tag:blogger.com,1999:blog-21555208.post7259405725663455024..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: Pentesting Persistente, Pentesting Contínuo, Pentesting by DesingChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-21555208.post-33590946092316751002015-05-08T19:10:11.787+02:002015-05-08T19:10:11.787+02:00El dia de ayer estaba curioseando en una pagina we...El dia de ayer estaba curioseando en una pagina web y encontré en una pagina que tenían un archivo .htacces a la vista de todo el publico. No encontré paswords ni nada pero quería saber si se puede hacer algo con esto y mas que lo anterior saber que tan vulnerable puede ser un sitio web que permita algo asi.<br /><br />Creo que se dieron cuenta de que abri el archivo y la pagina web la quitaron durante dos horas por lo que supongo que lo hicieron para ocultarlo o eliminarlo. aun tengo la copia pero si me sorprendi de esto.Marckhttps://www.blogger.com/profile/15873096653361248682noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23976363511410942572013-05-27T18:06:11.083+02:002013-05-27T18:06:11.083+02:00Para el Anónimo Linuxer@:
Todo en esta vida está ...Para el Anónimo Linuxer@:<br /><br />Todo en esta vida está sujeto a errores y fallos, yo también prefiero Linux, pero no creas que 100% seguro, nunca he conocido nada más seguro que un Spectrum y aún, puedes alojar ahí en tan pequeña memoria algún souvenir.<br /><br />¡Un Abrazo!F4l53-19https://www.blogger.com/profile/17511534330093732779noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-85478652877456064252013-05-27T17:09:10.356+02:002013-05-27T17:09:10.356+02:00@anonimo: ah, ok; gracias. No conocía esa acepción...@anonimo: ah, ok; gracias. No conocía esa acepción y pensaba que más que no recomendable quería decir que era inviable. :-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-7953214735573464042013-05-27T03:02:36.111+02:002013-05-27T03:02:36.111+02:00pufff, Ilusos!!!! preocupándose por la seguridad.
...pufff, Ilusos!!!! preocupándose por la seguridad.<br /><br />Usen Linux donde no te tendrán que preocuparse porque NO tiene fallas.<br /><br />http://muyseguridad.net/2013/05/24/la-seguridad-en-el-escritorio-linux-a-debate/<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-50187072512213601902013-05-26T19:07:27.523+02:002013-05-26T19:07:27.523+02:00De hecho he encontrado que sitios como Twitter ya ...De hecho he encontrado que sitios como Twitter ya van hacia esa filosofía. <br /><br /> http://www.slideshare.net/xplodersuv/putting-your-robots-to-work-14901538<br /> http://videos.2012.appsecusa.org/video/54250716Anonymoushttps://www.blogger.com/profile/00385866659716025270noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-75262283713302418022013-05-26T19:05:52.970+02:002013-05-26T19:05:52.970+02:00Es interesante, un poco aplicando la idea "ág...Es interesante, un poco aplicando la idea "ágil" al mundo del pentest.<br /><br />A cualquier sysadmin le comentan hace 10 años de montar una infraestructura y una metodología de trabajo que permitiera realizar 10 despliegues al día[1], diría que eso es una locura, que las cosas se romperían y no funcionaría. Sin embargo, esa idea es el principio del movimiento DevOps, que están adoptando todas las empresas que quieran ser relevantes durante los próximos 5 años (no sólo es cosa de frikis de startups, incluso empresas como IBMu Oracle se ha apuntado al carro[2]).<br /><br />Esta especie de "pentesting ágil" es lo mismo, puede parecer una locura, pero va a ser necesario, al menos para las empresas que quieran ser relevantes durante los próximos 10 años... Negocio debe ser ágil, para adaptarse a los cambios del mercado y, obviamente, IT debe ser capaz de seguir el ritmo para poder apoyar a negocio, y la seguridad *debe* formar parte de esa adaptación.<br /> <br /><br /><br /><br />[1] <br /> http://blip.tv/oreilly-velocity-conference/velocity-09-john-allspaw-10-deploys-per-day-dev-and-ops-cooperation-at-flickr-2297883<br />http://es.slideshare.net/jallspaw/10-deploys-per-day-dev-and-ops-cooperation-at-flickr<br /> https://github.com/Netflix/SimianArmy/wiki<br /><br />[2] <br /> https://www.ibm.com/developerworks/community/blogs/devops/?lang=en<br /> https://mix.oracle.com/events/oow11/proposals/10888-devops-for-dbas<br />Anonymoushttps://www.blogger.com/profile/00385866659716025270noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-58096743617925172802013-05-26T19:02:28.130+02:002013-05-26T19:02:28.130+02:00Para @anónimo.
Plausible: 2. adj. Atendible, admi...Para @anónimo.<br /><br />Plausible: 2. adj. Atendible, admisible, recomendable. Hubo para ello motivos plausibles.<br /><br />Está bien usado ;-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23768601766251481422013-05-26T18:55:06.564+02:002013-05-26T18:55:06.564+02:00¡Uff! Es todo lo que se me ocurre.
En un mundo ide...¡Uff! Es todo lo que se me ocurre.<br />En un mundo ideal...<br />Por cierto (y sin ánimo de ser chinchorra): "plausible" es "digno de aplauso"; yo me imagino lo que el comentario quiere decir es "posible". :-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-17472730888066029602013-05-26T16:25:46.702+02:002013-05-26T16:25:46.702+02:00Lo que digo en este post es:
1) El sistema tiene ...Lo que digo en este post es:<br /><br />1) El sistema tiene que estar diseñado para sufrir pentesting 24x7<br /><br />2) El proceso de pentesting debe ser 24x7, no que tenga que haber un pentester 24x7 detrás. La mayoría de los ataques se hacen con herramientas automatizadas que ayudan a la búsqueda de fallos...<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-26920467865475901222013-05-26T12:53:04.228+02:002013-05-26T12:53:04.228+02:00@gjulian, si bien es cierto que un sistema no sufr...@gjulian, si bien es cierto que un sistema no sufriría tantos cambios, pero por un lado las pruebas serían a todos los niveles y a todo tipo de instancias, que no se hace en cinco minutos.<br />Además, ese equipo requiere una formación casi ininterrumpida, tienen que ser la vanguardia de la tecnología, lo cual tampoco es "pilla el Backtrack y pulsa teclas a lo loco". Por cierto, se supone que el equipo de pentesting también se dedicaría a proponer soluciones o incluso a resolver dichas vulnerabilidades (que también lleva su tiempo).<br /> <br />Por último hay procesos que no son "click and hack". Un scanneo minucioso con NMAP puede llevar días, semanas o meses, dependiendo de cuánto te apetezca llamar la atención.<br /><br />Si pretendes que un par de personas haga eso una vez cada trimestre, apañados vamos.<br /><br />Anonymoushttps://www.blogger.com/profile/00461551390261520251noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-54080091478701305242013-05-26T12:07:00.193+02:002013-05-26T12:07:00.193+02:00Interesante esta entrada...yo trabajo en lo que se...Interesante esta entrada...yo trabajo en lo que se puede llamar un equipo de pentesting interno y sinceramente lo que propones es aunque muy idealista también poco probable, ya no solo por presupuesto...al fin y al cabo yo cobro por estar 40 horas a la semana dedicado a ello, pero hay que tener en cuenta a la otra parte, EL NEGOCIO, ellos esto no lo ven así, es decir como un pentester haciendo su trabajo impacte lo más mínimo en cualquier servicio....ya no te digo si causa una indisponibilidad por un DOS....basicamente se conforman con que se realicrn pruebas antes de salir a producción o ante cambios sustanciales y hay que decir que estas pruebas NUNCA son sobre entornos productivos sino replicados en entornos previos...personalmente no conozco al menos en nuestro pais empresa alguna que además de tener equipo de pentesters propio estos hagan su trabajo con libertar y sin presiones, si alguien conoce alguna que lo diga!Simpliciusnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-18317250626760369422013-05-26T11:55:38.249+02:002013-05-26T11:55:38.249+02:00El problema que le veo a esto es que no es plausib...El problema que le veo a esto es que no es plausible. ¿Pentesting 24x7? No creo que un sistema sufra tantos cambios como para que merezca la pena estar continuamente mirando a ver si tiene alguna brecha. Quizás si tendría sentido hacer un pentest cada vez que hay una actualización o hay eventos importantes (un congreso de seguridad, un bug grave descubierto en X aplicación...). Incluso hacer un pentest cada semana por si los usuarios tienen posibilidades reales de abrir agujeros en el sistema, y aun así me parecería muy excesivo.<br /><br />Además, otro problema: ¿qué pasa si, por hacer pentesting, te cargas el sistema? El pentester ve una posible vulnerabilidad grave y por lo que sea (los humanos se equivocan) no la deja ahí para estudiarla bien sino que prueba "qué pasa si hago esto" y se va todo abajo. Sí, claro, mejor que lo detectemos nosotros y no los malos, pero nos hemos cargado el sistema nosotros mismos cuando no habría hecho falta y no creo que a nadie le haga gracia.<br /><br />Que hace falta más seguridad, sí, estoy de acuerdo, pero lo que propones me parece demasiado excesivo.gjulianhttps://www.blogger.com/profile/00665110848303533081noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-27425276315532842012013-05-26T11:20:28.930+02:002013-05-26T11:20:28.930+02:00Qué buena idea!
Podemos montar una hacking factor...Qué buena idea! <br />Podemos montar una hacking factory y vender HaaS (Hacking-as-a-service)<br />Daríamos trabajo a todos los hackers amigos.<br />A cada cliente le hacemos un dashboard en tiempo real con los ataques realizados y el porcentaje de éxito. Podríamos cubrir ataques desde fuera y desde dentro (con un par de usuarios -logins- "de pega": uno de RRHH y otro de Marketing-y-ventas). <br />Además, cada mes o así le hacemos un "ataque en campo". <br /><br />¿cuánto costaría un servicio así?<br />24x7 = 5 hackers en turnos = 40k / mes (precios de consultor)<br />1 hacker podría "llevar" ¿20 empresas? <br /><br />¿pagaría una empresa 2000 euros al mes por un servicio así (equipos y gastos aparte)?<br /><br />igual síJavier Tobalhttp://javier-tobal.blogspot.comnoreply@blogger.com