Como Ser o no Ser Microsoft MVP

Estimados amigos de Inseguros !!!

Vamos a introducir paso a paso las ideas y conceptos, y no como siempre desordenadamente y en el kaos. Bueno no,  voy a empezar por el final, o por el principio?.

Lo primero de todo es saber qué es el Microsoft MVP. Al estilo de los jugadores de basket y otros deportes, se le otorga este premio al mejor jugador del partido (Most Valuable Player). Microsoft jugó con las siglas para crear su Most Valuable Professional.

El juego de caracteres es realmente bueno, pero no conlleva realmente ser el "mejor jugador del partido" para ser un Ms MVP. Ser Ms MVP es un premio otorgado por Microsoft por la contribución en las redes a las tecnologías de Microsoft.

No significa que seas el que más sabe, no significa que seas el más listo, no significa que seas un fan-boy de Microsoft y no puedes criticarlo. No significa nada de eso, sin embargo...

Si eres una persona que constantemente aportas valor a la cadena, con blogs, charlas, libros, foros, eventos o cualquier otro tipo de divulgación, al final, algo debes saber sobre la materia...

Ser fan-boy no es un requisito, no se pide comprar camisetas ni ser el "windosero" en las charlas de bares, pero al final, si uno hace lo que le gusta, y se dedica a las tecnologías Microsoft, es porque algo te gustan.

Conozco a MVP´s con un nivel técnico estratosférico, y conozco MVP´s con un valor increíble por su trabajo de divulgación. Todos los niveles valen, volvemos al origen del premio, contribuir en las redes...

Al final como verás no te estoy centrando del todo en cómo ser un MVP, porque no hay guía, simplemente puedo expresar mis opiniones, pero siempre te voy a repetir que es un premio por contribuir en las redes...

Conozco gente reacia a todo esto, a las certificaciones, titulitis y demás.

Conozco gente realmente buena en su trabajo, tanto en la seguridad, en los sistemas, en la ingeniería, en la pintura, carpintería, etc..

Pero a la hora de valorar a un profesional, a mi me la trae floja que sea un crack, si se guarda sus "trucos" y conocimiento para el. Lo contrario a la exposición en los medios, aquellos genios de la gruta y su pequeño grupo de genios, los auténticos !!! los inimitables !!! los inigualables !!! a mi me da igual lo que controles, valora más al que comparte lo que tiene.

Siempre pongo el mismo ejemplo, valoro más a una persona pobre que te deja 1€ que te falta que a un millonario que te deja 50€.

¿Esta bien explicado así o sigo?

Estas últimas líneas se refieren a la importancia que se le pueda dar al premio.

Yo recuerdo los principios de los 2000. Me enamoré de la tecnología que trajo Windows 2000, el .Net, Isa Server, SharePoint !!!

Pasaba las horas en los foros Technet y en las News (NTP pero no el tiempo xD) ayudando a todos con las típicas preguntas. No se cuantas veces escribí ( en el servidor dns, el campo dns debe apuntar a si mismo) no exagero si no lo dije 100 veces.

Veía a los genios del foro con las siglas MVP y quería ser como ellos. Tenía 20 años, que quieres !!! otros querían ser como el cantante de héroes del silencio!!!

Muchos nombres recuerdo y mucho respeto guardo a todos estos genios que durante siglos ayudaron o ayudan a la gente con sus respuestas desinteresadas.

Por una cosa o por otra, dejé ese mundillo hasta mi "reaparición" en la redes hace 6 años. Quizás la parte que más te suene de mi carrera.

Mientras que hace 20 años "busqué" o intente trabajar a propósito para lograr el MVP, el título realmente vino solo hace unos años.

Recuerdo estar en una conferencia de hacking, Navaja Negra, y sobre las 16:00 de la tarde me llegó el mensaje al mail.

Lo primero que hice fue sudar, luego miré a mi alrededor pensando que alguno de mis colegas me estaba trolleando.

Como no veía muy bien la cabecera del mail en el móvil fuí corriendo al hotel para comprobar la veracidad xD Paranoyas de ir con hackers :-)

Me pregunté por qué me dieron el premio. Se lo pregunté a mis colegas. Se lo pregunté a otros MVP´s cercanos.

Al final resulta que miré para atrás, y llevaba no se cuantos artículos escritos. Había participado en nosecuantos cuantos eventos, había dado no se cuantas formaciones, al final me creí que si, que el premio era real.

Ser MVP me proporciona un montón de cosas que nadie sabe. Me proporciona apoyo anímico cada vez que tengo que estudiar algo para mi trabajo y el sofá me llama. Me proporciona visibilidad en las redes sociales ya que a mucha gente le llama la atención, para bien o para mal, pero llama la atención.
(no creas tampoco que vas a ligar más).

Durante todo el año tenemos un montón de eventos. Yo particularmente disfruto mucho con los webcast sobre producto, sobre seguridad, grupos de interacción y este tipo de eventos que no requiere apenas esfuerzo, una hora, pero te ponen al día de un montón de cosas y te permiten preguntar, aportar, etc.

Luego está la parte de pegatinas, del logo, del trofeo que tengo en el comedor y que muestro con orgullo a los amigos de mis hijos que quieren estudiar informática :-)

He leído varios artículos relacionados con este, y si estás "buscando" ser MVP tiene que joder leer en todos lo mismo, que es algo que cae solo, que no se busca, y que es una recompensa del carajo, pero es que es así !!!

Otras empresas tienen premios parecidos, recuerdo Google contributors? Vmware Vexpert?

Creo que son iniciativas muy interesantes ya que se establece una relación WIN-WIN en la que las empresas reciben publicidad y contenido a bajo coste, y los apasionados por la tecnología reciben un premio que muchas veces no se da en la vida cotidiana.

Te imaginas tener un premio por ser el que más disfruta comiendo en Burger King? o un premio por pasarte las horas muertas jugando a la play? Molaaaaaa

Creo que ha quedado patente mi ilusión y agradecimiento por la comunidad MVP y creo que he transmitido que hagas la cosas con la pasión y dedicación que se merecen y que te inspire, que los premios molan mucho, pero tampoco lo son todo.

Las vacaciones empiezan desde el momento que piensas a dónde vas a ir.

Lo mejor de todas las cosas que giran alrededor no es tenerlas, es conseguirlas, y lo mejor de conseguirlas, es tenerlas (Frase de Mucho Muchacho).

Gracias a todos los que me leeis, y sobre todo, gracias a todas esas personas que aparecen en google cuando busco un fallo, un procedimiento que no me funciona, o cualquier otro tipo de información que desinteresadamente alguien ha publicado en Internet. La parte del premio es la puntita :-) lo gordo está debajo.

Calurosos abrazos !!!


PD: El principio de todo esto debería haber sido decir  que me han renovado el premio hasta dentro de un año :-)

Threat Intelligence. Dame IOC´s-Consume IOC´s. MINEMELD OpenSource Palo Alto.

Estimados amigos de Inseguros !!!

En este blog junto con el de Eset España he hablado varias veces del Threat Intelligence y de herramientas que nos pueden ayudar para su gestión. Tambien teneis un video de PaellaCon con una charla que di al respecto.



En esta entrega de Inseguros no voy a profundizar en el uso del Threat Intelligence, para eso puedes tirar para atrás, pero si que voy a comentar un poco el uso de esta fabuloso herramienta similar a CIF pero bastante más ágil.

El concepto es MUY sencillo. Introducir IOC´s de distintas fuentes y lo exporto de distintas maneras.

En el mundo de la monitorización y los Security Operations Centers o SOC es irremediable contar con un conjunto de proveedores de inteligencia que ayuden la labor del analista a distinguir amenazas.

Estas fuentes deben ser libres por supuesto, de pago si lo consideras, externas y como no internas.

Imagina una alerta leve de un incidente a uno de nuestros activos. Contar con la información detallada del origen, y poder evaluar por ejemplo que se trata de una IP que lleva desde las 7:00 de la mañana barriendo una zona geográfica, y que un analista la ha considerado como maliciosa porque descarga una pieza de malware. Quizás a ti te haya una alerta del tipo respuesta DNS con contenido .ru ... pero tampoco vas a parar el mundo cada vez que esto sucede.. o si :-)

Al lío, vamos a "destripar" la herramienta para que juzgues por ti mismo.

El mundo de tener que pelearte con la máquina para instalar las cosas murió el día que aparecieron los how to´s verdad? claro que no :-) Murió con Docker/Ansible y las máquinas virtuales :-)

Podemos elegir cómo desplegar nuestras instalación, en un sistema bare-metal con todas las fuentes, o podemos hacer CLICK y que se despliegue la máquina en tu cloud favorito, externo o interno.

En mi caso despliego sobre Azure, me despliega una máquina pequeña mediante una plantilla, me abre los puertos ssh y https y en 3 minutos empieza a funcionar.

Mientras que empieza, puedas conectarte por ssh para ver el progreso.

Si todo ha ido bien se nos presentará un cuadro de mandos una vez hayamos hecho login con el usuario y password por defecto.

El primer concepto que debemos manejar es el de Node. Cada Node es un conjunto de configuraciones de entrada, procesamiento y salida. 

Hay un concepto de Prototype que es la configuración exacta del "parser" que va a recolectar la información. En el podemos configurar url,  intervalos, clasificación y demás. Vamos a ver por ejemplo un preconfigurado para AlienVault Reputation.

Creamos un Node que use este prototipo para que el proceso de recolección empiece.

Ahora tenemos esta fuente de información recolectando direcciones IP.

Ahora creamos otro node, del tipo OUTPUT en formato lista de ip pero podemos usar cualquier de las salidas disponibles, para que pasándole este input de Alienvault, genere una salida que podamos incorporar a cualquiera de nuestros sistemas que usen este formato.

Te dejo verlos durante un rato aquí: https://52.183.117.83/feeds/test

En formato CDIR: https://52.183.117.83/feeds/test?tr=1

En formato json: https://52.183.117.83/feeds/test?v=json-seq

El software pinta bien. Usa una arquitectura un poco rara o desconocida para mi, usando un motor de base de datos round robin=?!"·?!"·= y un servidor nginx

Ahora voy a cargarla lo más automáticamente las fuentes que manejo, en la actualidad, más de 120 y a ver cómo se comparta.

Espero que os guste la idea y que la manejes tu mismo.

Un saludo !!!

Famosa !!! muñeca o celebrity. Opiniones...

Estimados amigos de Inseguros !!!

Llevamos unas semanas más ajetreadas de lo normal con la exposición de la gente a los medios y después del tonteo del otro día de Wannacry sospecho que va a dar para varias entregas.

Aunque ya he expresado mi opinión al respecto en varios foros, me apetece escribir por aquí lo que quiero sin las restricción de los 140 caracteres o la app. móvil.

Para centrar un poco mi opinión voy a hablar de otras dos de mis pasiones aparte de la informática, que he vivido como algo más que un hobby, como un estilo de vida, pero que al final pasó como lo que está pasando ahora mismo con la infosec.

Era 1993 o así. Estaba metido de lleno en la cultura hip hop. Si estás o has estado sabrás de lo que hablo, una cultura reivindicativa, antisocial, transgresora, con varias facetas de expresión artística como el graffiti, el break dance y el rap.

Estábamos en la movida, escribí un fanzine de graffiti en el que pegaba fotos sobre un a3, escribía al título con la máquina de escribir y lo pegaba debajo. Luego se fotocopiaba y se vendía por 300 pesetas. Recuerdo con ilusión como de mano en mano, fotocopia en fotocopia, recibimos cartas, si cartas con sello, de gente de TODA España felicitándonos por el trabajo.

Mis mejores amigos cantaban Rap, muchos amigos. De repente, salió en la prensa un grupo de Madrid, los poetas violentas. Eran todos una banda, vestidos igual, rapados igual, gente con dinero que pudieron acceder a grabar un disco, cuando los demás estábamos con las cintas.

No se lo merecían, no eran los mejores, no eran lo únicos, pero fueron los primeros en sacar un disco de rap en España. Los medios escribieron soberanas tonterías gracias a la desinformación. Apareció el príncipe de bell air... años más tarde Eminem, las batallas de gallos y todo se fue a tomar por culo.

La cultura desapareció, y el hip hop se convirtió en un baile de un talent show, y el rap se conviritió en cualquier persona que rima sobre un 4x4 rimando los finales.

Ahora de los 1000 grupos que salen de rap, me gusta 1. Pero me da igual que hayan 999 malos. Es una opinión seguramente de abuelo cebolleta, y lo que durante un tiempo me molestó, ahora me la suda.

Ahora voy a seguir unos cuantos años más 1998/2000. Otra de mis pasiones, el SkateBoard.

Ya sabes, Sk8 or die. Todo el dia en la calle lleno de mierda con la tabla partiendome el cuerpo para sacar el truco más guapo. Aquí la cultura era esa, patina o muere. Era otro estilo de vida, en el que reivindicamos nuestras inquietudes deportivas, de manera de vivir, al margen de la aficiones "normales" que tenían las personas de nuestra edad: salir a ligar.

Cuando el skate salió a los medios MASIVAMENTE, con el juego de la playstation de Tony Hawk, hubo una revolución mediática. Las empresas de toda la vida que NO APOYABAN el skate, como Nike, Adidas, etc empezaron a contratar gente para vender sus productos. Los profesionales del skate.

Cuando Nike o Redbull ficha a un talento con la tabla, creeis que contratan al mejor, al que más trucos hace, al que más estilo tiene, al que más años llevan patinando, al que más se lo merece? PUES NO. Contratan a una mezcla de lo anterior, y alguien con "carismas" con "posse" con aspecto guay, que convine con su marca. Imaginas a un tipo gordo y feo patrocinado por Nike, por muy bueno que sea?

Después de vivir todo esto qué crees que pienso cuando veo a un tipo más parecido a un módelo anorexico que a un chaval de 18 años, vestido de moda, con la tablita de longboard? o a la misma figura en chica que lleva el longboard bajo el brazo porque quiere ligar con el tipo del skate... Como con el hip hop. hubo un tiempo en el que me reventaba, ahora, me la suda...

AQUÍ EMPIEZA LA PARTE DEL HACKING.


Al igual que el skate, el hiphop, el surf hace 40 años, el rock hace 50, el hacking ha cambiado. Ahora está en los medios, y te guste o no, es lo que hay. No chochees con una cultura que nació hace 30 años con unos motivos, con la lucha contra telefónica y la tarifa plana, con el acceso a internet universal, con el afán del conocimiento libre y accesible. El hacking de ahora lo hacen gente que ha estudiado su carrera con matrículas de honor, que ha hecho un master no se donde, y que de lunes a viernes trabaja 50 horas haciendo test e informes.

Si tu eres de los de antes, ole tus huevos. Si eres de los de ahora, ole tus huevos. Todo es válido, y precisamente gracias a la lucha de muchos por esa libertad en internet, ahora están las nuevas generaciones. Qué quieres, que te paguen? que te admiren? NONONO, esto no va así.

Queridos haters, prefiero ser el tonto del BMW que el listo que no tienen para pipas. Quizás tú vayas al cielo hacker, o quizás seas un perdedor hobbit de la tierra media, enano criticón, jaajajaja.

Espero que hayas entendido mi opinión. Hay gente que sigue anclada a un pasado, pero porque el pasado les venía mejor. Yo miro siempre hacia un futuro mejor, y lucho por ello. Mirar hacia atrás es bueno, pero solo para tomar impulso. no para anclarse.

Se que no me voy a ganar muchos amigos de la cultura hacker, pero lo dicho, OS ENTIENDO, lo he vivido con otras pasiones mías, pero la realidad al final es la que es. El tiempo pasa, y si no creces, envejeces.

Respecto a los rankings, méritos, títulos, conferencias, incidentes, de todo eso paso de opinar. Al final cada uno lucha por lo suyo de la manera que cree oportuna. Por supuesto que no iría nunca a ninguna ciberguerra con la bandera del pp por 2.000€, pero respeto a mis amigos que salen en la entrevista por el trabajo que hacen, aunque el tonto del periodista los haya metido en un embolao. A TODOS. no vale decir que unos sí y otros no, porque son tus amigos unos o los otros, TODOS los mencionados son grandes en lo suyo, unos técnicamente, otros en la divulgación, etc, pero TODOS aportan.

OS KIERO.

Ventana de auditoria 2am-7am. ¿Me levanto o lo dejo programado?

Estimados amigos de Inseguros !!!

Hace unos días un cliente comentaba el caso de una auditoría de sistemas perimetral, de una organización none-stop, 24/7 etc. No conozco a ninguna empresa que no se venda asi :-) Todos son la NASA.

El caso es que pedía que las tareas de automatización con herramientas se lanzarán en horas de baja actividad, lo típico. Lo de esta empresa era que lo típico no eran las 19:00 o los fines de semana, era la madrugada.

Claro, si cobramos el precio hora a precio de noche, 5 veces más caro, la auditoría la va a hacer Rita la bailaora...

Hay tipos de empresas en las que la respuesta es " SISISISIS, por supuesto" y en otras debe ser así.

Dentro mi filosofía de trabajar poco y rendir mucho pensé en que si Dirbuster y Zap, que son dos herramientas que suelo usar ,tienen línea de comandos, tengo el asunto hecho.... pues nada, vamos a ello.

Dirbuster, localizo el jar dentro de mi linux y pruebo con esto:

java -jar /usr/share/dirbuster/DirBuster-1.0-RC1.jar -u http://www.google.es -H -l /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e asp,aspx,php,txt,doc,docx,xls,xlsx,* -t 90 -v

Con un -h tienes toda la ayuda.

En mi caso instale el paquete AT y hago lo siguiente: at 11:59 AM Thu -f /var/dirbustar_google.sh

Más claro agua, a las 11:59 ejecuta el script con la ejecución de dirbuster...

Ahora el turno es para Zap, otro de mis habituales.

Sin muchas complicaciones, me bajo el git del proyecto https://github.com/garethr/zapr que hace realmente lo que quiero, mediante una api de zap permitirme acceder a uno puñao de comandos.

Instalo como el autor indica con gem install zapr

zapr --debug --zap-path /usr/bin/zaproxy http://127.0.0.1

De esta manera lanzará un spider básico sobre el target y un attack por defecto.

Si necesitas más granularidad, como por ejemplo autenticación, elegir políticas, etc puedes usar https://github.com/Grunny/zap-cli que nos permite un poco más configuración..

Bueno creo que ha quedado clara la reflexión de tener que hacer tareas en horas raras y que podemos jugar con la línea de comandos y con at para ejecutar las órdenes previamente configuradas.

Eso si, no olvides cobrar las horas como si realmente te hubieras levantado :-)


Gracias por leerme !!!

Burp +CO2 extension: Sql Map más fácil

Estimados amigos de Inseguros!!!

Hoy voy a comentar un pequeño truco que espero que os sirva para vuestras tareas de auditoria.

Vamos a ver la extensión CO2 . Muy sencillo, nos proporciona una especie de front end para sqlmap.

Lo primero es instalarla. O bien nos bajamos el jar o desde el propio Burp, extender, buscamos e instalamos.

Vamos a imaginar el típico caso de una aplicación que estamos auditando manualmente y que encontramos un parámetro vulnerable a inyección. Queremos usar SqlMap para automatizar la extracción de base de datos y demás. Hasta aquí normal.

El caso es que tenemos que usar la cookie de sesión en SqlMap porque la aplicación así lo requiere.

Aparte, queremos usar las típicas preguntas y configuraciones que nos proporcionar SqlMap, hasta el Wizard !!!, pues dale.

Navegamos por la URL que queremos comprobar, botón derecho, enviar a sqlmapper.

Graficamente tenemos todas las opciones a configurar y un bonito comando listo para copiar y pegar ( en mi caso sqlmap está en otro sistema) en SqlMap y realizar el ataque.

Por supuesto que esta extensión no solo nos ofrece esta posibilidad. Nos ofrece ayuda para subir shells, manejar wordlist y algunas cosas más. Muy intuitiva.

Espero que os guste este pequeño truco.

Gracias por leerme !!!