @emfdezdi
Yo, LVM cifrado hasta en fijos (no roban sólo portátiles) RT @fluproject: Cifrar particiones con Cryptsetup y Luks http://bit.ly/Ttg6Mj
Configuración básica de OpenMediaVault –> http://bit.ly/RwbDbw | Por @redorbita
#SysAdmin Sunday 101 –> http://bit.ly/Rwb81c | By @serverdensity
MySQL Performance: InnoDB Buffer Pool Instances in 5.6 –> http://bit.ly/RwaRLN | #SysAdmin
15 Tips to Improve Your Infosec Risk Management Practice –> http://bit.ly/Rwa2SX
Downloading… «CRLF Injection / HTTP Response Splitting» –> http://bit.ly/Rw8NmN | pdf, 18 pages
Reading… «Should/Can/Will Virtual Firewalls Replace Physical Firewalls?» –> http://bit.ly/Rw9P2a
Os recuerdo que vuelve @dragonJAR TV, Episodio 2 –> http://bit.ly/Rw87hf | #Hacking
Leyendo… «¿Dónde meto mi webshell? Métodos inseguros con Shodan» –> http://bit.ly/Rw7hkw Por @chemaalonso
‏@secbydefault [SbD] CCN-CERT: MAGERIT v3 y 17 nuevas guías STIC http://secby.us/T7cUv2 por @aramosf

23 y 24 de octubre, Seguridad de la Información en el #6ENISE

Publicado el Por en Eventos | Prensa, Hacking | Redes, Mi Opinión, Noticias | Actualidad, Seguridad Informatica

6-enise El año pasado como muchos sabéis, tuve la oportunidad de participar en el 5ENISE junto al equipo de INTECO-CERT y otros compañeros (saludos para todos;) en la mesa redonda «Bloggers Seguridad 2011 (mi opinión sobre la experiencia, muy positiva)». Este año, cuestiones laborales y familiares me impiden (al igual que me ha sucedido con la No cON Name, con todo contratado) poder estar allí.

Estarán muchos amigos y grandes profesionales en el evento, (os recomiendo ver el programa) tanto como ponentes en alguna mesa redonda (por ejemplo en el Encuentro Bloggers de Seguridad 2012, si alguien quiere participar o preguntar el hashtag es #6ENISEblogueros), en los diferentes talleres, Plenarias, participarán compañeros del Blog de INTECO, además de algún colega que asistirá como público (aquí podéis ver la lista de ponentes).

Por lo que, en la forma que me sea posible, intentaré seguir algún streaming y estar al tanto a través de Twitter y os recomiendo si tenéis la posibilidad de ir, acudir a la cita en León, (Parador de San Marcos) o seguir al igual que haré yo esta sexta edición del ENISE que tal y como podemos leer en la presentación, tendrá el siguiente eje principal:

Un año más, INTECO pone en marcha ENISE, el Encuentro Internacional de Seguridad de la Información. Esta sexta edición se desarrolla bajo una coyuntura de cambios y oportunidades en los ambientes tecnológicos y de investigación. Cuando las TIC juegan un papel condicionante, dependiente y ya intrínseco a nuestra sociedad, se intuye necesario favorecer su evolución con todas las garantías, y por tanto, con seguridad. Por eso, este año entramos de lleno en la dimensión del ciberespacio y bajo el lema: «La Ciberseguridad: un elemento clave para el futuro de nuestra sociedad».

Además de la «Ciberseguridad» y todo lo que la engloba, se hablará de:

La sexta edición de ENISE, además de las sesiones de inauguración y clausura contará con talleres en los que se debatirán temas de tanto interés como las APT’s (Advanced Persistent Threat), las botnets, la seguridad en movilidad, el reto de seguridad que suponen las smartgrids o las implicaciones de seguridad en los procesos de modernización de la Administración. «Ciberjercicios: un entrenamiento para la ciberseguridad» […]

Desde el Blog de Seguridad de la Información de INTECO, nos llega la opinión de Manuel Escalante (Director General de INTECO), sobre los inicios de este encuentro, ediciones pasadas y la actual.

Mucha suerte a todos con este 6º ENISE y un saludo a todos los amigos que estarán por allí la semana próxima en León -;).

Sem 41/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, GNU/Linux, Hacking | Redes, Mi Opinión, Sec Tools, Seguridad Informatica

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS, Twitter y Facebook) publico regularmente y junto amis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 41/2012: (Anteriores).

(Del 8 al 14 de Octubre) Primero van los más recientes.

Reading…»How to identify the current mode of CPU protection on ScreenOS devices» –> http://bit.ly/QA8Ka6
Reading… «Ettercap and SSLStrip for SSL Hijacking» –> http://bit.ly/QA8cAZ | #Hacking
«How To Set Up An IPS (Intrusion Prevention System) On Fedora 17 » –> http://bit.ly/QA6Vdm (Installing Vuurmuur and Suricata).
UEFI Secure Boot downgraded to PITA –> http://bit.ly/QA6jUX «The Linux Foundation has announced its own solution to the problem of #UEFI«
Reading ..»Qubes 1.0 Review – Absolute Security» –> http://bit.ly/QA5LOX (Fedora 17-based) #Xen
Amazon Web Services upgrades cloud-based GNU/Linux implementation –> http://bit.ly/QA5nQs | #SysAdmin
Reading… «Back up your MySQL databases with this web-based tool, MySQLDumper» –> http://tek.io/QA54oR | #SysAdmin
Reading… «Common Malware Types: Cybersecurity 101» –> http://bit.ly/QA4CHa
Buen resumen de @DonnieRock: «Webs de formación on-line» –> http://bit.ly/QA40kG
Leyendo a @thexC3LL Peticiones HTTP y logs de Proxys : http://bit.ly/QA393u Hotlinking y víctimas vulnerables : http://bit.ly/QA3kvS
Otro buen resumen semanal en @fluproject Informe Flu 93 –> http://bit.ly/QA2wHe
Recomendable lectura semanal RT @mkpositivo: En mi blog: Noticias #LOPD 149 http://ow.ly/2sETJx
@AnonymousAction Forget the paywall and keep fightin’!! #FreeBradley #FreeJulian #Anonymous #WikiLeaks United as One, Divided by Zer0!! Anon has no leaders!!
Con tanto recorte, el despilfarro estatal en licencias de software habiendo alternativas libres, es un insulto a la ciudadanía.
Leyendo la 2ª parte (Applications) de «Defending Against DoS Attacks: Defense» –> http://bit.ly/SOPkRN
Reading… «Defeating anti-forensics in contemporary complex threats» –> http://bit.ly/SOO80H
Cómo cerrar la sesión de Gmail “a distancia” (desde otro dispositivo) –> http://bit.ly/SONGj7 | En @hijosdigitales
Bypassing CAPTCHAs by Impersonating CAPTCHA Providers –> http://bit.ly/QWVdZO | #Hacking
Velocidad. Sofware Libre Rules -;) MT @daboweb: Mozilla solventa bug crítico en Firefox. Versión 16.0.1 disponible –> http://bit.ly/SOL198
Recuerda, si cambias el password vía web en Twitter no olvides pasar por «apps – revocar accceso» (a todas) o FAIL. Lo comenté hará un año.
Sobre Firefox 16 y el bug, Extensiones como DNT+, AdBlock+, NoScript, etc ayudan si sale un «0» Day #Privacidad
(thx @secbydefault) THC #IPv6 v2.0 Released –> http://www.thc.org/thc-ipv6 – new scanning tool, new DOS attacks and more
Herramienta web para testear expresiones regulares en Python, muy útil, http://www.pythonregex.com
RT @lord_epsylon: Hackmeeting 2012: @Hackafou 12-14 Oct. Catalunya. http://sindominio.net/hackmeeting
Reading… «Top 5 security Myths about GNU/Linux»; and their realities –> http://bit.ly/W6687P | #Security
Reading… «30 big data project takeaways» –> http://zd.net/Qf6Dtd
@seguridadyredes Detectando errores #tshark -r pcap -R «expert.group == Sequence && expert.severity == Error» -T fields -e ip.src -e ip.dst -e expert.message
Buscadores de Internet: responsabilidad y cancelación de datos –> http://bit.ly/Vr6N3w | Vía @portaley
RT @vooLive: El #FIMP cambia su sede este año ¡Será en Oviedo! Auditorio Príncipe Felipe 16/17 Nov http://bit.ly/W5W7Yi
CAINE 3.0 Review –> http://bit.ly/W60IKe «is a GNU/Linux dist specially crafted for performing computer (digital) forensics» | #Hacking
Y sigue el show de @jdaanial ;). Parte 12, Módulos y Librerías en servers Apache. Reglas OWASP para mod_security –> http://bit.ly/Rc3fkG
‏ ‏Reading… «Washington National Guard: Model for Cyber Defense?» –> http://bit.ly/Rc2zvH
@DragonJAR Acaba de salir Nessus 5.0.2 https://discussions.nessus.org/message/17996#17996 …
Ojo a este update… RT @daboweb: (Post): [Breves] Disponible Joomla 3.0.1 (actualización de seguridad) http://bit.ly/TrjPPl
Scratch, a programming language for kids –> http://red.ht/OQOkNU (Available in 50 different languages and runs on GNU/Linux, Mac and Win)
‏@IntecoCert Asegurando Joomla! VI: Extensiones de terceros http://cert.inteco.es/cert/Notas_Actualidad/asegurando_joomla_vi_extensiones_terceros_20121009?origen=rs_twitter … #cms
Nuevo libro sobre #BigData y #CloudComputing de @JordiTorresBCN (con licencia CC): http://www.jorditorres.org/nuevo-libro-sobre-big-data-y-cloud-computing/ …
@ObservaINTECO ¿Qué limitaciones debemos poner a la tecnología en materia de privacidad? http://bit.ly/SFxFaF por @javiercao
Tutorial: Getting Started with the NoSQL JavaScript / Node.js API for MySQL Cluster http://bit.ly/ndbnode
Reading… «Recover Your GPG Passphrase using John the Ripper» –> http://bit.ly/WMcZTu
Probando Flunym0us 2.0, escáner de vulnerabilidades para WordPress y Moodle –> http://bit.ly/SJqRNQ (escrito en Python por @fluproject)
@secbydefault [SbD] Raspberry Pi y yo (Episodio 1) http://secby.us/VTSGUB por @lawwait
Android full backup sin root con adb (Android Debug Bridge, en el SDK «platform-tools» ) –> http://bit.ly/SJoF90 | Por @dreyacosta
‏Introducciones a IPv6. Una por @seguridadjabali –> http://bit.ly/UP3AaW | Otra por @dreyacosta –> http://bit.ly/PmbJly

Desarrollo web, sistemas y «emprendedores low cost» ¿estás seguro?

Publicado el Por en Imperdonable, Mi Opinión, Seguridad Informatica, Tecnología, Webmaster

En medio de un mundo de recortes o «precios ajustados a la situación actual» (que suena mejor), hay mucho «emprendedor» de tres al cuarto (al final puntualizo, no se puede generalizar) que pretende poner en marcha un proyecto web abocado desde el principio al fracaso, bien aprovechándose del esfuerzo ajeno, o sin querer pagar a gente preparada en cuestiones fundamentales para la buena marcha de su negocio.

Y así nos va, figuras como consultores (espirituales) que hacen de intermediarios sin la preparación deseada, le dicen al autónomo listillo de turno (perdón, emprendedor) lo que quieren oír. Quizás, ahí radique la primera diferencia, escuchar es un concepto más amplio y para eso tienes que estar preparado a que te digan lo que no te gusta «oír»…

Resulta inquietante ver como proyectos con grandes aspiraciones, toman forma en sobremesas plagadas de conceptos totalmente alejados de la realidad. Creo que la biografía de Steve Jobs (aún no la he leído) ha dejado un legado de visionarios, pero de los que ven visiones muy alejadas de la cruda realidad.

Yo soy de los de Stallman, me van las historias de perdedores y cuando subo a la montaña, no me mato por ser el primero en llegar a la cima. Y aunque no sea un ejemplo a seguir para mi, la mala noticia para esos «empresarios» es que Jobs, sólo ha habido uno.

– «Tengo una idea rompedora, estoy buscando la forma de monetizarla por Internet y se puede poner en marcha casi sin inversión» – (iluminado 1 / Emprendedor – Autónomo de los de toda la vida).

– «¿En serio? ¿de qué se trata? Tengo un contacto de los buenos, montamos la web cagando hostias, controla de todo y anda muy pillado, verás como le interesa – (iluminado 2 / Consultor – espiritual).

La historia continúa buscando un dominio (antes del postre), en el café ya han registrado el Twitter y empiezan a pensar en la cantidad de «amigos» que tienen en Facebook para apoyar su creación. Con la primera copa, uno coge una servilleta y en medio de un estado de clarividencia, empieza a dibujar (todos llevamos un diseñador dentro), mientras el otro no para de decir «lo veo tío, lo veo…», en la última copa se vienen arriba y en sus tweets ya puedes leer el típico «iniciando nuevo proyecto»…

(Se conocen casos en los que junto al dominio, ya contratan un servidor, barato, eso sí, que estamos empezando y total, en el anuncio decía que por 1 €/mes, está todo incluido. Venga, hagamos un esfuerzo y pillamos el de 5).

Después de la «resaca 2.0» y montar un negocio en 3 horas, al día siguiente, uno de ellos (consultor, con mucho espíritu) coge el teléfono y hace la mítica llamada:

– Hola, tengo un proyecto entre manos, estamos empezando tío, pero si la cosa va bien hay pasta para todos. Tenemos todo hecho, el dominio, la web planteada, Twitter, etc, ya te contaré, pero te adelanto que no te llevará nada, meteremos un WordPress y he visto una plantilla que se sale –

El desarrollador que no es tonto, al otro lado de la línea pone cara de «esto me suena» y se toma otro café…

(Mientras tanto, el autónomo ha cambiado a toda hostia sus perfiles y tiene una sensación de angustia hasta que encuentra esa jodida foto de la boda del año pasado en la que aparece con corbata y por fin, consigue ponerla de avatar, hay que dar imagen).

No está de más apuntar que en estos casos, hay un tanto por ciento elevado en los que uno de los iluminados, además es experto en SEO, SEM y administrador de sistemas Cpanel, Plesk y phpMyAdmin…

El desarrollador no lo ve claro y prefiere pasar del tema elegantemente. En otro momento de clarividencia, el consultor (espiritual) le dice al pupilo de Jobs:

– «Da lo mismo, lo monto yo y eso que nos ahorramos» – , el otro dice – «cojonudo, yo voy a ir a un evento de emprendedores a hacer networking», pero primero pasaré por Zara a coger algo de ropa «casual pero formal», eso sí -.

El consultor «consulta» a su cuñado que estudió derecho, sobre el tema legal de la web y controla un huevo, empieza a crear cuentas de correo en el Plesk y como se viene arriba, compra un theme para el WordPress «de los caros» y después de horas de esfuerzo, pone en marcha el plugin del carrito de la compra y consigue entender eso de los menús personalizados… (el emprendedor está negociando duramente con su operadora para conseguir un S3 y un iPhone 5 «por empresa» de forma urgente, después irá al banco para lo de la pasarela de pago y la VISA…).

En una semana ya está todo montado y la «empresa» es una realidad. – «Ha sido duro, pero lo hemos conseguido» – se dicen mientras toman un café (leyendo el Diario Expansión).

En menos de seis meses el sueño finalizó… ¿Cómo acabó? Dejo los 5 presuntos finales a vuestra elección:

1 – Entre tanto networking, salieron dos actualizaciones de seguridad para WordPress, tenían la versión visible y no querían actualizar «por si petaba el diseño». Explotaron un bug y les dejaron K.O. Llamaron al desarrollador y cuando les abrió los ojos, se dieron cuenta que no era algo viable a medio plazo si lo querían hacer bien…

2 – Al consultor «SysAdmin» se le pasó darle al botón de «actualizar» en el Plesk de turno, pero previamente, también se comieron un «micro-update», de esos sobre los que Parallels ni siquiera informa y «los del hosting», les dijeron «algo de unos ficheros .js» que les colaron y un phising de un banco de Brasil, no tenían un backup.

3 – Cuando contrataron el dominio, no se fijaron en que era una marca registrada para Europa y España «había otra web con el «.es», pero joder, era de maquinaria industrial», se lamentó el «emprendedor» que no tenía ni dinero ni ganas para la batalla legal…

4 – Seis meses después, no se pasaban por la web ni los de la familia, gastaban más en enlaces patrocinados por Google «hay que estar arriba» que lo que percibían en concepto de ventas realizadas. Cuando se acabó el dinero, se acabaron las visitas.

5 – Uno de ellos se bajó del carro, (el «consultor») le llamaron de una entrevista para trabajar a media jornada por 400 € al mes y con la intención de ir dándole duro a la web por las tardes, pero entre tanto lío técnico y las facturas, al final consiguió una jornada completa y dejó sólo a su amigo el visionario. No lo encajó mal, le miró a los ojos y le dijo -«bueno, también Jobs lo perdió todo y pasado un tiempo volvió para triunfar ¿no? –

# Disclaimer. Que no se puede generalizar es tan obvio como real es esta historia. Conozco a grandes trabajadores que acabaron siendo destacados emprendedores, algunos «low cost» en cuanto a la inversión en lo económico, pero no en conocimientos y horas computadas. En otro post, os contaré otra historia, la de personas que lo quieren hacer bien desde un primer momento y no dan con la gente adecuada. ¿Sobre el final? irrelevante, lástima de principio…

Sem 40/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, GNU/Linux, Hacking | Redes, Mi Opinión, Sec Tools, Seguridad Informatica

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS, Twitter y Facebook) publico regularmente y junto amis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 40/2012: (Anteriores).

(Del 1 al 7 de Octubre) Primero van los más recientes.

@Liamngls Diez formas interesantes de usar #Nmap http://www.daw-labs.com/diez-formas-interesantes-de-usar-nmap/ …
Currazo ! Grabado podcast 37, sale estos días, en el 38, Forat y su Rack -;) RT @ForatInfo: Rack Project – Completado: http://goo.gl/fb/Ctl3G
invitaciones falsas en LinkedIn (ENG) –> http://bit.ly/QZNJ8o (IMG clara). BTW, no uso LinkedIn, G+ ni FB, harto de invitaciones y círculos
@noconname Publicado el primer listado de ponencias de la No cON Name 2012! Sólo 1 mes para arrancar la 9ª edición! +Info en:http://www.noconname.org
Ubuntu has a bigger problem than its Amazon blunder –> http://bit.ly/QZMBBJ «Sending search queries to Amazon by default is bad enough […]»
¿Sólo? muy optimistas RT @CSOspain: El 67 % de las empresas españolas no está preparado para prevenir fugas de datos http://idg.es/nt126549
@fluproject Localizando contraseñas con Google Hacking y el verbo intitle Enlace.
#Volatility 2.2 Released – Introduced Linux support (Intel x86, x64) – #Penetration Testing and #Security Tools http://shar.es/5Gvb5
@apache_ctl Actualización de seguridad 16 en Plesk 11 (que como veréis, no está en las release notes http://bit.ly/ODDBGx ). Ojo al «microupdate»
.@SophosIberia Sí, os leí, lo del cifrado en Dropbox fundamental http://bit.ly/QHy2VX , pero… «lo único seguro es lo que no existe» ;)
Si usas Dropbox y borras algo en local, accede vía web, haz click en «mostrar archivos eliminados», selecciona y «borrar permanentemente».
@seguridadyredes HTTP para Win -> windump -c2 -As1024 -r http.pcap «tcp port 80 and (((ip[2:2] – ((ip[0]&0xf)<<2)) – ((tcp[12]&0xf0)>>2)) != 0)»
OWASP OWTF 0.15 – The Offensive Testing Framework – #Penetration Testing and #Security Tools http://shar.es/5urVK
The Pirate Bay regresa: «After nearly 48 hours of downtime and a replaced Power Distribution Unit». MT @tpb: http://bit.ly/WikG3o
Nunca sabes lo que te espera «al otro lado»… #Hacking «Using tcpdump To Sniff Web Server Traffic» –> http://bit.ly/QqASNy
Tutorial: The best tips & tricks for bash, explained –> http://bit.ly/SC5qda | «Difficulty: Basic – Medium»
¿Usas alegremente los QR? lee… RT @aetsu: Aventuras y desventuras de Android con QR y USSD => http://bit.ly/T0eAG7 #android #QR #USSD
Bypassing CAPTCHAs by Impersonating CAPTCHA Providers –> http://bit.ly/QWVdZO | #Hacking
@DarkOperator La verificación en dos pasos de Google, desde Chrome y sin la necesidad de un teléfono móvil http://bit.ly/Ptqi5Y
RT @IntecoCert: 3ª edición del concurso de Hacking Ético o Wargame en INTECO http://enise.inteco.es/eventos_asociados … /cc @ENISEINTECO
Y luego me llaman paranoico por navegar en Iceweasel con DNT+, Adblock +, NoScript, sin Java, etc… No pongo la url, pero «cuidado ahí fuera»
@cyberhadesblog RT @_defcon_ DEF CON 20 Updated DVD! http://defcon.org/index.html …
Reading… «Some notes on getting durations in DTrace» –> http://bit.ly/QGYlM9
Open Source Dyslexic Font: http://bit.ly/QGXECx «Developers seem to be prone to dyslexia, or is it that dyslexics are prone to programming?»
Reading the PoC in @packet_storm… «PayPal Cross Site Scripting» –> http://bit.ly/PtAsU9 | CVSS 7.2, remote, Severity: High |
MT @ESET_ES: App gratuita para paliar bug USSD en #Android: http://bota.me/ussd Añado, lectura rel: http://bit.ly/VraVQQ | vía @thexC3LL
Instalación y Configuración básica de Snort IDS + BASE (Basic Analysis and Security Engine) en #Debian Squeeze –> http://bit.ly/Vr8nm3
Buscadores de Internet: responsabilidad y cancelación de datos –> http://bit.ly/Vr6N3w | Vía @portaley
Happy #Hacking -;) RT @Israelmgo: Scripting en Nmap, con NSE (Nmap Script Engine) http://bit.ly/T09YKE
@Seguridadjabali [In]Seguridad Informática: [ReverseRaider] Enumeración de Dominios y Sub-domi… http://calebbucker.blogspot.com/2012/10/revers
«Web Hacking – Módulos y Librerias en Servers Apache – Motor de Reglas de mod_security – Parte XI –> http://bit.ly/T09JiU Por @jdaanial
‏ ‏Muy recomendable RT @DragonJAR: PaulDotCom en Español – Podcast de Seguridad Informática en nuestro idioma http://bit.ly/OLiZqW
@DebianHackers [blog]: Cifrando la partición home en cinco minutos con cryptsetup y libpam-mount http://bit.ly/QzLVCD
#TYLER está llegando… (vídeo traducido: http://bit.ly/SaBDID ). Más info vía @anonymousAction en: http://bit.ly/Sv5WxT #PM2012 #Anonymous
«White House confirms cyberattack» –> http://politi.co/U3kMOY | Técnica, «spear phishing» o el factor humano. Ingeniería Social Vs Militar
Packet Storm New Exploits For September, 2012 –> http://bit.ly/U3eUVV (256 exploits added. tgz, 609 KB)
@secbydefault [SbD] Libro: Esquema Nacional de Seguridad con Microsoft http://secby.us/Vhhs0B por @lawwait
‏@daboweb (Post): Publicado en Daboweb, Septiembre 2012 http://bit.ly/Sxoid3 (Seguridad).