martes, 25 de marzo de 2014

¿Ceder practicidad? ¿Para qué?

Siempre está la misma pelea que recae sobre el personal de seguridad y el cliente. "¿Por qué debo ceder practicidad y rapidez para aumentar mi seguridad? Éso debería ser transparente".
La verdad es que no siempre tenemos las herramientas necesarias para hacerlo. Primero y principal porque lleva mucho tiempo y los sistemas son desarrollados por humanos y cuanto más complejo es el sistema, más común es encontrar errores. Hay que verlo como un queso gruyere, que cuanto más queso tenemos, también tenemos más agujeros por el simple hecho de que el queso lleva agujeros.

Y segundo -y esto hay que tenerlo en cuenta-, al que está mirándonos desde arriba no se preocupa por nuestra seguridad como cliente. Es difícil y costoso, lo que pocas veces merece la pena hacer. Entonces, los clientes deben estar siempre atentos. Sobre todo cuando nos ceden responsabilidades a nosotros, tales como identificaciones. Y muchos, sin pensarlo, simplemente siguen juntando y coleccionando este tipo de cosas.


Además, la ignorancia es gratuita y nunca vas a recibir de un banco, demasiadas indicaciones de seguridad sobre la cuenta, mecanismos internos o tecnicas para preservar sana la identidad -como un ejemplo claro-. Ésto les va bien a quienes tienen de profesión, la cyberdelinuencia. Claro que tampoco podemos pasarles la bola cuando algún pobre de mente pública fotos o información escrita en las redes sociales.



Pido conciencia, tanto del lado cliente como del lado servidor. Al cliente para que empiece a preocuparse por su información, y que no rechiste cuando un especialista de la seguridad le obliga a usar algo (seguramente es importante) y al servidor para que empiece a preocuparse más por el cliente y no tanto por la plata. Aunque si logro esto segundo me llevo un nobel ¿Verdad?


martes, 18 de marzo de 2014

SEO. Posiciónate en 10 días


Los hermanos Roberto y Rodrigo Quintanar colocan en nuestras manos, este maravilloso libro sobre las herramientas SEO (Search Engine Optimization). Es verdad que ya se han hecho otros tantos, pero ninguno hasta ahora develaba los verdaderos secretos de cómo colocar una página en los primeros lugares de búsqueda de una manera tan concisa, breve y sencilla.
Contenido:
  1. Introduccion
  2. Negocios y la Web 2.0
  3. SEO
  4. Tráfico web
  5. FAQ (Preguntas Frecuentes)
  6. Bibliografia
  7. Acerca de los autores

lunes, 17 de marzo de 2014

¿Exigimos lo que merecemos?

En el área de seguridad informática, siempre se escuchan berrinches de los especialistas cuando sus recomendaciones no son escuchadas por parte de los inversionistas. Pero seamos sinceros, pocos de los aquí presentes, saben vender la seguridad como algo importante. ¿Entonces quién falla? La verdad es que cada parte hace lo suyo.


Veamos el punto de vista de aquel empresario que recibe la recomendación:

-Él quiere hacer dinero e invertir en seguridad no da ganancias directas.
-No entiende nada de lenguaje ténico. Siente que todo lo que le decimos son chiches para niños.
-Desconoce la forma que una persona puede hacer daño.
-No conoce personas que hayan pasado por un mal momento respecto a eso ni se informa sobre el tema.

Parece algo tan fácil y es tan difícil. Pero ya que sabemos esto, es nuestro turno de actuar y de alertar correctamente.



Tengamos algunas cosas en cuenta. Primero que nada, no tenemos que hablar con lenguaje técnico. Quizás no sepa qué es una dirección IP y nosotros intentamos hablarle de IPS/IDS, firewalls y honeypots; encontrándonos con la misma respuesta que puede tener un infante. Así que intentemos simplemente alertarlos de la inseguridad que puede tener y cuánto dinero y trabajo necesitamos invertir para esto.
Otra cosa es que ellos no conocen qué puede causar la inseguridad ya que ellos no ven directamente los daños causados. Usemos su lenguaje como herramienta para ésto. Es decir, cuánto daño en relación al dinero puede causar un atacante. De la misma forma, tenemos que capacitarlos para que sepan cuáles son las maneras de atacar más comunes y fuertes.
Por último, sólo tenemos que calcular cuánto necesitamos invertir para prevenir una pérdida mayor en tiempos posteriores. Para más información de cómo podemos hacer esto, hay muchos libros de auditoría -como el CISSP-.



Conclusión:  yo sé que muchos son más amenos al ambiente técnico y underground pero cuando trabajamos para alguien debemos hacerlo de manera comercial. Seamos humanos, hablándole a otros humanos. Y sobre todo inteligentes, porque ningún inversor con dos dedos de frente va a querer regalar cifras sólo porque alguien con un lindo currículum les dice que tienen que hacerlo.


jueves, 13 de marzo de 2014

La verdad detrás del crack.

No es necesario que un ente oficial nos diga nada para conocer que, cuando hablamos de America Latina, el crack y el keygen es moneda corriente. Sobre todo en el mundo de los gamer y software con licencias caras.
Es muy común encontrar también chicos, que además de descargarse cientos de juegos y programas con sus respectivos cracks, no tienen instalado ningún tipo de defensa así como un antivirus o un firewall. Y quien los tiene, les deja un monton de excepciones para que las cosas anden como puedan. ¿Hasta que punto, ésto debería ser flexible?


Obviamente que cuando estamos en el mundo de la seguridad, nos fanatizamos con ésta, pero la verdad de la milanesa depende de muchos factores.
Entendamos cómo se hace un crack de un programa:
Primero, un software nos da limitaciones a menos que tengamos una clave para tener libre acceso. Luego un cracker tiene dos opciones. Burla la verificación o encuentra la clave correcta para poder usar las funcionalidades sin problemas.


Ésto no termina allí ya que muchas veces los softs tienen defensas para que no sean fáciles de crackear. Imagínense que tampoco será fácil encontrar una o varias claves para poder entrar. Lo que quiere decir, que el cracker deberá modificar el programa para saltar la verificación e intentar de que no haya limitaciones ni bloqueos.

Y ahora caigamos en la realidad. ¿Todas las personas son tan buenas que simplemente se toman todo este trabajo sin pedir nada a cambio?

La respuesta es simple: no. Y para nosotros esto es transparente. A veces nos encontramos con que el crack no es sólo un software modificado sino que también viene con un troyano dentro. Reparten malware y se aprovechan de la innocencia y el querimiento de los clientes para ésto.
¿Cuántos de ustedes han escuchado "Desactiva el antivirus para poder poner el crack"? Seguramente muchas veces. Y lo mismo con respecto al firewall.


Los medios para hacerlo no son más que simple ingeniería social. ¿Quién sabe cómo se hace realmente un crack y lo que puede contener dentro? Pocos. Por eso la mayoría caerá en la trampa. Los backdoor y los troyanos actúan impunemente en los sistemas sin protección. Y lo que es peor, nosotros los ayudamos.

Sean conscientes. Si van a dejar que tanto malware llegue a su sistema, no usen este mismo para su información sensible. Tampoco dejen de lado el mantenimiento ni la limpieza. Pero lo mejor de todo sería dejar que el antivirus y el firewall hagan su trabajo. Es mejor prevenir, que curar.


Posted on 10:15 | Categories:

martes, 11 de marzo de 2014

Parsero: auditando robots.txt

Hoy vengo a traerles una herramienta para auditar el famoso protocolo que utilizan las webs para no dejarse ver por el buscador.

Este script desarrollado en Python, toma el archivo robots.txt que impide a los buscadores indexar ciertos path de la página y lo analiza, retornando cuáles son el estado de cada una de las entradas.

Herramienta fácil de utilizar y con la opción de buscar también los Disallow por el buscador de Microsoft, Bing.



Ya que muchos administradores creen que simplemente denegando el indexado desde aquí ya están seguros, es una buena herramienta para testearlos.

Mírenlo en funcionamiento:


Así que si no quieren tener problemas con Parsero, mejor que administren y bloqueen correctamente los controles de acceso.

El link a la descarga es: Parsero

lunes, 10 de marzo de 2014

Cuidado con el anzuelo: Hotspots.

Para muchos, una generosidad que los deja cómodos, y para algunos otros es una caña para pescar información. La carnada: un hotspot.



Un hotspot es un punto de acceso inalámbrico que es de libre acceso, sin contraseña de por medio, y que, obviamente, no muchos internautas dejan pasarlo de largo sin conectarse para revisar su mensajería, charlar con sus amigos o hasta hacer alguna operación de home banking.

Y esto ha ido en aumento más y más, porque la tecnología nos lo pide. Muchas aplicaciones funcionan con internet de por medio, y demasiados dispositivos tales como tablets, celulares o nuestro portatil, se comportan como nuestra conexión al exterior.


Pero ¡Ojo! Esto no es completamente seguro. Hoy en día, los hackers se aprovechan de esta acción social y colocan el anzuelo de un hotspot propio, ofreciendo internet o también burlándose de la inseguridad de estas redes, ya que -lamentablemente- los negocios y aquellos que la ofrecen gratis, raramente se preocupan de la seguridad de éstas.

Y esto no termina aquí. Los ataques son fáciles de hacer y cualquier atacante con pocos conocimientos logra transparentarse. Además la inseguridad aumenta cuando nuestro dispositivo guarda la red como conexión confiable y cada vez que pasemos por ella, vuelve a acceder.

Una de las técnicas más usadas es colocar un dispositivo pequeño como un celular o una tablet como AP, en lugares de mucha densidad y desde allí o con una computadora capturar todos los datos que pasan, creando el famoso MITM -Man In the Middle-. Además de poder capturar las contraseñas y usuarios que utilizan las pobres víctimas, también logran capturar lo que envían así como correos o archivos.



Pero tengan cuidado internautas, su información está en riesgo. Y sobre todo porque a la masa no le importa y siempre creen no ser la víctima. Siempre el afectado es el otro. No pongan fichas en la innocencia, y sobre todo sean precavidos. Siempre es mejor esperar a llegar a una red segura y realmente conocida que arriesgarse a perder los datos ante un desconocido que no nos desea privacidad ni seguridad.

viernes, 7 de marzo de 2014

Hack: The Game [Español]




Si siempre has querido ser un hacker, pero sin meterte en problemas y por pura diversión, ahora puedes conseguirlo gracias a este entretenido juego, sin hacer daño ni molestar a nadie.En Hack The Game interpretamos el papel de un aprendiz de hacker, querecibe diversos encargos y misiones de los más variado. Tendremos porejemplo que entrar en máquinas remotas, obtener información concreta,localizar ciertos ficheros que nos piden … sin dejar ni rastro denuestro paso. 

Las misiones te llegarán directamente a tu correo electrónico, y elpropio programa te facilitará el conjunto de herramientas necesariaspara llevar a buen puerto las tareas: utilidades para hacer ping,escáner de puertos, telnet, saboteador de contraseñas, etc. El interfazde Hack The Game simula un típico terminal de pantalla negra con textoverde. Huelga decir que el juego es completamente inocuo e inofensivo y las misiones no tienen efecto real 
alguno. 


jueves, 6 de marzo de 2014

Libro PHP a traves de ejemplos (PDF)

php5_atraves_ejemplos.png
El  método de  propuesto por el autor garantizará que el lector con la ejecución y de ejemplos, cree las competencias necesarias y explote de forma fácil lo mejor de la orientada a objetos (programación posible a partir de la versión 5 de PHP) y consiga mediante esta poderosa  optimizar el proceso de desarrollos  la .
Contenido:
Fundamentos del lenguaje 
 de 
Cadenas
Arrays
Funciones
 orientada a objetos
Funciones de fecha y hora
Formularios, cookies y sesiones
 y directorios -  de 
 y XML
Ejemplo de aplicación: Webmai
Apéndices:
A: Ejemplo de uso de funciones de archivos: agenda
B:  de configuración php.ini
C:  de funciones de  
D: Interfaces dom, definiciones en idl

E: Contenido del  incluido.