Hace poco estuve revisando algunos Currículum Vitae y me di cuenta de lo poco que pueden expresar por la manera en que están armados ya que  siguen “las buenas prácticas”. Lo que sigue es mi opinión y puede que no sea compartida por otros empleadores; tomen lo que les sirva.

Objetivo: casi todos ponen el objetivo del CV. La verdad me dice poco porque al parecer todos ponen el mismo mensaje. “Aportar mi experiencia a la corporación”, “Apoyar al logro de los objetivos de la organización”, “Desarrollarme en el ámbito laboral/profesional”.  Bla, bla, bla.

Yo preferiría eliminar este rubro de “objetivo” si van de decir el mismo choro. En todo caso, poner un objetivo alineado a la misión/visión de la empresa en donde se piensa laborar. Al menos así ves que hubo inversión de tiempo y que el candidato investigó qué diablos hace la empresa y cómo podría apoyar a esos macro-objetivos. O de plano como dije, abstenerse de poner el “objetivo” del CV.

Read more

¿Quieres contratar los servicios de pentesting (pruebas de seguridad) y no sabes por dónde empezar? No eres el único. Al menos en México (y creo que es una realidad en otros países) para contratar estos servicios te basas en “renombre” o “prestigio” de una empresa, o porque la googleaste y su página se ve “profesional” o bien porque el primo del amigo te la recomendó: “Esos dudes están re-picudos!”. No te sientas mal. Seleccionar a una buena empresa de pentesting es un arte (así como el mismo pentest). No hay un catálogo; un comparativo completo de un tercero que haya hecho un análisis y te haga una recomendación medianamente objetiva.

¿Cómo seleccionas a una empresa de pentest para que te venga a hacer una prueba de seguridad?  Read more

Este año DefCon 19  sufrió de varios cambios, había más gente de lo normal (este año rompió record de asistencia con más de 10,000 hackers), por supuesto hubo muchos agentes en el evento,  gente del departamento de seguridad nacional de EEUU monitorizando las conferencias y cuidando los expositores no soltarán información de más, además hubo cambio de sede al hotel Rio.

Read more

Rebeldes y justicieros. LulzSec y Anonymous. Tienen un no sé qué que nos atrae. ¿Es porque son malos? ¿O porque se salen con la suya? Tal vez porque se burlan de las autoridades como niños caprichosos y juguetones; sí, de esos que te sacan la lengua desde su auto impunemente.

Si no estás muy al tanto de quién es LulzSec y Anonymous aquí un ayuda.

En fin. He visto en diversos blogs y cuentas de Twitter tímidas expresiones de apoyo a estos grupos de crackers. Por ejemplo unos re-tuitean los ingeniosos tuits de LulzSec; otros más echan porras en sus blogs. Y claro, es que son cool. ¿Y lo son? ¿Cuáles son las posiciones que se están tomando en torno a las acciones de estos grupos?

Read more

Muchas veces sucede que las empresas hacen Hardening a sus servidores, los protegen con dispositivos y con software de seguridad, como Firewalls, IDS, IPS, Anti-virus, Anti-Spyware, registran cualquier cambio en el sistema, inclusive en la red, restringen los servicios, utilizan contraseñas fuertes, etc.

Pero, ¿Qué hay de la seguridad física de dichos equipos?, ¿Se encuentran en un lugar restringido, exclusivo y aislado? ¿Las unidades para discos extraíbles está restringida?

Algunas de las pruebas que se realizan en Hacking Ético son precisamente el simular la intrusión física a la infraestructura de la organización evaluada y también se puede simular el robo de algún equipo clave, que contenga información crítica.
Read more

Una pregunta muy común que probablemente todo experto en Seguridad ha escuchado es “¿En qué sistemas puedo practicar para hacer pruebas o ataques?”

Basandonos en esto, el equipo de Metasploitable creó una maquina virtual con vulnerabilidades para que cualquiera pudiera usarla para fines de penetration test.

Metasploitable es un servidor Linux Ubuntu 8.04 con varias vulnerabilidades de todo tipo para que probemos desde sencillos análisis de red hasta ataques a bases de datos.

Descarga Metasploitable.

Leer más

¿Alguna vez se imaginaron ver a Sonic, la mascota de Sega en un juego para una consola de Nintendo? Yo no y cuando paso allá por el 2002 fue una gran sorpresa y un acontecimiento que de cierta manera cambio a la industria de los videojuegos, mostrándonos que los grandes también pueden caer y que para sobrevivir están dispuestos a muchas cosas.

¿Alguna vez se imaginaron a Android corriendo en un iPhone? Si son fanboys de la manzana seguro que no y ya están pensando en la demanda, en mi caso si lo imagine porque los tiempos han cambiado y ya no es necesario que las empresas nos entreguen el producto que imaginamos o queremos, ahora es la misma comunidad de usuarios la que usando las herramientas disponibles, ajusta los productos a sus necesidades.

El iPhone es actualmente uno de los productos estrella de Apple, seguido salen teléfonos autodenominados ‘iPhone Killers’ con la misión de quitarle la supremacía en ventas (en hardware hay mejores equipos) y que al final no lo logran (el Nexus One no se le acercó ni un poco). Por otro lado Android de Google es ya el SO más vendido y que día a día gana usuarios debido a que permite un control casi total del equipo.

Y entonces, ¿Por qué no tener un equipo que los combine? Dejando de lado que Apple y Google tienen políticas totalmente distintas y que difícilmente lo veremos de manera oficial, era cuestión de tiempo para que la comunidad hiciera un port de Android para iPhone, y si alguien quiere instalarlo aquí les dejo un tutorial creado por los usuarios de Lifehacker, el cual es realmente sencillo:

Antes de comenzar es necesario que tengan en cuenta los siguientes puntos:

Read more

Desde el dia 20 de abril la red de Sony PSN quedó fuera de servicio debido (a una primera instancia) a mantenimiento, sin embargo dias anteriores a esto habían presentado problemas con su servicio en linea donde Anonymous asomaba su bandera. Hackear la PSN es equivalente a hackear Amazon o cualquier otra gran tienda que almacene datos de los usuarios.

Para el segundo dia del apagón no se tenia conocimiento de lo que estaba pasando con el servicio online, hasta que personal de Sony mostro un comunicado donde nuevamente indicaban que el fallo se estaba presentando por un ataque de un personal ajeno a la empresa y que se encontraban en atención a resolver esto.

El tiempo que se tuvo fuera el servicio fue aprovechado por Sony para rediseñar su seguridad online con el servicio de PSN y Qriocity. Aqui el mensaje:

Read more