miércoles, diciembre 31, 2008

Entrevista a Francisco Amato de Infobyte

En mi primer viaje a Argentina tuve el gusto de conocer a mucha gente y por aquellas azarosas y caprichosas cosas del destino acabé pudiendo ver un par de charlas en la Ekoparty 2007 que tenía lugar en Buenos Aires.

De las dos charlas que pude ver una de ellas era la del “Pieza Amato” que presentaba algo muy chulo llamado Evilgrade que me llamaba mucho la atención. El “Pieza Amato” estaba bastante tenso en el escenario y sólo se relajó cuando le cascó un troyano a un cliente mediante una actualización de Adobe y la máquina de Java.

De ahí a tomar unas copas y charlar un rato para conocer que tenía una herramienta de SQL Injection y acabar juntos dando una charla en la Universidad de Buenos Aires en mi segunda visita a Argentina.

Después de despedirnos tras tomar un asado en casa de otros golfos la vida del “Pieza Amato” entró en la vorágine ya que con la aparición del bug en el DNS los ataques de Evilgrade se podían hacer maesivamente y le llevó a aparecer en el Washinton Post al más puro estilo “jolibud estar”.


Pieza Amato

Entre sus cosas, a parte de la herramienta para realizar SQL Injection masivo y el framework para putear clientes con actualizaciones no certificadas con el Evilgrade se dedica a su empresa de seguridad en Argentina y a ser uno de los organizadores de la Ekoparty. Todo un pieza este Amato.

Saludos Malignos!

1.-¿Evilqué?

Jeje, el nombre Evilgrade fue elegido unos días antes de que empiece la conferencia en una noche donde había muchas pero muchas cosas para terminar y tenía que sacar el nombre rápido, lo sacamos entre Federico, Juan Pablo y yo.

2.-¿Se puede vivir en Argentina sin que te guste el fútbol?

Yyyyy es muy difícil, yo pensé que era cosas de chicos pero de grandes es peor, típico tema de conversación cuando no hay confianza, futbol lidera el primer puesto, me gusta practicarlo como deporte pero verlo a menos que sea un mundial no me interesa demasiado.

3.-Francisco, ¿qué es más duro, programarse un framework o escuchar a un "gallego" diciendo uves y "ces" y "cis"?

Definitivamente escuchar un "gallego" y la desesperación ante una cerveza sin alcohol, ¿pero de que planeta saliste? ¡¡¡Eso no existe!!!

4.-¿Qué se siente al ser entrevistado para el "guasintonpost"?

Casi lo mismo que ser entrevistado por vos, va en realidad con vos tengo mas cagaso :) y puedo hablar en español.

5.-¿Qué tal se saca la pasta a las empresas para sponsorizar la Ekoparty?

Es complicado y más ahora con la crisis el año que viene va a ser duro, más que nada porque al principio la conferencia no era conocida y el modelo de conferencia tampoco con lo cual era más duro todavía, pero bueno el año que viene alguna vuelta vamos a encontrar, sino siempre un Informática 64 nos puede dar una mano ;)

6.-Aquí en España tenemos una crisis gorda que se nos viene encima, ¿nos recomendáis a "la ajedrecista" para arreglarlo?, ya sabes, "a la que llevó el peón hasta el final del tablero para convertirlo en dama"

Dicen que las crisis son los mejores momentos para invertir, lo que recomendaría es hacer todo lo contrario a lo que dicen los medios de comunicación masivos.

7.-¿Cuánto cuesta una línea ADSL en Argentina?

Humm, si mal no recuerdo unos 210 $ pesos bimestrales que serian unos 64 dólares por bimestre.

8.-Has dado charlas ya, alrededor de medio mundo..... What about your english?

Mi ingles es un karma, no creo que sea posible que algún día lo maneja a la perfección, el no se siente cómodo conmigo, pero bueno tratando de mejorarlo.

9.-¿Cuál es el peso máximo que puede llevar una gaviota en el pico?

Aproximadamente el peso inicial de un niño recién nacido entre 3 y 5 kilogramos en subida.

10.-Lo que menos te gusta es...

Hay varias, el post de comer en McDonnalds, confundirme y saludar a alguien en la calle que no conozco y los días lunes entre algunos.

11.-¿Has probado alguna vez la cerveza sin alcohol o esto es sólo para gallegos extraños?

Ya lo dije anteriormente, eso no existe, pero probé una vez una que se llama cerveza Liberty, creo que es la primera y última que probé.

12.-Después de viajar por tantos lugares...¿a quién has visto que te haya impresionado?

Soy un desastre con los nombres, ahora que me preguntas así, Danny DeVito es muy petisito.

13.-Esto... entre tú y yo ahora que no nos oye nadie... ¿Fede es tan "peligroso" como parece o sólo es que está lleno de energía?

Muy peligroso y lleno de energía es el MacGyver de latinoamerica.

14.-Aquí en España, los argentinos tienen fama de venir a jugar el futbol, trabajar de dentistas o psicólogos, cantar canciones de rock gamberras o robarnos a las chicas.... ¿Cuándo vamos a importar informáticos desde argentina que no nos roben a las chicas?

Es una combinación peligrosa, igual no creo que sea así, es medio mito eso, por lo menos estuve en España y no vi ninguna ventaja, ¿Acaso soy la excepción a la regla?

15.-¿Cómo se consigue que Spectra os pague todas las copas en una fiesta en la que los organizadores las únicas Windows que han visto son las de los coches?

Llevamos mucho tiempo administrando Windows de coches, es una especialización que manejamos bien. La realidad es que fue un soborno sabíamos cosas y los obligamos.

16.-Tres herramientas de hacking que no faltan en tu portátil:

Lynx, Nmap y Perl. Sí, sí, nada de Python o Rubby :)

17.-¿Cómo te dio por engancharte a la informática?

Creo que fue algo natural, siempre me gusto desarmar las cosas y no tuvieron la mejor idea que regalarme una computadora de pendejo, creo que me duro medio día. Todavía tengo pendiente volverla armar.

18.- ¿Y por dedicarte a investigar "como joder las cosas"?

Porque era divertido molestar, es una forma de seguir molestando sanamente.

19.- El juego de ordenador que más te ha enganchado ha sido...

Comandos, "ya voy señor" y "¿Por qué no lo intenta usted jefe?"

20.- Y...¿qué le recomendarías a alguien que quiera aprender a "romper cosas"?

Que las rompa sin pedirle permiso a nadie, total se puede arreglar luego, que lo haga sin miedo.

martes, diciembre 30, 2008

Búscate la vida

No es que esta suela ser un blog dedicado a la búsqueda de becas y puestos de trabajo, pero Gonzalo me ha enviado una serie de ofertas para trabajar en el Consejo Superior de Investigaciones Científicas así que os las voy a pasar, por si alguno decide orientar su futuro laboral por esos lares.

Beca Pre-doctoral en Criptología y Seguridad de la Información

Esta beca tiene una duración de 4 años y está pensada para sacarse el doctorado y una vez finalizado, se tendría la oportunidad de seguir una carrera científica en el CSIC como investigador profesional, contratado o de plantilla. Los requisitos son:

Poseer una de las siguientes titulaciones oficiales, españolas u homologadas, obtenida con fecha posterior a 1 enero de 2005:

- Licenciado en Informática
- Ingeniero Superior de Telecomunicación
- Ingeniero Superior Industrial
- Licenciado en Ciencias Físicas
- Licenciado en Ciencias Matemáticas


Y tener una nota media de la carrera igual o superior a 1.50, aplicando el siguiente baremo: Aprobado = 1, Notable = 2, Sobresaliente = 3 y Matrícula de Honor = 4.

Más información: Convocatoria de beca predoctoral 2009

Convocatoria de técnicos en prácticas

Se convoca concurso para formalizar 336 contratos en la modalidad de prácticas, destinados a los centros e institutos del Consejo Superior de Investigaciones Científicas. La distribución por comunidades autónomas, categorías profesionales y áreas funcionales, la titulación exigida para poder participar, la descripción de las tareas y el reparto exacto por centros es el que aparece como anexo I de las bases completas de la convocatoria.

Vale, es algo disperso, pero es para contratos de técnicos en el CSIC, miraros el BOE y ahí tenéis toda la información.

Más información: BOE 19/12/2008

Contrato en Prácticas para trabajar con Gonzalo Alvarez Marañón

Es un contrato en prácticas por dos años. No se pide media, sólo tener la titulación acabada. La documentación está en estas URLS:

- Anexo I Plazas Tecnicos Jae
- Anexo II Composicion Organos Seleccion
- Anexo III Instancia
- Resolución Convocatoria

Es para optar a la plaza con código MAD6-02 programacion en Java, J2EE y C/C++ para Investigacion en Criptografía para el Instituto de Física Aplicada, para la que se pide ser Ingeniero de Telecomunicación, Ingeniero en Informática o Licenciado en Matemáticas. El plazo de presentación termina EL 15 DE ENERO DE 2009.

Así que nada, tal y como están los tiempos quizá esta es una buena opción para buscarse la vida.

Saludos Malignos!

lunes, diciembre 29, 2008

Sonría por favor

Cuando me fui a Londres a vivir a principios del año que termina tomé la determinación de aprender inglés aunque me costara el mayor de los esfuerzos. Una vez arrancado con la lengua inglesa lo último que deseo es perder lo poco que he aprendido así que me "castigo" con la lectura obligatoria de libros y comics en inglés, el visionado continuo de series en inglés y, por supuesto, la participación en conferencias en inglés.

Lo cierto es que son muchas las películas y series que me compro para estar en contacto con el inglés y es una suerte poder viajar por el extranjero o tener amigos que te traigan paquetes de libros y dvds desde el paraíso del dividi de Londres.

Entre ellas ,ahora estoy disfrutando de dos personajes que adoro. El primero de ellos es Earl que cómo él mismo dice: "I am just trying to be a better person. My name is Earl". Me encanta eso del ser una "puta del karma" y su hermano Randy, del que se supone que es simple, pero de simple nada, que el muy listo se pidió a Catalina.

La otra que estoy viendo (mitad en inglés mitad en castellano) es sólo debido a mi amor platónico. La serie es Desperate Housewifes. En ella aparece Bree, la "diosa" Bree Vandekamp, con su religión presbiteriana, con su estricta moral, con su afiliación al partido republicano, la asociación del rifle y con esas cosas que cocina que sólo de ver las tartas me alimentan. Vale, no sé exactamente porque es... pero es Bree.

Bree es un personaje genial; está formada en la más rígida educación anglosajona/protestante y en ella se cumple el dicho que pase lo que pase en casa, que nadie se entere. Sonrisa, estár genial de la muerte y to' palante. Así, si algo malo pasa entre ella y su marido nadie debe enterarse, se sonríe y listo.

Esa es la imagen que tengo ahora de la fundación Mozilla dónde Firefox es Bree. Y es que desde que Google sacó Chrome no había que ser muy listo para saber que Google iba a quitarle poco a poco los usuarios a Firefox. Sí, poco a poco, poco a poco. "Haced otra cosa que nosotros ya hacemos el navegador" terminaría siendo la consigna desde Google.

Google es un empresa con ánimo de lucro, como Spectra u Oracle, pero cómo su modelo de negocio incluye que mucho de su software sea gratis (que no libre) es genial para muchos de los usuarios que, todo lo que quieren, es que el software sea gratis.

Ahora, con Chrome en el mercado, la gente de Firefox deberá ir pensando en asumir su nueva posición. Firefox se irá marchitando poco a poco. Primero perderá el apoyo de los usuarios que Google le quitará al ir retirando su apoyo. ¿Véis alguna diferencia entre el Google Pack en inglés y en Castellano?


Google Pack en Español


Google Pack en inglés

Después perderá el apoyo en proyectos cerrados dónde la compañía de la publicidad ya sólo apoyará económicamente aquellos en los que ande metido Chrome hasta que Firefox pierda todo el apoyo de Google "¿Firefox? ¿Quién es firefox?".

Y habrá que seguir sonriendo, como Bree, porque la subvención de Google es el 80% del negocio de Mozilla y el que tiene el mando manda.

Firefox pasará a convertirse en una herramienta para hackers, amantes de su plug-ins, hasta que Google potencie esa parte en Chrome. Mozilla se dará cuenta de que va a ser dificil competir con Google.

Y tendrá que darse cuenta por las buenas o por las malas, como se dieron cuenta Spectra o Yahoo! que no tuvieron en consideración el poderío de Google a tiempo y le dejaron convertirse en la empresa más grande de tecnología en su propio jardín.

Mozilla tendrá que acabar dejando de focalizar sus esfuerzos en ese proyecto para focalizarse en algo distinto si quiere sobrevivir en este negocio y, desde luego, sobrevivir sin la ayuda de Google será dificil, así que tendrá que ir pensando en coordinarse con ellos y decir: "¿Qué queréis que hagamos?"

Hace más de un año leí un artículo de esos que desaparecen de las búsquedas de Google en el que se preguntaba "Will Google kill the Open Source?" y la más subrepticia y sibilina pregunta "(And Do Open Developers Have to Be Underpaid?)".

La verdad, hoy en día, un año y medio después, no me parece tan "ciencia ficción" esta reflexión.

Saludos Malignos!

domingo, diciembre 28, 2008

El Maligno TV

El mundo está cambiando y se necesitan nuevas ideas brillantes para ganar dinero reduciendo los costes. Esta es la idea base que me ha llevado a tomar la decisión de evolucionar en pro de los negocios 2.0. Para ello, he pensado dar el salto a la micro pantalla con una evolución de este blog.

Este blog se ha convertido en un punto de referencia para los enamorados de la tecnología web 2.0 ansiosos de conocimiento y contenidos tecnológicos de calidad. Con un lenguaje cercano y fácil de entender por todos hemos dado cabida a todo aquel que se ha acercado sin discriminar a ninguno de ellos, dando igual que seas un administrador de sistemas Windows que un pobre confundido linuxero….aquí os queremos igual.

Por ello, vamos a crear, a partir del día 1 de Enero de 2009 un canal de televisión en Internet para que puedas disfrutar de este ambiente más y mejor. El canal en Internet se llamará El Maligno TV y podrás disfrutar desde el año que viene de una parrilla de programación de 6 horas al día con contenidos variados. Hemos estado trabajando con cariño en la programación y ha costado mucho decidir que íbamos a incluir y que no, pero al final creo que nos ha quedado perfecta. Esta serán algunos de los programas que decorarán la parrilla de nuestro canal:


Mala gente, mala vida, poco más

En esta sección el Maligno in person entrevistará a los personajes más variados de la blogosfera. Desde hackers malos malosos hasta los técnicoless bloggeros más rocambolescos. Será una sección diaria de mucha fuerza.

I am sorry but..

¿Has hackeado una web, les has avisado y la respuesta ha sido enfadarse o no hacerte ni puto caso? En esta sección puedes malignear a gusto, graba tu video con kantasia (crackeado por supuesto) y envíanoslo step by step, que se jodan, ¡tú ya les avisaste!

How to tururú

En How to tururú podrás aprender los conceptos básicos para ser un malo malote. Dónde calzar una comilla o como meter una Shell en PHP sin tener que preocuparte de complejos procesos con pantallas negras y letras en verde. Empezaremos por “No llamaré usuarios.mdb a mi base de datos”.

Técnicoless a Gogo

Cada semana seleccionaremos el post con más fuerza técnicoless en él, es decir, aquel que cumpla más estereotipos para recibir el premio “Habló de puta la tacones” que le reconocerá como el más de los mases de esa semana. Al final del mes habrá una gala mensual para elegir al mejor del mes y a final de año se realizará un Calendario Tórrido con los 12 técnicoless elegidos. Podrás votar mediante el sistema menéamela que tenemos online por el que moviendo el mando de la wii como si te la cascaras podrás subir el buzz del técnicoless elegido. Todo interacción Web 2.0… no,no, ¡qué digo! Esto es Web 3.11

Mmmm? I don´t know what it is, but i wanna break it

Los más mañosos, amantes de los cacharrines, podrán disfrutar de un programa en el que se destrozará ese ay!fon para ver cómo ponerle una batería de larga duración, como añadirle una webcam o como conseguir un soporte percha para su ay!sock. Pero no sólo eso, en esta sección se destriparán los últimos gadgets para que tú puedas hacerlo al mismo tiempo en tu casa.

No Lusers

Para los más pequeños, habrá un capítulo de humor en el que los personajes del comic saltarán a la micro pantalla con las más diversas aventuras. Podremos disfrutar también de los episodios de larga duración de “Josemaricariño conoce a Tricia”, “¿Crucifixión o no Crucifixión?” y la tan esperada “El retorno del Jacker” (aunque todo el mundo sabe que sólo hay un retorno …)

Triple X

Y en este caso no será la película, sino porno del bueno. El mejor video de pornotube, youporn y youtube X para que puedas relajarte.

3,2,1… ¡Shutdown!

Será la despedida del día. Todas las noches, antes de la desconexión haremos un recorrido por los RSS de los blogs más cool y los menos cool, para que puedas irte a reflexionar.

Fantástica la programación, ¿no? Pues esto es lo mejor, hemos creado un plan de negocio genial. El objetivo es dar divulgación de nuestro programa de televisión en todos los blogs de los tipos más influyentes y después de un tiempo dejando la televisión en versión trial (es decir, 120 días sin pagar nada), codificaremos la señal. En paralelo crearemos una web de piratones para piratear el canal y todo el que quiera el código de decodificación tendrá que enviar un SMS. Cada SMS será un micropago y con los miles de micro pagos conseguiremos financiar este canal y ponerlo en las cotas más altas de audiencia… CBS, FOX,.. here we go!!

Nos vemos pronto en todas las pantallas, en tu porátil, tu notebook o tu ay!fon.

Nota: Por motivos técnicos no tendremos plug-in para que podáis vernos desde Linux ya que hemos tenido unos problemas con los drivers, pero lo subsanaremos pronto...

Saludos Malignos!

sábado, diciembre 27, 2008

Leyendo presentaciones

Durante el día de navidad me dediqué a terminar de subir los vídeos y las presentaciones del Asegúr@IT III. Sí, a cada uno le da por disfrutar el día de navidad de una forma. El asunto es que cuando estaba subiendo las presentaciones a Slideshare la cosa empezó a ir lenta. Claro.. ¡Hay tantas presentaciones subidas!, con tantos documentos PDF, Spectra Office y OpenOffice por aquí que si no dimensionan bien los servidores...

Un momento... ¿He dicho documentos ofimáticos? Je, si tuvieran metadatos éste sería el acuario perfecto para nuestra FOCA. Todo el día recibiendo nuevos documentos, llenos de metadatos…pero aquí dicen que tiene que procesarlos para pasarlos al formato de Slideshare.

Cierto, Slideshare procesa los ficheros para crear el streaming de la presentación, pero cuando descargas el fichero, lo que te devuelve el servidor es el fichero original subido, sin tocar ni una coma. Así que, si el fichero tiene metadatos, metadatos que se descargan.

Para probar busqué algunos ficheros publicados de conferencias de empleados de Sun Microsystems y les pasé la FOCA a ver que salía y la cosa es que los documentos están sin limpiar en su gran mayoría. Aquí algunos ejemplos:


Ejemplo 1: Presentacion ODP realizada desde un FreeBSD con OpenOffice. Guarda información del software, del usuario y de la impresora configurada


Ejemplo 2: Presentación realizada con StarOffice desde Windows. Guarda información de los tres usuarios que han editado este fichero. Sí, está en ruso


Ejemplo 3: Presentación realizada con OpenOffice sobre Windows. Guarda información de usuarios y mails de los usuarios


Presentación ODP realizada desde el Mac de Scott


Saludos Malignos!

viernes, diciembre 26, 2008

Asegúr@IT III : Online

Cracking & Protección de Software
Mikel Gastesi [S21Sec]



Rootkits: Memory Subverting
Iñaki Etxeberria [Panda Security]



Tempest: Mitos y Realidades
Pablo Garaitzar "Txipi" [Universidad Deusto]



Network Access Protecction (NAP)
Juan Luís Rambla [Informática64]



Ataques Masivos SQL Injection
David Carmona [Spectra]




Saludos Malignos!

jueves, diciembre 25, 2008

Feliz décimo aniversario

sí, hoy hace exactamente 10 años que nació nuestro amigo SQL Injection. Tardaría unos años en obtener el nombre oficial de SQL Injection pero hace 10 años este paper sentó las bases de lo que sería despues.



NT Web technology vulnerabilities

¿Habrá sido tiempo suficiente 10 años para que la gente aprenda?

Saludos Malignos!

Postal de Navidad

Desde Informática64 se ha enviado una postal navideña de esas de dar por culo en el mail felicitando las navidades que es ésta:


La que se ha enviado

Pero realmente yo dibujé otra...


La que yo dibujé

Hay que ver que te censuren tus propios compañeros de trabajo...

Saludos Malignos!

miércoles, diciembre 24, 2008

1+1+1+1+1+1

Si has sumando bien te habrá dado 6. Cada seis meses que pasan me gusta repasar que han dado de sí, para no olvidarme porque estoy tan cansado siempre, porque siempre ando robándole minutos al día para poder hacer otra cosa nueva. Seis meses que han dado para mucho:

En Agosto tuve la suerte de estar en la Defcon con unos tipos de lo más sexy, tanto es así que los conocen como los sexy pandas.


Los Pandas más sexy compitiendo

En Septiembre subí a la Navarparty dónde me tocó hacer de Unai (y desarrollador en una charla).


Con el gran Iván González [gallego y de Plain Concepts] y compañero MVP de Spectra

Después estuvimos visita a Bilbao en las conferencias del Asegúr@IT III con Mikel Gastesi [S21Sec], Iñaki Etxeberría [Panda Security], Juan Luís Rambla [I64], Txipi [Deusto] y David Carmona [Spectra].


En esta captura tomada del video estamos Txipi y yo [Los videos se publican esta semana]

Nada más regresar de Bilbao tomé un vuelo horroroso a San Diego para estar en la Toorcon


Minutos antes de cantar


Cantando sobre RFD

En Octubre, nada más llegar cantando con Pedro en el MVP Open Day


Señores Sith

Luego bajé “camuflado” al Open Source World Conference a cantar sobre metadatos junto a Enrique Rando.


Identidad Falsa

En Septiembre y Octubre tuvimos la Gira Technet con nuevo Evangelista de Spectra. El nuevo en primer plano, el “viejo” al fondo.


Toda una metáfora de foto

El Asegúr@IT IV en Madrid con una foto para la historia:


De izquierda a derecha: Héctor Sánchez Montenegro [Spectra], Maligno [i64], David Barroso [S21Sec], Alfonso Muñoz [EUI-EUITT UPM], Luciano Bello [Debian]

De ahí, Luciano y yo nos fuimos a dirimir nuestras diferencias al viejo estilo, es decir, con una carrera de Cars.


Vestidos de pilotos


La paliza fue evidente…

Sí, le calcé una vuelta por tanda… pero seguro que trucamos los relojes en Spectra
De ahí a Coruña dónde casi pierdo un riñón, para llegar justito, justito a cantar después de Luciano.


De la UVI al escenario

En Noviembre, me tocó visitar Austria en la DeepSec para llegar justo a las conferencias FIST dónde cantaban Gonzalo Álvarez Marañón [CSIC], Vicente Aceituno [ISM3 Consortium] y Juan Garrido “Silverhack” [i64].


En brazos de Filemaster en las FIST

Luego me fui a Valladolid a dar una charlita con el programa de voluntariado a un instituto de FP en Valladolid dónde me encontré a estos piezas…


Los "jackers" del bar

También me llevaron las caminos a China, y a Pamplona, dónde me hicieron este bonito cartel:


El pobre Josemaricariño fue el prota

En Diciembre asistí al DISI a ver a la doctora Radia Perlman… y fue un hallazgo…


Doctora Radia Perlman malignizada


Sí, acabo cansado, muerto, pero… ¡es fantástico! ¡Gracias Papa Noel!

Saludos Malignos!

martes, diciembre 23, 2008

Un pingüino en mi ascensor

Lo sé, lo sé. Has leído el título del post en el RSS y has dicho: “Pingüino en título… bronca segura”, pero no, no es una cutre-metafora con la que suelo regar mis cutre-textos, esta vez es el nombre del grupo de música de verdad y tiene que ver con ellos. Aunque ahora que hablamos de pingüinos…¿sabéis que me han regalado un notebook con un Fedora y no sé qué hacer con él?

Volviendo al tema del pingüino en el ascensor y la intrahistoria de marras…Once upon a time.. un nuevo evangelista de Spectra me tocó de compañero y resulta que, fuéramos dónde fuéramos, daba igual el rincón noroeste que el nordeste que la misma tacita de plata que la isla del mismo sexpir que la tierra de la huerta, siempre, siempre tenía un primo cerca.

Al tercer primo que conocimos decidimos preguntarle: “¡Oye tú! ¿Cuántos primos hay en tu familia?” La respuesta fue algo así como: “Somos más de 30, ya sabes, familias numerosas”

¡La madre que parió al topo!

Si a los más de 30 primos, le sumas los compañeros de colegio, universidad, trabajo y amigos de sus primos resulta que fuéramos dónde fuéramos teníamos que visitar a alguien.

Entre tanto primo se abarcan muchas profesiones y muy variadas y algunas que quedan en familia, así David Cervigón, que abandonó el barco del evangelismo para ponerse a vender Hyper-V y quesos (lo de los quesos se lo preguntáis a él), ha sido sustituido por un nuevo evangelista que… curiosamente es un primo del personaje. El amigo Fernando Guillot, flamante evangelista IT vendrá en su Gira de Circuncisión para seguir la estela familiar de su primo el “abuelo” junto con Paulo, ya circuncidado sucesor del abuelo (el otro evangelista IT de Spectra para los próximos años).

Foto: David Cervigón solicitando como regalo de reyes cumplir la cuota de venta de Hyper-V a Paulo, nuevo evangelista IT.

Pero… ¿qué pinta aquí el pingüino en el ascensor de marras? Si eres un lector avieso y con picardía en la mirada hacker, ya habrás averiguado la respuesta: Sí, detrás de Un pingüino en mi ascensor se esconde un primo del “abuelo”.

¡La madre que parió al topo!

Con tantas bocas que alimentar en primolandia es de imaginar que fiaran su suerte a la lotería… pero tras hablar con el abuelo me dijo que no les había tocada más que salud así que había que conseguir que Un pingüino en mi ascensor fuera a Eurovisión. Así que nada, me pasó el link y voté por ellos . He de reconocer que fue una sensación rara eso de votar por Un Pingüino.

Si quieres que el abuelo y el primo evangelista del abuelo dejen Spectra vota tú también por el primo del abuelo….


Mandar al pingüino a Eurovisión

¡La madre que parió al topo!

Saludos Malignos!

lunes, diciembre 22, 2008

Easypairing

He cambiado mi ISP y me han regalado una mierda de router WiFi. No, no es que los routers WiFi sean una mierda, es que éste es un truño. Aplica el principio de: "vamos a simplificar la tecnología haciendo que no la entienda ni su puta madre". Sí, ese mismo principio que hizo a algún lumbreras tomar la decisión de cambiar el nombre de algunos programas de Software Libre conocidísimos por bonitos nombres españoles que sólo conocían en su casa. Esto provoca que cuando un usuario tenga problemas todo lo el conocimiento previo generado en foros de Internet no sea aplicable o sea, simplemente, mucho más difícil de encontrar.

En el caso de mi router tengo un botón muy chulo con un número 1. “Mierda, ¿y esto para que será?”. Leyendo el manual dice que cuando alguien se vaya a conectar por WiFi tengo que darle al botón 1 antes de que se conecte la primera vez.

Muy bonito, muy bonito, ¿y para qué?.

La teoría del botón, asociado a la tecnología conocida como Easypairing es para conseguir identificar fácilmente a las máquinas de tu red y ponérselo chungo cubata a los malos hackers.


¿Easypairing? Activado

La realidad es que sirve para poner un filtro MAC de una forma enrevesada y compleja. Así, cuando se pulsa el botón 1, cualquiera que tenga la clave (si has puesto clave) se puede conectar. El router registra la MAC y lo mete en la lista de MACs permitidas.

Lo divertido es que la lista, “para hacerlo más fácil”, no puede ser editada manualmente, así que siempre tienes que darle al botón para conectar a uno nuevo sí o sí.


Puedes borrar, pero no puedes deshabilitar, ni añadir

Esta forma de desvirtuar la tecnología intenta hacer la vida más fácil a los usuarios, pero al final, la complica más. ¿o pensáis que no? ¿qué os habéis encontrado por ahí en los campos del señor para intentar simplificar la tecnología que la hubiera complicado más?

Saludos Malignos!

PD:El router que he recibido es una castaña sí o sí, pero lo guardo para otro post que da para mucho juego.

domingo, diciembre 21, 2008

Menos samba y mas trabajar

La verdad es que los montajes han tenido su gracia, pero reconozco que cuando estás currando en fechas y horas en las que no deberías y te encuentras con un gracioso que no deja avanzar... es una putada. Tú quieres terminar, cerrar el trabajo e irte a disfrutar de una interesante e inteligente sesión de espanzurrarse en el sofá y no hacer nada, pero, mientras tú deseas eso, otros con más ganas de fiesta deciden que es mejor descojonarse un poco.

Algo así ha debido pasarle al amigo Manoj Srivastava, secreatario del proyecto Debian. Nuestro portagonista estaba intentando cerrar un asunto de esos que a los amantes de las licencias en Debian les ponen a mil. La idea era decidir que hacer en la nueva versión con las imagenes binarias de firmware. ¿Son abiertas, lo ignoramos o nos ponemos pijos y los echamos del proyecto?. Hasta siete alternativas se curró para que la gente se comunicara, debatiese y votase....

Pero algunos decidieron tomarselo por otro lado y jugar un poco con las críticas. Los montajes que han hecho con las fotos han sido, cuanto menos, graciosos...


Miembro de los Manowar y los Judas Priest


A lo Catwoman

Al final, con no mucho sentido del humor, y después de todo lo que le han dicho, anuncia, incluso antes de que se acabe la votación, que se pira.

Yo le diría que no se fuera hombre, que estamos en navidad y que siempre habrá gente que te critique en cualquier puesto y que debería importarle más el resto de gente por la que ha estado realizando su trabajo, ¿no?

Saludos Malignos!

sábado, diciembre 20, 2008

Las inyecciones de capital

En estos tiempos de crisis en los que ni los bancos tienen dinero las oportunidades de tener un extra sueldo "se multiplican". Así, como dicen que tiempos de crisis son tiempos de oportunidades a mi me están llegando muchas ofertas de este tipo:


Oferta "irrechazable"

De este tipo de ofetas geniales ya seguimos el proceso de selección hace tiempo...y no tenía buena pinta al final el puesto de trabajo. Sin embargo, en estos tiempos en los que los bancos no dan pasta a las empresas, puede ser que cambien las fuentes de financiación de muchas de las compañías, como muestra esta tira de Dilbert:


Dilbert 1 de Diciembre de 2008

Lo que viene a decir la tira es:

Viñeta 1: Hemos sido salvados gracias a una inyección de capital de último minuto desde un inversor extranjero.

Viñeta 2: Ellos son algún tipo de Cartel. Nosotros no estabamos en posición de hacer demasiadas preguntas.

Viñeta 3: Ellos quieren que cada uno de vosotros haga un viaje a Colombia y traiga de regreso un paquete... y no podéis usar las manos.


Saludos Malignos!

viernes, diciembre 19, 2008

¿El año de qué?

Se acerca el fin de año y ya han empezado las predicciones del año que viene con artículos que vaticinan que el año que viene será el año de Linux en el desktop. La pregunta es…¿otra vez? Creo que todos los que llevemos ya algunos años en esto de las noticias en Internet hemos leído alguna que otra vez esto de que el año que viene será el año en el que Linux arrasará en el desktop.

Los motivos utilizados en dichas predicciones suelen basarse en las noticias, rumores o intentos timoratos de hacer algo. Cosas como que IBM iba a apoyar OpenOffice o Sun iba a liberar la máquina de Java o los gobiernos iban a aprobar la ley de neutralidad tecnológica (que no de tocamos a 50%), que iba a llevar dinero para las ciudades digitales e iba a ser el lanzamiento definitivo, que Google iba a apoyar tal proyecto Open Source, que Dell iba a vender ordenadores con Linux y la gente masivamente iba a cogerse esos ordenadores o que la unión europea iba a hacer algo en concreto.

La realidad es que ese tipo de noticias están muy bien para vender ilusiones al estilo del fallecido Jesús Gil que cuando presentaba los nuevos fichajes para el Atleti siempre iba “a ganar la Champions, la suya, la que le gustaba”. Sin embargo, cuando le preguntaron a Linus Torvalds hace un par de años, éste dijo que no creía que el 2007 fuera el año de Linux y que si algún día pasaba sería poco a poco.

El 2008 no ha sido el año de Linux ni mucho menos que no sólo no ha ganado cuota sino que ha retrocedido un poco. Este año ha sido el año de Apple que lleva su cuota de Mac con valores cercanos al 10 % y que ha vendido chorrocientos miles de Ay!fons. Ha sido el año de Google, que se posiciona con el Google Chrome, con el Android y con mil patas más consiguiendo unos resultados económicos que ya los quisiera Spectra, ha sido el año de Facebook y las redes sociales de ligoteo, porque no hay nada mejor para ligar que no tener que arreglarse y pasar frio, y, cómo no, ha sido el año de la crisis.

Windows Vista acaba 2008, después de 2 años y 1 mes de vida en el mercado, con valores de entre el 20% y el 30% de cuota según las distintas estadísticas que se miren. Con malas críticas para la versión desktop [Vista] y con la gente deshaciéndose en halagos para la versión servidora [W2k8]. Spectra termina con el anuncio de la llegada de Windows 7 para el año que viene y dejando disponible la beta pública para beta testers y disponible en Enero, con una pelea brutal en el mundo de la virtualización y con un anuncio más que interesante del que ya hay beta pública disponible para descarga: Stirling.

El año que viene no sé si será el año de Linux en el desktop, el año de la VDI (Virtual Desktop Infrastructure) o el año de Vista o Windows 7. Lo que sí es cierto es que yo no me lo quiero perder.

Saludos Malignos!

jueves, diciembre 18, 2008

Los peligros de la navegación

Durante estos siete días el aluvión de trabajo para el equipo de Windows e Internet Explorer ha sido ingente, se han encontrado con una vulnerabilidad que permitía al atacante ejecutar código arbitrario en el sistema en el espacio del usuario y que según parece contaba con una prueba de concepto que dio lugar a una cadena de exploits de lo más elaborados. Algunos stos exploits hacían uso de la técnica de heap spray que publicaron Sotirov y Mark Dowd como ya anunciaba HD Moore en su primer análisis para poder saltarse las protecciones extras de DEP y ASLR que pudieran estar activadas.

Durante siete días las precauciones a la hora de navegar con IE han sido altas. No hacerlo con usuarios privilegiados y proteger bien el uso de Javascript para que sólo se active en la lista de sitios de confianza, utilizando una política de lista blanca. Ahora ya, si tienes el Windows Update activado, tendrás un parche instalado, listo para instalar o a punto de ser instalado.

Hacer uso de las zonas de seguridad es una de las recomendaciones que más veces he oído contar a “Pajarraco” de los Santos cuando da recomendaciones de seguridad para no ser infectado por exploits en el navegador web. Sin embargo, vivir sin javascript en la mayor parte de Internet implica no ver las páginas correctamente en la mayoría de los casos o perder funcionalidad. Pero también vivir con menos riesgos y con menos publicidad.

Crear una lista blanca de seguridad es muy jodido de mantener, ya que al final, el número de sitios en la lista puede crecer y crecer y crecer, con lo que al final hay que optar por soluciones intermedias. La mejor metáfora que he leído sobre esto es la que realizó Bernardo con las discotecas y los porteros.

Si se consiguiera que todos “los buenos” estuvieran en una lista blanca sería genial, pero parece complicado. A nivel de sistema operativo ha habido y hay diferentes soluciones que han intentado o intentan realizar un mantenimiento de la seguridad en base a listas blancas de programas ejecutables en el sistema.

En los sistemas Windows, las Software Restiction Policies han sido una solución en entornos corporativos que han ofrecido algunas herramientas para el control de aplicaciones pero ni mucho menos ha sido una solución completa de listas blancas.

Secuware en España tiene una solución basada en listas blancas para evitar la ejecución de programas no deseados en la máquina dónde todos y cada uno de los ficheros deben ser aprobados. Otra empresa que trabaja sobre este paradigma es Bit9, una empresa norteamericana que desarrolla software de control de ejecuciones en entornos de red.

Al final, todas los soluciones basadas en listas blancas no dejan de tener las ventajas e inconvenientes que describía Bernardo: Más seguro, más incómodo, más falsos positivos, más administración y listas que pueden crecer al infinito que se optimizan como se puede.

Esta misma gente de Bit9, como empresa que se dedica a hacer listas blancas de software, debe conocer quiénes son los “sospechosos habituales” es decir, cuales son los programas que se despliegan en una red que suelen ser caldo de cultivo por diversas razones. Para ellos, los “sospechosos habituales” son aquellos que:

1.- Se ejecutan sobre Windows: Por eso de la cuota de mercado que tiene esta plataforma en el desktop.

2.- Se lo suelen instalar los usuarios y No los administradores de sistemas: Ya sabéis, para hacer “sus cositas” y que por tanto suelen estar fuera de la administración corporativa.

3.- Son programas que no están catalogados como maliciosos y por tanto pasar los firewalls, los antivirus, etc….

4.- Contienen vulnerabilidades de menos de 1 año y con nivel de criticidad de 7 a 10 según Common Vulnerability Scoring System (CVSS)

5.- La actualización de los mismos recae en el propio usuario normalmente, ya sea mediante un programa en el cliente que él usuario debe utilizar o bien visitando una web para descargar la nueva versión. Vamos, que debe estar atento el usuario a las novedades en seguridad

6.- La aplicación no puede ser automáticamente integrada en el software de despliegue de actualizaciones, tipo System Center Configuration Manager, y se necesita una labor de administración para integrarla en el control corporativo.


Según ellos, estas son las aplicaciones más peligrosas en las redes corporativas con entornos Windows:



Top Ten de los Sospechosos Habituales

Cómo se puede comprobar, la clasificación no ha cambiado significativamente con respecto a lo que publicaron en el 2006.

Sí, hemos tenido 7 días de precaución máxima con IE7, pero debemos tener 365 días de precaución máxima con todo. Para usuarios individuales en su casita estaría bien tener configuradito Windows Update y Secunia Personal Inspector y para las “empresitas” con redes Windows, tener up and running algo como Window Software Update Services y System Center Configuration Manager.

Saludos Malignos!

miércoles, diciembre 17, 2008

WordPerfect Metadata

Durante los tres últimos meses hemos estado trabajando con los metadatos en documentos ofimáticos. Esto nos llevó a publicar el artículo de Metadatos en documentos Spectra Office en Windows TI Magazine, el artículo de Metadatos e información oculta en documentos Open Office que publicamos en la PCWorld, a construir el OOMetaExtractor para limpiar documentos OpenOffice y a crear la FOCA, pero... cuanto más jugamos con esto más divertido es.

El último formato con el que hemos estado jugando ha sido el formato WPD. Sí, a lo mejor a algunos no os suena, pero hubo un tiempo en el que una pantalla azul en modo texto gobernaba el mundo de las suites offimaticas. Una herramienta conocida como WordPerfect fue el procesador de textos por excelencia.

Yo nunca fui amante de WordPerfect y reconozco que llegué a usarlo en su justa medida porque mi vida con los procesadores de texto empezó en Write Assistant, WordStar y Lotus AmiPro hasta que terminé en los brazos de WinWord.

Los documentos que se generaban con WordPerfect no forzaban una extensión en aquellos tiempos, así que era común que no mucha gente reconociera WPD como la extensión de documenos generados como WordPerfect, pero en versiones siguientes, con soporte para Windows y con la posterior compra por parte de Corel se empezó a estandarizar el uso de WPD.

A día de hoy, con la batalla ODF, OOXML lejos está WordPerfect de ser una herramienta usada masivamente, pero sin embargo, quedan aun muchos documentos generados con estos procesadores de texto (en este país una barbaridad) y por eso sigue siendo reconocido como formato por todos los procesadores de texto.

Buscando en Google el número de documentos que hay con extensión WPD aparece la nada desdeñable cantidad de 150.000 documentos publicados. La pregunta era ¿tendrán metadatos o información oculta esos ficheros?.


Documentos wpd en Google

Como libextractor no da soporte para estos ficheros a día de hoy me he bajado unos trescientos documentos y he ido abriendolos para ver que encontraba y... ¡qué sorpresa! El 90% de ellos contienen información de usuarios e impresoras.


Usuarios y Rutas

Algunas en formato UNC para dejar al descubierto nombres de servidores y recursos commpartidos


Imprsoras en formato UNC

Y otros te dan la información del software de creación.


Versión de software

Vamos a tener que hacer que nuestra FOCA coma ficheros de versiones antiguas porque puede ser muy divertido lo que aparece en estos tipos de documentos....

Saludos Malignos!

martes, diciembre 16, 2008

Gira Seguridad 2009

Ya está. Ya está cerrado el calendario de eventos de la Gira de Seguridad 2009. Así que os los dejo aquí detalladitos:

La jornada de mañana es TOTALMENTE GRATUITA y sólo debes registrarte (como siempre en estos casos). En ella escucharás 5 conferencias de Seguridad informatica por parte de cinco empresas: Business Integration, D-Link, Quest Software, Microsoft Technet e Informática64. La jornada es de mañana y los asistentes recibiarán un certificado acreditativo de 5 creditos en formación de seguridad que será entregado en el mismo día de la gira, un desayuno gratuito y el conocimiento que podamos transmitir.

Las ciudades, las fechas, las agendas y los regisros en los siguientes links:

Enero

- 13: Barcelona
- 14: Zaragoza
- 15: Pamplona
- 21: Vigo
- 22: A Coruña
- 27: Sevilla
- 29: Valladolid

Febrero

- 03: Valencia
- 04: Tenerife
- 13: Madrid

Después, para los que quieran completar la jornada, habrá un Hands On Lab [HOL-SEG 20] con comida incluida de Contramedidas Hacker en aplicaciones web. Las agendas y los links de registro en la siguientes URLS:

- Barcelona: 13/01
- Zaragoza: 14/01
- Pamplona: 15/01
- Vigo: 21/01
- A Coruña: 22/01
- Sevilla: 27/01
- Valladolid: 29/01
- Valencia: 03/02
- Tenerife: 04/02
- Madrid: 13/02

...Y algunos días hay copas y esperemos que no haya espadas y bastos....

Saludos Malignos!

lunes, diciembre 15, 2008

El ataque del hombre en medio escenificado

Las cenas de empresa de Informatica64 suelen tener momentos únicos que tienen algo de valor incalculable. De hecho, una vez pasada la cena, se habla del MVP de la cena de ese año. Ese MVP es el protagonista del hecho más destacable.

Entre las acciones que han quedado para la historia y la leyenda negro está el momento en que uno se llevó para el camino los restos de embutido y una botella de vino tinto de la cena que solicitó al camarero le envolviera amablemente. En otro año uno decidió que un esturión que estaba disecado en la pared tenía frío y se quitó los calcetines para taparle, colocándoselos en plan preservativo. Y así... año tras año algo sucedía.... pero este año el momento perdurará en mi retina por siempre.

Ataque de Spoofing

El año pasado ya fue digno de épica y el hecho había superado las ediciones antereriores. Hace un año faltó una persona y entre tres se encargaron de ir convenciendo a los distintos camareros de que sí había venido con lo que el camarero fue sirviendo la comida en el sitio que dejaron para él. Cuando el camarero venía le convencían de que había ido al baño, de que ahora venía, etc... con lo que al final se zamparon una cena extra entre tres personas. A la semana siguiente enviaron una foto para mostrar que él estuvo allí. El montaje estaba hecho con el Paint...como mucho.

Pero este años...Este año iban con la misma idea en mente, aunque sabían que estaban bajo vigilancia, así que sus oportunidades de realizar este “ataque de spoofing” eran pocas. Parecía que no se iban a salir con la suya pero...

Ataque de Man in The Middle

... quiso el destino que uno de los comensales de la cena decidiera pedir su entrecot más hecho y se lo entregara al camarero. A la vuelta, fue otro el camarero que trajo encapsulado la carnaca a la mesa de todos los comensales. Sin embargo, la carnaca venía sin cifrar y uno de los tres elementos que el año pasado realizó el ataque de spoofing, tenía activo el sniffer.

Cuando el camarero preguntó “¿de quién es ete entrecot?” él vio la oportunidad del ataque. El camarero había lanzado un mensaje de difusión que venía sin cifrar y por lo que se podía observar el filete venía sin firmar.

Ni corto ni perezoso el atacante apartó su plato con los hogs del corderaco que se había metido entre barriga y espalda para contestar: “Es mío”.

La víctima, el pobre camarero, decidió aceptar esa respuesta como cierta ya que la red estaba considerada un entorno de confianza. El atacante se había encontrado con un entorno vulnerable en el que se había enviado un filete sin cifrar por una red de difusión, en la que no se utilizaba ningún sistema de autenticación y había conseguido introducirse entre el emisor del filetaco y el receptor para interceptar el mensaje.

Una vez conseguido el entrecot el atacante tuvo que levantar el firewall porque empezó a recibir ataques de denegación de servio lanzados contra su brazo en forma de tenedor que llevaba desde otro de los usurpadores del año pasado. Este ataque le hizo perder medio token de filete en el reparto.

Análisis Forense

Sin embargo, el atacante fue detectado, ya que el emisor, al saltar el timeout, reenvió su entrecot-request al camarero. Éste contesto que había recibido un ACK del nodo situado seis sillas más allá y una rápida revisión del plato de logs demostró que allí se había producido una intrusión y que el en otra hora filete se había evaporado.

Mitigación del ataque

El ataque ya se había producido así que lo único que se podía realizar es disparar el plan de contingencia. El camarero tuvo que volver a crear un nuevo paquete y reenviar el entrecot-response otra vez para atender al cliente. El atacante, una vez detectado, fue desconectado del switch.

Conclusiones

La culpa ha sido de la arquitectura. El número de errores ha sido alto:

1.- El atacante se encontró el mensaje porque se envió por una red de difusión cuando debería haberse enviado directamente a la boca del emisor y no intentar buscar al propietario del entrecot-request mediante un mensaje de broadcast.

2.- El mensaje de entrecot-response iba sin cifrar y fue fácil de decodificar por cualquiera que tuviera un sniffer activo.

3.- La conexión venía sin firmar con lo que le fue fácil al atacante generar un validador estático que engañara a las víctimas.

Para resolver el problema el camarero debería haber apuntado quién le envió el mensaje entrecot-request y haber contestado con un mensaje directo de entrecot-request que no usara broadcast.

En segundo lugar el mensaje debería haber venido cifrado, es decir, oculto bajo una tapa opaca de metal que no permitiera a ningún osado atacante con el sniffer activo detectar el mensaje.

Por último, el camarero debería haber comprobado la identidad del receptor del entrecot.

Este ataque, con IPSec o SSL, no hubiera pasado...

Saludos Malignos!

PD; ¿Pasa esto sólo en i64 o es común en todas las cenas?

domingo, diciembre 14, 2008

Entiéndeme tú a mí en vídeo

Ya os he hablado varias veces de la obra de teatro de "Entiéndeme tú a mí" escrita por mi amigo Eloy Arenas. Está basada en cinco actos y uno de ellos está dedicado a la imposible relación entre Chema Alonso y ROM su nuevo ordenador personal de origen humano. Actualmente está siendo presentada por España en diferentes galas en una versión renovada así que, acordándome de la obra me dio por llamar a Eloy y decirle: "Oye, ¿qué te parece si publico el video de la obra original con el acto de Chema y ROM?". A Eloy le pareció pefecto, así que aquí lo tenéis.


Entiéndeme tú a mí

Puedes leer el texto de la obra en los siguientes links:

- Entiéndeme tú a mí: Parte I de III
- Entiéndeme tú a mí: Parte II de III
- Entiéndeme tú a mí: Parte II de III

Y tienes más información en: 15 minutos de gloria

Saludos Malignos!

sábado, diciembre 13, 2008

No Lusers 63: Vida en Pareja
con un Ay!fon (3 de 3)

***************************************************************************************
- No Lusers 60: Vida en Pareja con un Ay!fon (1 de 3)
- No Lusers 61: Vida en Pareja con un Ay!fon (2 de 3)
- No Lusers 63: Vida en Pareja con un Ay!fon (3 de 3)
***************************************************************************************






***************************************************************************************
- No Lusers 60: Vida en Pareja con un Ay!fon (1 de 3)
- No Lusers 61: Vida en Pareja con un Ay!fon (2 de 3)
- No Lusers 63: Vida en Pareja con un Ay!fon (3 de 3)
***************************************************************************************

viernes, diciembre 12, 2008

WB fingerprinting con Chrome

WB Fingerprinting es un sencillo-de-entender código en Javascript que intenta detectar las versiones de los navegadores en base a los mensajes de error forzados con acciones javascript. La primera versión se publicó en Octubre y acabamos de presentarlo en Lisboa en un congreso. Para esta presentación Pedro ha actualizado la detección para que no se le escapase el Firefox 2.0 que le estaba dando problemas y Google Chrome.

Con esta nueva actualización de WBfringerprinting se detecta más del 90 % de los navegadores web utilizados a nivel mundial según Netapplications, una de las referencias de uso web utilizadas de la Wikipedia.

Las versiones y los navegadores detectados son:

- Spectra Internet Explorer 7.0+
- Mozilla Firefox 2.0
- Mozilla Firefox 3.0
- Opera 9.5
- Safari 3
- Spectra Internet Explorer 6.0
- Google Chrome

La herramienta la puedes probar en:

- Wb Fingerprinting:
http://www.informatica64.com/wbfingerprinting/

- Código Fuente:
http://www.informatica64.com/wbfingerprinting/browser.js

Saludos Malignos!

PD: Supongo que ya estáis enterados de que hay un 0-day chungo rulando para IE7 así cuidadito. HD Moore hace un análsis bastante bueno en un post, pero nos deja en ascuas, porque cómmo él mismo dice, si se aplica DEP se acabó el heap overflow para este exploit, pero nos recuerda el ejemplo de saltarse DEP de Alex Sotirov y Mark Dowd y no nos dice si en este exploit que está rulando se usan las técnicas de salto de DEP. No obstante, si no se están utilizando se podrían utilizar en un futuro, así que... cuidado. Desde Spectra se recomienda tener aplicado DEP, ASLR, UAC, minimo privilegio y en caso de no tener aplicaciones usando el componente afectado desregistrarlo.

Referencias:

- Análisis de HD Moore
- Spectra Security Advisory

La última semana de acción en 2k8

La semana que viene es la última semana en la que hay acción, pues después del viernes día 19, España volverá a pararse. No, no por culpa de la crisis sino porque es tradición no saltarse una fiesta aunque no hay dinero para gastarse, que con una botella de 2 litros de Coca-Cola y 2 cartones de Don Simón la fiesta sale sola por 3 euros. El caso es que esta semana Juan Garrido "Silverhack" regresa a su Sevilla natal para dar una semana de Hands On Lab sobre Análisis Forense y Windows Server 2k8, en Madrid Joshua Sáenz [MVP de Exchange] y Rubén Alonso [MVP de MOSS] se reparten los Hols de System Center 2k8, MOSS 2k7 y SQL Server 2k8, "el Guille" [primer MVP nombrado en España] se da un paseo con su Comunity Tour por Torrelavega, Bilbao, A Coruña y Mallorca, Carlos Segura [MVP de MOSS] y Karlos G. Liberal tendrán un combate a "muette" en Pamplona entre MOSS 2k7 y Drupal y para terminar, en inglés, el gran David Litchfield se currará un Webcasts de análisis forense en Oracle. Vamos que la oferta está para que aproveches tu tiempo ;)

PD: No te olvides de guardar tu plaza para la Gira de Seguridad de Enero y Febrero que es GRATIS!!

Lunes, 15 de Diciembre

[Tudela] Gestión de una PKI en entorno Windows
[Torrelavega] Gira "El Guille Comunity Tour"
-> Ponente: El Guille, Primer MVP español
[Madrid] HOL MS Office SharePoint Server 2k7: Implantación
-> Ponente: Ruben Alonso, MVP MS Office SharePoint
[Madrid] HOL MS System Center Configuration Manager 2k7
-> Ponente: Joshua Sáenz, MVP MS Exchange Server
[Sevilla] HOL Análisis Forense I: Etorno de Malware
-> Ponente: Juan Garrido "Silverhack"

Martes, 16 de Diciembre

[Bilbao] Gira "El Guille Comunity Tour"
-> Ponente: El Guille, Primer MVP español
[Madrid] HOL MOSS 2k7: Servicios Colaboración
-> Ponente: Ruben Alonso, MVP MS Office SharePoint
[Sevilla] HOL Windows Server 2k8: Administración
-> Ponente: Juan Garrido "Silverhack"

Miércoles, 17 de Diciembre

[A Coruña] Gira "El Guille Comunity Tour"
-> Ponente: El Guille, Primer MVP español
[Madrid] HOL MS Office SharePoint Server 2k7: Searching
-> Ponente: Ruben Alonso, MVP MS Office SharePoint
[Sevilla] HOL Windows Server 2k8: Core Server
-> Ponente: Juan Garrido "Silverhack"
[Madrid] HOL MS System Center Operations Manager 2k7
-> Ponente: Joshua Sáenz, MVP MS Exchange Server
[Sevilla] HOL Análisis Forense II: Uso de aplicaciones
-> Ponente: Juan Garrido "Silverhack"
[Webcast] Windows Vista: Control Parental
-> Ponente: Alex Refojo

Jueves, 18 de Diciembre

[Pamplona] MOSS 2k7 y Drupal
-> Ponentes: Carlos Segura MVP MOSS & Karlos G. Liberal
[Webcast] Oracle Forensys
-> Ponente: David Litchfield
[Madrid] HOL MS SQL Server 2k8: Reporting Services
-> Ponente: Ruben Alonso, MVP MS Office SharePoint
[Sevilla] HOL Windows Server 2k8: Terminal Services
-> Ponente: Juan Garrido "Silverhack"

viernes, 19 de Diciembre

[Mallorca] Gira "El Guille Comunity Tour"
-> Ponente: El Guille, Primer MVP español
[Madrid] HOL MS SQL Server 2k8: Análysis Services
-> Ponente: Ruben Alonso, MVP MS Office SharePoint
[Sevilla] HOL Windows Server 2k8: Virtualización Aplicaciones
-> Ponente: Juan Garrido "Silverhack"

Saludos Malignos!

jueves, diciembre 11, 2008

Entrevista a Bernardo Quintero de Hispasec Sistemas

Si hay que hacer un top ten con los más influyentes en la seguridad de este país sin duda Bernardo estaría en esa lista. Hace ya más de diez años empezó a enseñarnos a muchos de nosotros temas de seguriad informática y digo enseñarnos porque yo recuerdo que la mayoría de mis primeras aproximaciones al mundo de la seguridad pasaban por referencias de Bernardo Quintero, una-al-día e Hispasec sistemas.

Con Bernardo siempre he tenido una sensación curiosa cuando hablas con él. He tenido la suerte de reirme y charlar con él durante alguna que otra comida o cena y siempre que le miro a los ojos puedo ver los leds parpadeando, como si indicaran que el cerebro está currando. Es de esas personas que ejercita más el microprocesador que el subsistema de E/S, de tal manera que sin ningún esfuerzo, sin solicitar una prioridad especial, cuando dice algo los demás escuchamos. Al estilo del gran Silent Bob.



El gran "B"

Bernardo es una persona excepcional a todos los niveles, como amigo, como ser humano y como técnico y quiero darles desde aquí las gracias públicamente porque sin su trabajo previo a lo mejor yo no hubiera tirado por la parte de seguriad informática y tal vez seguiría hoy en día con los Oracles y los Solaris... (¡de buena me libré!)

Disfrutad la entrevista que es verdad eso de que el sentido del humor denota inteligencia... ;)

Saludos Malignos!

1.- Venga, vamos con la publicidad al principio. Danos tres razones para comprar el libro que ha escrito "pajarraco" de los santos.

Tres son demasiadas, no voy a encontrar tantas. La única que se me ocurre es por compasión con Sergio de los Santos, el pobre se tiró dos meses amargado escribiendo porque, como suele pasar en Hispasec, siempre vamos mal de tiempo y tenía que tenerlo para la fecha del décimo aniversario. Ya en serio, le ha quedado muy apañao, me ha sorprendido el resultado. La idea de empezar cada capítulo/año con noticias y anécdotas no-informáticas está muy bien, es como si estuvieras leyendo el NODO, engancha. Particularmente lo que más me ha gustado son las entrevistas, siempre es más interesante leer las opiniones de Schneider o Kaspersky que las de nosotros mismos.

2.- Muchos de nosotros somos algo enfermos, pero... ¿cómo es posible que me contestes un mail de curro a las 4 de la mañana de un miercoles?

Mira quién habla, el que se levanta para escribir en el blog cuando yo aun ando durmiendo. Lo de trasnochar puede que sea una costumbre, una-al-día e Hispasec nacieron así, a esas horas donde nada bueno se puede hacer. En 1998 me levantaba a las 5:30 de la mañana para ir a un centro de disminuidos psíquicos. No es que estuviera ya tan mal, el centro me había tocado de prestación social sustitutoria como objetor de conciencia... vamos, que no quise hacer el servicio militar. Salía del centro a las 8:30 para entrar en mi trabajo (informática de gestión, nada excitante), salía a las 15:00 de trabajar, almorzaba algo, volvía a las 17:30 al centro de disminuidos, regresaba a casa a las 22:00 para cenar y... cuando ya no me sostenía en pie, me conectaba al IRC para hablar con Ropero a ver que sacábamos esa noche en una-al-día.

Vale, te dejo que me llames enfermo o masoca. Pero que conste en acta que soy un dormilón, me encanta... ahora comprenderás porque siempre tengo cara de sueño o de zombi.

3.- Cuando empezó una-al-día no había demasiada información con respecto a seguridad. ¿Cómo te dio por ahí?

Porque alguien dijo que no se podía hacer. En mi caso es como enseñarle a un toro un trapo rojo (en ese ejemplo yo soy el toro, prohibido chistes con la temática cuernos). una-al-día nació en una lista de discusión privada que compartíamos gente que escribía sobre seguridad en distintas revistas informáticas. Las editoriales de las revistas eran competencia entre ellas, pero nosotros no nos sentíamos compentencia, al contrario, compartíamos conocimientos. En esa lista se discutió un día sobre lo complicado que sería tener una sección fija de seguridad en una revista, dada la escasez de contenidos. A mí no se me ocurrió otra cosa que decir que era capaz de escribir una noticia por día. Se rieron.

Al día siguiente, casi de coña, envié a esa lista un mensaje con el asunto una-al-día y la primera noticia. Volví a hacerlo una segunda vez y a continuación, el tercer día, hizo lo propio Antonio Ropero sin yo haberlo pedido. A partir de ahí, como si de un pique se tratara, Ropero y yo nos íbamos turnando. Más tarde la gente se enteró de lo que estábamos haciendo y pidió recibir la una-al-día, así que decidimos hacerlo público para que cualquiera pudiera suscribirse y creamos el portal web hispasec.com.

A día de hoy se asocia mucho el nacimiento de una-al-día conmigo, pero realmente el mérito es de Ropero. En sus comienzos, cuando era más complicado, él fue mucho más constante que yo. Estoy seguro que Ropero podría haber hecho una-al-día en solitario, yo no hubiera durado ni una semana.

4.- Vale, ahora en serio. ¿qué habéis hecho con Jcea? ¿Quién lo mató y porqué nadie denuncia su desaparición a los cuerpos de seguridad?

Se rumorea que Jesús Cea es, en realidad, un ente. Aunque no lo veas, puedes sentir su presencia. Vale, de los cuatro socios de Hispasec es tal vez al que menos se le ve el pelo, pero yo siempre lo tengo a mano cuando lo necesito. Da mucha tranquilidad tener un oráculo técnico en casa, al mismo tiempo puede llegar a ser odioso. De verdad, no es posible que alguien siempre tenga respuesta para todo, sabe de todo, lo mismo te lo encuentras un día diseñando circuitos que otro te enteras que está en el equipo de desarrollo del lenguaje python, que asco de tío... (vale, lo reconozco, será envidia).

5.- ¿Qué estudiaste o en que trabajaste antes de Hispasec?

Si digo "informática" la respuesta no va a tener mucha gracia, pero es la verdad. Por alargarla un poquito me remontaré a mis orígenes y te contaré que yo iba camino de ser un caso típico de eso que llaman "fracaso escolar". La cosa pintaba mal cuando a los 3 años me diagnosticaron autismo leve, porque no hablaba nada (ahora tampoco es que hable mucho, ya sabes). Un día en casa mis padres andaban buscando un documento importante y no lo encontraban, entonces yo, que nunca había dicho una palabra, dije "está en lo alto de ese mueble". Se quedaron con cara de pasmaos, de no decir una palabra había soltado una frase (no lo recuerdo, cuando me lo cuentan bromeo diciendo que lo mismo no tuve nada importante que decir hasta aquel día). En el parvulario, a los 5 años, la cosa seguía bastante mal. Cuentan que tenían que llevarme arrastrando al colegio y, una vez allí, me negaba a hacer nada, tiraba las sillas e incluso una vez bloqueé la puerta de la clase, tuviendo que sacar a mis compañeros por la ventana. Así que me tenían al fondo del aula, medio olvidado.

El caso es que a los 6 años llegué a primero de EGB sin saber nada, ni las vocales ni un número. Afortunadamente cambié de maestra y me tocó una que apodaban la "hippy" porque era nueva y bastante moderna para aquella época, en todos los aspectos. Mi padre fue un día al colegio, a principio de curso, para hablar con la maestra a ver si yo tenía arreglo. Antes de entrar me vió por la ventana del aula desde el pasillo, estaba de espaldas sentado en las rodillas de la maestra. debió pensar: "ya la habrá vuelto a liar y ha tenido que cogerlo". Cuando entró en el aula vio que efectivamente estaba sentado en las rodillas de la maestra, pero trasteando con algo extraño. Estaba explicándole como resolver un cubo de rubick que ella había traido a clase. No se si llevó el cubo de rubick a conciencia, ni recuerdo porqué ni como empecé a resolverlo, el caso es que ella logró integrarme en el sistema y desde entonces no volví a tener ningún problema escolar, más bien al contrario. Por ejemplo, en COU, como la nota para entrar en informática en la universidad estaba un tanto alta y no las tenía todas conmigo, me dió por estudiar un poco y lo saqué con matrícula de honor. Realmente no tiene mérito, la gracia hubiera sido hacerlo sin haber estudiado.

Le estoy muy agradecido a aquella maestra "hippy". Como anécdota, a mi niña de 3 años le gusta resolver puzzles grandes, se los zampa de 60 piezas o más. Tranquilo, afortunadamente no se parece a mí en nada, es infinitamente más guapa, muy cariñosa y casca por los codos, como la madre. El caso es que en el último cumpleaños de la niña su abuelo le hizo un regalo que, al abrirlo, mi mujer se me quedó mirando con una expresión que venía a decir "tu padre no está bien de la cabeza". Él y yo nos cruzamos una mirada y sonreimos. Le había regalado un cubo de rubick.


6.- Venga, anima a la gente... ¿Es dificil analizar un malware hoy en día o lo puede hacer hasta de los Santos?

Es fácil, como casi todo en esta vida es cuestión de ganas y tiempo. Por supuesto hay distintos niveles, tanto de dificultad del malware motivo del examen como de destreza técnica y profundidad del análisis por parte de quién lo estudia. Pero, en general, yo diría que ahora es más fácil que hace unos años cuando empezaron a circular los primeros virus, entonces era todo muy artesanal. Y cuando digo todo me estoy refiriendo tanto a los creadores de virus como al trabajo de los analistas antivirus, al menos para los amateurs como yo (que conste que era analista amateur, ¡no creador!).

Recuerdo que en primero de universidad lidié con un virus y para estudiarlo tuve que infectar mi Amstrad PC-1512 a conciencia (afortunadamente no tenía disco duro, así que sólo infectaba disquetes de forma controlada). Si me preguntas que herramienta utilicé para el análisis, te diré una que aun debes tener en tu sistema Windows: el DEBUG.EXE de Microsoft. En mi caso fue el DEBUG.COM de un MS-DOS 3.2. Conté algo sobre esa anécdota hace tiempo en el blog (http://blog.hispasec.com/laboratorio/63). Ahora tienes el IDA y tropecientas herramientas más, máquinas virtuales, etc., se ha perdido un poco el romanticismo de aquella época. No significa que la nueva generación de analistas y reversing sea peor, al contrario, conozco a gente joven del mundillo con los que se me cae la baba, me dan mil vueltas... a mis treinta y pico años yo ya soy un fósil.


7.- ¿Se puede tener vida analizando malware?

Se puede tener vida y, además, te puedes ganar la vida analizando malware. Es una salida profesional muy interesante, en Hispasec nos cuesta encontrar a gente con este perfil para contratarlos, no abundan. En general cualquier especialización relacionada con la seguridad informática tiene salida, hay mucha necesidad de profesionales técnicos del sector en el mercado laboral. Aunque debo decir que yo nunca me gané la vida analizando malware, de hecho, incluso a día de hoy, a principio de cada año ya tengo planificado 6 meses con auditorías y test de penetración que aun sigo haciendo, fue por ahí por donde nos entraron los primeros ingresos en Hispasec. Para mí analizar malware siempre fue un hobby, sacaba algunas pelas publicando en revistas y tal, pero poco más. A día de hoy sí que tenemos negocio relacionado con el análisis de malware en Hispasec, es un área tan interesante como productiva.

Volviendo a la vida, hasta los creadores de virus tienen vida más allá del malware. Recuerdo que hace muchos años tuve la oportunidad de acudir a la primera (y creo que última) quedada internacional del mítico grupo 29A, que se celebró en Madrid. Por descontado yo no pertenecía a 29A, aunque hubiera sido un chico malo creo que nunca hubiera sido admitido, había demasiado nivel allí. Fui invitado por el grupo porque les gustaban mis análisis y descripciones de sus virus que hacía para la revista PC-Actual, así que no desaproveché la ocasión de poder saber más sobre todo lo que rodea a ese mundillo y los conocí en persona.


Compartí con ellos todo un día, fue una experiencia interesante. Recuerdo que durante el almuerzo, en un restaurante, comentaban trozos de código en ensamblador que escribían e intercambiaban en las servilletas de papel. O que mientras esperábamos en una cola, para subir a la montaña rusa en el parque de atracciones, dos de ellos se pusieron a interpretar directamente el volcado en hexadecimal de un virus que otro llevaba impreso en la espalda de su camiseta. Pero ese tipo de anécdotas no fue lo que me sorprendió, al fin y al cabo es lo que te puedes esperar, sino lo heterogéneo del grupo en cuanto a personalidades. Uno tiene una imagen de los creadores de virus alimentada por estereotipos que nada tiene que ver con la realidad. Resultaron ser gente muy diversa, extrovertida, lo mismo estudiantes que profesionales exitosos en sus trabajos, y no todos informáticos: desde gente que habían estudiado carreras de letras a ciencias naturales. Al fin y al cabo, gente normal y corriente, con su propia vida más allá del malware.

8.- ¿Filete con patatas o Cordero al horno con patatas panaderas?

Ésta es fácil: filete con patatas, siempre. En su defecto, si estamos en Málaga, podemos cambiar el filete con patatas por pescaito frito. Que no se diga que no tengo variedad gastronómica :p

9.- Esto.. si alguien quiere entrar a trabajar en Hispasec... ¿le haces tú la entrevista o la hace Roman siguiendo "sus criterios habituales"?

Si es chica y opta para puestos de administración o comercial, entonces puede que Román aplique sus criterios. Pero si quiere entrar en el laboratorio (donde realmente se trabaja, dicho sea de paso :p) entonces puedo hacer yo la entrevista, a no ser que se adelanten Santos o Julio... sin olvidarme de Sergio, que oficialmente le vamos a dar el puesto de director de RR.HH. (¡es un acaparador!).

Trabajar en el laboratorio de Hispasec es fácil, simplemente busco gente mejor que yo (y no es coña). No es complicado llevar un grupo de trabajo. Sólo tienes que buscar gente buena y facilitarles el trabajo. Mi única preocupación es que ellos estén a gusto y tengan los recursos que necesitan, y repartir problemas para que los resuelvan. Es importante ser consciente de que la gente que trabaja contigo puede hacer las cosas mejor que tú, el error más típico de un jefecillo es decir cómo se tienen que hacer o resolver las cosas. En trabajos técnicos la gracia está en plantear problemas y retos a tu equipo, es mucho más motivamente para todos y terminarán sorprendiendote. En el laboratorio tenemos una jerarquía muy plana o casi inexistente, según el proyecto yo puedo estar en uno o varios escalones por debajo ayudando a alguien o al menos intentando no estorbar mucho. El jefe que considere que es mejor que la gente con la que trabaja o es un necio, o hace mal su trabajo cuando recluta gente, o ambas cosas.


10.- Venga, ahora una pregunta que no te han hecho nunca... ¿Cuál es el mejor antivirus y por qué?

Tú eres un tío original, no te pega esta pregunta. No se si ser malvado y decir alguna cosa relacionada con la elección del sistema operativo... seré bueno y sacaré mi lado torero, ahí va: el mejor antivirus es el que mejor te protege adaptándose a tus circunstancias concretas. Puede sonar a obviedad, pero fíjate que no he dicho que el mejor antivirus es el que más malware detecta. Y es que algunos fabricantes antivirus tienen un problema de raíz, aun no se han enterado de que además de detectar malware el antivirus debe permitir trabajar al PC y al usuario con otros programas. Así que dependiendo de los recursos de tu sistema tal vez el mejor antivirus sea el A o el B, que no tienen porque ser el que más detecta. Por otro lado, si aceptas "sentido común" como antivirus, también se llevaría bastantes puntos en mi ranking. Tengas el antivirus que tengas siempre existe una ventana de infección más grande o pequeña y, en última instancia, el único que puede evitar la infección es el que está sentado frente al ordenador.

11.- Este año te nombraron MVP en Spectra en el área de Seguridad... ¿qué has hecho con todos los millones de dolares que te han dado?

De momento ingeniería financiera, a ver si consigo que no me haga mucha pupa en la declaración de hacienda :p

Te voy a contestar en serio a continuación. Que conste que no recuerdo exactamente el NDA que me hicieron firmar, así que lo mismo cometo algún disclosure ilegal con tu pregunta y me retiran el MVP, en cualquier caso tu habrás sido el culpable de que me lo dieran y que me lo quiten.

Vamos con el disclosure. Me enviaron a casa un paquete azul, muy bonito, que contenía: un diploma de MVP, un pin de MVP, una tarjeta de MVP (de visita, no se puede sacar dinero de los cajeros, ya les vale), la opción de suscribirme por un año al MSDN o TechNet, acceso a grupos de noticias MVP, programa de licencias de código fuente MVP y cosas así por el estilo, la opción de que algún cargo gordo de Microsoft envíe 4 "cartas de reconocimiento ejecutivo" a quién yo quiera, un obsequio "geek" consistente en unos cascos de audio muy monos con tecnología bluetooth y 150 dólares en créditos para gastar en la tienda de merchandising de Microsoft, donde te puedes comprar unas camisetas monísimas con el logotipo de Windows Vista. Por cierto, compré unos baberos con el logo de MS, la primera ropa para nuestra segunda segunda niña que tenemos encargada para el año que viene. Sospecho que sólo se hacer niñas, lo cual no es malo... seguiré investigando.

Tú que tienes más experiencia, ¿a quién hay que reclamar el tema de los millones?


12.- ¿Tendrá grelos el próximo lacon?

lacon'2008 fue una iniciativa de 48bits.com a la que se unió alguna gente de los sexy.pandas.es y demás mafia relacionada (saludos a los Tarasco y Romansoft por si me están leyendo). Básicamente un congreso de seguridad, bastante cerrado (de 20 a 30 personas), que nació más como excusa para verse las caras mientras bebían alcohol. La participación de Hispasec fue más por motivos logísticos que otra cosa, ya que sabiamente decidieron celebrarlo en Torre del Mar, lugar que está bajo nuestros dominios. La verdad es que quedó muy profesional, unas charlas con un nivel impresionante. Para el 2009 se prevé abrir la participación, ya que me consta que se quedaron gente con ganas de asistir.

Aprovechando la coyuntura, espero que podamos ver alguna charla tuya para lacon'2009... si te lo permite tu agenda o tu agente, después de la blackhat y la defcon lo mismo no te deja ir a eventos menores :p


13.- Virus Total es la caña, ¿Cual es la infraestructura para que funcione eso? ¿Cuantos equipos? ¿quién lo mantiene? ¿cuantos ficheros recibe al día?

Si a mí se me otorga la paternidad por haber tenido la idea y ser el precursor, la madre se llama Julio Canto (sin mariconadas). Julio lo empezó desde cero, diseñó y programó toda la parte del núcleo, las tripas de VT. La gracia está en que comenzó siendo una sóla máquina y ya entonces lo diseñó de forma muy modular y distribuida, de forma que con pocos cambios ha ido escalando muy bien a lo que es ahora, un cluster de máquinas.

El desarrollo web y temas de infraestructura de comunicaciones, redes, etc. depende de Francisco Santos, nuestro sysadmin (quinta persona en entrar en Hispasec después de los 4 socios, tiene mérito todo lo que nos ha aguantado). Desde hará un año Julio cuenta con la ayuda en programación de Alejandro Bermudez, más conocido como "Alex el playboy" por otra de sus aficiones, y desde hace un tiempo también está echando una mano Emiliano Martinez, que ha diseñado la nueva base de datos de VT y está aportando otras cosas muy interesante alrededor. Para colmo ahora se ha puesto también Victor Alvárez a hacer experimentos bastante chulos, que pronto se incorporarán, y en el último mes se ha unido al equipo Ero Carrera, al que hemos nombrado Chief Research Officer de VirusTotal. Es lo bonito de VirusTotal, todo el mundo puede aportar su granito de arena, incluido la gente que no está en Hispasec mediante traducciones, herramientas, ideas, etc., es un proyecto totalmente colaborativo.


Para mí es como un juguete, lo disfruto mucho. Intento no estorbar, pero de vez en cuando no puedo repremirme y me pongo a probar hardware o trastear con algún algoritmo nuevo, siempre pensando en temas para aumentar la velocidad de análisis (es una de mis obsesiones que Julio soporta estóicamente, yo voy rompiendo cosas y él arreglándolas). VirusTotal tiene mucho de bricolaje, tanto hardware como software, la verdad es que es muy entretenido verlo crecer.

Sobre números, ahora suele rondar los 50.000 ficheros análizados al día, lo que supone al mes cerca de 1 millón de muestras de malware recolectadas.


14.- ¿Qué sistema operativo usas en tu máquina?

Mi máquina principal es un portátil en la que paso el 90% del tiempo, y tiene un Windows XP. De sobremesa en casa tengo un Pentium 4 con un linux pero no interactúo mucho con él (tengo cosas que necesito correr 24x7, máquinas virtuales, algunas utilidades para auditorías remotas que no he visto portadas a Windows, aparte de las cosas importantes como el cliente P2P). Pero si me dieran a elegir, soy de Windows, siempre he desarrollado para plataformas Microsoft. Si encima me gustaba analizar bichos... es lógico ;)

15.- A ver... Explicanos lo de que en Hispasec se usa Ay!fon y Asterix, que son cosas muy graciosas juntas.

No puedo explicarlo, yo sólo los sufro en silencio. Lo del iPhone es cosa de Román, que nos encasquetó a todos uno, está muy bien para cualquier cosa que se te ocurra hacer, menos como teléfono, que es una castaña. Y el Asterix es cosa de Sergio, está enamorao de su "negrita", la máquina donde lo tiene corriendo y de la que está muy orgulloso porque lleva un par de años de uptime (ya caerá, cualquier día me tropiezo en el CPD). Si me pides buscar alguna relación de las dos cosas juntas, sólo se me ocurre decir que el dinero que gastamos de más con el iPhone nos lo ahorramos con el Asterix.

16.- Hispasec ha hecho 10 años, pero me imagino que no ha sido un camino de rosas... ¿Has pensado alguna vez en dedicarte a otra cosa?

Sinceramente, no. Tenemos que reconocer que gente como tú o como yo somos unos privilegiados en ese aspecto, hemos hecho de nuestro hobby nuestro trabajo y viceversa. Por decir algo que contraste... me interesa la historía e incluso más atrás, la prehistoria. Con 16 años ya ejercía de forma activa esa afición, iba con mi vespino y una botella con gasolina recorriendo los campos de la Axarquía buscando yacimientos vírgenes. Tengo una colección privada bastante interesante de herramientas del paleolítico y el calcolítico, estoy deseando que mi niña empiece a estudiar esas cosas para que pueda tocar y explicarle en vivo que es un núcleo y las lascas, un rascador, un perforador, cuchillos de pedernal, etc.

17.- Si no hubieras sido informático ... ¿a que te hubieras dedicado?. Venga, recomiendanos un libro de lectura no técnica.

Por ser consecuentes con la respuesta anterior tendría que recomendarte alguno de prehistoria, pero voy a ser más malo y recomendar uno sobre un problema de matemáticas: El enigma de Fermat. Que conste que no es una novela de ficción de Dan Brown, de esas que le encantan a Sergio, sino que es un libro de los que se podría catalogar de divulgación científica. Aunque odies las matemáticas, recomendable, Simon Singh tiene un arte especial para hacer atractivo temas en teoría duros, y consigue engancharte con la historia de como resolvió Andrew Wiles un problema que durante más de 300 años tuvo en jaque a los matemáticos. Eso es un hacker y lo demás tonterías.

18.- ¿A quién has conocido en este mundo que te haya impresionado?

¿Aparte de a tí? Tienes que reconocer que, cuando menos, impresiona ver a alguien dando una charla de seguridad disfrazado de guerrero enano del señor de los anillos. La verdad es que admiro cualidades de mucha gente. Si observas el tiempo suficiente, todo el mundo tiene algo bueno de lo que puedes aprender, y no tiene porque ser un crack de este mundillo.

Como anécdota, volviendo a mi experiencia en el centro de disminuidos psíquicos durante la prestación social sustitutoria, tuve la enorme suerte de conocer a Raúl, un chico interno. Era un adolescente, según su ficha psiquiátrica era autista, paranóico y muy agresivo, doy fe de ello porque tuve más de un incidente con él los primeros días. Los cuidadores me advirtieron que no debía intentar interactuar con él, que los psiquiatras lo habían dejado como caso perdido, que era imposible que aprendiera nada.

La historia es muy larga, como para escribir un libro, y me llevé bastantes traspiés. Pero nueve meses después Raúl había aprendido a leer y escribir, y la parte más importante se basó en una pizarra, dibujos a tiza y el juego del ahorcado, al que dedicábamos una hora todas las mañanas después de desayunar. Llegó al extremo de que no jugaba al ahorcado como es normal, intentando averiguar letra a letra, sino que intentaba resolver las palabras a la primera, del tirón. ¡Terminó ganándome!. Cuando alguien me dice que no dedique tanto tiempo seguido a algo, que duerma, o que no me caliente tanto la cabeza intentando resolver algún problema, se me viene la imagen de Raúl pegándose pequeños golpes con la cabeza en la pizarra, podía pasar de minutos a horas así, susurrando como si estuviera rezando, y finalmente escribía la solución. Puede que yo enseñara a Raúl algo, que no creo, más bien canalicé lo que probablemente ya sabía de alguna forma. Pero yo si aprendí mucho, le estoy muy agradecido, para mí es un referente de valores como la constancia o el trabajo duro.


19.- ¿Qué cojones haces leyendo esta entrevista en domingo?

Ni idea, hace tiempo que no diferencio los días de la semana.

20.- ¿Qué le recomendaría alguien como tú que quiera aprender Seguridad Informática? Recomiendanos también un libro técnico.

Curiosidad, ganas y dedicarle muchas horas. El libro ya no hace falta (cuando yo empecé "mataba" por poder leer libros de la temática), ahora tenemos la suerte de tener a mano una cosa que se llama google.

Entradas populares