Mostrando entradas con la etiqueta Chema Alonso. Mostrar todas las entradas
Mostrando entradas con la etiqueta Chema Alonso. Mostrar todas las entradas

viernes, 7 de junio de 2013

Libros Indispensables "Metasploit para Pentesters"

Hace un tiempo que publicamos en este blog la sección Libros Indispensables donde comentamos nuestra opinión de algunos libros sobre seguridad informática, todos los ejemplares que se mencionan en esta sección se han leído completamente y con total independencia de empresa y autores tratamos de informar de la temática y para que perfil profesional pudiera ser interesante.

Hoy vamos a hablar de Metasploit para Pentesters de Pablo González y Chema Alonso, que compre hace un tiempo y  he ido retrasando la crítica …. para releer varias partes.

Una de las herramientas más completas y versátiles para realizar una auditoría informática es Metasploit, sin embargo en la mayoría de tutoriales, videos y poc los ejemplos terminan siendo el mismo exploit ms08_067_netapi Vs Windows XP sin actualizar ni firewall.

Metasploit para Pentesters es la guía definitiva para esta herramienta, durante los distintos capítulos Pablo va desglosando de forma magistral las distintas partes de una auditoría informática o prueba de intrusión, indicando con detalle de que herramientas disponemos o podemos integrar y su función.

Todo esto con innumerables ejemplos, capturas y pruebas de concepto detalladas para entender cada proceso, un libro indispensable para entender Metasploit y aprovechar todo su potencial, además de una guía para tener siempre a mano como manual de consulta.

Alejandro Ramos de Security by Default .....
"Uno piensa que conoce Metasploit hasta que le pega un repaso a este libro. Antes de leérmelo, hice "scroll" rápido sobre una copia que me enseño el Maligno, me tocó pararme varias veces para ver algunos trucos. No resistí, finalmente me pase por Bronxtoles y pedí mi propia copia."
 
Está dividido en ocho capítulos:
  • Conceptos básicos
  • Preliminares
  • El arte de la intrusión
  • Meterpreter y Post-Explotation
  • Otras msf tools
  • Ingeniería social con SET
  • Más allá con Fast-Track
  • Metasploit en dispositivos móviles.
Lo ha escrito Pablo González, uno de los editores del popular blog Flu-Project, lo que ya es una garantía para todo aquel que no lo conozca. Repasad sus artículos en la página de la judía y os daréis cuenta de que Pablo tiene habilidades ninjas especiales.  Artículo de Alejandro Ramos en SbD.

Editorial 0xWORD: Metasploit para Pentesters 

Seguridad a lo Jabalí para Todos!!
Publicado por Seguridad informatica Jabalí Contribuciones en 22:03 0 comentarios
Etiquetas: , , , , , ,

jueves, 30 de agosto de 2012

Libros Indispensables "Hacking Web:SQL Injection"

Se terminan las vacaciones, y si buscas una buena lectura antes de que se terminen aquí te dejamos nuestra opinión del libro de Enrique Rando y Chema Alonso.
Hacking de Aplicaciones Web: SQL Injection.

Atacar una base de datos, muchos pensamos en el  or 1=1 y “pa dentro”. En ocasiones  no se logra el resultado esperado, sin saber muy bien porque, si hablamos de un trabajo profesional deriva en un riesgo produciendo una falsa sensación de seguridad y descuidando una vulnerabilidad que se podría explotar.

Chema Alonso tenía experiencia profesional con bases de datos antes de temas de seguridad y una buena perspectiva de lo que se puede hacer en este entorno, ahora solo hay que hacerlo desde el exterior.

El libro comienza “casi” desde cero, con todo lo que necesitas para preparar las maquinas virtuales del laboratorio, se explica cómo realizar cada uno de los ataques con especial atención a las diferencias entre los gestores, este es uno de los aspectos que me gusto, los detalles de las diferentes sintaxis a la hora de construir las consultas.

A lo largo de los distintos capítulos puedes leer como se realiza cada consulta y como deberías escribirla desde la URL, los diferentes inconvenientes que se pueden producir y como superarlos, conocer estas peculiaridades puede marcar la diferencia entre el éxito o el fracaso en la Injection.

Además se explica como realizar diferentes ataques para escalar privilegios, modificar el sistema y comprometer esa máquina y otras con las que exista comunicación.
Siiiii también se explica los “trucos del Maligno” para esquivar los filtros!!! y una parte dedicada a SQLmap, explicando el trabajo que la herramienta realiza de forma automatizada.

En mi opinión, que allá por el 95 estudie DbaseIII y había visto algo de MySQL, este excelente libro (me lo he leído dos veces) me aporto muchísimos conocimientos, técnicas de Injection, diferencias entre gestores y muchos detalles interesantes fruto de la experiencia de los autores, imprescindible para entender un aspecto de la seguridad tan importante como son Las Bases de Datos.

Mi recomendación es que si te interesa este tema, HackingWeb: SQL Injection no puede faltar en tu biblioteca, y seguro que después de leerlo, ese or 1=1 no te va a fallar....

El ganador de nuestro Sorteo solicito este libro (ya lo tiene en sus manos en Chile, disfrutalo Francisco), y aquí os dejo la dedicatoria tan Chula que le dibujo Chema.

Muchas gracias Chema!!

Seguridad a lo Jabalí para Todos!!
Publicado por Seguridad informatica Jabalí Contribuciones en 13:08 0 comentarios
Etiquetas: , , , ,

viernes, 9 de marzo de 2012

Foca Pro3.1.1 y 3.000 Auditoria/Min

Ayer me llego la actualizacion de Foca Pro, versión 3.1.1, muchas gracias a todo el equipo de Informatica64 y por supuesto había que "darle Gas....".

The Foca es un termino que rápidamente se asocia a la extracción de Metadatos, pero hace tiempo que se convirtió en una Suite de Auditoría muy completa, con la que puedes verificar un muchos parámetros en cualquier empresa.

Hace tiempo que utilizo Foca me gusta la parte de Network, donde puedes descubrir todo el mapa de red, dominios y servidores, listados de directorios, vulnerabilidades, métodos inseguros, archivos.

Cada tarea que añades se suma a las anteriores y es cuando realmente haces sudar a la Foca .....

Interfaz cómodo e intuitivo he comprobado que es Extremadamente rápida y estable, añadiendo mas y mas tareas a la Foca sin ningún inconveniente.

El rendimiento y velocidad de la nueva Foca Pro 3.1.1 seguro que te maravilla, y ahora se le podrán incorporar distintos plugins, no se puede pedir mas ....

Además la parte de Extracción de Metadatos sigue funcionando a la perfección.

Si no habéis probado todavía el poder de La Foca podéis descargar una versión free desde Informatica64 y si la conoces recomendamos que te anotes en una formacion Online de Foca para aprender mas sobre sus usos y conseguir tu versión Pro !!!!


Seguridad a lo Jabali para Todos!!!
Publicado por en 16:12 0 comentarios
Etiquetas: , , , , ,

sábado, 31 de diciembre de 2011

MATRIX Repaso del Año

Se termina el año y he leído unos post estupendos resumen de todas las vulnerabilidades descubiertas durante el año, las grandes multinacionales parece que siguen sin tomarse muy en serio la seguridad y la mayor parte de la gente sin saberlo!!!

Resulta ser como Matrix, no importa que no sea seguro, si tiene no se cuantos megapixel, no se cuanta RAM pagamos lo que sea y no vemos la realidad, que nuestros datos y nuestra intimidad esta amenazada.

No quería terminar el año sin hablar de dos personas que se dedican a investigar y avisar de todos esos errores que deben mejorarse.

 

Así empezó la historia...........

 

No importa el Sistema Operativo para los que son buenos.


 

Lo importante es el conocimiento y la técnica.


A veces no es fácil con el Agente Smith.


Y la lucha es inevitable.


Pero gracias a estos profesionales la verdad se hace Publica.

Muchas gracias a Ruben Santamarta y Alejandro Ramos por todas esas horas de investigación que luego comparten con la comunidad en conferencias, blogs etc......

Y en toda esta historia es un poco raro que no saliera Trinity, ¿por qué seria??



Créditos
Alejandro Ramos "Dab" como Morfeo.
Ruben Santamarta como Neo.
Trinity como Trinity.
Chema Alonso como groupie de Trinity.

Seguridad a lo Jabali para Todos, Feliz AÑo Nuevo 2012!
Publicado por en 1:29 5 comentarios
Etiquetas: , , , , , ,

domingo, 30 de octubre de 2011

Recomendaciones Un Informático en el Lado del Mal

Hoy domingo día de Recomendaciones en Seguridad a lo Jabalí, después de ir recomendando cada semana los sitios oficiales que todos los usuarios de la Red deberían conocer, es hora de hablar de los sitios que mas nos gustan por aquí.
No podíamos empezar recomendando otro sitio, Un Informático en el Lado del Mal. Y para recomendar este blog de seguridad informática entre "otras cosas", es inevitable hablar de Chema Alonso, Fundador de Informática64, Ingeniero Informático, profesor PostGrado de Seguridad UEM, MVP por Microsoft,etc y escritor de dicho blog.

Chema Alonso no solo publica diversas pruebas de concepto, y vulnerabilidades en diversos entornos, detallando de forma comprensible donde esta el problema de seguridad y como proceder, además es un Blog de Referencia, donde entrevista a los mas destacados profesionales del panorama, informa puntualmente de conferencias y publicaciones (de las cuales muchas veces es responsable), y todo un laboratorio de investigación de la mano de Informatica64, desarrollando muchas herramientas para el análisis de vulnerabilidades, extracción de metadatos como La Foca, MetaShield Protector.
El Soctano como el le dice, donde los mejores profesionales como Francisco Oca, Juan Garrido "SilverHack" y otros son exclavizados y exprimidos para extraer todos sus conocimientos, obligandolos a trabajar sin ninguna piedad!!. 

En el Blog del Maligno, podéis encontrar de todo, desde la ultima ocurrencia malvada para comprometer el software de la maquina de café de la Casa Blanca, la ultima historia surrealista que pase por la cabeza de Chema en forma de Tira cómica "No Lusers", la publicacion de las fotos mas comprometidas de los fundadores de las empresas mas pretigiosas de seguridad informática, en forma de "Calendario Torrido", las publicaciones mas interesantes y novedosas en seguridad informática.

Nuestra Recomendación para hoy es, que leas el blog de Un Informático del Lado del Mal, escrito por un excelente profesional, una lectura interesante y original, y mires en informatica64 la sección de libros .
Respecto a la Extracción de Metadatos sin duda, Foca es posiblemente una de las mejores herramientas y dedicaremos un post solo para ella mas adelante. Posiblemente en la sección de Hackea a tu hijo, centrándonos solo en la parte de Metadatos, porque la herramienta a día de hoy es mucho mas compleja, yo la definía mas como una suite de análisis de vulnerabilidades para Web.

Nota Personal
Hace un tiempo Chema Alonso escribió un articulo titulado Yo Quiero ser como tu ..... , yo tengo un hijo de quince años, si  mi hijo esta dispuesto a estar noche y día trabajando para ser el mejor profesional y disfruta con ello, si  tiene el valor de dejar  un trabajo cómodo y fundar su propia empresa para hacer lo que le gusta y luchar no solo para que ese proyecto sea rentable (que todos tenemos que facturas) si no que además se esfuerza porque los mejores profesionales escriban buenos libros (a muy buen precio) y trabajen con el, y cuando consiga todo eso y reciba premios y hable en conferencias internacionales, después tenga la sencillez y el cariño de contestar el mail a un pesado de Asturias (o firmarle un libro), y sea como Chema Alonso, estaré muy orgulloso de mi hijo. Espero que haya muchos que quieran ser como tú!!. Afortunadamente a mi hijo no le gusta la informática, y por descontado estoy muy orgulloso de él.

PD:Lo que si nos gustaria seria ver ese gorro de rayas entre nuestros Followers, aunque sea para darnos un tiron de orejas de vez en cuando.

Seguridad a lo Jabalí para Todos!!!!   
Publicado por en 18:19 7 comentarios
Etiquetas: ,

sábado, 8 de octubre de 2011

Chema Alonso deja de Ser bohemio

No lo he podido resistir.... lo siento Chema. Desde aquí todos los días leo el blog de Chema Alonso, me parece una de las mejores fuentes de la red, no solo por la calidad de los artículos, como muchos otros profesionales, el motivo es que es un poderoso aglutinante de todo lo que se hace, en el blog Un Informático en el Lado del Mal vas a leer referencias a todos los buenos profesionales, conferencias, libros, etc. Hay pocos sitios en Internet donde se mencione a tanta gente, con tanta calidad.
Hoy en el Blog de Chema, publicaba un divertido vídeo de la Ekoparty...... y en este vídeo uno de los conferenciantes viene a decirle que es un poco "Bohemio", la situación causo tanta gracia, que no me puedo evitar subir esta entrada.

Este seria el proceso natural de maduración del informático, una vez superada la época hacker (imagen 1)  "adolescencia informática" , y buscando un caballero de parecido aceptable (imagen 2), se realiza la transformación natural a "Informático Business" (imagen 3). Alcanzado este nivel ya se puede realizar trabajo de Hacking Ético en cualquier empresa.

Como podéis comprobar el parecido es notable, no tiene tanto PhotoShop. Desde aquí todo nuestro respeto a Chema Alonso (esperemos que no se moleste por la broma hecha con todo el cariño), y darle las gracias por su trabajo, fundador de Informatica64, Ingeniero Informático, Profesor y todo lo que promueve la seguridad informática, en conferencias, persiguiendo a todos esos profesionales para que publiquen los libros, el blog, etc. Gracias Chema.

Seguridad para Todos!!! 
Publicado por en 23:17 9 comentarios
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias