Estimados amigos de Inseguros!!!
Como suele ser habitual en estas fechas, pasamos algunos ratos rememorando el año que dejamos atrás. Realmente con la edad lo de rememorar tiempos pasados suele ser una actividad recurrente. Hasta que solo hablemos de las 4 anécdotas que tengamos en memoria y nos dediquemos a revisar las obras por las calles. Quizás en nuestra época revisaremos código de programadores juniors? No se, pero eso antes era campo !!!
Terminar el año escribiendo estas reflexiones, para mi es una muestra de agradecimiento a esa parte pública de "kinomakino".
Este año ha sido profesionalmente apasionante. Ando metido en varios proyectos, algunos los conoceis y otros no, pero voy a tope de trabajo y estoy muy contento de que poco a poco el esfuerzo da sus frutos.
Una de las cosas que más me ha gustado ha sido la de impartir mi primer curso de hacking ético, no mi primer curso, a profesionales de Murcia + nuevo amigo de Madrid que se pasó por aquí.
La experiencia super enriquecedora. Creo que para los asistentes también, y espero repetir un par de veces este año con esto.
En 2016 me pasee por un montón de eventos y conferencias, algunas de la mano de Eset España y otras por mi cuenta. Es algo que quería hacer, me apetecía, pero que para 2017 decidí cambiar.
No me gusta mucho el asunto de repetir charlas, no por espectadores, porque en cada sitio/tiempo hay un montón de gente nueva dispuesta a escuchar, sino por mi. Dar charlas es algo que me gusta, me lo paso bien, si, ME LO PASO BIEN ACHO, y si repito mucho me aburro.
Para este año decidí cambiar un poco el enfoque, y opté por ir SOLO a conferencias a las cuales se accedía por CFP. Recibí varias invitaciones de mis amigos, y os quiero !!! pero me siento más contento conmigo mismo si esa charla me la "he ganado".
Ilusión me hacía cruzar el charco con mi hermano Jaime de DragonJar y lo conseguí. Una experiencia sin igual. Por temas de jet lag estuve un poco perdido, pero viví un sentimiento muy fuerte de hermanamiento entre la gente de distintos países, y todo con la bandera del conocimiento, como pueda ser por España, pero con un profundo sentimiento de raza. De pueblo. De costumbres. De identidad. Todos latinoamericanos !!! da igual paella o bandeja paisa, asado o empanada, ceviche o jugos, todos estamos aquí por algo en común.
Como experiencia vital os recomiendo un viaje a sudamérica. Gracias Comunidad Dragon jar !!!
Otra de las charlas a las que puse mucha dedicación, bueno mejor dicho ilusión fue Cybercamp y CCn-Cert. La primera no tuve suerte, segundo año consecutivo, pero si que tuve suerte para exponer una charla en CCN-Cert. Un orgullo haber sido seleccionado y haber compartido ese ratico con vosotros.
Otro evento que me gustó mucho en el que participe con una charla fue el Hack & Beers 1 de Alicante. En el estadio del Elche CF de la mano de Clavei. También lo pasamos genial.
Para devolver los grandes ratos que nos hacen pasar Edu y Miguel Angel y todos los ponentes/espectadores, montamos en un tris-tras la Hack & Beers 2 de Murcia. Leonardo aparte de la organización dió una bonita charla, como los paisanos Luis y Miguel Angel.
La última charla así que recuerdo de este año fue en la sede Microsoft Ibérica, en el evento anual de Azure Bootcamp, contando cositas de seguridad en Azure. En esa charla me lo pasé genial !!! a pesar del amarillo del jersey xD.
Una de las cosas que menos me ha gustado este año de las charlas ha sido la gente, mis amigos.
No visito las ciudades del centro con mucha frecuencia, y cuando lo hago suele ser con la urgencia del trabajo, o con la intimidad del placer, por lo que este año he echado de menos a muchos amigos, a muchos !!!
A pesar de estar en eventos, de ir a sitios, llega un momento en el que saludas a unos pocos, dejas pendiente esa charla que tantas ganas tienes, pero si tengo que hablar con 100 amigos 15 minutos, necesito más de un rato para estar con todos. Esto me jode, pero al menos he podido hablar con Marcos, con Nuria, con Gabriel, con Carlos, con muy pocos de los muchos a los que debo una invitación.
Culpa de esto fue que no fui por primer año a Navaja Negra, y tampoco pude ir a Secadmin. Ambas ocasiones cubiertas por trabajo, pero espero poder "fichar"el año que viene.
Sin embargo !!! estoy muy orgulloso del progreso profesional y personal de muchos de mis amigos.
Raro es el que no me sorprende con nuevo proyecto, o título, o experiencia, o cualquiera de esas cosas por las que me alegro como si me ocurriesen a mi.
Salvo un par de gilipollas que siempre los hay, estoy muy contento con cómo andan las cosas por la comunidad, esa comunidad que muchos no apoyan, pero creo que al final se está haciendo un gran trabajo con las ciber-cosas y muestra de ello es el talento que aparece, o que se deje ver, que nos dejan boquiabiertos con sus destrezas. Hay gente que en dos años sabe el triple que lo que yo he aprendido toda la vida... La juventud y los medios lo hacen posible. Ole ole y ole por todos lo jóvenes que se lo están currando.
En mi aspecto personal sigo contento de más !! Todo me va genial a mi familia y a mi. Es lógico,ese es el orden. Estando ellos bien...
Quizás muy gordo, muy muy gordo, pero el tema del tabaco y la falta de ejercicio me ha costado un montón de kilos. Este año los bajaré xDD
Muchas gracias a todos los amigos que tengo. Aunque no os lo creáis, parte de mi esfuerzo y desarrollo personal es por vosotros.
Os kiero.
Feliz año !!!
domingo, 31 de diciembre de 2017
martes, 12 de diciembre de 2017
Por qué ser hacker? Motivación
Estimados amigos de Inseguros!!!
Voy a intentar expresar algo que considero fundamental para el
entorno profesional en el que nos movemos, y por qué no, para cualquier ámbito de
la vida. La motivación. En este caso, la motivación por ser hacker…
Seguramente haya escrito ni uno ni dos ni tres sino tres (guiño
guiño) artículos sobre Cómo ser hacker, como comenzar en el mundo de la
seguridad, o similar disparate literario cd…
Voy a retomar el asunto a los años 90. Voy a contar historias de
abuelo que ya va siendo hora…
Era un joven de 10 años apasionado por el skate, Era un mundo
UNDERGROUND. Ser skater era algo como de malote… encima apareció una seria de
dibujos amarillos que reafirmaba esa idea ante las madres de barrio. Parece de
risa verdad, era así. Mi madre asociaba el skate a la delincuencia… Ninguna
marca famosa de deporte estaba metida en el negocio. Apenas una decena de
marcas cebaban el mercado, recuerdo las Powell Peralta, las Santa Cruz,
H-street etc…
Bajabas a la calle a patinar, a divertirte, a sentir el viento, a
llenarte de mierda¡!!
Ahora los chavales salen a la callen guapos¡!! Vestidos de marca, y
aunque no dudo de su pasión por el deporte, en todos existe el sueño de ser
Profesional y que NIKE les patrocine por 10 millones de euros al año, como
pueden hacer con grandes estrellas.
Es la misma motivación? Es igual de “puro” el sentimiento? La
motivación?
Ahora voy a saltar unos años, pocos, 92/94. El rap. Mi madre tenía
razón ¡!! Del skate pase al graffiti y al rap, es decir, callejero 100% XD.
Todos los que estábamos metidos en la movida sacábamos nuestras
letras, nuestros raps. La ilusión era bajar a la calle y soltar unas rimas y
que tus colegas fliparan con ellas.
No había mercado, no había industria. El rap era la música del príncipe
de bel Air y como mucho el “ehí pijo” del Rapin Madrid…
Ahora los chicos empiezan a rapear soñando con algún día tener un
video con millones de visitas y ganar pasta como cualquier de los muchos que la
ganan…
Mismas preguntas, esto es auténtico? Existe la misma motivación
cuando antes estaba toso en contra, y ahora todo a favor?
Ahora vamos a con el hacking. El deseo por romper cosas, por
descubrir.
La sensación inmensa de felicidad/nerviosismo cuando consigues
vulnerar un sistema, o descubrir un fallo, y no poder contárselo a nadie, a
NADIE. Ni en la calle ni el IRC…
La ilusión por conseguir rular un juego con un crack que te hacías tú,
que no bajabas de Internet… o si lo bajabas te costaba ciento y la madre…
Ahora hay algo parecido, están los CTF, Cada paso que das, cada
punto que adquieres, te acerca esa posición de “líder” de “respeto” o como
quieras llamarlo.
De una manera u otra se busca algo, reconocimiento, diversión,
aprendizaje por supuesto, pero algo más. Quien me diga que SOLO hace CTF por
aprender miente, es lógico ¡!!
Cuando algo se vuelve popular es inevitable que se vuelva menos
autentico, mas comercial por decirlo de alguna manera, y esto hace que la
verdadera motivación que debería haber por hacer las cosas a veces se difumine.
Hace unos años aparecer en una CON era síntoma de ser un crack. De
tener algo importante que contar. Con el tiempo esto ha cambiado. Ahora puedes
dar charlas, sin ser nadie relevante, como yo, y todo tiene cabida.
Con los CTF pasará lo mismo. Hay gente que SABE MUCHO y que “pelea”
duro en ellos. Llegará el momento en que los CTF serán una “asignatura “más de
la carrera, cuando personalmente creo deberían ser una parte de la formación.
El mundo real, el hacking, a veces es más complejo, o a veces más sencillo…
pero es más real…
Soltadas todas ideas, quiero resumir el post con eso, con la
motivación, que cada uno debe encontrar en las cosas que hace. Para levantarse
un lunes a ir a estudiar o trabajar, para ir al gimnasio, o para lo que sea,
pero que ganar dinero no debería ser la principal motivación para ser hacker,
si quieres ganar pasta hazte médico, que no te engañen los periodistas, ser
hacker es algo muy difícil y costoso.
Yo llevo varios años intentándolo y aún no lo soy xD
PD: No he entrado en la parte del hacktivismo como motivación ya
que no es mi caso, y hace muchos años que deje la “lucha” social por la lucha
personal, después de ver que el que corría junto a mi delante de la policía era
hijo de policía…
Como siempre, gracias por leerme.
lunes, 4 de diciembre de 2017
Relación con proveedores: Exige seguridad !!!
Estimados amigos de Inseguros:
A lo largo de mi trayectoria en el mundo de la seguridad, y por qué no, en la informática en general, he tenido que verme en la situación de delimitar la responsabilidad de socios, partners y proveedores de cualquier ámbito del trabajo.
No vale con echar la culpa a la señora de la limpieza, esto ya es viejo, hay que delimitar responsabilidades pero más que nada funciones.
En el mundo de las auditorías me encuentro todos los días con departamentos más o menos contentos con los resultados, casi siempre descontentos... No porque hayas encontrado pocos fallos la verdad...
En esta ocasión no voy a hablar de la seguridad "delegada" del servicio de hosting, pero si de esa seguridad en productos y servicios internos.
Cuando presentas una auditoría y encuentras un activo... el ERP con un fallo en el sistema operativo que te permite acceder al sistema remotamente, el cliente se apresura en justificar la carencia de control con que ese servidor se lo lleva "una empresa".
Lo mismo pasa con software base desactualizado ( Sistema operativo, bases de datos, servidores de aplicaciones, web, componentes, drivers...).
El proveedor suele rendir cuentas con actualizaciones de SUS sistemas, los que desarrolla o implanta, y no cree necesario actualizar un componente SSL o un servidor SQLServer.
El mismo caso para configuraciones inseguras, como usuarios/contraseñas por defecto, ausencia de mecanismos de seguridad, falta de política de parcheos, etc.
SIEMPRE, SIEMPRE, SIEMPRE me encuentro con que el departamento culpa a la empresa proveedora de lo desastres. En estas ocasiones recuerdo frases de mis padres en plan: Si tu amigo se tira al puente tu te tiras... O mejor dicho, si el no se tira, al final quien se tira.. bueno me he hecho un lío, la verdad es que mis padres sabían que siempre era yo el malo XDDDD
La cuestión es que en muchas auditorías se especifica en la parte ejecutiva de soluciones el mejorar las políticas de relación con los partners y proveedores, haciéndolos partícipes de nuestra política de seguridad. Esta política puede estar escrita o no, pero debemos exigir ciertos controles, al menos, en nuevas contrataciones, renovaciones y en momentos en los que podemos "apretar". Quizás no sea posible con todas las soluciones, pero ahí nuestro esfuerzo.
Dicho esto, como algún cliente me lo suele pedir, voy a intentar reflejar aquí unos mínimos, unas pequeñas cláusulas que podemos incluir en nuestros formatos para pliegos o diseño de especificaciones para nuevos servicios o productos.
Siendo la empresa cliente la organización:
A lo largo de mi trayectoria en el mundo de la seguridad, y por qué no, en la informática en general, he tenido que verme en la situación de delimitar la responsabilidad de socios, partners y proveedores de cualquier ámbito del trabajo.
No vale con echar la culpa a la señora de la limpieza, esto ya es viejo, hay que delimitar responsabilidades pero más que nada funciones.
En el mundo de las auditorías me encuentro todos los días con departamentos más o menos contentos con los resultados, casi siempre descontentos... No porque hayas encontrado pocos fallos la verdad...
En esta ocasión no voy a hablar de la seguridad "delegada" del servicio de hosting, pero si de esa seguridad en productos y servicios internos.
Cuando presentas una auditoría y encuentras un activo... el ERP con un fallo en el sistema operativo que te permite acceder al sistema remotamente, el cliente se apresura en justificar la carencia de control con que ese servidor se lo lleva "una empresa".
Lo mismo pasa con software base desactualizado ( Sistema operativo, bases de datos, servidores de aplicaciones, web, componentes, drivers...).
El proveedor suele rendir cuentas con actualizaciones de SUS sistemas, los que desarrolla o implanta, y no cree necesario actualizar un componente SSL o un servidor SQLServer.
El mismo caso para configuraciones inseguras, como usuarios/contraseñas por defecto, ausencia de mecanismos de seguridad, falta de política de parcheos, etc.
SIEMPRE, SIEMPRE, SIEMPRE me encuentro con que el departamento culpa a la empresa proveedora de lo desastres. En estas ocasiones recuerdo frases de mis padres en plan: Si tu amigo se tira al puente tu te tiras... O mejor dicho, si el no se tira, al final quien se tira.. bueno me he hecho un lío, la verdad es que mis padres sabían que siempre era yo el malo XDDDD
La cuestión es que en muchas auditorías se especifica en la parte ejecutiva de soluciones el mejorar las políticas de relación con los partners y proveedores, haciéndolos partícipes de nuestra política de seguridad. Esta política puede estar escrita o no, pero debemos exigir ciertos controles, al menos, en nuevas contrataciones, renovaciones y en momentos en los que podemos "apretar". Quizás no sea posible con todas las soluciones, pero ahí nuestro esfuerzo.
Dicho esto, como algún cliente me lo suele pedir, voy a intentar reflejar aquí unos mínimos, unas pequeñas cláusulas que podemos incluir en nuestros formatos para pliegos o diseño de especificaciones para nuevos servicios o productos.
Siendo la empresa cliente la organización:
- El proveedor se compromete a cumplir todos los estándares de seguridad del sector de actividad de la organización y cualquier exigencia explícita de la organización en materia de seguridad informática y buenas prácticas.
- El proveedor se compromete a realizar mantenimientos del software vinculado a su producto o servicio en el plazo que éste lo requiera, estableciendo un periodo máximo entre acción y acción de no más de 2 meses. Por ejemplo: Sistemas Microsoft: Mensual.
- En el caso de que se produzca un incidente de seguridad grave relacionado con el software principal o relacionado, el proveedor se compromete a solucionar el incidente con la mayor celeridad posible. En el caso de que el equipo de la organización lo requiera, el proveedor deberá facilitar todos los procesos y herramientas para que la organización pueda remediar el incidente de manera ágil y segura. Por ejemplo: Claves del sistema, certificados, herramientas de control, etc.
- El proveedor se compromete a entregar a la organización un sistema carente de fallos conocidos y con una configuración de seguridad que impida:
- Accesos anónimos.
- Accesos con cuentas conocidas.
- Versiones de sistemas sin actualizar/fuera de ciclo de vida de producto.
- Exposición de información no controlada.
- Ataques de fuerza bruta.
- El proveedor se compromete a entregar a la organización un sistema o servicio que sea compatible con la infraestructura vigente de la organización, por ejemplo:
- Gestión de eventos centralizada.
- Instalación de sistemas antivirus, agentes, monitorización, backups, etc.
- El proveedor se compromete a facilitar a la organización cualquier información del producto relativa a su funcionamiento en materia de seguridad.
- El proveedor se compromete a que la organización pueda realizar test de seguridad, auditorías o cualquier otro tipo de pruebas para garantizar la seguridad del producto o servicio, y que este cumple con los estándares de la organización.
- El proveedor se compromete a realizar un plan de trabajo en el que se definan y se establezcan soluciones para fallos o deficiencias en materias de seguridad detectadas por auditorias de la organización o de terceros.
- La negativa a cumplir cualquier de los citados puntos podría ocasionar la rescisión del contrato por parte de la organización por incumplimiento del proveedor, quedando la organización exenta de cualquier responsabilidad, indemnización o pago relativo con el cese del contrato.
Por supuesto que no soy abogado, y cualquier cláusula de este tipo debería ir respaldada por el departamento legal, ya sabemos que la redacción de estos artículos es más importante aún que el contenido, pero básicamente son los aspectos que se le podría pedir a un proveedor "medio" del ámbito de la informática.
Otra cosa es la necesidad de cumplir con normativas específicas, o que la empresa que contrata el servicio implemente su propio checklist de seguridad, algo cada vez más habitual en organizaciones internacionales, pero esta pequeña descripció seguro que os ayudará.
Suscribirse a:
Entradas (Atom)