Todas son muy recomendables, y aprenderás de verdad!!!! (no es un evento comercial). Esto es sobre (in)seguridad!!!.
jueves, 13 de diciembre de 2012
Limahack... mientras se acaba el mundo
Este 21-12-12, se dará una replica de Limahack, y esta vez... mientras se acaba el mundo:
Todas son muy recomendables, y aprenderás de verdad!!!! (no es un evento comercial). Esto es sobre (in)seguridad!!!.
Todas son muy recomendables, y aprenderás de verdad!!!! (no es un evento comercial). Esto es sobre (in)seguridad!!!.
jueves, 1 de noviembre de 2012
Ahora quien podrá defenderme?
Voy a tratar de escribir lo mas objetivamente posible:
Esta historia comenzó hace como 6 meses...
Compre en SAGA FALABELLA, pague con tarjeta, y en el recibo de caja (no en el voucher del POS), veo que salen los 16 dígitos de mi tarjeta de débito.
Escribí a Mastercard, y me dijeron que lo iban a verificar. Luego me olvidé del asunto.
El 20 de octubre fuí a comprar a SAGA FALABELLA nuevamente, pague con tarjeta, y en el recibo de caja (no en el voucher del POS), veo que salen los 16 dígitos de mi tarjeta de débito nuevamente.
Me acordé y decidí quejarme. Fui a atención al cliente a pedirles su libro de reclamación. La Srta. Jackeline Quispe me dijo que eso era algo normal y para convencerme me enseño otros documentos con los números de tarjeta de otros clientes!. Finalmente realicé mi reclamo 205-00000038.
Luego le escribí a la gente del Scotiabank y la Srta. Melissa Ruiz me respondió: "Por lo expuesto, le indicamos que el uso que se le de a su tarjeta de crédito es responsabilidad de cada cliente, quien siempre debe estar pendiente por su seguridad."
Luego le escribí a la gente de Mastercard y el Sr. Carlos Pasache me respondió:"Por tanto, las acciones que incurra el establecimiento comercial tales como : pasar tarjeta por otro dispositivo diferente a POS y generar un voucher con todo el PAN en claro , es responsabilidad total del establecimiento."
Al ver que SAGA FALABELLA no respondía les escribí en el twitter y respondieron:
Entonces, alguien se esta tomando la seguridad en serio? los números de la tarjeta de crédito no son información sensible?
El día que pase algo más serio quien asumirá la responsabilidad? el usuario?
o tal vez estén esperando que les pase algo como lo de PUNTO.PE?
Esta historia comenzó hace como 6 meses...
Compre en SAGA FALABELLA, pague con tarjeta, y en el recibo de caja (no en el voucher del POS), veo que salen los 16 dígitos de mi tarjeta de débito.
Escribí a Mastercard, y me dijeron que lo iban a verificar. Luego me olvidé del asunto.
El 20 de octubre fuí a comprar a SAGA FALABELLA nuevamente, pague con tarjeta, y en el recibo de caja (no en el voucher del POS), veo que salen los 16 dígitos de mi tarjeta de débito nuevamente.
Me acordé y decidí quejarme. Fui a atención al cliente a pedirles su libro de reclamación. La Srta. Jackeline Quispe me dijo que eso era algo normal y para convencerme me enseño otros documentos con los números de tarjeta de otros clientes!. Finalmente realicé mi reclamo 205-00000038.
Luego le escribí a la gente del Scotiabank y la Srta. Melissa Ruiz me respondió: "Por lo expuesto, le indicamos que el uso que se le de a su tarjeta de crédito es responsabilidad de cada cliente, quien siempre debe estar pendiente por su seguridad."
Luego le escribí a la gente de Mastercard y el Sr. Carlos Pasache me respondió:"Por tanto, las acciones que incurra el establecimiento comercial tales como : pasar tarjeta por otro dispositivo diferente a POS y generar un voucher con todo el PAN en claro , es responsabilidad total del establecimiento."
Al ver que SAGA FALABELLA no respondía les escribí en el twitter y respondieron:
Entonces, alguien se esta tomando la seguridad en serio? los números de la tarjeta de crédito no son información sensible?
El día que pase algo más serio quien asumirá la responsabilidad? el usuario?
o tal vez estén esperando que les pase algo como lo de PUNTO.PE?
lunes, 22 de octubre de 2012
Punto.pe
Estaba muy tranquilo almorzando el sábado, cuando veo este tweet:
Subí corriendo a la computadora para ver de que se trataba, y era un archivo .sql, y efectivamente, estaba la información de cuentas, contactos, direcciones y hashes de passwords.
No es risible esto?
La pregunta cae de madura. Si PUNTO.PE sabia del ataque (según su comunicado) desde hace unos meses, porque no aviso antes? porque espero a que sea público, para mandar un correo, recién el mismo día 20 de octubre?
Si bien, punto.pe ha obligado ha cambiar la contraseña y si bien el nombre y direccion de contacto siempre se ha podido obtener con el whois.
Hay cosas que comentar:
1. Ya se sabe el nombre de usuario del login, osea el 50% de la formula usuario password.
2. Se sabe el hash, por tanto se puede saber la contraseña, y por mas que este cambiada, se pueden deducir, patrones de generación de contraseñas, y si esa contraseña es usada en otros sistemas?
Subí corriendo a la computadora para ver de que se trataba, y era un archivo .sql, y efectivamente, estaba la información de cuentas, contactos, direcciones y hashes de passwords.
No es risible esto?
La pregunta cae de madura. Si PUNTO.PE sabia del ataque (según su comunicado) desde hace unos meses, porque no aviso antes? porque espero a que sea público, para mandar un correo, recién el mismo día 20 de octubre?
Si bien, punto.pe ha obligado ha cambiar la contraseña y si bien el nombre y direccion de contacto siempre se ha podido obtener con el whois.
Hay cosas que comentar:
1. Ya se sabe el nombre de usuario del login, osea el 50% de la formula usuario password.
2. Se sabe el hash, por tanto se puede saber la contraseña, y por mas que este cambiada, se pueden deducir, patrones de generación de contraseñas, y si esa contraseña es usada en otros sistemas?
miércoles, 22 de agosto de 2012
White Hat Hackers... made in Perú!
En mi camino, he tenido la suerte de cruzarme con white hat hackers made in Perú. Considero que tienen sólidos conocimientos, realizan un trabajo muy profesional y sobre todas la cosas, comparten el conocimiento.
Tuve la suerte de ver el trabajo de (en orden cronológico):
Por si no lo sabes (en orden en el que me enteré):
Mauricio Velazco
"Stuxnet: The Weapon of the Future"
2012 ISSA International Conference
October 25-26, 2012
Disneyland Hotel – Anaheim, CA - EEUU
http://www.issa.org/?ConferenceAgenda
Juan Oliva
"Ethical hacking to Elastix platforms"
VoIP2Day + ElastixWorld
September 25-27
IFEMA fair - Madrid - Spain
http://www.elastixworld.com/2012/en/conferences/speaker-bios.html
John Vargas - Walter Cuestas
"Scripting para pentesters"
Ekoparty Security Conference 8° edición
17 y 18 de Septiembre
Argentina
http://www.ekoparty.org/training-scripting-pentesters.php
Tuve la suerte de ver el trabajo de (en orden cronológico):
- Javier Romero
- Andrés Morales
- Mauricio Urizar
- Cesar Cuadra
- Walter Cuestas
- Geffrey Velasquez
Por si no lo sabes (en orden en el que me enteré):
Mauricio Velazco
"Stuxnet: The Weapon of the Future"
2012 ISSA International Conference
October 25-26, 2012
Disneyland Hotel – Anaheim, CA - EEUU
http://www.issa.org/?ConferenceAgenda
Juan Oliva
"Ethical hacking to Elastix platforms"
VoIP2Day + ElastixWorld
September 25-27
IFEMA fair - Madrid - Spain
http://www.elastixworld.com/2012/en/conferences/speaker-bios.html
John Vargas - Walter Cuestas
"Scripting para pentesters"
Ekoparty Security Conference 8° edición
17 y 18 de Septiembre
Argentina
http://www.ekoparty.org/training-scripting-pentesters.php
martes, 21 de agosto de 2012
CyberSecurity Govermment/Bank
Tuve la oportunidad de asistir a los dos eventos organizados por ISSA Perú.
Primero, felicitar a ISSA Perú por el esfuerzo.
Segundo, te dan lo que te ofrecen: "Las sesiones incluyen una variedad de temas que beneficiarán tanto a las empresas, a los profesionales de Seguridad y TI, como así también a ejecutivos y usuarios".
Quizás ese sea el problema según mi punto de vista. Porque el público es muy heterogeneo.
Por ejemplo si soy un ejecutivo, no voy a entender las charlas muy técnicas. Y si soy técnico, me voy a aburrir con las charlas en las que sólo me quieren vender productos.
En resumen, tuve que escuchar como algunos vendían productos que no necesito, para poder escuchar algunas charlas con muy buen contenido.
Como habían dos salas, solo pude ver la mitad de las presentaciones, así que esto es lo que me gustó de lo que pude ver:
Govermment:
Para finalizar, quiero resaltar el esfuerzo hecho por ISSA Perú. Tal vez sea un buena idea agrupar las charlas por temas y tipo de público, para no tener que esperar tanto tiempo entre una que si quieres escuchar y otra que no. O tal vez esa sea la estrategia para tener que escuchar a los sponsors?.
Primero, felicitar a ISSA Perú por el esfuerzo.
Segundo, te dan lo que te ofrecen: "Las sesiones incluyen una variedad de temas que beneficiarán tanto a las empresas, a los profesionales de Seguridad y TI, como así también a ejecutivos y usuarios".
Quizás ese sea el problema según mi punto de vista. Porque el público es muy heterogeneo.
Por ejemplo si soy un ejecutivo, no voy a entender las charlas muy técnicas. Y si soy técnico, me voy a aburrir con las charlas en las que sólo me quieren vender productos.
En resumen, tuve que escuchar como algunos vendían productos que no necesito, para poder escuchar algunas charlas con muy buen contenido.
Como habían dos salas, solo pude ver la mitad de las presentaciones, así que esto es lo que me gustó de lo que pude ver:
Govermment:
- Seguridad del Software... / Juan Carlos Herrera / Ushiro Security
- Convenio de Budapest... / Erick Iriarte / Iriarte & Asociados
- Los TOP 10 de vulnerabilidades... / Walter Cuestas
- Why Cyber Security? / Shanon Curran / Fortinet
- Information Security?... / Juan Carlos Herrera / Ushiro Security
- Crimeware en Perú... /Jorge Mieres / Kaspersky Lab
- Teclados Virtuales y Captchas... / Ricardo Supo
- Stuxnet... / Mauricio Velazco / Equifax
Para finalizar, quiero resaltar el esfuerzo hecho por ISSA Perú. Tal vez sea un buena idea agrupar las charlas por temas y tipo de público, para no tener que esperar tanto tiempo entre una que si quieres escuchar y otra que no. O tal vez esa sea la estrategia para tener que escuchar a los sponsors?.
sábado, 26 de mayo de 2012
Como empezar?
Para los que recién empiezan:
Primero debes tener ciertas capacidades o habilidades:
1. Saber Inglés (la mayoría de libros esta en ingles, el material de los cursos, está en ingles, algunos exámenes de certificación son solo en ingles. Por ahí te encuentras algo mal traducido, lo que hará que te confundas más).
2. Tienes que saber algún lenguaje de programación. (Si no sabes ninguno, empieza por python , perl o ruby. Lo digo porque muchas de las herramientas están escritas en esos lenguajes.)
3. Conocer un poco de sistemas operativos. (Sobre todo comandos básicos de linux)
4. Saber un poco de redes (Por lo menos de protocolos y puertos)
Segundo, antes de matricularte en algún curso te recomiendo dos libros:
The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws (Dafydd Stuttard, Marcus Pinto)
El segundo es más especializado en aplicaciones web, lo puedes dejar para cuando quieras profundizar en ese tema.
Tercero, si tienes el dinero, matriculate en algún curso (es importante porque te sirven de guía y te pueden explicar las cosas que no entendiste).
Tienes varias opciones, online, en un salon de clase, material de autoestudio.
Puedes comenzar por los de ethical hacking:
Si quieres profundizar en el tema de aplicaciones web:
En las respectivas paginas web puedes encontrar los centros de enseñanza para tu ciudad. (Debes averiguar todo lo que puedas del instructor, eso hace la diferencia en lo que puedas aprender).
Hacker?
No voy a repetir algo que puedes leer en:
http://es.wikipedia.org/wiki/Hacker
http://webzone.k3.mah.se/k3jolo/HackerCultures/index.htm
http://www.catb.org/~esr/faqs/hacker-howto.html
"Don't learn to hack, hack to learn"
http://es.wikipedia.org/wiki/Hacker
http://webzone.k3.mah.se/k3jolo/HackerCultures/index.htm
http://www.catb.org/~esr/faqs/hacker-howto.html
La definición que más me gusta es "persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas"
Yo creo que se tiene que tener actitud.
Actitud de ser curioso, de querer estudiar y aprender, de ser humilde.
No es que te metas a un curso y te den un certificado que diga que eres hacker, porque luego saliendo del curso te das cuenta que solo sabes la punta de iceberg. Y que luego de ese curso tienes que dedicar un montón de horas leyendo, estudiando los protocolos, practicando, probando y entendiendo las herramientas.
Y todo eso solo para llegar a un nivel básico o intermedio.
Otra historia es que investigues para generar nuevas tácticas, herramientas y exploits para luego poder compartirlas.
Los cursos si sirven, pero como guía. El resto del camino lo tienes que recorrer tú.
Yo creo que se tiene que tener actitud.
Actitud de ser curioso, de querer estudiar y aprender, de ser humilde.
No es que te metas a un curso y te den un certificado que diga que eres hacker, porque luego saliendo del curso te das cuenta que solo sabes la punta de iceberg. Y que luego de ese curso tienes que dedicar un montón de horas leyendo, estudiando los protocolos, practicando, probando y entendiendo las herramientas.
Y todo eso solo para llegar a un nivel básico o intermedio.
Otra historia es que investigues para generar nuevas tácticas, herramientas y exploits para luego poder compartirlas.
Los cursos si sirven, pero como guía. El resto del camino lo tienes que recorrer tú.
WARNING: Esto va a llegar a convertirse en un vicio, dejaras el Xbox, dormirás menos, y se convertirá en lo segundo o tercero más importante de tu vida.
"Don't learn to hack, hack to learn"
viernes, 18 de mayo de 2012
Ethical?
El problema cuando alguien tiene un arma es que no sabemos tu intención. Supongamos que tiene buena intención, no sabemos si esta autorizado para utilizar el arma. Supongamos que tiene buena intención y esta autorizado a utilizarla, ¿sabemos si sabe usarla adecuadamente?
Ahora has el mismo ejercicio, suponiendo que esa "arma", es una herramienta de hacking fácilmente descargable de algún sitio web, y agrégale que esta puede ser usada desde cualquier sitio y con suma facilidad.
Por eso, para ser del grupo de los de sombrero blanco, no basta con la buena intención, ni las ganas de practicar para aprender. Tienes que tener la autorización. Y así tengas la autorización, tienes que saber lo que estas haciendo (conocer las herramientas que estas usando y saber usarlas).
Ella un vistazo al Rules Of Engagement (capitulo 2.4, pagina 38) de ISECOM para que sepas todo lo que deberías cumplir.
Tomar otro camino, podría generarte problemas e incluso convertirse en un delito.
Suscribirse a:
Entradas (Atom)