Hola amigos !! Aquí estamos con nuestra despedida de 2011. El cambio era inevitable y todo llega, el (lamentable) pasado especial fin de año, con Oreixa y yo cantando, ha sido superado por el gigante de Redm…El nuevo paradigma se ha hecho presente y la profecía se ha cumplido…Los Mayas tenían razón.
Este audio va dedicado en particular con todo el cariño para Gorka Lasa (lur) que no ha podido estar en los últimos audios (tampoco AJ que os manda un feliz año nuevo) y en general a todos vosotros que sois cojonudos. Con la confianza de saber que estaréis ahí en nuestra nueva etapa ;D. Sobre el 2011, por cierto, ya escribí algo ayer.
Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.
Aquí, en nuestro punto de encuentro, byte a byte, en nuestro medio natural, En una Red casi «insostenible», por culpa de algunos que llegan con leyes para querer sostener lo que se sostiene por si sólo. Una red necesariamente descentralizada, libre y sin censura, con el control sólo justo y necesario para hacerla habitable. Concepto el de «justo y necesario» un tanto abstracto para gobernantes «injustos e innecesarios».
No con los excesos que provienen de histerias colectivas (o de colectivos histéricos) que sólo buscan querer frenar algo que de por sí no tiene freno. Querer disfrazar actuaciones deplorables en contra de nuestras libertades y derechos civiles, en forma de «los chavales de las descargas» o los del «todo vale» es tan simple como vuestras propios argumentos y tan vacío como el conocimiento del ser humano que demostráis con vuestras absurdas leyes y actitudes.
Así que, a pesar de todo, muchos seguiremos alzando la voz cuando queráis callarnos, de La Red somos y aquí nos encontraréis.
# Y hablando de mi…
A todos los que tanto me aportáis día a día, en cualquier medio electrónico o humano, muchas gracias por ese apoyo y calor que he recibido en un año 2011, que empezó para mi cuesta arriba y que en lo personal y laboral, acaba mucho mejor de lo que podría pensar. Un abrazo fuerte en mi nombre y en el de todo el equipo del Podcast porque también este es su blog, a por el 2012 ! con un par (de copas y cojones;).
Casi en la línea del final de un año en ciertos aspectos para olvidar y pensando en «a ver qué pasa» en 2012, aquí estamos con nuestro podcast nº 34. De nuevo, muchas gracias a todos por el apoyo constante, las ganas y ese «feedback» que nos llega desde diferentes medios.
Por supuesto a mis fieles (salvo lur, que una vez más nos falla, a ver si se asoma un día de estos;) compañeros de micro. Y feliz año nuevo si no nos escuchamos antes!! (que igual grabamos un lamentable «especial fin de año» como el pasado pero sin cantar, ojo !
Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.
Contenidos incluidos; (Duración 2,07 h)
> Intro (00:00 hasta el minuto 03:54)
(Por David Hernández, Dabo) Presentación y comentarios sobre este episodio 34.
Como es habitual cuando grabo con Diego, (n1mh) entramos a tope con «el estado de nuestras Debian» y lo que está sucediendo con GNOME 3, KDE, etc y ciertos problemas a nivel de escritorio según versiones y ramas instaladas. También de Ubuntu y Unity (una vez más). De «aptitude», también de «alien» y la gestión de paquetes, navegadores… Linux Mint, Fedora, Linpus, sobre «comandos y sistemas». Noticias de actualidad (Java, Linex y su lamentable abandono, nuevas distros y releases , servidores web, clientes de Twitter, Android, etc) .
En «Manzanas Traigo» (y van…creo que 3) Gorka Lasa (lur) no esta, no dejaremos de repetirlo ;D, Hablamos de hardware (algún problema de placas lógicas y Macbooks, novedades, rumores, etc), también sigue siendo noticia SteveJobs y el negocio que se continúa haciendo a su costa, además de su biografía, del tema de Carrier IQ, aplicacionesIOS, iMessage (uso correcto y algún bug), iTunes Match, opinión en general, etc. En este «33» Junto a Oscar Reixa, A. J Pérez.
Mucha gente me pregunta habitualmente acerca de qué aplicaciones pueden usar para iniciarse en el mundo del «Pentesting» (Tests de penetración o intrusión, en sistemas remotos normalmente y también en entornos locales), no está de más recordar que las herramientas son muy importantes, pero sólo son un medio, no un fin.
Lo que sucede con estos temas es que la realidad aquí casi siempre supera a la ficción, o a esa parte en la que el típico scanner de turno, revela unos resultados negativos para el host analizado. A partir de ahí, comienza una labor que va mucho más allá de las gráficas de Nessus por citar un ejemplo.
Si hablamos de pruebas «a ciegas» (sin acceso local al sistema a analizar), ciertos banners, huellas o «fingerprint» del sistema operativo, servicios y versiones corriendo en la máquina, pueden estar modificados y hay que saber discernir entre los «falsos positivos» y la realidad. Puede suceder lo mismo con la topología de la red cuando intentas hacer un esquema de ella.
En el caso de un test con acceso físico o remoto a la máquina o red a auditar, te encuentras muchas veces con situaciones en las que tal y como comentamos Sergio Hernando y quien suscribe en un podcast especial sobre seguridad (habrá otro), en ocasiones no es posible parchear y parar un entorno en producción ya que ahí suele prevalecer el «uptime» y la productividad frente a la «posibilidad de» (que suceda algún desastre informático).
En el día a día de mi labor como consultor freelance y de la que llevo a cabo como responsable del área de hacking ético en APACHEctl, creo que lo que más cuesta, es hacer llegar bien el mensaje. Un buen estudio previo de los problemas y necesidades de la empresa, conseguir llegar a las personas adecuadas, ponerte en su lugar y no pretender que las cosas se hagan como a ti te gustarían, sino como realmente son (que sí, no somos los protagonistas) y cuando acabes tu trabajo poner en marcha un plan de actuación adecuado, es fundamental para que tu análisis no caiga en el olvido. Pero eso sí, actúa siempre con valentía y defendiendo tu trabajo y profesionalidad.
Algunos podrán pensar «bueno, yo he cobrado mi auditoría, he reportado y ahora ellos verán«. Craso error, si no das un valor añadido y las medidas necesarias a poner en marcha no se llevan a cabo, considéralo un fracaso ya que sí, habrás cobrado, pero será difícil que vuelvan a llamarte, tu informe quedará como un «ahh sí, algo hicimos con ellos pero no sirvió para nada». Esto no quiere decir necesariamente que hayas hecho mal tu trabajo, sino que no ha sido lo que tu cliente necesitaba…
Puedes ser muy bueno en la fase de reconocimiento, localizar vectores de ataque y revelación de brechas de seguridad, pero por muy frustrante que pueda parecer, si lo que haces no tiene un fin aplicable, con el «sistema hemos topado». Si ya tenemos un hándicap de base como lo es el que se invierte mucho en «Social Media» y en seguridad lo «justamente imprescindible» o «cuando no queda más remedio», nuestro esfuerzo debe ser mayor aún y el objetivo es conseguir que de nuestro análisis previo, salga un segundo trabajo que no es otro que implantar las medidas adecuadas para paliar los problemas localizados.
Así que el mejor consejo que humildemente te puedo dar, desde la experiencia y algún palo que profesionalmente he podido llevarme, es que las herramientas de auditoría son sólo un medio, el «fin» es que sepas o consigas hacer llegar de forma adecuada el mensaje dentro de entornos muchas veces un tanto «hostiles» hacia tu trabajo. En lugares donde hay mucho «miedo al cambio» o simplemente «tu verdad duele«, conocer las políticas de actuación o cómo es la toma de decisiones e idiosincrasia de la empresa, son casi más importantes que tu certeza con Nmap.
Y tampoco olvides que el primero que debe valorar su trabajo eres tú, por mucho que haya tanta crisis y las cosas estén complicadas, no caigas en el error de devaluarte a ti mismo. El precio es importante, pero también es un medio, conseguir el cliente, la calidad y profesionalidad, un fin, mantenerlo.
Actualización: Finalizado en Febrero de 2012 curso, sobre LOPD y LSSI. Tengo varios pendientes de impartir, todos relacionados con la PYME y las TIC en diferentes ámbitos (el 23/3/2012, imparto uno de SEO).
Lo primero que he de decir es que el balance ha sido muy positivo. Desde el pasado 7 de Noviembre hasta el día 29, he tenido la oportunidad de compartir espacio (en Area Tic Oviedo) y experiencias con 13 alumnos dentro de un ciclo formativo que he impartido como formador deIFES (Instituto de formación y Estudios Sociales). Un curso que tenía como nombre «Las TIC en la gestión de la empresa autónoma«.
La finalidad, era dar una visión actual del enorme impacto de las TIC (Tecnologías de información y comunicación) en la gestión de una PYME o el «día a día» de un autónomo en su trabajo, todo ello con ejemplos reales tanto de como gestionar la gran cantidad de información que actualmente manejamos, entender el Marketing para un Internet cada vez más segmentado, sin descuidar la seguridad y dando pautas para no «irse por las nubes» y que una mala tormenta haga que el viaje acabe antes de lo deseado…
Tengo que dar las gracias a las «15 partes implicadas» (Los 13 alumnos, IFES y Area Tic), tanto por las ganas, esfuerzo y consecución de objetivos al alumnado, como por el empeño en ofrecer una formación de calidad totalmente aplicable a posibles salidas laborales y situaciones actuales si hablamos de IFES (que lleva desde el año 1986 con esa máxima) ofreciendo unas instalaciones y medios técnicos de lo más adecuados para este curso junto a Area TIC.
Hola a todos, ya tocaba asomarnos a esta ventana de vuestro ordenador, había poco tiempo para grabar pero muchas ganas y aquí está el episodio 33 del podcast. De nuevo muchas gracias a todos por el apoyo constante, las ganas que nos transmitís, ese «feedback» que nos llega desde diferentes medios y por supuesto a mis fieles (salvo lur, ya te pillaremos;) compañeros de micro..
Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.
Contenidos incluidos; (Duración 2,23 h)
> Intro (00:00 hasta el minuto 03:44)
(Por David Hernández, Dabo) Presentación y comentarios sobre este episodio 33.
Alguno se quedará un tanto K.O cuando escuche a Forat y lo que le pasó con un Vaio y unos ¿drivers? para Windows 7. Hablamos también de las nuevas mejoras que vamos viendo en el Kernel, lógicamente Ubuntu 11.04 tiene un gran protagonismo (hablamos de las novedades y de cambios futuros) damos un repaso a su proyecto «Viejos ordenadores que hacen grandes cosas» (muy bien explicado), Servers, Software libre en la empresa (o «la falta de»), seguimos con Unity – GNOME, aplicaciones, Distros «diferentes» y otras habituales recién salidas del horno, opinión, (IN) seguridad en DropBox, etc.
En «Manzanas Traigo» (y van) Gorka Lasa (lur) no esta, vamos a montar una petición online para su vuelta !!. Cuando subí el podcast 32, 15 min después nos enteramos del fallecimiento de Jobs, lógicamente hablamos del tema y de por dónde irán los tiros en la compañía. Del iPhone 4s, tarifas, portabilidades y operadoras. También de hardware y de problemas reales y otros que son historias, IOS 5x, aplicaciones, opinion, sobre parches y actualizaciones de software, etc. En este «33» Junto a Oscar Reixa, A. J Pérez.
Con menos tiempo para publicar del que me gustaría y a unas horas de editar el podcast 33, (más bien aquí, porque en www.daboweb.com voy posteando con más regularidad, en Twitter @daboweb) ya que estoy impartiendo un curso sobre «Seguridad y el impacto de las TIC en la PYME», además de preparando algún otro y mis líos habituales, entro para comentaros que ya están disponibles los vídeos de 5ENISE, un evento celebrado en León sobre el que os dejé aquí mis impresiones hace unos días y promovido por INTECO-CERT.
También el del encuentro «Bloggers de seguridad 2011», mesa redonda en la que tuve el privilegio de estar junto a Jose Selvi, Manolo Benet, Sergio De Los Santos y Yago Jesús. Lo cierto es que me da bastante palo verme en pantalla y soy el mayor de los críticos conmigo mismo, pero ayer al fin lo visioné, y me reafirmo en las buenas sensaciones que tuve durante mi participación y estancia en León.
Para acabar, suscribo al 100% lo que ha publicado Yago en Security By Default, me refiero al gran trato recibido por INTECO, mención especial a Alberto (no tengo tu Twitter;) Javier Berciano y Francisco Losada, un saludo para el resto del equipo y compañeros de mesa, además del público que asistió al evento, sin olvidar a quienes estaban con el streaming -;).
Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.
lsb_release -a > Debian GNU/Linux. Por David Hernández (Dabo) ¿Ciframos? GPG Key 0xBC695F37
Siento molestarte con esto de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)
Ver
Hola amigos !! Aquí estamos con nuestra despedida de 2011. El cambio era inevitable y todo llega, el (lamentable) pasado especial fin de año, con Oreixa y yo cantando, ha sido superado por el gigante de Redm…El nuevo paradigma se ha hecho presente y la profecía se ha cumplido…Los Mayas tenían razón.
Mucha gente me pregunta habitualmente acerca de qué aplicaciones pueden usar para iniciarse en el mundo del «Pentesting» (Tests de penetración o intrusión, en sistemas remotos normalmente y también en entornos locales), no está de más recordar que las herramientas son muy importantes, pero sólo son un medio, no un fin.
Tengo que dar las gracias a las «15 partes implicadas» (Los 13 alumnos, IFES y Area Tic), tanto por las ganas, esfuerzo y consecución de objetivos al alumnado, como por el empeño en ofrecer una formación de calidad totalmente aplicable a posibles salidas laborales y situaciones actuales si hablamos de IFES (que lleva desde el año 1986 con esa máxima) ofreciendo unas instalaciones y medios técnicos de lo más adecuados para este curso junto a Area TIC.
Con menos tiempo para publicar del que me gustaría y a unas horas de editar el podcast 33, (más bien aquí, porque en