lunes, 21 de enero de 2013

Libros Indispensables "Hacker Épico"

Hace exactamente un año publicaba en este blog un post titulado Alejandro Ramos Yo espero el libro... 
¿Qué estoy esperando del libro de Alejandro Ramos?
  • Lo mismo, ni mas ni menos, que cuando leo sus artículos, pero ordenado en un procedimiento, yo esperaba un libro en que Dab me fuera contando como afronta cada paso de un pentest. ¿Se utilizar nmap? Si! ¿conozco telnet, netcat, scapy , OpenVas, metasploit, evilgrade, etc? También! He leído metodologías OWASP pero no es eso lo que quiero leer. Solo quiero saber, como las emplea Alejandro y que opina de ellas, que considera que debo tener en cuenta para afrontar un pentest. Así que con todos mis Respetos, y teniendo en cuenta que es un profesional muy ocupado, yo espero por el libro, seguiré esperando indefinidamente .... hasta que lo pueda leer!!!
Lo he leído y la espera mereció la pena, empezando por el fantástico prólogo de Yago Jesús en el que deja patente que vas a leer un libro increíble.

En lo que respecta a mis expectativas, felicitar a RodrigoYepes por regalarnos una historia que te atrapa desde el primer momento, en mi caso hasta las 5:00 a.m. con unos personajes muy bien definidos que van creciendo durante toda la narración en un “argumento trepidante” que engancha y mucho.

En la parte técnica al final me quede sin saber como hace un pentest Alex, pero leí como se enfrenta a multitud de situaciones Ángel Ríos, como analiza la situación, desarrolla la solución (con toda la calidad y el Rigor técnico que caracteriza a Alejandro Ramos) y supera cada obstáculo para obtener la información.

Hacker Épico una obra para cualquier persona realmente interesada en conocer la verdadera seguridad informática, independientemente de los conocimientos técnicos y a la vez imprescindible para los que nos apasiona este mundo, además muestra procedimientos muy interesantes que no puedo desvelar si no quiero que mi disco aparezca cifrado mañana por el troyano que me instalo Alex…. Tendréis que leer el libro, en Informatica64.

Seguridad a lo Jabalí para Todos!!

domingo, 20 de enero de 2013

Los Viejos Tercios de Flandes

Hoy domingo es un buen día para ver algún que otro video, y yo que estoy todavía poniéndome un poco al día quería dejaros este. En seguridad informática hay profesionales que saben mucho, este es el caso de nuestros protagonistas y no lo digo solo yo….
  • Lorenzo es un pata negra un tío que sabe de verdad. Mucha gente cuando dice cosas como 'yo sé programar en Python' normalmente quiere decir 'he ojeado un manual y escrito 2 programas', en el caso de Lorenzo cuando dice 'sé algo' significa que probablemente podría escribir las RFCs desde 0 del tema en cuestión.  Yago Jesús
  • Sobre Dabo ... es probable que en algún momento hayas leído alguno de sus tutoriales que te ayudó a instalar esa maldita tarjeta X en X sistema, o aquel artículo tan interesante sobre alguna parte de las profundidades de Debian. Alberto Ortega

Además "estos dos" tienen experiencia, de la de verdad, de horas en trincheras, dolor de espalda, de esos compañeros que se les notan las batallas, con los que es buena idea (si eres listo) callar y escuchar con atención para aprender de su experiencia, porque quizás mañana esa historia te salve el día en una auditoria o configurando un sistemaEstos Dos son como aquellos soldados de los Viejos Tercios de Flandes.


Así que no os perdáis el cuarto episodio de DragonJar TV, un proyecto excelente de la Comunidad DragonJar.


Y muchas gracias por la mención y el saludo Dabo, un abrazo Grande Amigo!!

Seguridad a lo Jabalí para Todos!!

jueves, 17 de enero de 2013

Hacking & Security 2013: Libros, libros y más libros....

En temas de libros soy un enamorado del papel, aunque opino que lo importante es el conocimiento y este debería ser libre, gratuito y accesible por cualquier persona del mundo.

El tema de comprar una edición física de un libro desde mi punto de vista es una forma de apoyar el trabajo de los autores, de hecho tengo impresos libros que se distribuyen de forma libre y gratuita.

Desde luego va en la conciencia de cada uno, y sobre todo en el bolsillo (que cada cual sabe lo que tiene en casa) que no todo el mundo se puede permitir gastar 30 o 40$.

Aunque también se piratea mucho y te gastas los 40$ en otras tonterías…..y así puede que algún día se deje de compartir información.



Este Libro se lo tendré que comprar a mi amigo Lorenzo, hay una página oficial para la Hacking Roomba.


Bueno os dejo una lista de libros que me parecen interesantes para este año, si habéis leído alguno…. Dejar algún comentario con vuestra opinión.

  • Gray Hat Python: Python Programming for Hackers and Reverse Engineers ISBN-10: 1593271921  ISBN-13: 978-1593271923
  • Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers ISBN-10: 1597499579  ISBN-13: 978-1597499576
  • Network Warrior ISBN-10: 1449387861  ISBN-13: 978-1449387860
  • Windows Sysinternals Administrator's Reference ISBN-10: 073565672X  ISBN-13: 978-0735656727
  • iOS Hacker's Handbook ISBN-10: 1118204123 ISBN-13: 978-1118204122

  • Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning ISBN-10: 0979958717 ISBN-13: 978-0979958717
  • Nmap Cookbook: The Fat-free Guide to Network Scanning ISBN-10: 1449902529 ISBN-13: 978-1449902520
  • Wireshark Network Analysis (Second Edition): The Official Wireshark Certified Network Analyst Study Guide ISBN-10: 1893939944 ISBN-13: 978-1893939943
  • Metasploit Penetration Testing Cookbook ISBN-10: 1849517428 ISBN-13: 978-1849517423
  • BackTrack 5 Cookbook ISBN-10: 184951738X ISBN-13: 978-1849517386

  • Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code ISBN-10: 0470613033  ISBN-13: 978-0470613030
  • Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software ISBN-10: 1593272901  ISBN-13: 978-1593272906
  • Reversing: Secrets of Reverse Engineering ISBN-10: 0764574817 ISBN-13: 978-0764574818
  • The Shellcoder's Handbook: Discovering and Exploiting Security Holes ISBN-10: 047008023X ISBN-13: 978-0470080238
  • The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System ISBN-10: 144962636X  ISBN-13: 978-1449626365

  • Hackers: Heroes of the Computer Revolution - 25th Anniversary Edition ISBN-10: 1449388396 ISBN-13: 978-1449388393
  • The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers ISBN-10: 0471782661  ISBN-13: 978-0471782667
  • Zero Day: A Novel ISBN-10: 1250007305 ISBN-13: 978-1250007308
  • Trojan Horse: A Novel ISBN-10: 1250010489 ISBN-13: 978-125001048


Hoy en día no es defendible desde ningún punto de vista la impresión en papel, pero lo cierto es que en mis ojos agradecen un poco de visión “sin brillo” y después de un día delante de la pantalla se agradece leer tinta.

Seguridad a lo Jabalí para Todos!!

martes, 15 de enero de 2013

Mercè Molist, Entrevista

Mercè Molist Ferrer es una periodista de Internet, comunidades virtuales y seguridad informática. En los últimos años ha escrito para El País, La Vanguardia o las  revistas Web y @rroba.

Formó parte de Fronteras Electrónicas que promovía el libre uso de la criptografía, la privacidad y la no intromisión de los gobiernos en la red.

Vinculada por su trabajo con la comunidad hacktivista española, Molist introdujo en el 2000 la idea de traspasar los Hackmeetings italianos a España y colaboró en la coordinación del primero, que se celebró en Barcelona, en el centro okupado Les Naus.

Fundadora del proyecto HackStory y una de las profesionales del periodismo que se ha preocupado de preguntar a los Hackers antes de hablar de ellos….

Mercè lo primero muchas gracias por tu tiempo, que imaginamos que coordinando el enorme proyecto de Hackstory no te debe sobrar ni un minuto del día. Hay muchas entrevistas tuyas pero pocas de ti, ¿acostumbrada al underground te gusta pasar desapercibida, es timidez o tienes algún secreto que ocultar? ¿Qué nos puedes contar de la historia de Mercè Molist?
Conocí el mundo hacker poco después de entrar en la red. Por aquel entonces yo ya trabajaba de periodista, como "freelance". Concretamente escribía para "La Vanguardia" y empecé a leer, en revistas extranjeras, artículos y reportajes sobre una cosa llamada Internet, que suscitó mi curiosidad. Yo no sabía nada de informática. Tenía un ordenador personal porque formaba parte de mi trabajo como periodista, pero nada más. Así que fue una aventura encontrar un ISP (Servicom), apuntarme, descubrir cómo funcionaba el módem que me mandaron y entrar yo sola en la red, pues nadie en mi entorno tenía idea ni tan sólo de informática.

¿Cómo fueron tus inicios en el mundo de los hackers? ¿Alguna vez te viste en una situación: “uff hay que salir de aquí”? ¿Una anécdota inédita que nos puedes contar?
Jaja :D No, no recuerdo ninguna anécdota que tenga que ver con un "hay que salir de aquí". Como mucho, algún momento en que alguien me informó de forma anónima de algún agujero de seguridad en algun servidor web y me invitó a comprobarlo. Cuando lo estaba haciendo, me dí cuenta de que mis pasos podían estar siendo grabados y buscarme problemas, que a ver cómo demostraba que sólo estaba comprobando una información.

Mis inicios-en-el-mundo-de-los-hackers son básicamente los mismos que mis inicios en Internet, porque por aquel entonces la mayoría de gente que estaba en la red eran hackers, en el sentido amplio del tema. Gente que me enseñó mucho, que me explicó cómo funcionaban las cosas, que me ayudó a documentar mis artículos, que me impregnó del espíritu y que hizo que  estuviese agradecida por siempre jamás a la comunidad de la red. Esto y nada más explica proyectos míos como traer los Hackmeetings en España o la Hackstory. Puro agradecimiento. Y dar como se me dió.

Si queréis una explicación menos romántica y más materialista, los responsables de que me metiese a fondo en el mundo de los hackers, sobre todo hacking de seguridad, fueron los fundadores del "Ciberpaís", el suplemento tecnológico de "El País". Yo estaba colaborando en "La Vanguardia" y poco a poco mis intereses y mis reportajes se decantaban por el hacking. Quizás fue esto que llamó la atención de los fundadores del "Ciberpaís". Sebastián Serrano y Tomàs Delclòs me propusieron colaborar con ellos en general pero centrándome especialmente en el hacking

Me encantó la idea porque, como digo, yo ya iba hacia allí y esto era miel sobre hojuelas: me pagarían por investigar y escribir artículos sobre lo que en aquellos momentos me provocaba más curiosidad. Era perfecto. Lo primero que hice fue escribir a los principales grupos de hackers, a la dirección que ponían en su web, presentándome como periodista que a partir de entonces me dedicaría a informar sobre ellos. Santa inocencia :)

Uno de los artículos más hermoso sobre los hackers  es Por qué me enamore de los hackers El mundo de los hackers ha cambiado mucho y los propios hackers también, el underground casi ha desaparecido ¿crees que el espíritu de los inicios pervive o se va perdiendo con la masificación de la red? ¿Qué opinas de las nuevas generaciones hackers, seguirán enamorándote?
Gracias por considerar hermoso mi artículo :)
Lo de que el mundo de los hackers ha cambiado lo llevo escuchando desde el principio de los tiempos. Igual que lo otro, lo de que cada generación considera a la generación que la sigue como unos lamers, script kiddies, etc. Ciertamente hay cambios, cada ola conlleva cosas nuevas, pero el fondo persiste... y está cada vez más enraizado. Mi opinión es que el espíritu hacker no sólo sigue vivo y coleando sino que tiene cada vez mejor salud. Ha sobrevivido a cuando todo quisqui se puso a trabajar de consultores. Ha sobrevivido al aumento brutal de la criminalidad informática. Y sigue. 

Por supuesto que todas esas cosas afectan a la cultura hacker... pero no la destruyen. Para mí el espíritu está una capa por encima, es el aire o el agua donde respiramos, el contexto en el que sucede todo. Incluso Facebook y las personas que lo usan están nadando en este mar y, casi sin querer, se van "contaminando", empapando de la forma de pensar hacker. Está cambiando el mundo. Y ya es imparable.

Todavía hoy en día, se te ve por alguna red social persiguiendo a todo hacker en línea encuestando sobre las distintas opiniones o significados de algún término, el último que recuerdo creo que fue: owned, ¿has conseguido entender a los hackers sin convertirte en uno de ellos o al final sucumbiste a la pasión por la tecnología? ¿Mercè tiene Metasploit instalado en su portátil? ¿Cómo se puede conseguir entender un mundo tan técnico sin meterte en él?
Jajaja :DD No, no tengo Metasploit en mi portàtil. Vaya, que yo sepa :D De hecho no sé ni cuánta memoria RAM tiene mi portátil, ni las especificaciones técnicas de mi móvil... Me da pereza instalarme programas nuevos y sólo lo hago en caso de extrema necesidad. Y comprar gadgets me parece una pérdida absurda de dinero.

Entonces, tu pregunta: "Como se puede entender un mundo tan técnico sin meterte en él?" me parece una muy buena pregunta. Supongo que... la respuesta debe ser que soy buena a nivel de mente abstracta, entiendo los conceptos y sé transmitirlos a la gente, de forma que esta pueda entenderlos fácilmente. Quizás si estuviese empapada de técnica me sería más difícil poder explicarla... no sé. Es una buena pregunta.

Llevas una vida dando a conocer el modo de vida de los hackers al mundo, molestándote en dar una versión realista y precisa de este tema, para lo bueno y lo malo… En la actualidad los medios de comunicación hablan de hackers, normalmente sin mucho acierto y con bastantes errores ¿Qué piensas como profesional del periodismo? ¿Crees que la visión que se está mostrando al público de los hackers es real? ¿Hay intereses en manipular la imagen de la comunidad hacker? ¿Con los cambios de planes educativos eso de contrastar la noticia y documentarse ya no se da en la universidad? ¿Están demasiado condicionados por índices de audiencias que solo buscan el titular o es que vale todo?
Mira: no tengo amigos periodistas, excepto un par o tres, que lo son más por ser personas que periodistas y que, además, tienen poco que ver con la mayoría de fauna periodística que nos rodea. Sonará raro pero a mí, que he estudiado y trabajado de periodista, no me gustan los periodistas. No me gustan nada. La mayoría están más preocupados por ser ricos y famosos que por contar la verdad. A muchos, especialmente los que tienen cargos, no les avergüenza mirar para otro lado y venderse al sistema. Se creen el cuarto poder pero en realidad lo que pasa es que sus egos están más hinchados que los del resto de los mortales. La ignorancia, la torpeza, la pereza y el servilismo a la autoridad son usualmente sus atributos. Fíjate que jamás me sorprendió que la comunidad hacker no se fiase de los periodistas.
 
En cuanto al tratamiento que hacen los medios de las cosas relacionadas con la comunidad hacker, creo que jamá hubo mala intención o complots y sí mucha ignorancia y falta de documentación. Esto ha ido cambiando poco a poco y hoy en día se están escribiendo buenos artículos sobre el mundo hacker desde las redacciones.

Muchos de los profesionales de seguridad escriben en blogs para compartir información y experiencias, en mi opinión (sin confundir escribir un blog con ser escritor o periodista), pero hoy parece que todo el mundo tiene algo que contar, todos somos escritores y periodistas (y lo digo yo, que estoy pa hablar ja, ja, ja). Como periodista ¿nos encerrarías a todos un par de años en alguna celda hasta que aprendiéramos a escribir? ¿No es molesta tanta intrusión? ¿Se está empeorando la calidad de la información con tanta cantidad?
Esos blogs de hoy y aquellas ezines de ayer consiguieron, entre otras cosas, que yo que soy de letras aprendiese las bases de la seguridad informática. Jamás he creído que un título universitario deba servir para repartir carnés de periodista. De hecho es una profesión con mucho "intrusismo", especialmente en sus inicios, cuando se hacía lo que se suele llamar "buen periodismo".
Yo no sé si Sergio de los Santos, de Hispasec, ha estudiado periodismo, pero escribe tan bien que no me importa.

Eres fundadora del proyecto HackStory y una de las que más trabajas en ello, primero felicitarte por como llevaste la campaña para el libro, en todo momento nos tuviste informados de cada parte del proceso, un enorme trabajo. ¿Cómo va el proyecto? ¿Tenéis pensado vender más camisetas (por correo o algo así), porque yo tengo una y esta increíble? ¿Para cuándo estará el libro?
Gracias por las felicitaciones y me alegro que te gustase la camiseta :) Sí tenemos pensado vender más, por correo se pueden hacer peticiones a info@hackstory.net, y en la web, cuando se rediseñe, en unos meses, pondremos una zona de venta de camisetas.

En cuanto al libro sobre la historia de los hackers hispanos, mi intención es escribirlo durante los próximos cuatro meses, cinco como mucho.  Paralelamente, diversas personas se han unido al proyecto para ayudar a documentarlo y también escribir textos. De este movimiento, que ha surgido a partir de la campaña de crowdfunding, la vibración más fuerte ha venido de los hackers latinoamericanos: justo ahora cuando estoy escribiendo estas líneas acabamos de crear una lista de correo que los pondrá en contacto y les permitirá intercambiar historias.

Estoy disfrutando mucho con este proyecto, ya desde el momento en que empecé, hace 4 años. La historia de los hackers es un pozo sin fondo de información nueva e interesante, un abismo para mi curiosidad. Me lo paso muy bien  cuando investigo a los grupos o personas, buscando su rastro, buceando en la red, practicando la "arqueología digital" tras esos datos que muchas veces están desaparecidos en el sitio original, pero quedan copias, o trozos, en los sitios más insospechados. Y también disfruto cuando escribo a partir de los datos que he encontrado, hilvanando lo que pasó -lo que públicamente se sabe que pasó, eso no lo olvido nunca.

Pero, por mucho que me guste, debo poner límites o no acabaría nunca. Así que el límite son 4-5 meses de trabajo y a partir de allí, lo que salga, hasta dónde y con quien se pueda.

Bueno muchísimas gracias por tu tiempo y atención Mercè, un abrazo muy fuerte y esperaremos ansiosos para comprar el libro de HackStory.

Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias