Champiñones

Y yo que quería montar un flame hoy lunes por la mañana. No sé, hablando del Windows 7, o del i-phone, o tal vez del Linux ese ... o qué se yo, y va y resulta que España va y gana la Eurocopa. Claro, hoy todo el mundo feliz, abrazos, besos, oeoeoeoeoe, a cantar lo del "Yo soy español, español..." o el "campeones, campeones" o el "El próximo mundial lo vamos a ganar" o eso que se canta en Bronxtolex a su ídolo "Iker Casillas se pone de pastillas", no, esto último creo que no lo cantan.

En fin, que hoy es un día en el que nadie va a querer pegarse con nadie, el rey va a besar a la reina, el alto al bajo, el flaco al gordo, el guapo a la fea, etc...Todos contentos y felices porque el hombre negro levantó la copa.

Y es que al final va a trinufar la campaña de la cerveza Mahou de conseguir que el ayuntaminto de Bronxtolex ponga una calle a la madre que pario a Casillas, el mejor portero del mundo:http://www.calledelamadrequeparioacasillas.com/

El de Bronxtolex con la copa para kalimotxo
...y una vez celebrado...a otra cosa, ¿no?, ¡qué tenemos que levantar este país! Ya tendremos la ocasión de ver los goles durante los próximos... no sé.. ¿cuarenta años?. Y todos los años tendremos un especial, un resumen, con los protagonistas, etc... es lo que tiene el futbol...

Os imagináis una entrevista a un informático..."¿Y cómo encontraste ese bug antes que nadie pudiera explotarlo? ¿Qué sentiste?" y el informático contestando: "bueno, sí, no.." (esto es obligatorio en todas las respuestas para no herir a nadie, primero decir bueno, luego sí, y luego no)... "la verdad es que fue una compilación muy dificil, el código estaba muy desordenado, no había muchas llamadas a funciones, el equipo de programadores no había refactorizado correctamente el flujo y esto hacía que no hubiera llamadas exteriores en paralelo. Los desmarques de variables eran muy dificiles de fijar y esto hacía que se fueran de marca constantemente. Al final encontré el fallo, pero ha sido un trabajo colectivo, lo importante es el equipo. Yo, personalmente me sentí muy felíz, pleno de satisfacción"

Y la foto de portada del diario "El Bug" el informático levantando el portátil entre fuegos artificiales y la música de Queen.. "we are the champions, no time for loosers, 'cause we are the ch...." y él con la sonrisa de felicidad en alto. Las niñas monas a sus pies, pidiendo un hijo suyo, abrazos, besos, etc...

Esto es algo muy común en nuestra profesión dónde es algo habitual que los informáticos, al igual que los futbolistas salgamos con modelos. Las convenciones de informáticos están llenas de mujeres esculturales esperando a cazar a uno de esas promesas para salir en las revistas del corazón y dar exclusivas: "El informático confirmo que está preparando una nueva compilación de viejos existos".

-"Buenos, sí, no. Estamos trabajando, todo el equipo, porque lo importante es el equipo, en una nueva compilación con viejos programas, pero adaptados, con nuevos arreglos, para que los que no los conozcan los encuentren más atractivos."

Si estos futbolistas, estrellas de rock, modelos, presentadores de televisión, políticos, millonarios contertulianos de programas de televisión supieran la pasta, el glamour y las orgías que nos corremos los informáticos, entonces todos estarían aprendiendo C.

Saludos Malignos!

6 meses más viejo

Ha pasado otro medio año. Otros seís meses que se van mañana día 30 de Junio. Otros seis meses dando pirulos como una peonza. En estos seis meses he visitado Londres, Buenos Aires, Amsterdam, Barcelona, Bilbao, Pamplona, Granada, Almería, León, Valencia, A Coruña, Salamanca, La Rioja y por supuesto.... Madrid.

He conocido a mucha gente interesante, divertida, que me ha dado cariño, que ha compartido un café, una cerveza o buenos ratos. Me he enamorado de Palako, he disfrutado de Pedro Laguan, Juan Garrido, Rodol y Alex, he pasado tiempo con Alexa, Francisco Amato, el maravilloso Luciano Bello, Ariel o Fede en Argentina, con Al Cutter, Inma la coronela, Raúl Benito, mi primo laggy, Ivan Castro o Marco Amoedo en Londres. Con Jordi, Carles, Viajero, Pablo Catalina o en Barcelona, he sacado mi ratito para el café con Elena la presi, Iñaki "simax", Mikel Gastesi o David Barroso en Pamplona. He podido raptar en un viaje a pajarraco de los Santos y llevarmelo a comer, compartir charlas con Jorge Ramió y con el espía Alfonso, con Antonio y con Marta en la universidad, con la gente de Spectra que siempre em tratan con cariño: el abuelo, el cervi, Amescua, Héctor, Luis Martín, David Carmona, El gran Germi, la Flaca Olvido, David "damisela" Salgado, Enrique, Cristina, ... He vuelto a ser bien recibido por todos allí dónde el avión me ha dejado, en Almería y la noche que me confunde, en Barna cerrando los garitos con un rescaso compañero de habitación, cenando con Aramosf y RoMaNSoFt, visitando Bilbao y saludando al Gran Rodrigo Corral, Mandingo y Txipi, chateando con mis niñas: penyaskito, Atarasco o el capullo que me obliga a usar ubuntu desde Valencia. Son tantas las voces, las caras, los abrazos de gente que me ha dado calor, cariño y compañía estos seis meses, que parece que han sido muchos más días que estos aproximadamente 180 días.

Durante estos 180 días he recogido fotos y momentos. Algunos desde las cámaras de otros, y mcuhos desde mi Windows Mobile (puuuuuuuubliiiiirecord..nanananananinonina) para que no se pierdan "como una lágrima en la lluvia". Os dejo algunos de ellos.

Recuerdos de 6 meses

Durante este tiempo he conocido a gente muy popular:

¿Este chico salió de OT?
A gente muy grande en el mundo de la tecnología:

No es grande, es que hace falta mucho espacio para guardar un corazón del tamaño del suyo
Alguna vez, por alguna cosa que he dicho o hecho me he metido en algún problemilla:

Por la boca vive el pez
Pero aun así, siempre he encontrado un garito en el que beber para olvidar:

Vaya, el lunes a las 3:00 estaba cerrado. Estarían todos con el retohacker
Durante este tiempo he viajado mucho en avión:

...con Windows Vista, que el 98 estaba prohibido
He conocido marcas que me gustaría regalar a más de uno:

Dos para entrega a domicilio a ...
He constatado una vez más que no hace falta pensar igual para quererse:

Huele a manzana podrida!!
He visto que nuestro nombre no queda tan mal en "guiri"

en la blája!
Y que hasta un experto de seguridad puede llevar el pin de la tarjeta en la cartera:

Es el abuelo y lleva su pin en la cartera...ver para creer. Yo tuve que tirar una foto para no olvidar el momento
He repasado la dieta mediterranea en grandes restaurantes de postín y con gente de alto alterne:

Uff, que de caras conocidas en Barna
Y también he conocido otras dietas más allá de la dieta mediterranea:

Asado en ..¿mi honor?. Mil gracias Ariel!!
Y que a pesar de no tener nuestra huerta, en Argentina tienen una compañía magnifica:

Cenando en Buenos Aires
Con tanto viaje he acabado perdiendo los gallumbos por ahí:

...¿Este cabrón no se pira de viaje con la Imagine Cup? :)
Pero a pesar de que los viajes nos separen, siempre tendremos el "aparato pa (intentar) ligar".:

Chicas de argentina... aprovechaos ahora!
Pero al final, he regresado al hogar, para descubrir que en Bronxtoles sigue el buen humor y las nuevas tecnologías.

¿Qué sistema operativo será? ¿Un Linux? Es que se parece a Windows pero no se comportaba igual :P
Y al final, después de estos seis meses dando tumbos...estoy... como me puedes ver

Más mayor, pero muy feliz
Saludos Malignos!

Y de aquí a nada Agosto

Hola amig@s estudiantes de la seguridad,

no se puede dejar un día sin aprovechar en este mundo de la informática. Todos los días hay que estar poniéndose las pilas y aprendiendo cosas nuevas, que son muchas las cosas que aparecen día tras día.

El viernes 1 de Agosto, nos iremos de fiesta y se dará por incializado el peridodo de descanso estival, que ya va siendo hora, pero mientras tanto, estaremos currando este mes de Julio. Os paso las actividades de este Julio por si os encajan algunas acciones.

SALAMANCA: Curso de Verano en la Universidad de Salamanca

Poder ver a Bernardo Quintero y Sergio de los Santos de Hispasec, a Héctor Montenegro de Spectra, a David Barroso de S21Sec y a muchos otros pájaros más durante una semana en un entorno idílico como Salamanca hablando de temas chulos de Seguridad Informática no tiene despercicio. Y, cómo yo soy un tipo afortunado tengo 10 subvenciones del 50 % de la matricula para 10 personas, que regalaré a 10 amigos que me lo pidan con cariño y amor por un mail. Pero esmeraros en el mail, cómo si tuvierais que ligar conmigo, ya sabéis, del tipo: "Te idolatro", "Eres mi sex symblo", "Soy mujer y estoy requeteque","¿Cuanto quieres?",...

La agenda del curso de verano, que además está premiado con 2 créditos universitarios está disponible en la siguiente URL: http://www.usal.es/~seguridadinformacion/

MADRID: SQL Server 2008, Legaliz@IT y Windows Server 2008

Durante el mes de Julio habrá una semanita dedicada a novedades de SQL Server 2008, el cuál se encuentra en la RC0, es decir (Release Candidate 0) a un paso de la RTM (Release To Manufacturing) así que ya podéis disfrutarlo. Juan Luís Rambla dará una semana dedicada a Legalidad Informática, para aplicar LOPD, LSSI, etc... a los sistemas informáticos. Y después más fiesta, pero con Windows Server 2008. NAP, Servicios de Cluster, Virtualización con Hyper-V, Coreserver, PowerShell, Compatibilidad de aplicaciones, IIS 7, etc... Hasta finales de Julio habrá diversión en Madrid.

MADRID: Formación Técnica en Auditoría y Seguridad

Pasado ya el ecuador de la formación quedarán 2 semanas en el mes de Julio:

- Auditoría Wireless, VoIP, Mensajería Instantánea y VPNS, dónde se verán del 7 al 11 de Julio las tecnologías Wireless: WEP, WEP2, WPA, WPA2. Inyección de paquetes. Ataques a routers Wireless. Inyección de tráfico. AP spoofing. Tecnologías VoIP. Arquitectura SIP. Intercepción de comunicaciones. Reconstrucción de conversaciones. Comunicaciones en Sistemas de Mensajería instantánea. Sistemas de voz, video y conversaciones instantáneas. VPNs.

- Análisis Forense, dónde ser verá del 14 al 18 de Julio: Definiciones. Aplicaciones prácticas. Recogida de datos. Recogida offline y Online. Cadena de custodia. Logs. Análisis de logs del sistema operativo. Análisis de logs de aplicativos. Análisis forense de Malware. Seguimiento del malware para poder denunciar. Sistema de recogida y firmado de logs. Análisis de memoria RAM. Volcado y búsqueda de estructuras. Documentos. Informes de análisis.

El Jueves 17 de Julio, por la noche, habrá cenote y fiesta para todos los que hayan asistido a alguno de los módulos, así que, nos juntaremos allí, entre profes, alumnos y amigos una buena tropa.

VALENCIA: 3 semanas de Seminarios Técnicos

En Valencia, un año después justo, vamos a estar 3 semanas, de nuevo, de la mano de la Bolsa de Valencia. Una de las semanas será dedicada a SQL Server 2008 y SharePoint Portal Server 2007, otra semana dedicada a Windows Server 2008 y una dedicada a los amantes de la seguridad de red con ProtégeIT! - Network Security y luego... hasta el año que viene.

Reto Hacking VIII

Ya lo sabéis, el día 4 de Julio, 20:00 GMT+1 saldrá el nuevo Reto. Los premios serán anunciados esta semana, así que no hace falta que os preocupeis, serán TAN BUENOS COMO SIEMPRE. Eso sí, Dani Kachakil ya me ha avisado que se ha reservado el finde. RoMaNSoft y Pedro Laguna han puesto escusas y Mandingo no está muy libre últimamente, así que es momento para ganarles a todos!!!.

Y EN AGOSTO...LA DEFCON16

De las cuales, tras pedirlo "amablemente" me han puesto al principio de las charlas, jeje. La experiencia en Blackhat de hablar la última jornada al medio día hizo que no pudiera disfrutar de la fiesta debido al estrés de la preparación. Esta vez será distinto pues pedí hablar el primer día y estar de relax el resto... BIIIEEEN. El sábado hablará mi amigo Luciano, que está buscando con quien compartir habitación. Yo, como ya sabéis la comparto con "el de siempre", así que si alguien necesita un compañero para compartir habitación en Las Vegas, por favor, pon un mail a Luciano Bello.

Cómo para aburrirse este verano, ¿eh?

Saludos Malignos!

Adiós con el corazón

Bill Gates se va este viernes, deja de ser uno de los directores ejecutivos de la compañía para dedicarse en la mayor parte de su tiempo a la fundación. No se va a jugar al golf, ni a pilotar jets, ni a fundirse la pasta en fiestas de lujo y posting luciendo trajes en pasarelas con estrellas del rock, magnates del petroleo o ricachones de la Formula 1 con modelos del brazo. Se va a trabajar con su mujer de toda la vida en una fundación humanitaria.

Muchos le han criticado, pero él es parte de la historia de la informática y antes de irse le he mandado un mail para pedir ordenes que seguir cumpliendo desde este blog durante el tiempo que no esté disponible.

¿Qué será de esto sin tí, amo? ¿Será este el año de Linux en el desktop? ¿Ganará España la Final de la Eurocopa 2008 a Alemania?¿Volveré a instalar Ubuntu?

Hail Spectra!

Entrevista a David Barroso

Era imposible que este tipejo y yo no acabaramos encontrandonos en alguno de los saraos que frecuentamos. Esos sitios de malas caras, luces rojas y humo adormecedor.

David Barroso se pone el mono de currar con su corbata y su traje, pero detrás de esos ojos claros y esa sonrisa picarona se esconde un pillo. Es de esas personas que les gusta hablar lo justo, escuchando al interlocutor para aprender. Yo he tenido la suerte de verle dentro y fuera del mono, disfrutando del David auténtico y mooola. Dirige la sección de e-crime en S21Sec y vive rodeado de hackers, subido a un avión y en reuniones con directores de seguridad, ¡como para aburrirse!. Producto nacional de calidad: David Barroso.

David en... Sanfermines,jeje
1.- Vale David, seguro que es vox populi, pero... como yo no lo sé... ¿De dónde viene el nombre de S21Sec?

Uff, es una pregunta mítica. Realmente no hay una respuesta oficial, pero más o menos viene de S21 (siglo 21) Sec (Security), una especie de Seguridad del Siglo XXI, ya que la empresa justo nació en el 2000

2.- Director de e-crime... suena a Horatio o "Graison"... ¿qué se hace en e-crime?

Tratamos cualquier cosa chunga en Internet: fraudes, extorsiones, robos de información, espionaje industrial, denegaciones de servicio distribuidas, troyanos, difamaciones, URLs que infectan a sus visitantes, rootkits, kits de exploits,... Hay poco tiempo para aburrirse.

3.- Y... entre tú y yo... todos sabemos que algunas veces los hackers se pelean entre ellos... ¿Cómo se lleva tener que dirigir un grupo tan grande de hackers en S21Sec?

Realmente en S21sec hay muchos hackers en el sentido real del significado de la palabra hacker, desde gente ya consagrada hasta compañeros muy jóvenes que realmente son una autoridad en ciertos temas. Como en todas las familias, alguna vez siempre hay algún roce por diversos motivos, pero en general hay muy buen rollo, más que dirigir es simplemente ser uno más y aportar cada uno su granito de arena.

4.- David, cuentanos, ¿Qué coño estudiaste? ¿Cómo aprendiste tú seguridad informática?

Pues como la mayoría, todos de pequeños hemos trasteado, en mi caso con un Spectrum 48Kb, y hecho nuestros pinitos en la época de las BBS donde cualquier documento de lo que fuera lo leíamos con devoción, Pero mi cambio radical fue cuando a los 18 años fui de Palencia a estudiar Ingenieria Informática en Madrid en un colegio mayor de casi 200 personas. Además de aprender todo tipo de juegos de cartas, de beber, y cualquier cosa rara, el tener a casi 200 'usuarios' como conejillos de indias nos obligó a aprender de todo para poder sobrevivir y no morir en el intento. De todas formas no hay ningún secreto, es echarle horas, noches, fines de semanas y cualquier rato que tengas. La información está ahí fuera, tan sólo hay que filtrar entre todo lo que hay.

5.- Las multinacionales se asientan en Madrid y Barna preferentemente y S21Sec tiene sede allí también, pero siempre que te pillo estás "escondido" en Pamplona, San Sebastián, Palencia o León... ¿cómo se vive el tener que lidiar con vuelos de conexión y sin AVE?

La verdad que paso más tiempo en otros sitios que en mi casa (y sino, pregunta a mis compañeros de Pamplona, que a los pobres les tengo abandonados, pero también a los de Madrid o Barcelona) pero la verdad es que en todos los sitios los amigos te hacen sentir como en casa, ya sea Madrid, Barcelona, León, Buenos Aires, Amsterdam o Washington. Con tanto vuelo he cogido un poco de tirria a las aerolíneas, y la verdad es que comparando, en el tren se va como un señor. Mi queja habitual es la falta de enchufes en los aeropuertos; tengo controlados todos los enchufes que hay en la T4 y los puedo contar con los dedos de mis manos!!!! Es más fácil encontrarme sentado al lado de un enchufe de la T4 que en mi casa :)

6.- He visto alguna foto muy mala por ahí en Internet...¿Tomaste algúna droga en los últimos Sanfermines?

La verdad es que me tocó juntarme con compañías malignas que me hicieron perder el sentido con su sex-appeal :) ¿La sidra y el pacharán son una droga?

7.- David, en este mundo de la seguridad Informática..¿a quién has conocido que te haya dejado boquiabierto?

Hay muchas personas, y sin movernos de España, por un motivo u otro (darkraver, dkbza, dreg, jfs, griyo, pluf, providor, slay, xezaw, ...) creo que el nivel español está muy alto y un ejemplo claro son los Pandas con Gambas :) a nivel internacional me encanta ver la forma de presentar de Johnny Long y como no, hay que quitarse el sombrero ante personas como HD Moore, Ilfak Guilfanov, Mark Russinovich, Dave Aitel, Joe Stewart, Pedram Amini, Ollie Whitehouse, Petko Petkov, y un sinfín de nombres que no caben todos aquí :)

8.- Ponte nostalgico y cuentanos ¿a qué edad empezaste, cúal fue tu primer cabezón y cómo te diste cuenta de cual sería tu destino?

La verdad es que mi primer encontronazo con la seguridad vino originado porque me encontré un disco de 5 1/4 en un parque y todo inocente de mí lo metí en mi 8086 infectando a mi pobre ordenador con el mítico Jerusalem/Viernes 13. Entonces descubrí que existían los antivirus, y que realmente la seguridad iba a formar parte de mi vida.

9.- Tres juegos de ordenador que te han consumido más horas que asignaturas de la universidad.

Uff es difícil elegir tres: yo diría el Target Renegade en el Spectrum con los ritos durante la carga del juego, las aventuras de LucasArts, y el Warcraft y sus variantes.

10.- Los que te hemos visto hablar sabemos que da gusto escucharte. ¿dónde coño pueden escucharte los que no lo han hecho en los próximos meses?

Me toca un verano tranquilo, puesto que estaré contigo en Salamanca el 9 de Julio, y ya hasta pasado el verano en el ISSE 2008 no tengo nada planificado que sea un evento público (eso sí, todas las semanas me toca presentar algo con algún cliente :) ).

11.- ¿Es dificil analizar un malware hoy en día o en dos patadas y con un ollydbg...?

Me temo que los días en los que abrías un ejecutable con el Olly y en un instante sabías que hacía tienen los días contados. Sigue habiendo de ese tipo, pero generalmente no son nada interesantes. Los más actuales ya no son cosa de horas, sino muchas veces de días (un ejemplo bien claro es el Rustock.C)

12.- Si alguien quiere viajar por el mundo... ¿a dónde le podéis enviar currando con S21Sec?

Hoy en día hay muchas posibilidades, Mexico, Argentina, Chile, Venezuela, Londres, Australia, Dubai, ... y por supuesto destinos más nacionales como Murcia, León, Pamplona, Barcelona, San Sebastián o Madrid.

13.- David, todos tenemos un pasado (o varios). Confiesa... ¿Cómo fueron tus primeras andanzas?

Mis 6 años en un Colegio Mayor me hicieron un hombre en todos los sentidos :)

14.- Y... ¿Te vienes a la Defcon16? Lo digo por ....

Ahí estaremos!!! Este año promete con todos los que vamos, habrá que ir a todas las fiestas^B^B^B^B^B^B^B conferencias!!

15.- ¿Qué requisitos tiene que tener un "delincuente" para ser fichado por S21Sec?

Principalmente dos: inquietud y creatividad. Es mejor romper algo y arreglarlo, que no hacer nada por miedo a romperlo.

16.- Voy en San Fermín chiquito para Pamplona, ¿llevo algo o lo pones tu todo cómo siempre?

Yo pongo las drogas (sidra y pacharán) y el resto lo que salga :)

17.- ¿Te gusta la legislación que hay hoy en día en España respecto a las actividades hacker?

Me parece que todavía estamos muy verdes en este tema, pero no sólo en España, sino en cualquier país. Es un problema complicado de solucionar, y hasta que no se comprenda totalmente la tecnología, sus implicaciones y repercusiones, va a ser difícil solucionarlo.

18.- Recomiéndanos tres conferencias que te gusten mucho

Referente a conocer los productos nuevos de Seguridad, la RSA de EEUU; sobre nuevas técnicas y herramientas la BlackHat (aunque la organización es horrible, tú lo sabes ;)); y una que conjuga calidad, buen ambiente, y diversión es la NoConName española. Todo el mundo habla maravillas de la RECon y de la CanSecWest, a ver si con suerte voy en la siguiente edición.

19.- ¿Qué lees por las mañanas para estar al día?

Ahora tiro de mi lector de RSS donde tengo unos 200 feeds, y entre ellos, algunas listas de correo imprescindibles, y el msn/yahoo/jabber/gtalk más o menos tengo todo controlado.

20.- Vienes a Salamanca en el curso de verano... ¿Has visto el astronauta en la Catedral de Salamanca o lo vas a buscar en Google?

Durante mis años jóvenes fui bastante a Salamanca algunos fines de semana y entre los buenos pinchos que tienen y la marcha que hay por la noche, he visto muchas cosas durante la noche salmantina que sólo contaré en una exclusiva :)

Las vacunas

Supongo que la mayoría de vosotros os habréis puesto todas las vacunas. Ya sabéis, seguro que habéis contado con unos padres lo suficientemente responsables como para no dejar a seres andantes y parlantes pasear por un mundo lleno de virus y malos seres sin cumplir las vacunaciones pertinentes.

Yo recuerdo las sesiones de la cartilla de vacunación con cierto malestar, pues nunca he podido superar mi fobia a las agujas, las tijeras (incluidas las del peluquero) y las alturas (que le vamos a hacer si uno ha vivido toda su vida en un primero). Pero mi mamá y mi papá eran personas responsables que tenían que preocuparse de la seguridad de su hijito. Y no importaba que mi madre perdiera de trabajar ese día, mi mamá me llevaba a vacunar. No importaba que ese día tuviera que cuidarme ya que yo, aprensivo como soy, me ponía a morir con las vacunas. No importaba ni el tiempo, ni el dinero, yo era su hijito, su josemaricariño, y mi mamá me llevaba a vacunar. Era por mi seguridad.

No sólo se ocupaba de las vacunas mi mama, también me revisaba por las mañanas que me hubiera lavado los dientes, las manos, las orejas y la cara, que estuviera peinado, con mi colonia, abrigado y con los cordones bien apretados. No le importaba revisar mi cartera y comprobar que llevaba el bocadillo para el recreo, los libros de todas las asignaturas y los deberes hechos. No le preocupaba ir a hablar con los profesores cuando la llamaban para preocuparse de que aprendía correctamente. Era por mi seguridad.

Una vez en una conferencia, mi primo Laggy, dijo que el software es cómo un hijo. Debe ser cuidado y educado, con cariño, amor y preocupación. No importa los desvelos. No importa que tengas que perder tiempo poniendole sus parchecitos, no importa que debas revisar una y otra vez que el código es bueno, que tiene bien ataditas las comprobaciones de tipos, los valores de usabilidad y los tests. No importa que ya hubieras probado "algunas cosas". Hay que probarlo todo.

Al igual que en la vida real, si alguien no cuida bien a sus hijos hay que leyes para que se ocupen de él, con los servidores y las aplicaciones debería ser similar.

Ayer, Spectra, publicó un Advisory de seguridad. Este advisory no es de un fallo del software de Spectra, sino de los problemas que están teniendo los hijos de papas descuidados y despreocupados que no han cuidado correctamente a sus hijitos. En este caso los que tienen tecnologías ASP, ASP.NET y SQL Server.

Una de las recomendaciones que se ha hecho durante mucho tiempo ha sido, no visites páginas de las que no te fies. Bien, esta recomendación no vale para nada si los papás de las páginas fiables no han cuidado de su hijito.

Hoy en día se están poniendo "de moda" nuevas formas de infectar máquinas. En una de estas nuevas modalidades se buscan sitios legítimos que tiene fallos de SQL Injection en la aplicación aplicación web. En el caso de tecnologías de Spectra, buscan cosas como .asp?id= en Google, después prueban a saco todas esas urls pero añadiendo un bonito script en Transact-SQL que actualiza los datos alfanumericos de la base de datos con un include de javascript para meter un .js de un sítio ilegítimo que detecta la versión del navegador y regala al usuarios los exploits más chulos y que más se llevan para meterle un troyanito. Si cuela dabuti, si no a por el siguiente de la lista. La forma es bruta, pero funcionan. Así el ataque mezcla Google Hacking, SQL Injection, XSS, vulnerabilidades en navegadores y tecnología de troyanos. Toda una fiesta para el paladar.

Así tu vistias la página de tu colegio, las recetas más chulas o la web de la empresa de tu primo ... y te cae un regalito. Si la web es vulnerable y tu navegador tiene un exploit para el que no estás parcheado te puede tocar la lotería.

Spectra ha alertado a sus clientes con un advisory, pero esta recomendación no debe ser tomada sólo para los clientes .asp... ¿Cuanto tardarán en pasarse al coldfusion o el .jsp? Padres irresponsables que os saltáis las vacunas de vuestros niños...arderéis en el infierno.

Saludos Malignos!

Autónomos Informáticos

Antes de la eclosión del software libre existián los programas Freeware. Una opción de licencia por parte del desarrollador tan lícita como cualquier otra. En esta licencia el usuario puede utilizar el programa pero el código fuente no es publicado y los derechos de autor son protegidos por el programador.

Este tipo de licencia hoy en día ha pasado a un segundo plano, arrasada por el ímpetu de las licencias Open Source y Software Libre. Sin embargo, sigue siendo todavía una opción utilizada por muchos programadores.

Un ejemplo es Cain & Abel, desarrollado por Massimiliano Montoro. La licencia que acompaña a Cain es Freeware, sencilla y fácil de entender, sin enrevesadas claúsulas que fomenten sesudos debates.

Esta es la licencia que acompaña a Cain & Abel v4.9.15

Title and Ownership
--------------------------------
© Copyright 2001-2008 Massimiliano Montoro. All rights reserved.
This software is owned by Massimiliano Montoro (mao), you may not reverse engineer, disassemble or de-compile this software nor may you permit anyone else to do so.

FREEWARE VERSION
----------------------------------
You are hereby licensed to: use the FREEWARE Version of the software forever; make as many copies of the FREEWARE Version of this software and documentation as you wish; give exact copies of the original FREEWARE version to anyone; and distribute the FREEWARE version of the software and documentation in its unmodified form via electronic means. There is no charge for any of the above. You are specifically prohibited from charging or requesting donations for any of such copies and from distributing the software/documentation with other products (commercial or otherwise) without prior written permission.

La licencia es sencilla, entendible por todos y deja claras las cosas: "El software es mio, lo he programado yo y si alguien tiene que sacar pasta de este software soy yo, por lo demás, te dejo que lo utilices para siempre dónde quieras"

Este modelo de licencia junto con el modelo de donación que sustenta el proyecto, le ha permitido al autor hacer una joya comparable con pocos proyectos. ¿Hubiera funcionado otro modelo? ¿Si lo cambiara el modelo a GPL tendría los problemas que tuvieron otros o le iba a funcionar? ¿El que va a darnos los consejos es informático o economista? ¿Tendría que llegar a un modelo mixto como otros proyectos? ¿Tendría que acabar vendiendo?.

Sí hay proyectos SL que funcionan, otros no, hay proyectos OS que funcionan otros no, pero también hay proyectos de software "mal llamado privativo" que sin ser Windows y Office funciona. Caín & Abel es código propietario y el propietario del código ha elegido un modelo de ganarse la vida ¿Es malo? ¿Es menos malo este modelo de software "privativo" por ser freeware? Este proyecto ha demostrado que no sólo los carpinteros, los fontaneros o los pintores pueden ser autónomos. También podemos tener autónomos informáticos.

Massimiliano Montoro, elijas el modelo de licencia que elijas, este juguete es una obra de arte. Cuenta con una donación por parte mía.

Saludos Malignos!

Reto Hacking VIII is comming on!

Hola hackers peores, seres y alimañas del averno,

esta es una llamada para todos aquellos de vosotros que no tenéis vida, para todos aquellos que no sabéis lo que es ser cool, los que no entendéis porque esa tía, después de contarle al detalle cómo funciona el sistema de direccionamiento del Motorola 6800 o por qué el Comodore 64 debería haber triunfado, no ligásteis con ella y se fue con el rubito ese del flequillo que no sabe ni descomprimir un tar.gz.

Sí, vosotros, los lunáticos de los retos hacking... he de avisaros que......El Reto Hacking VIII ya tiene fecha de inicio. Ya puedes cancelar tus planes... (si es que tenías alguno que yo me sé que tu rascas menos bola...), ya puedes reservar tu fecha en el calendario, ya puedes comprar café (o descafenido), Cocal-Cola (o pepsi), limpia tu mouse, ponle pilas a tu teclado inalámbrico, recoge la basura de tu cuarto (para que puedas volver a llenarlo otra vez de basura), leéte los últimos informes de Secunia, repasa las newsletters de Hispasec, mirate el Blog de S21Sec y de que van las charlas del AseguraIT... (Palako habló de la Web...), mira que ha hecho RoMaNSoFt o que ha publicado Atar, repasa si hay algo nuevo en Wifislax o de que he hablado yo en las últimas charlas y congresos.

¿Será de Blind? ¿Tendrá SQL, XPath o LDAP?, ¿Algo de Javascript, XSS, CSRF, XSS Worms, que últimamente ha estado con Pedro Laguna muy juguetón?, o... ¿algo de decompilar, desofuscar? ¿Podría ser un flash, saltarse una firma en un java o reviar un código en bytecodes? ¿tal vez algo de cracking o habrá que volver a hacer algo de steganografía? ¿Será otra adivinanza chorra o pondremos algo RFI?. Ultimamente Palako habló de LFIs, ¿no?. ¿Habrá que saltarse un captcha que todos estamos un poco hasta las narices de ellos? ¿No se les ocurrirá poner algún exploit de alguna versión de algún software, no? O ¿algo de Bruteforcear con el "paiper" de mandingo? En el technews habló de NSAuditor.. ¿qué hacía esa tool? y en Argentina estuvo con Francisco Amato y este tipo había hecho algo de evilgrade y una tool de... ¿SQL Injection? o quizas... ¿las consultas pesadas de la Defcon?.... ¿Qué será? ¿Habrá que programar? ¿Habrá que tener idéas felices? ¿Ganará Kachail again? ¿Qué escusas pondrán los participantes para quitarse presión sobre la victoria? ¿Ganarán los sexypandas? ¿Cómo va la clasificación?

El próximo 4 de Julio de 2008 a las 20:00 (GMT+1), coindiciendo con la ejecución del Curso de Verano de la Universidad de Salamanca comienzan las respuestas en el Reto Hacking VIII. ¿Te lo vas a perder?

Saludos Malignos!

Tías con polla

Sí, esas son las películas que le gustaba ver a nuestro amigo Randal en Clerks. De ahí degeneró todo al famoso "erotísmo entre especies" de Clerks II y ... bueno, el resto es historia.

A mi, cómo buen informatico el sexo me parece binario, hay o no. El resto son cosas de ciencia ficción que deben conocer aquellos que disfrutan de otras cosas distintas a las de los ordenadores.

El caso, es que, por uno de los mailings de cadena esos, me llegó el típico mail de "Tiene sorpresa o no". Claro, yo no soy de los que se quiere equivocar con estas cosas, pues siempre se me viene a la cabeza la imagen gráfica de Fuckowski de hacer el 69 con un hombre: "Por un lado está bien, por otro te comes una polla".

"Manos a la obra, y ante la duda, maromo"

Antes de seguir con la historia, prueba tú a ver que te sale, que seguro que te crees mucho más list@ que yo.

Ostra o Tiburón

Y así hice, pero... al final del test... sólo acerté el 40 %!!!! , no,no, no es tan malo, pq en la mayoría de los casos eran mujeres a las que yo había calificado de marono, es decir, que esa noche no follaba por precavido y como a eso estamos acostumbrados los informáticos pues no me preocupaba, pero....con una me equivoqué y me tocó tiburón.

Vaya, que graciosos, saco un 4 y me como una polla. Pues no le veo la puta gracia.

Al final, te muestran los resultados para que veas lo ciego que estas. Pues pa ciego tú! Grrr.

Saludos Malignos!

Domingo de... ¿risas o lágrimas?

Supongo que esto de aprovechar los fines de semana para enredar con temas pendientes que no has podido realizar durante toda la semana es algo común entre muchos de nosotros.

"Fin de semana, perfecto, voy a ver si puedo probar esta herramienta, a ver si puedo buscar info sobre este tema, a ver si puedo escribir sobre esto"

Yo estoy aprovechando y escuchando la mesa redonda de Mark Russinovich sobre seguridad en Windows Vista (que no viendola, que parece "La Clave"). Pero... hoy es un día especial, vamos a jugar contra Italia en cuartos de final. Yo soy pesimista at all, porque la experiencia dice, como dijo Linux Torvalds al principio de este año... que no creía que este fuera el año del desktop. Bien, ójala me equivoque, pero no creo que este sea el año de pasar de cuartos...

Sí, soy un puto negativo, y ójala me gafe, pero coño, he nacido en este país y necesito que la historia me enseñe. Cuando era un adolescente vi perdír al equipo de mis amores ene veces en semifinales de la Copa de Europa y fue así como apareció un chaval de 17 años y... cambió la historia. Con su capote, en lo alto del coche que le dieron como mejor jugador de la Intercontinental cambió la historia, por eso soy Raulista. Espero que este domingo, mientras paso el día viendo a Rafa Nadal, Fernando Alonso, Dani Pedrosa, Sergio Gadea, Alvaro Bautista, Tony Elias, Jorge Lorenzo, Hector Barberá, Alex Devón, Javi Villa, Pastor Maldonado, Adrián Vallés o Julio Simón, sea una antesala para gritar eso de illa, illa, illa y me cambien la historia.

Pero por si acaso no es así, por si acaso la historia va a ser como siempre, por si acaso voy a tener que ir Roma y aguantar que digan, "sí, sí, pero en futbol...." me voy a guardar algo de tarea para esta noche, he hecho una lista de objetivos y me resarciré con ellos, ...de alguna forma.

De momento, me he ido a documentar al parlamento italiano y no he podido, deben estar jugando al despiste, no nos dan ninguna información, proque he ido a buscar en la historia algún día en el que Buffon se haya comido 3 golitos y me ha salido un mensaje raro, raro, raro,...

No parece haber datos en la BD, ¿no?
¡Qué el codazo de Tassoti NO se olvida!

Saludos Malignos!

Agua pasada no mueve molino

Hola amig@s de sabado,

llevo un rato batiendome entre la dualidad de publicar ciertas cosas o no y que me he bloqueado. Así que me molaría saber vuestra opinión, (si os da la gana, claro está). El caso es que desde hace tiempo he ido guardando capturas y pequeños tutoriales sobre como cepillarse algunas páginas web. Todas esas páginas las he ido enseñando de una u otra forma a lo largo del tiempo.

Algunas de ellas, ya no están y como en el caso de la del Futbol Club Barcelona "se perderán como una lagrima entre la lluvia" ya que no guardé capturas, pero de otras muchas tengo el step by step de qué se podía hacer y cómo. En muchos casos estas webs siguen rotas o inseguras.

En muchos de los casos estos fallos han sido los catalizadores de los Retos Hacking (habrá uno en Julio...) y han sido totalmente didácticos para nosotros encontrarnos con ellos. Y por eso creo que quedaría muy bien enseñarlos. Por otro lado, son técnicas que ya he explicado ampliamente en el blog y no aportan muchas cosas nuevas desde el punto técnico.

Yo las tengo guardadas y las repaso de vez en cuando para acordarme de ellos, porque cómo soy un puto desastre me olvido de los sitios, los lugares y cómo se hacía.

En fin, ¿creéis que os aportaría algo ver los cucharones, los blind sql injection, los XSS, los SQL Injection, los LDAP Injection en sitios dónde estaban?

Saludos Malignos!

La Despedida del Abuelo

Bueno, esta foto está tomada hace unos minutos, el abuelo aun está cantando en el curso que estamos impartiendo. Es su última charlita cómo evangelista y había que dejarla para la historia. No pude librarme de él en su primer día como tal y no he querido perderme estar con él en su último día de expansión de la palabra del amo. ¡¡¡Abuelo, no nos dejes!!

Hablando sobre los parches en Spectra
Saludos Malignos!

La primera gorda de Vista

Vaya semanita. Va a ser para estar divirtiendonos en los departamentos de IT. Spectra acaba de publicar un boletín de los gordos. Se ha corregido una vulnerabilidad que podía permitir EJECUCIÓN DE CÓDIGO REMOTAMENTE (más o menos [según alcance el bluetooth de la máquina]). La vulnerabilidad afecta a todos los Windows XP y todos los Windows Vista (incluso SP1), así que hay que actulizar pronto.

La vulnerabilidad se había reportado internamente (como la vulnerabilidad de Firefox), pero una vez disponible el parche, será cuestión de días (u horas) que mediante ingeniería inversa del parche descubran como explotarla y aparezcan exploits para hacer uso de esta vulnerabilidad en sistemas no parcheados, así que actualiza... o deshabilita tu Bluetooth.

De nuevo Spectra, rompe el ciclo de actualizaciones ante una vulnerabilidad crítica. Tienes toda la información en el boletín de Seguridad MS08-030.

Si tienes dispositivos Windows Mobile, actualizalos. Con lo poco que la gente actualiza el software de los dispositivos mobiles esto puede ser una escabechina en el futuro...

Saludos Malignos!

Regalos de Cumpleaños

Los más allegados, los más curiosos o los más informados sabían que esta semana ha sido mi cumpleaños. Me he hecho un poco más mayor, un poco más cascarrabias y un poco menos guerrero....supongo.

Como he debido de ser muy bueno o he debido dar mucha guerra, me han caido muuuchos regalos. Alguno de ellos ha sido una grata sorpresa que me ha llegado por mail, otros un sms al móvil, otros regalos dignos de un buen elemento como yo. Sí, porque ¿qué clase de persona puede gustarle que le regalen unas gafas macarras de hacer Snow, unas gafas de sol de malote, una camiseta de Silver Surfer, una temporada de Smallville, el poster original de El Imperio Contrataca, un detector de radares y la serie completa de Los Soprano? Vistos todos los regalos juntos sobre la mesa, me hizo pensar: "joder, estás para encerrar y que te echen cacahuetes".

Pero no acababán ahí, porque el día de mi cumple... salía el Firefox 3. Gracias Mozilla, por acordarte de uno de forma tan especial. Josemaricariño de No Lusers lloró de alegría por tal acontecimiento...Y venía con sorpresa, pues 5 horas después... ya había una vulnerabilidad de seguridad nada bonita. Pero bueno, no pasa nada, porque como dice el decalogo de seguridad que están haciendo en la ciudad de los Crispis, sólo hay malware para Internet Explorer.

En fin, que gracias por acordaros TODOS de cuando cumplí.. int a; # años

Saludos Malignos!

Robando del cepillo... de Google

Después de tener el filtro antispam desactivado por problemillas con un mail que no quería entrar de uno de esos servicios de Internet (porno), hemos vuelto a tener las barreras altas. Ya no me entran esas maravillas de arte chinesco y tengo que conformarme con el spam de serie, ya sabéis, lo de siempre.

La vida es monótona sin mis Chips Ahoy, pero de vez en cuando entra alguna cosa de Spam que se queda en la Junk Folder de cliente en vez de ser asesinada por el servidor. Entre ellas me ha llamado recientemente la atención este mail.

Es un mail de Phishing de los servicios de Google Adwords, es decir, de los anunciantes de Google. La idea es que los anunciantes utilizan el servicio Adwords para dar de alta sus servicios y los bloggers, weberos y demases Adsense para poner los anuncios y cobrar por redirigir tráfico hacia los anunciantes.

A por Adwords
El mail que envian es un phising clásico, como se ve, que apunta a servidores que pasaron por la fase de ser sospechosos y luego desactivados, para robar las credenciales de los anunciantes. En este caso los phishers han ido a por el departamento de publicidad y marketing que, en muchos casos, vive exclusivamente de este servicio. Hay muchas empresas que basan su negocio en únicamente la clientela capturada por Adworks, así que si ven esto seguro que cuanto menos se preocupan.

Es curioso como las mafias van cambiando de clientela. Los bancos les hacen currar mucho, que si tienen que hacer troyanos, luchar contra los servicios antiphishing y antitroyanos, saltarse las detecciones de antivirus, antispam, antimalware y la susceptibilidad del usuario, hartamente vapuleado con mails de phishing de bancos. Ese es un terreno dónde han pescado y pescan muchos grupos.

Hay que buscar nuevos caladeros y Adwords parece uno bueno, con cuentas de empresas, con gente de publicidad y marketing...Pinta bien para el negocio, aquí hay buenos "atunes" han debido de pensar.

Yo estoy convencido, que cuando lleguen a los clientes de los Sexshops me cazan, pq a mi me cortan el suministro de .. bueno... de eso... y me pongo nervioso.

Saludos Malignos!

No veo mucho la tele...

...pero anuncios así me encantan y me hacen bailar... ¡Quiero un disfraz de Chips Ahoy!...


Dame un buen muerdo!!!
"Estoy superbueno,
yo soy supersexy,
sé lo que te gusta a tiiiiiiii.
Si quieres mi cuerpo
dame un buen muerdo..."
¡¡Sí, te llamaré, rubia!!

PD: No os perdáis en Yotube todos los anuncios de Chips Ahoy en Inglés... son la polla!

Saludos Malignos!

Soy un vendido

La informática es algo más que dinero. Sí, es pasión, dependencia, arte, entretenimiento y hasta sexo, ya sean contactos, pajillas de turno o cibersexo. Para mí la informática no es parte de mi vida, ES mi vida. Paso más horas con mi ordenador que con ningún ser humano, pienso constantemente en hacer algo nuevo con mi cacharro. Me meto en hacer todo tipo de jaleos y jardines siempre que tenga que ver con la informática. Es todo. Estoy enamorado de ella. De la tecnología de los programas, de los fallos de seguridad, de la forma de dar por culo a un sistema y de cómo corregirlo, de todo. A día de hoy estoy trabajando en tantas cosas distintas que tienen que ver con la informática que a veces pienso que me gusta todo de ella. Está tan rica como la tía buena esa del bar y encima me hace más caso.

La informática es más que dinero, pero no menos. No me gusta los que dicen que los informáticos somos unos peseteros, que si el software es caro o los servicios más baratos. Cada informático, sea desarrollador, IT Pro, arquitecto o diseñador tiene derecho a disfrutar de su profesión y, debido a que es su profesión a tenerla bien remunerada.

Todo lo que ayude a que un programador, un ingeniero informático, un IT Pro o un diseñador, en definitiva, un informático pueda vivir de su hobby (si es el caso) será bueno, pero, porque sea su hobby no tiene por qué hacerlo gratis. ¿No te gusta tu trabajo? Pues lo siento, como decía Robe Iniesta: Te jodes, haber estudiado cuando estabas a tiempo.

Sí, cobro por mi trabajo y además me siento feliz con mi sueldo y además hago mil cosas fuera de mi trabajo que podría cobrar o que directamente las hago gratis porque me gusta, porque me mola o porque simplemente me sale de la punta de las narices.

Pero no me acuses de que cobro, lo hago igual que todos los profesionales de este mundo y jamás acusaré a alguien del SL de que cobre. Me fastidia el que defiende que el software debe ser libre, cobra una pasta por sus servicios y se olvida de los demás. Me parece de puta madre que cobres por tus servicios, yo lo hago, pero espero que cuando uses un software libre tengas la decencia de apretar el botón que dice Donate y darle algo de pasta a los desarrolladores que se lo han currado, para que puedan seguir y que no pase como pasa que muchos proyectos acaban muertos o en manos de empresas que empiezan a cerrar partes.

He estudiado 3 años en la Poli, 2 en la URJC, 1 año de postgrado, varias certificaciones, monté una empresa hace 10 años, y he trabajado siempre con el fin de pagarme los estudios, para que alguien me diga que “la informática es más que dinero”. Sí, para las 30 personas que curramos allí, la informática es algo más que dinero, son las nóminas, las hipotecas de primeros de mes, los anticipos por que hay un imprevisto, los pañales de sus niños, los médicos y las guarderías, las medicinas, la gasolina del coche, el abono transporte y la comida de todos los días.

Adoro la informática, vivo de la informática. Ójala que todo el que adore la informática viva de ella, nos irá mucho mejor a todos.

Saludos Malignos!

Cruzando Puentes

***************************************************************************************
Artículo publicado en Windows TI Magazine 133 May'08
***************************************************************************************

Allá por el año 2006 comenzó el proyecto Bug Hunting para mejorar la seguridad de los principales proyectos Open Source. Este proyecto estaba destinado a ayudar a encontrar fallos en el código que pudieran provocar agujeros de seguridad. Este proyecto venía a relevar el fallido intento, años antes, que realizó, el ahora empleado de Microsoft Crispin Cowan con Sardonix. Se contrató para este proyecto a la empresa Coverity y Andrew Morton, uno de los principales responsables del kenel de Linux dijo esto sobre el proyecto: “Coverity’s static source code analysis has proven to be an effective step towards furthering the quality and security of Linux”. Es decir, que el trabajo que se estaba realizando en Coverity analizando el código había demostrado ser un paso adelante hacia la calidad y la seguridad de Linux.

En el mes de Octubre, es decir, diez meses después de comenzar el proyecto, Ben Chelf, responsable técnico de Coverity, sacaba sus conclusiones en un bonito artículo titulado “Insecurity in Open Source” en el que decía varias cosas interesantes como: “But when software security and quality really matter—like crossing the Atlantic on a jet airliner—trust me, you want to fly proprietary”, es decir, que si vas a cruzar el Atlántico en un avión, tú quieres que el avión vuele con software propietario. No, no era una alabanza a Microsoft o algo por el estilo, sino una queja a la forma de realizar software en algunos de los proyectos de la comunidad Open Source. Para mejorar deben seguirse las mejores prácticas de desarrollo, probadas ya como buenas, que muchas empresas de software propietario utilizan. Mejorar los procesos de testing, de ingeniería de desarrollo y conseguir mejores productos.

Este año, el que ponía la queja era Negroponte, padre del proyecto de OLPC (One Laptop per child) quién se quejaba de la falta ingeniería en el desarrollo Open Source de Sugar, el software educativo que planea utilizar para enseñar a los chicos, del que se lamentaba porque "grew amorphously and didn't have a software architect who did it in a crisp way." Es decir, que el proyecto crecía amorfamente sin que tuviera un arquitecto de software que decidiera de forma clara y cristalina cual es el camino a seguir.

El 13 de Mayo, Luciano Bello, argentino y mantenedor de Debian, con el que tuve el gusto de compartir “güiscola”, charlas, cachondeos y asiento trasero en su coche “Rojo Debian” desvelaba un fallo producido en el paquete OpenSSL que distribuía Debian. Este paquete había sido modificado con el objetivo de quitar un warning del compilador. Para solucionarlo un técnico comentó una línea de código que le daba un mensaje de aviso. Esa línea fue quitada en el paquete OpenSSL que distribuía Debian, y por tanto todas las distribuciones basadas en Debian, pero no se reintegró al proyecto original, dónde algunos programadores podrían haber detectado el fallo.

El fallito provocado al comentar esa línea en cuestión provocó que todas las claves que se generarán estuvieran dentro de un rango muy pequeño, que además se pudieran descubrir las claves privadas a partir de las claves públicas, y alguna que otra cosilla. El revuelo mundial ha sido de órdago a la grande pues a nivel mundial hay que cambiar las claves generadas durante los últimos casi dos años por ese software.
¿Todo esto quiere decir que el que un producto sea Open Source es menos inseguro o simplemente peor? No, y he tenido muchas veces esta misma charla con muchos técnicos de esos que merece la pena quitarse el sombrero ante ellos. No importa si es Open Source o de código no abierto, lo que importa es lo que se haga con él. Los procesos de ingeniería, los ciclos de vida, las fases de creación de un software robusto.

Para ello, hay que dejar un poco a parte la buena voluntad, que siempre queda bien, y que tomen los mandos los ingenieros, los arquitectos, los profesionales. Yo cuando cruzo por un puente quiero que lo haya hecho un ingeniero, no una persona con buena voluntad:

“Sí, te has caído y te has partido la crisma y dos piernas, pero es que el que construyó este puente lo hizo con buena voluntad y con mucho espíritu de colaborar y cambiar el mundo… así que… ¡No te quejes!”

Visto lo visto, habrá que saber que puentes se deben coger y que puentes no, pues cuando lo que quiero es que mi empresa lleve los camiones por la carretera me importa poco si el constructor tenía buena voluntad o lo hizo por un buen pellizco de dinero, lo que me importa es que mis camiones pasen.

***************************************************************************************
Artículo publicado en Windows TI Magazine 133 May'08
***************************************************************************************

No Lusers 46: Random

***************************************************************************************
Publicada en Windows TI Magazine Nº 133 May'08
***************************************************************************************




***************************************************************************************
Publicada en Windows TI Magazine Nº 133 May'08
***************************************************************************************

Panda de cabrones

Vale, sí, es cierto, la culpa en parte es mía. Yo empecé con eso de "alguien ha matado a alguien", "alguien está ciego", "no es tan dificil de ganar", etc... pero joder, es que os pasáis un pasote, ¡cabrones!

Voy a cambiar el título del blog a algo así como: "Haga una auditoría gratis a su web", o... "¿Ha queado satisfecho con la seguridad de su web?", o mejor... "¡Ponga en ridiculo al vecino que tanto odia!".

Y es que es matemático, pongo una URL y, o en los comentarios públicos o en los mails privados me llegan los resultados de "la auditoría". Un mail aparecerá con el subject de "Marchando una de Blind!" o ..."Te mando su /etc/passwd" o... mira, mira... "la zona de administración tiene un Joomla sin parchear".

Sois una panda de cabrones de cojones.... pero no puedo dejar de partirme la caja.

Uno haciendo la Eurocopa Blind SQL Injection/XSS cup, repasando las webs de las federeaciones, el otro con el cursito de verano, el otro con el banco de turno o con la web de un técnicoless.... aquí siempre hay fiesta.

La verdad es que en cierta manera... merecido lo tienen pues llega un momento en que no sabes a quién avisar o a quién no avisar. A veces pasan de ti, a veces te dan las gracias y otras... otras sabemos que lo hacemos por lo que lo hacemos, que todos somos más o menos iguales....

En fin, que a partir de ahora voy a poner los posts sin links....salvo que se lo merezcan.

Bueno, pues eso, a pensar en el Futbol que España juega el miercoles contra Grecia y dejar eso de hackear webs. Id leyendo lo que Grecia tiene que decir al respecto, que tiene mucho que opinar sobre ...todo.

Saludos Maglignos!

Cadena Youtubiana II - Goyo Jiménez

Es domingo, España ganó a Suecia y ya estamos en cuartos, alegria, fiesta, alboroto, resaca y esas cosas, así que... ¿Para que complicaros la mañana con sesudas reflexiones(que tendría que copiar a otro, claro)? ¿Para que hacer un flame metiendome con alguna cosa y leer comentarios guerrilleros? Naaaa, hoy, después de los guiskises de ayer, con la medio resaca en el cuerpo me he acordado de aquellos maravillosos momentos en Londres, dónde en ninguna casa había televisión. No, no teníamos tele, tenímos Youtube, así que había mucha programación que ver. Os dejo hoy otra de las cadenas youtubianas que me enseñaron para el programa de noche, es la Cadena Youtubiana de Goyo Jiménez.

Los Americanos


Primera Parte

Segunda Parte
Tercera Parte
La Tele de Antes


Primera Parte

Segunda Parte

Tercera Parte
Superhéroe


Superhéroe
Abogados


Abogados
Y...después de esto.... a pasar el rato con otra cosa.

Saludos Malignos!

Curso de Verano en Salmanca y Otros

Salamanca

No sé si mi estómago aguantará las comilonas y las noches de esa semana de verano en Salamanca, pero habrá que hacerlo, no le vamos a hacer un feo a tanta gente como va allí.

El día 7 de Julio comienza en Salamanca un curso de verano sobre Seguridad de La información en el que van a estar muchos pájaros de muchas aventuras. El curso, fomentado por el Vicerector de Innovación Tecnológicoa de la Universidad de Salamanca, D. Francisco José García Peñalvo, acoge durante una semana a un montón de buenos amigos que van a dar su punto de vista sobre muchos temas. Esa semana estarán Hector Montenegro de Spectra, Antonio Guzmán de la URJC, David Barroso de S21Sec, Bernardo Quintero de Hispasec, Jorge Oteo de Prisacom, Alex Bové de elhacker.net, Sergio González de Wifislax, Dani Comino de IDG, Marta Pastor de RNE, Victor Orive de ADMTools, Alfonso de Miguel Yanes de la Guardia Civil, Sergio de los Santos de Hispasec, Marta Beltrán de la URJC y el que suscribe.

5 días para charlar sobre temas de seguridad Informática, 5 días para ver amigos, 5 días para quemar un poco la encantadora ciudad de Salamanca. He pensado llevarme como recuerdo el Astronauta de la fachada de la catedral, que ya está bien eso de tener un diablo, pero un astronauta...

La agenda y el registro está disponible en la siguiente URL: http://www.usal.es/~seguridadinformacion/

Y a todos los ponentes y asistentes que vais a venir...sabéis que tenéis que aguantar de fiesta, que creo que el único que me sigue de allí es "pajarraco" de los Santos, testado ya en Gira, Security Days y visitas a Malaga...

Pamplona

En Pamplona, antes de irse hacia Barcelona, el Abuelo Parada y David Cervigón harán una parada para participar en un envento en el CES en Navarra. En dicho evento hablarán de SQL Server 2008, Windows Server 2008 y Virtualización y alta disponibilidad con Windows Server 2008, para ir jugando con Hyper-V. El evento será en jornada de tarde, y me da a mi que llegarán por la mañana, cantarán por la tarde y volarán por la noche, así que el tiempo para estar con ellos será reducido. Tenéis más información sobre este evento en la siguiente URL: Evento Lanzamiento en Pamplona.

Barcelona: Hands On Lab

La campaña de Hands On lab a Barcelona está llegando a su fin y quedan únicamente dos semanas, la primera de ellas dedicada a Windows Server 2008, NAP, IIS7, PowerShell y CoreServer y la segunda, dedicada a un curso de 24 horas de Seguridad en Red.

Barcelona

El día 19 de Junio estarán en Barcelona con Windows Server 2008, Vista SP1, SQL Server 2008 y Virtualización. Este evento será en el Auditorio Winterthur, para unas 600 personas, con lo que es conveniente, si te has registrado que asistas pronto. Aún te puedes registrar en la sigueinte URL: Evento Lanzamiento en Barcelona. Como ponentes, van el Abuelo y David Cervigón.

Madrid: Formación Técnica de Auditoría y Seguridad Informática

Sivelhack, Pedro Laguna, El abuelo, el que suscribe, Juan Luís Rambla y alguno más continuaremos en Junio y Julio con los módulos de este curso. Las fechas las tenéis aquí:

- [23/06-27/06] Auditoría de Aplicaciones Web
- [30/06-04/07] Auditoría y Seguridad de Red
- [07/07-11/07] Auditoría Wireless, IM, VoIP y VPNs
- [14/07-18/07] Análisis Forense

La URL de Información y Registro: FTSAI

Madrid: Hands On Lab

En Junio y Julio continuan los Hands On Lab en Madrid con semanas dedicadas a: SharePoint, SQL Server 2008, Biztalk, Windows Server y una semana para Legalidad en infraestructuras.

Vamos, para que no te aburras este verano... y en Julio Valencia.

Saludos Malignos!

PD: No me voy a disfrazar en ninguno de ellos

Momentus Ridiculous XI

Era un soleado día en pitufolandia, dónde Papa "bil Gates Pifuto" nos había vuelto a regañar por comernos la seta dónde viviamos. "No debéis comer la seta, en ella hay que vivir. Tiempo ha nuestros antepesados se comían las setas y así nos vemos hoy en día azules". Así que dejamos de comerlos la seta.

La mañana parecía tranquila, Pitufo Gruñon Balmer estaba tranquilo y no había tenido pesadillas con Azrael Tux, la mala mascota del malvado Gargamel, Pitufo Laguna había estado por la noche preocupado, porque había vuelto a crecer y claro, salirse de la talla de un pitufo era demasiado para él. Ya bastante chungo es pillar cacho con una churri siendo pitufo & informático, como para que encima te salgas de la talla y no puedas.... en fin.

Daos cuenta que las clase de los informáticos son como una pequeña aldea de pitufos. Esta llena de pitufos y suele haber 0 o 1 (por eso de que puedan ser contadas en binario) pitufinas.

Pitufo Laguna y yo habíamos estado pitufoconsipirando para irnos como Gnomos o hados o ninfos a ver si pillabamos cacho con alguna Gnoma, hada o ninfa que nos hiciera ver lo mismo que vemos como las setas.

Nuestro único consejo era seguir las enseñanzas de la madre de Stewie y encontrar a una chica que fume, porque si fuma....

En fin, en aquella mañana dulce y soleada nos econtramos vestidos de forma sexy listos para salir de marcha cuando nos encontramos con otro montón de pitufos para hablar de cosas de Pitufoinformáticos...


Pitufando
El rollo de lo que hablamos entre todos fue de esto de Pitufar ISA2k6

| View | Upload your own

Pitufo ISA 2k6
En la reunión había muchos pitufos y con alguno nos pitufamos una foto... a otros les dio vergüenza hacerse una pitufofoto con dos pitufos de más de metro setenta y cinco en pañales... que por cierto.. esto de mear mientras se da una charla tiene su aquel...

RoMaNSoFt pitufando
En fin, que esta vida se tiene que acabar, que uno ya tiene una edad para estar haciendo el pitufo...

Saludos Azules!

El Abuelo y Rosa se me van

No somos nadie, y menos si tienes hipoteca que cada vez eres menos nadie. Sniff. Así es la vida, unos que se van, otros que se vienen y algunos que no evolucionamos.

"Córtate esos pelos y dedicate a vivir la vida", me recomendaba el abuelo en la historia de "Spectra The Band", y eso es lo que debería haber hecho. No puede ser que lleve uno ya tantos años haciendo lo mismo... y lo que es peor... no me canse y siga con ello. En fin, los adictos al cachondeo, el flame, la tecla para poner comillas y no para hacer una pivot table, los adictos a escuchar interesantes charlas sobre como poder hacer fingerprinting de cosas en lugar de como analizar las tendencias de mercado tenemos que dar la despedida a nuestro querido Abuelo.

El Padre Parada, el abuelo, Pepe el evangelista, Don José Parada Gimeno, deja de ser evangelista. Los que tenemos la suerte de vivir cerca de él y compartir cafés, comidas, habitaciones de hotel y ducha (en serie, no en paralelo, eh panda de cabron@s, que ya sé yo lo que estáis pensando) sabíamos que tarde o temprano iba a pasar. José Parada deja de ser evangelista y se pasa a Ingeniero Especialista para ayudar a las administraciones púbicas. Ya nos lo quisieron quitar el año pasado, pero tras amenazar a demandar a la FIFA el departamento tuvo que frenar el fichaje, pero este año...es en firme.

Sin embargo, aun le quedan algunas acciones como Evangelista para los que queráis disfrutar de él. Hoy estará en Infosecurity a última hora de la mañana. Mañana nos vamos juntos a comer un Casa Cándido, digo... a dar una charla en Segovia, el día 16 va a pasar por Pamplona y el día 19 por Barcelona para cerrar su etapa el día 20 en la Formación Técnica de Auditoría y Seguridad Informática y en Agosto, con la charlita en las Defcon. José ha querido dedicarme sus últimos días como evangelista, cosa que yo se lo voy a agradecer siempre.

En otro orden de cosas, dentro de las noticias sobre Spectra, hay que anunciar otro cambio. En este caso es en la dirección, ya que Rosa, mi Rosa, había aceptado un puesto internacional y estabamos a la espera de saber quién era la/el sustitut@. Las quinielas estaban echadas desde hace tiempo y los papables eran "vox populi" en los mentideros de la corte, pero hasta el final no se supo ni se destapó el nombre del candidato.

Bien, ya habemus futata blanca y la elegida es Doña María Garaña, un mujer con experiencia en Spectra, en la dura lucha en el Lado del Mal. Así que, La reina se ha ido, Larga vida a la reina.
Esto... creo que esta mañana el café tenía un sabor raro....

Saludos Malignos!

La Wifi en Ubuntu 8.04 (III de III)

***************************************************************************************
La Wifi en Ubuntu 8.04 (I de III)
La Wifi en Ubuntu 8.04 (II de III)
La Wifi en Ubuntu 8.04 (III de III)
***************************************************************************************

Como ya sabéis mi Ubuntu está wipeado, pero tenía pendiente escribir la tercera parte de esta serie que le dediqué a la configuración de la wifi. Una de las cosas que probé, dentro de la desesperación de poder entender las herramientas Wifi que acompañanan la distribución de marras, fue la de configurar las opciones de mi conexión con iwpriv e wpa_supplicant.

iwpriv sirve para tocar parametros privados en el driver de tu tarjeta wireless y en concreto, mi driver, no permitía tocar ninguno y siempre me daba errores. Si no estás trabajando en algún proyecto de hacking wifi o similar te recomiendo que no sigas este camino para configurar la wifi de tu casa.

wpa_supplicant, por su parte, es el agente cliente que negocia las claves en conexiones WPA/WPA2. Este componente es utilizado por las herramientas gráficas que acompañan y por lo tanto, para configurar la wifi en un ordenador de usuario tampoco es camino más cómodo. Es un buen camino si estas desarrollando una solución empotrada o un sistema sin entorno gráfico.

Al final, cómo ya se vieron en la primera y segunda parte de este artículo aquellas son las herramientas que tienes para usar en el entorno gráfico. Sin embargo, hay una cosa que me llamó mucho la atención y que supongo que a todos vosotros os habrá pasado algo similar:

He perdido el icono de la red wireless

Sí, cuando tienes activado el modo itinerante aparece un bonito icono arriba a la derecha con un grafiquito que muestra la potencia de la señal.

El icono antes de irse
Vale, de repente, pones la configuración manual, es decir, desactivas el modo itinerante y tu icono se convierte en Kimi Raikkonen. Sí, el piloto de Ferrari de Formula 1. No, no es porque tu wifi corra más, sino porque pase lo que pasa el aspecto no cambia. Veamos unos ejemplos:

Internet: Configurada manualmente con acceso a Internet

Como se puede ver tenemos link, IP, puerta de enlace y DNS correctamente configurado.

¡Habemus Internete!
Y tenemos un "expresivo" icono.

Sólo Acceso Local

Quitamos la puerta de enlace, con lo que ya no podemos salir a Internet, sólo tenemos acceso a los equipos de la red local

Sólo LAN local
Y cómo se puede ver el icono no ha cambiado.

Sin dirección IP

Hemos quitado la configuración de la dirección IP así que tenemos link a la wifi pero no hay IP, es decir, tenemos cargada la pila de protcolos de red pero no podemos comnunicarnos con nadie.

Sin IP
El mismo icono, impasible, como la expresión de Kimi Raikkonen, sigue con nosotros.

Sin Link

Ahora, usando iwconfig configuramos una red wireless que no existe, es decir, no tenemos link wifi. ¿creeis que ha cambiado el icono?

Sin wifi

Bueno, estos fueron algunos detallitos de usabilidad que me hicieron perder mucho tiempo, pero claro, la culpa es mia que estoy acostumbrado a saber lo que pasa a un golpe de VISTA. Os dejo como es normalmente en el ordenador que suelo utilizar:

Con Acceso a Internet

Internet
Además, como se vé, el icono del banquito me indica qel perfil del firewall que tengo configurado en esta tarjeta. En este caso, perfil de conexión de red pública. No me fio de nadie.

Sólo Acceso Local

Sólo lan local
El que menos nos gusta ver cuando estamos en redes dando charlas.

Sin IP

... o no hay DHCP running
Sin Conexión

No Link my friend
Otra cosa distinta es que puedo agragar congiguraciones de redes wireless ocultas o que deseo que el sistema guarde sus configuraciones porque la herramienta tiene el botón [+] y puedo, sorprendentemente, elegir el orden de prioridad de conexión en caso de que haya más de una.

Adminsitrando mis wifis
Además, tanto si tengo IP fija o Dinámica puedo ver las redes que se han añadido manualmente y las que están mi entorno y conectarme o desconectarme a todas ellas.

Wifis disponibles
Pero claro, estas son opciones "accesorias" y "nada necesarias", sólo útiles para vendidos a Spectra como yo ¿verdad?

Saludos Malignos!

***************************************************************************************
La Wifi en Ubuntu 8.04 (I de III)
La Wifi en Ubuntu 8.04 (II de III)
La Wifi en Ubuntu 8.04 (III de III)
***************************************************************************************

AntiSexy

Cuando me disfracé de Batman con los calzoncillos por fuera pensé que no podía hacer más el ridiculo. Me puse las mallas y me disfracé de Mister CuasiFantástico (el hombre que sólo le crecen algunas partes de su cuerpo) y me dije a mi miso que ya valía como ridiculo. Después de eso, me hice las fotos para le Calendario Torrido y pensé, superar esto va a ser imposible. Creo que en Infosecurity vamos a estar muy cera de batir los records establecidos después de vernos en situación. Dios, no se puede estar menos sexy. No se puede estar...

Esto...si tenéis pensado venir a nuestras sesiones...por favor... pensadlo dos veces....Avisados estáis.

Saludos Malignos!

Fríos Errores

En muchos de mis chistes malos hacía sorna de las webs con fallos de seguridad que eran especialmente bonitas, esas en las que se notaba que habían sido hechas por una persona que había realizado un "Curso de Diseñador de Páginas" en lugar de por un "Programador de Aplicaciones Web". Desde hace tiempo las empresas grandes diferencian entre el Programador y el Diseñador, es decir, entre la lógica y la presentación.

Una de las tecnologías para desarrollo de aplicaciones web que se extendió con dignidad fue ColdFusion y nunca le presté mucha atención. Eran pocas las páginas con .cfm que me ponían como trabajo para jugar con ellas. Sin embargo, jugando con una web que-no-diré-dónde-no-diré-quién cerca de mi, me di cuenta que los mensajes de error son superbonitos... y que la mayoría de los sitios los tienen ...¿activos para debugging?

Desbordamiento de Tipos
Tras ver que los errores son bonitos, con su barrita azul, y sus links a documentación, me dio por hacer un poco de GoogleHacking buscando por sitios con aplicaciones del tipo .cfm?id= y el resultado fue... una escabechina. La web que no se come un SQL Injection basado en Errores, se come un Blind SQL Injection.

Error ODBC en SQL Server en Windows
Además, como se puede ver en los mensajes de error nos da la consulta completa, con información extendida, no cómo en los errores ODBC de otras técnologías. En la captura de arriba se obtienen también el nombre del DSN, útil para hacer ataques de webshells y webtrojans (ya hablaremos de ellos), la ruta local y, lógicamente, el tipo de servidor dónde corre la web.

Con MySQL y Linux
En un ratito, salieron un montón de cosas de estas de colorines azules, y sin hacer ninguna cosa extraña. Oracles, SQL Servers, MySQLs y demás amigos en el mundo de las bases de datos. Parecía el paraiso de los SQL Injection y yo muerto de sueño... En fin, menos mal que hoy he descansado.

Y eso, por favor, que el diseñador diseñe y el programador programe.

Saludos Malignos!

Momentus Ridiculous... early notification

Una de las cosas que me han dicho muchos veces es "joder, a ver si te veo en una de esas de los momentus ridiculous...". Sí, no hago el gilipollas en todas las charlas... bueno, sí, en todas las charlas suelo hacer el gilipollas, pero no en todas montamos un show. Bueno, pues... en InfoSecurity se planea algo... algo está rondando por allí... algo puede que suceda...´

Allí, dónde estaremos con la Technet Security Academy, los Hands On Lab guiados y los Hands On Lab autoguiados.... en la charlita que se va a dar sobre ISA Server 2K6... mi querido amor Pedro Laguna y yo nos pasearemos por allí... demostrando porqué Spectra jamás será invadido.... El imperio perdurará, aguantando a los más poderosos enemigos.... Y hasta aquí puedo leer.

Aps, sí, repetimos la charla los dos días, pero creo... que el show sólo será uno de ellos... Después nos iremos al Stand de Informática64, dónde os podréis reir de nosotros a gusto, panda de cabron@s!

Saludos P..digo... Malignos!

Asegúr@IT II - Post Mortem

El evento Asegúr@IT II tuvo lugar en Barcelona en Abril del 2008. En él participaron 4 ponentes fantásticos y asistieron unas 200 personas. Tenía pendiente poner disponible el contenido de la sesión y quiero dejarlo aquí para que todos lo podáis disfrutar.

Seguridad en VoIP

La sesión fue impartida por Pablo Catalina de S21Sec, podéis ver el vídeo, de 51 de minutos de duración. La grabación se hace desde un lado, con lo que se hace dificil poder ver las diapositivas, no obstante tenéis las diapositivas en Slideshare.


Pablo Catalina - Seguridad en VoIP

| Ver

Análisis Forense en Memoria

La segunda sesión fue impartida por Juan Garrido "Silverhack", de Informática64 y versó sobre como realizar Análisis forense a volcados de memoria RAM.


Juan Garrido "Silverhack" - Análisis Forense en Memoria

| Ver

Seguridad en ficheros subidos a servidores web

La tercera sesión fue un lujo, ya que pudimos contar con la presencia de José María Palazón "Palako". En ella fue mostrando como protegerse y cómo saltarse las medidas de protección en aplicaciones web que permiten subir ficheros. La sesión se cortó al final por falta de batería, es una pena perder los últimos minutos, pero las diapositivas están completas ;).


Palako - Cuidado con lo que te comes

| Ver

Seguridad en IIS 7

El cierre del evento corrió por parte de David Cervigón, de Spectra, y versó sobre la arquitectura y las opciones de seguridad en IIS7. La sesión no pudo ser grabada (lo siento mucho David). Os dejo las ppts de la sesión y, para los que deseen conocer más de IIS7, David grabó un Webcast sobre IIS7 dónde hace algunas de las demos que enseño en el evento.

| Ver

Sólo me queda agradecer a la gente de S21Sec, a Carles de Windows TI Magazine, Jordi que grabó lo que véis, a todos los que asistísteis, a los ponentes y a los que nos vimos la noche antes de fiesta.

Saludos Malignos!

Puta!

Dicen que la música amansa las fieras y que la música clásica ayuda a los fetos a ser más felices. Dicen que la música dispara los estados de ánimo y que conociendo la música que escucha una persona sabes más de ella.

La música ha marcado gran parte de mi vida, tenía 12 años cuando me pasaron una cinta con una fotocopia en blanco y negra en la que se veía un bicho ciborg con una pistola en la que se cantaba algo como “gueisted yiars”, y filpé con la música de esa cinta. Yo venía de oír lo que mi padre ponía en la radio, que venía siendo música de tipo “luckiubiera” ya que sacar a mi padre de Los Bravos, Los Pekenikes, y a Simon & Garfunquel era raro.

Después de tener esa cinta, salió el nuevo disco de ese grupo en el que el bicho, sin la tapa del cráneo y sin cuerpo de pecho para abajo se comía su llameante cerebro con una cuchara. Me lo compré, y la camiseta y salté el “ivol dat men du” y el “canaipleigüizmaznes”.

Un día, en uno de los jardines dónde bajábamos a tomar litros con el “loro” (Entonces no hacíamos botellón, íbamos a tomar litros) me encontré una cinta grabada que otro grupo de gente había debido perder. Nunca supe de quien era la cinta y no tenía escrito nada, pero la puse en mi casa y me quedé flipado… era otra forma de hacer música… La fui poniendo durante 1 año a todo el que podía y nadie sabía quiénes eran esos (lo que es la no existencia de Internet!!). Al final un amigo de mi padre me dijo… “Pero sin son los Deep Purple y ese disco es el Perfect Strangers!!”. Os juro que al día siguiente subí a Madrid a comprar el disco ese con la P dentro de la D y aun lo tengo aquí… mi niño.

Después descubrí, de manos de un vecino un disco titulado "Ride The Lightning" y otro titulado "Abigail". Dos discos con dos estilos distintos pero que me marcaron hasta conseguir ir a ver a los Metallica con 15 o 16 años en el estadio del Rayo Vallecano y comprarme todos los discos de ese Rey Diamante y su grupo anterior, esos de Mercyful Fate… que le vamos a hacer, soy fácil de caer en los vícios. Hasta tengo una edición Picture Disc de "Conspiracy".

Cuando pensaba que ya poco iba a marcarme apareció… el puto "Appettite for Destruction" con "Sweet child o’mine" y "Welcome to the Jungle". Joder, el comienzo del disco, con ese sólo es brutal.

Toda esa música me encantó, disfrute maravillas en esa infancia/pre-adolescencia y fui descubriendo poco a poco a Los Beatles, a Queen, Skid Row, Alice Cooper, Ozzy Osbourne, Zeppelin, Rainbow, etc…

Hasta que un día, un amigo de un amigo me dijo, “a mí me gusta más la música española”. Coño, que sorpresa en España se hace música de esta. Obus, Barón Rojo, Ñu y… Leño!! El acabose con Leño. Me enamoré de esas letras y esa voz. El amigo narizotas que había cantado en Ñu me enamoró. "Que desilusión", "Es una mierda este Madrid", "Cucarachas", "Sorprendente", ..... A buscar todo lo de ese tipo y descubrí que me encantaban sus discos en solitario con "Y dale!", "Eres tú mi artista preferido", "Crucifixión", "Navegando", "Nocturno", y mi favorita del amigo: “Del pulmón,... completamente podridito ya!”….Bien, nadie ha podido desbancar a día de hoy a este poeta de mi lista personal. Rosendo, eres tú mi artista preferido. Sólo Sabina tiene unas letras que me gusten tanto como las de Rosendo, pero claro, falta esa guitarra carabanchelera.

Pero en el camino, tras aparecer un grupo en mi vida compuesto por unos tipos del norte, que cantaban una canción a un "Anónimo luchador", mi hermano trajo una cinta que decía en una canción algo cómo “tú en tu casa, nosotros en la hoguera”. Dios, ¡qué tipo de música más … distinta! Allí nació el Rock Transgresivo y la leyenda del Rey de Extremadura para mí. Descubriría a Platero y Tú después… y el resto ya es historia moderna. Pero... Robe y Extremoduro es, desde entonces, la música esa que te hace un rebuño el corazón y te quita todos los males.

Cuando pienso en la música que escucho, pienso que algo tiene que ver el que sea como soy. Ver a Robe, delante de 20 o 30 mil personas ayer por la noche gritar: "Puta!!" a pulmón, con el alma, o cantar mi canción preferida gritando: “Golfa!!!” con rabia, me encanta y me parece de lo más normal. O escucharle cantar con esa voz rota, mientras Iñaki salta, eso de: “de pequeño me impusieron las costumbres, me educaron para hombre adinerado, pero ahora prefiero ser un Indio a un importante abogado” me pone los pelos de punta en el corazón o cuando cantó en "Buscando una Luna" aquello de: “Para algunos, la vida es galopar un camino empedrado de horas minutos y segundos. Yo mas humilde soy y solo quiero que la ola que surge del ultimo suspiro de un segundo me transporte mecido hasta el siguiente”, joder, me pongo más contento que una pija con barra libre en la tienda de Armani.

Supongo que soy como soy en parte por la música que escucho, y SÍ, digo muchos tacos, a veces demasiados, soy una víctima de la Logse, no me pongo traje, voy sin afeitar, a veces salgo hecho un guarro, a veces voy a currar con sueño porque no he dormido bien, he llegado a dar alguna conferencia borracho, me he escapado por la noche como un gato sin dueño, he tomado drogas, me educo con el jueves y no con el ABC, he bebido más de lo necesario, me he despertado sin saber cómo coño he llegado allí y me ha detenido alguna vez la policía por armar bulla, SÍ. Pero al final, como dice el Robe. “Yo no quiero ser como tú”.

Saludos cansados malignos!

La sala de espera

Quiso la vida juntarnos a Pedro Laguna y a mí una tarde de esta semana, una tarde en la que tuvimos que pasar 3 horas juntos. Pasada la primera hora, las risas, las anécdotas y los cachondeos nos empezamos a precoupar… y uno de los dos dijo: “¿Y no habrá una Wifi por aquí?” Activamos la Wifi en los teléfonos móviles pero sólo llegaba una wifi con tan poca intensidad que no se podía hacer nada. “mmm, vaya, …¿no?” “A ver si llega el calor”, “Sí, parece que hace bueno….” “¿Hay revistas de ordenadores?” “No, sólo una que pone algo como ‘Hola’”, [silencio]..”puff, ¿Cuánto tiempo, no?” [silencio] “sí, ¿verdad?” [silencio] “sí”. “Esto…., yo tengo que probar lo del fingerprinting que hemos estado hablando”, “Sí, yo voy a aprovechara para escribir el post de mañana ahora que tengo tiempo”.

1.- Mochilas open.
2.- Ordenadores portátiles out.
3.- Power On.

Allí estábamos Pedro y yo y tres personas más en una sala de espera. Nosotros con nuestros ordenadores (ya no aguantábamos el mono) y ellos mirándonos extrañados. Nosotros estábamos contentos, haciendo nuestras cosas, cuando… yo acabé el post y Pedro acabó su prueba…. Tras comentar cosas, le dije…”¿jugamos juntos al Mahjong?” “¿Cómo se juega?”, “Ni idea, sólo sé que hay que ir quitando fichitas por parejas”, “Mira, el 9 de palotes, con el 9 de palotes”, “oye, pero hay 3 fichas del 9 de palotes, ¿no?, ahí hay otra”. “No, creo que hay 4 fichas de cada conjunto, así que tienes que quitarlas de 2 en 2 pero tú decides que dos”, “Vale, pues quita esa con esa”, “No deja, creo que sólo puedes quitar fichas si a la izquierda o a la derecha no tiene ninguna a su mismo nivel”, “Aps, pues dale caña”.

Mahjong Titans
Así que nos pusimos manos a la obra, a quitar fichas al puto Mahjong de los cojones. Y estuvimos como una puñetera hora sin ganar ninguna partida… hacía falta una estrategia para ganar y no sabíamos cómo hacerlo. La primera estrategia fue No hay estrategia y ves quitando. Perdimos. La segunda estrategia fue quitar las de los extremos de las filas más largas. Perdimos. La tercera estrategia fue quitar primero las de arriba. Perdimos. La cuarta estrategia fue quitar una de arriba con una de una fila larga. Perdimos.. pero nos fue mejor. Tras analizar todo llegamos a la conclusión siguiente: “Creo que se nos bloquean las fichas porque no evaluamos la posición global de las cuatro. Tienes 4 fichas y puedes quitar 1 ficha con cualquiera de las otras tres, pero una vez que quitas una pareja, las otras dos fichas están condenadas a entenderse. Así que no vamos a quitar ninguna pareja hasta que:

a) tengamos la posibilidad de quitar las cuatro, con lo que el riesgo es 0. Este es el estado perfecto.

b) tengamos a la vista las 4 fichas y podamos evaluar el riesgo y cuáles son las parejas que más nos convienen por posición y porque nos liberarán otras fichas de otras parejas.

c) tengamos la vista parcial (mejor ver 3 fichas que 2) y nos interese quitar esa pareja para desbloquear otras."

Aplicando este algoritmo he conseguido ganar mi primera partida al Mahjong… pero me he viciado al juego este y cómo tenía pocas cosas que hacer en mi vida, sólo falta que ahora me enganche a otro juego…. Pero.. para que vuestra vida sea un poco más horrible también… he creado un ejemplo de cómo jugar al juego. Así que engánchate tú también.

Esto me ha hecho recordar la cantidad de jueguecitos de estos a los que me he enganchado en mi vida. Juegos adictivos, pero no necesariamente complejos en grafios y realismo. Resolver los tableros del buscaminas, los escenarios del Manic Minner, las pantallas del Bombjack, el tetris, o los laberintos del... pero.. ¿Cuales te han enganchado a tí de estos juegos?

Saludos Malignos!

Steve para rato

Hola fe@s!

En el Teched 2008 USA nuestro único y nunca reemplazable amo ha dado su último discurso como Amo y Señor en la luz. A partir de ahora pasará a gobernar los hilos de Spectra bajo la túnica, en la oscuridad, creando las bases para asaltar a la podrida república. Y cómo ejemplo, ha dejado ver cómo va a a ser controlado su susitituto...

Developers, Developers
Bill Bless Beer! Yes Mylord!.

Saludos Malignos!

El lunes empieza "el cursito"

Y estoy muy contento, el lunes me toca empezar a mí, primero presentando el curso y luego con dos charlas sobre Auditoría de Sistemas y Arquitectura de Sistemas Informáticos, para ponernos en situación de que es lo que hay que romper y de qué manera.. El martes tocan dos sesiones que darán Juan Garrido “Silverhack” y Antonio Guzmán, sobre Fuentes de Información para auditoría de seguridad informática y sobre las Bases de datos de seguridad y Catalogación de vulnerabilidades. El miércoles y el jueves Silverhack y yo Jugaremos con las técnicas de FootPrinting, FingerPrinting y los Escáneres de Información. El viernes Mikel Gastesi de S21Sec dará una sesión de Cracking e Ingeniería inversa y tendremos un Laboratorio sobre este módulo.

La segunda semanita empezará con el Modelo de Seguridad de los Sistemas Windows, el Modelo de Seguridad de los Dominios Spectra y una charla sobre el DNI Electrónico y como autenticarse en sistemas Windows y entornos de Dominio utilizándolo. Esta sesión estará impartida por el querido Rames de SmartAccess, uno de los padres de la criatura del software que permite hacer esto. Además, nos va a pasar licencias para poder utilizar el e-DNI en el AD con el software desarrollado por ellos. El martes le dedicaremos una sesión a la Arquitectura de seguridad en sistemas UNIX/Linux y otra a los Ataques Offline. Llegado el miércoles vamos a por el tema de los Troyanos que ocupará el día entero. El jueves le tocará el día a los Rootkits en la primera sesión y la segunda será de Ataques USB. El último día de esa semana tendrá una sesión de Metasploit, una charla sobre Software de parcheo en entornos Spectra que impartirá José Parada y en la que mostrará todos los entresijos de fixes, patches, servicepacks, la knowledge base de Spectra, etc… para terminar con un Laboratorio. Todo ellos, por supuesto, con las consiguientes demos de cómo se rompen cosas.

La Tercera Semanita será dedicada a Aplicaciones Web y he de reconocer que Pedro Laguna y yo nos estamos peleando por las sesiones como buitres por la carne muerta de un carnero, porque es lo que realmente nos pone… :P Ya os avanzaré más adelante como queda “la sangría de sesiones”.

Gracias a Antonio Guzmán de la Universidad Rey Juan Carlos, a Rames de SmartAccess, a Mikel Gastesi de S21Sec y a José Parada de Spectra, por venir a jugar con nosotros estas dos primeras semanas. A los que estéis en el curso… nos vemos allí el lunes!!.

Saludos Malignos!

Pasión

Tenía 12 años cuando vi un grafiti hecho con pintura negra sobre un fondo blanco en una pared enfoscada. El grafiti estaba en una academia nueva que se había abierto en el barrio. Dicha academia impartía clases de mecanografía con las famosas Olivetti, taquigrafía, preparación de ESO, inglés y clases de recuperación. Y de repente informática. El grafiti decía algo que me impactó. Era un ordenador con patas y brazos y sonreía mientras decía: “La informática es el futuro”. Yo acababa de ver Tron y estaba como loco por poder ser un semi-Dios, uno de esos famosos “programadores”. Me apunté, me toco un Dragón como ordenador y el resto … bueno, el resto soy yo.

No fui el único que quedó atrapado por aquella pasión, muchos de nuestros amigos acabamos enganchados a ella y seguro que muchos de vosotros sabéis la pasión a la que me refiero. Queríamos programar cosas, queríamos crear, no importaba lo que hubiera que estudiar ni dónde había que enterarse, fotocopiábamos revistas, charlábamos sobre cómo funcionaban las interrupciones y yo soñaba con tener eso que se llamaba "disco duro".

Sin embargo, tras pasar por las prácticas en el curso del CAP, no me he encontrado con mucha gente con ganas de aprender informática, pero esto además es algo que me cuesta encontrar. No son muchos los jovenes que tienen ganas de aprender informática, de conocer como funcionan las tecnologías en esa cosas que utilizan para chatear, jugar y bajarse porno. En la universidad, dónde tengo contacto, las carreras de informática han bajado mucho tanto en número de alumnos, como en exigencias de entrada, como en “pasión”.

¿Qué ha pasado? ¿No hemos sabido transmitir esa “pasión”? ¿Ha sido el mercado o la economía la que ha acabado con la "pasión"?¿Es tan difícil de aprender hoy en día la informática? ¿Está mal vista socialmente?. "Sí, quisimos que nuestro hijo fuera arquitecto pero... nos salió informático. Esa fue la gota que colmó el vaso y terminó con nuestra familia. Mi marido alcohólico, mi hija ludópata y yo adicta al cannabis....esto...sólo como uso medicinal, ¿eh?" ¿Ser informático ya no tiene "glamour"?

Saludos Malignos!

Ataques a LDAP (IV de IV)

***************************************************************************************
Ataques a LDAP (I de IV)
Ataques a LDAP (II de IV)
Ataques a LDAP (III de IV)
Ataques a LDAP (IV de IV)
***************************************************************************************

2.4.1.- Ataque 4: Hijacking de sesión LDAP-s

El uso de LDAP-s evita el Ataque 3 de acceso a los datos, sin embargo, es necesario, para evitar los Ataques 1 y Ataques 2, utilizar una comprobación correcta de los certificados digitales por parte del cliente, porque si no, se puede realizar un ataque de Hijacking.
En caso de no verificar correctamente los certificados digitales, la herramienta Cain&Abel, a partir de la versión 4.9.6, realiza Hijacking LDAP-s mediante técnicas de hombre en medio, es decir, cuando un Servidor LDAP-s envía el Certificado del Servidor al Cliente el atacante realiza una copia falsa del certificado, un duplicado. Si el Cliente acepta certificados digitales no validados correctamente, entonces el atacante puede acceder a todos los datos de la conexión. Esta comprobación depende de la configuración de seguridad que tenga el cliente o el uso que haga el usuario de la aplicación.

Creación de un certificado digital falso en el atacante usando Cain&Abel
A partir de ese momento, los clientes son los que deben fortalecer o no la seguridad del sistema. Clientes como LDP no permite la conexión en el momento que detecta un fallo en la validación del certificado.

Conexión fallida con cliente LDP usando una conexión LDAP-s
Otros clientes, permiten la interacción del usuario generando una alerta, como se puede ver en la conexión realizada con el cliente LDAP de la fundación Mozilla[25]. Para ver el funcionamiento primero se debe configurar la conexión al servidor LDAP-s

Configuración de la conexión LDAP-s
Una vez configurada se procede a realizar la conexión. El certificado que va a recibir el Cliente va a ser el duplicado falso generado por el atacante y el usuario recibirá una alerta de seguridad como se puede ver en la siguiente captura y tendrá que tomar una decisión de proseguir o no con la conexión LDAP-s utilizando dicho certificado.

Recepción de certificado falso y alerta
A partir de este punto es responsabilidad del usuario el aceptar o no el certificado digital. La no aceptación incurriría en una situación en la que no habría conexión, es decir, el atacante realizaría un ataque de Denegación de Servicio con éxito. En este entorno, esta sería la mejor opción, pues ningún dato quedaría en riesgo, incluyendo las credenciales del usuario.
En caso de aceptar la conexión, el cliente habría aceptado cifrar los datos con el certificado falso emitido por el hombre en medio, lo que le permitiría al atacante ver todos los datos, es decir, realizar el Ataque 3 y además, realizar un ataque de downgrading (Ataque 2), para poder acceder a las credenciales, lo cual implicaría el mayor riesgo de seguridad.
En la siguiente captura se puede ver como la herramienta de ataque CAIN&ABEL guarda en un fichero de texto todos datos transmitidos entre el Cliente y el Servidor. El Ataque 3 tiene éxito por tanto.

Hijacking y captura de sesión
En esta otra captura se puede observar como la contraseña es obtenida por el atacante tras ser aceptado por el cliente el certificado digital falso igual que si no se estuviera utilizando un certificado digital. El Ataque 3, de downgrading, tiene éxito.

Credenciales obtenidas mediante un hijacking de sesión LDAP-s
Como se puede observar tras ver todos estos ataques, la única forma de mantener una infraestructura segura sería la de diseñar una red segura por ejemplo con conexiones IPSec sin Pre-Shared Key o mediante el uso de conexiones LDAP-s que no permitan la conexión utilizando certificados digitales falsos.

Agradecimientos: A Juan Luís Rambla por ayudarme a montar el LDAP-s y a Antonio Guzmán por ayudarme con todo el trabajo.

***************************************************************************************
Ataques a LDAP (I de IV)
Ataques a LDAP (II de IV)
Ataques a LDAP (III de IV)
Ataques a LDAP (IV de IV)
***************************************************************************************

Son más de 21

Organizar cosas siempre da mucho trabajo, hay que mirar mil cosas y estar atento a mil detalles. A pesar de que lo hagas puede pasar que al final algún factor se cuele en la ecuación (por ejemplo que el taxista no conozca el lugar de la charla y llegues tarde) y algo se tuerza, pero eso no invalida la máxima de que hay que comprobar todos los detalles.

Ayer, me subí a Pamplona y, entre otras cosas, me pasé por las oficinas de S21Sec para hablar de asuntillos. S21Sec tiene unas oficinas preciosas allí y un montón de gente que he ido conociendo a lo largo de los años, David Barroso, María Asin (la bossa) y José el murciano guerrero, con los que estuve de cachondeo en San Fermines amén de en saraos varios, Alberto Esparza, amigo y miembro de Navarradotnet (con el que estuve tb en San Fermines y papeando en su casa nada menos), Rumen, que se curra la organización de la Navarparty, Igor, con el que he estado de saraos por España y papeando como reyes en Zaragoza tras unas charlas que dimos juntos, Mikel Gastesi, que tras pegarme la chapa de fiesta en San Fermín chiquito (que chapa me dio el cabrón!) le voy a hacer currar, Alfonso del Castillo, al que abrasamos hace poco con el móvil por unos "asuntillos", darkraver en Murcia, que me ayudó con su tool sqlibf cuando estaba centrado en blind sql injection, y.... joder, muchos más, es que he estado con mucha gente de S21Sec por todas partes, coño, y doy fe de que son más de 21.

El caso es que les he liado, o se han dejado liar, para hacer algunas cosillas juntos.

En primer lugar ellos colaboran en la Formación Técnica de Auditoría y Seguridad y el viernes 11 de Junio Mikel Gastesi vendrá a hablar de ingeniería inversa y cracking para contar los principios de esta disciplina.

El día 9 de Julio he liado a David Barroso para que se venga de cacho... a dar una charla en el Curso de Verano en la Universidad de Salamanca que hemos montado.

El día 18 de Julio, de nuevo en la Formación Técnica de Auditoría y Seguridad, en la parte de Análisis Forense, vendrán a hablar de análisis cruzado de logs en red.

Y el día 25 de Septiembre en Bilbao, tenemos listo el Asegur@IT III, en el que estamos trabajando Txipi de Deusto, S21Sec, Panda, Spectra y nosotros para tener un fiestorro chulo.

Esto..., ¿cuándo salen las plazas para currar en S21Sec?

Saludos Malignos y... gracias pro todo!

Mi primo Avelino

Mi primo Avelino siempre fue el listo de la familia, el que todo lo sabe, el empollón, el niño bonito que sacaba buenas notas. No es de extrañar que se convirtiera en ingeniero. El número de la familia. El educado, el bueno, joder si nunca se cargó ni un jarrón de niño. Era el primo perfecto: “ay, si fueras como tu primo Avelino…” me decía mi mama. Y me tocaba los cojones…

Ya sabéis, no joden las ovejas negras, joden las ovejas blancas, que a nosotros, pobres ovejas hijas de la mezcla de razas y de colores manchados nos hace parecer sucias. No es que tuviera nada malo contra mi primo Avelino, era simplemente que estaba en todas partes, tenía acaparados el 90% de los elogios familiares y sus acciones acababan decidiendo mi vida.

Si mi primo Avelino estudiaba en la rama de ciencias puras en la escuela secundaria yo me veía avocado a tener que seguir esa rama. Poco importa que realmente me gustara o no esa rama. Tenía que seguir ese camino.

Lo cierto es que a mí me gustaban las ciencias puras y la bioquímica, que es lo mismo que estudió mi primo Avelino, pero yo lo decidí no porque mis padres insistieran en el futuro de la bioquímica en la mejora de la agricultura para poder acabar con el hambre en el mundo, joder, a mi me gustaba la puta bioquímica. ¿Por qué mi primo Avelino tuvo que querer estudiar lo mismo? No tuve la ocasión de ser un rebelde, me hubiera gustado decir: “Paso de la informática padres, me da igual que mi Primo Avelino quiera ser ingeniero informático, yo quiero ser Bioquímico”. Pero no, el muy cabrón tuvo que querer estudiar Bioquímica como yo.

Pero claro, mi primo Avelino era dos años mayor que yo, lo cual me obligaba a elegir siempre después. ¡Me cago en los avernos!

Llegó el momento de salir de la universidad para mi primo Avelino y cómo no, salió con nota, y sacó una beca de investigación, que fue la misma beca que conseguí yo años después cuando acabé mis estudios. Y no, no la pedí porque se la hubieran concedido a mi primo Avelino, simplemente era la que mejores condiciones ofrecía.
Mis padres y mis tíos se congratulaban de lo afortunados que eran al tener a mi primo Avelino y a mi tan bien encarrilados en la vida. ¡Dios! ¡Era vomitivo! Parecía sacado de una película de esas de “basado en hechos reales” que hace el partido Republicano en los USA para promocionar los valores familiares.

Mi primo Avelino y yo nunca tuvimos una mala relación, ni buena tampoco, era cortés, educado y simpático conmigo y siempre valoraba todos mis logros quitándose importancia y jamás hablaba de sí mismo. Vamos, para darle dos hostias.

Y acabó la beca y montó una empresa distribuyendo un fertilizante que él mismo había creado… y yo no tenía ni puta idea de cómo lo había hecho. El muy cabrón, utilizó esos dos años por delante que me llevaba para hincharse a ganar pasta con un fertilizante que había creado.

Cuando pasaron los dos años de rigor que nos separaban y mi primo Avelino estaba forrado todas las miradas familiares se centraron en mí. Joder, todos esperaban mi éxito, mi gloria, mi puto fertilizante.

Mi primo Avelino, cortes y educado me ofreció un puesto en el laboratorio, para que pudiera trabajar con él y potenciar nuevos productos…¿os imagináis? Sólo por haber nacido dos putos años después me veía avocado a estar bajo mi primo Avelino toda mi existencia. ¿Por qué mis padres no se habían conocido dos años antes? ¿Por qué no podía haber nacido mi primo Avelino dos años después? Y encima era un puesto de puta madre con unas condiciones inmejorables… salvo por ser yo el jefe y mi primo Avelino mi subordinado. Tenía que logarlo.

Así que, siguiendo el camino marcado, decidí trabajar en mi propia línea de fertilizante… con un problema… ¿cómo iba a conseguir que la gente que usaba el fertilizante de Avelino cambiase a utilizar el mío?

Cree mi fertilizante y di unas muestras gratuitas, que todo el mundo alegremente utilizó, pero después de gastarse las muestras gratuitas siguieron usando el fertilizante de mi primo Avelino: “qué si se habían acostumbrado a su olor”, “qué si era cómodo el envase a la hora de apilarlo”, “qué si ya tenían los accesorios adecuados para el uso de Avelino”, etc…

Estaba jodido, pero no iba a cejar en mi empeño de tener éxito, así que… decidí buscar una solución alternativa, le daría a la gente una oferta que no pudieran rechazar. Les daría el fertilizante gratis. Claro, para eso tendría que conseguir otra fuente de financiación.

Mi colega el Rana había seguido el negocio de su padre de reciclado de productos tóxicos, no, no penséis en Uranio ni nada de eso, simplemente el gobierno estaba subvencionando el reciclado de aquellos productos que no eran biodegradable y contenían ciertas sustancias perjudiciales para el medio ambiente. El recibía un dinero por cada quilogramo de material que procesaba para su destrucción. La cantidad no era mucha, pero a mí se me ocurrió un negocio.

“Rana, yo te doy la mitad de lo que te pagan en subvenciones”, a lo que el Rana contestón “¿y dónde está mi negocio?”. ”El negocio está en que todo ese material siempre va a volver a ti, una y otra vez”, le respondí. El Rana, atónito, escuchó mi plan.

“Yo utilizaré ese material para hacer los envases de mi fertilizante, con lo que me ahorraré gran parte de su coste. Daré el producto gratis siempre que vengan a por él a mi depósito y luego traigan el envase a reciclar. Para ello les cobraré una pequeña cantidad en concepto de envase y si no reciclan el envase entonces no se lo devolveré. Así, siempre ganas el envase reciclado y por cada envase que no vuelva yo cobraré dinero. Además, para ganar dinero, no cobraré por el producto pero ofreceré como servicio el llevarle un nuevo envase y recoger el antiguo. Poco a poco acostumbraré a la gente a usar mi producto y podré venderles los accesorios de dispersión, herramientas para manejar los envases y hasta un calcetín para el móvil con el logo de mi empresa, que seguro que alguno paga una pasta por ello”.

El Rana aceptó y hoy en día mi primo Avelino y yo somos enemigos. No he conseguido hacer la pasta que él, porque a mucha gente sigue sin convencerle mi fertilizante, pero sigo aquí. Mi primo Avelino se quejó de que le hacía competencia desleal porque daba gratis lo que él vendía, pero no se atrevió a demandarme, al fin y al cabo éramos familia.

Al poco tiempo, cuando sus ventas empezaron a resentirse un poco se le ocurrió dar en promoción un accesorio gratis con la compra de cada envase. Y entonces fui yo el que, por una vez en la vida, saltándome esos dos años de diferencia entre nosotros, me adelante y le demandé por competencia desleal. Toma ya, y lo mejor es que gané y le obligaron a vender el fertilizante sin el accesorio…

¿Dónde nos llevará la vida? No lo sé, pero mi primo Avelino tendrá que aguantarme toda la vida del mismo modo que yo lo he aguantado a él durante muchos años. Los tiempos han cambiado Avelino. Por cierto, no os he dicho el nombre de mi fertilizante… ¿lo adivináis?

Y mi Ubuntu cayó bajo el fuego purificador

Padre, he pecado,

Sí, lo sé, debía estar más tiempo con él, pero cuando aparecieron las actualizaciones de seguridad, no me dio tiempo a hacer las pruebas necesarias, no pude leerme toda la información, lo fuí dejando. Quería tratarlo bien y darle el "amor" que él me dio. Pasear juntos por el parqué, pero llego un momento en el que tuve que elegir: "Tienes dos portátiles Chema, y necesitamos uno para los Hols en Barcelona, elige". Fue una lástima, pero... era él o mi Vista.

Tenéis que entenderlo, llevo un año y medio con mi Windows Vista, sin reinstalar, he llegado a tener hace poco un 9.64 en el monitor de confiabilidad (¡qué yo trato muy bien a mi chica!)..

Sacando nota con mi chica

Y con Ubuntu... era un amor imposible... y ya llevabamos algún fallito sin parchear. Sí, en poco más de 20 días (lo parcheé los dos primeros días de la instalación y luego no) eran 100 fallos...

Ya eramos 100, con 200 más nos temerían en las Thermopilas
¿No se vé bien? Perdonad, han sido las ventanas flan... esas que se ven tan bien...

En fin... lo siento.. Volveré a ponerme un Linux, pero creo que esta vez... me pondré ... otro. Descansa en Paz Ubuntu bajo el fuego purificador de un formateo bajo la bota de Windows Vista....

Saludos Malignos!

Esto, ¿quedamos para tomar algo?

Venga, confiesa, has visto el título del post de hoy y has dicho... "coño fiesta, a ver si queda cerca y puedo ir a tomar unas copas". No hay suerte, sigue currando. El post de hoy viene a colación de una conversación vía messenger con mi amigos Lucciano Bello. Sí, aunque parezca mentira, he descubierto que, de vez en cuando, y sólo de vez en cuando, el messenger sirve para algo más que para "intentar" ligar. Y reitero lo de "intentar" que esto es como lo de los numeros aleatorios, nunca sabes cuando cambiarán.

El caso es que estabamos Lucciano y yo hablando, algo así como "Lu, bien la has montado, jeje","uff, no paro de currar, no me dan las manos a contestar","venga Lu, no te quejes, y ...oye, porqué no miras el codigo de Apache a ver si encuentras algún otro comentario de esos graciosos como el que has encontrado en el OpenSSL","no seas malo, hombre","bueno, vale, oye, Lu, ¿qué te parece a ver si nos vemos para tomar unas copas?","vale,¿dónde?", "¿Te va bien en Las Vegas?","¿cómo dices?","sí, mira Lu, el CFP de las DefCon está abierto, y seguro que si envías un trabajo sobre como funciona lo del fallo del OpenSSL en Debian a la gente le mola verlo y te aceptan","ah, pues vale, si me aceptan nos tomamos algo allí en Las Vegas".

Hoy, revisando los speakers seleccionados me he encontrado con la grata sopresa de que Lucciano Bello se viene a tomar unas copas a la Defcon16. ¡Enhorabuena!. Espero que la visita en las Vegas se convierta en algo así como en los Grammy Latinos, y podamos pasarlo fetén. Al final, al igual que en Blackhat EU estuve acompañadisimo por un grupo divertidísimo de más de 10 crápulas hispanos, parece que este año en la Defcon ya somos tres, más los que acompañen a Lucciano. ¡Viva la fiesta!

Pero además, hay un montón de ponentes chulos, entre ellos está Cameron Hotchkies, el del trabajo sobre como automatizar las técnicas de Blind SQL Injection que presentó en Blackhat 2004, también estará FX para hablar de nuevo sobre forense en dispositivos CISCO, y... joder, la lista es larga de cojones, espero que me toque hablar de los primeros y pueda estar libre para poder ver las charlas de los otros... aunque claro, después de estar tenso por dar la charla en inglés, lo mismo me tomo algo (que tengo más de 21 años...) y me pierdo en esos tugurios de mala muerte y es peor... Tendré que pensar en ello. En fin, aquí tenéis la lista de Speakers seleccionados, y si puedes darme alguna recomendación de alguno de ellos o alguna charla "better than better".

¡Lucciano, nos vemos en Las Vegas!

Saludos Malignos!

Me asusta

Me levanto por la mañana con el sonido del despertador. Últimamente suena a las 6.30 para que pueda aprovechar las horas de la mañana que es cuando los remolones maquinistas de mi cerebro aún no se han tomado la cerveza del bocata ni la copa de después de comer. Me pongo mi pijama y mis sleepers. El pijama es de Mickey Mouse y no lo uso para dormir, sino para antes y después de hacerlo. Mis sleepers son unas zapatillas con cabeza de perro, calentitas y con goma abajo para no resbalarme. Enciendo mi movil y me preparo el cafe. Expreso, con leche de soja, galletas y miel. Leo el correo electrónico en mi móvil mientras escucho de fondo el canal 24 horas de noticias, y el portátil se está sincronizando con los mails y las newsletters.

Empiezo a currar. Newsletters de seguridad, mail de Pedro Laguna sobre la mamona, Silverhack nos manda un mail con unas churris en Pamplona (que cabrón!), comentarios en Vista-Técnica, un mensaje [anónimo] sobre que me quiere partir la cara y no se qué más. Alerta de la agenda, charla sobre Bitlocker mañana a las 13:00 horas, mail de Rocio, para recordarme la fecha y la hora del examen de certificación. El curso de verano, problemas de agenda, hay que volver a cambiar los horarios. JuanFran escribe sobre como administrar Windows Vista remontamente con WS-Management y tengo que leerlo, la caña, este tio es un enfermo ;). Enrique, desde Malaga, me manda los avances del trabajao sobre Metadatos. Me hago el planing del día, decido dedicarle 1 hora a escribir en el artículo sobre como sobrevivir en redes wireless insguras que estoy escribiendo con Alex, quiero cambiarle el enfoque. Rodol está teniendo dificultades con la heramienta de interceptación de ficheros de messenger y no vamos a llegar a este congreso de México, habrá que intentarlo en el de Gales. David va a hablar en las FIST, anotar que hay que ir. Juan Luís ya tiene lista la charla de la conferencia de la LOPD y me pregunta si iré. Sí, creo que iré, quiero ver a la gente de Red Seguridad y allí será un buen momento. Se me ha ocurrido una idéa para No Lusers, apúntala para ver cuando tienes tiempo. Hay que pedir los billetes del viaje. Hay que registrarse en el Collecter, que no me olvide. Porras, el post de hoy, que me olvido. Decido publicar el artículo de ataques a LDAP, que es parte del trabajo de proyecto del Fin de Master. Menos mal que Juan Luís me ayudo con el montaje y las pruebas de LDAP-s, es un cielo. ¿qué hora es ya? ¿La hora de comer? Porras, el día se pasa volado.

Llamada de teléfono, ¿no habíamos quedado para comer? Sí, perdona, ya voy, ¿Quedamos en el WOk?. Me subo al malignomovil, enchufo el móvil al USB para que siga cargando, enciendo la musica. Suena James Bond en Dr. No, es una buena forma de mantener el nivel de inglés escuchar los libros leidos, y James Bond siempre me trae el expiritu de aventuras que tanto me gusta. Llevaría Vaughan, pero tuve que quitar la horrible-antena que traía mi maligno-movil. Comida. Mis neuronas se han tomado ya el carajillo, y empieza a nublarseme el cerebro. Alguien quitó el turbo. No debo de olvidarme de enviarle a Alexa la información que le debo. Me lleva mi hermano: dime broder. chache, no te lo pierdas, en el de Hulk world war contra los X-Men le tronchan los brazos a coloso mientras que están convertido en titánio. In-cre-i-ble-ble. Recuerdo que tengo que pasar a por mis comics del mes. Llego a casa, son las 8, me leo los comentarios, me leo el post de Cervi, (me parto la caja), nuevas alertas de seguridad, me leo la newsletter de Hispasec, vaya, tengo una nueva que ha escrito Bernardo. Respondo mails, "siento contestarte tan tarde, pero ...", me llama mi mami: hijo, cómo vas? no se nada de ti últimamente, no viajes tanto cariño, come bien, que siempre te comes un sandwiche de esos y no te alimentas, que te veo muy delgado hijo, hace frio? aquí hace mucho, donde estás ahora?, te voy a ver el findesemana? Son las 10 de la noche. Mis ojos se empiezan a cerrar, voy a por un comic, me pongo el pijama de mickey mouse, me meto en la cama, abro GrimJack, mmm Timothy Truman me mola, después de leer Scout, soy fan total de Tim. Grimjack, toma ya, la ciudad pandimensional, el lagarto bebedor de cerveza, Jim Laynon y su homenaje personal a la muerte de John Lennon. Apago la luz, apago el movil. Se va el día.

Suena el despertador, ¿es la misma hora de ayer o más temprano?. Me pongo el pijama, me preparo el café, enciendo la tele mientras el movil se descarga el correo. Escucho las noticias.....y ¿qué ha pasado en el mundo? Ayer pasó, y no me enteré de nada. No sé nada de política, no me da tiempo. No sé práctimanete de la historia. No sé practimante nada que no sea lo que directamente vivo. Dios, ¿tendrán los otros informáticos tiempo para todo? Es decir, ¿tiempo para ser informático y para estar al día de la política, de la sociedad, de la historia de los pueblos, de lo justo, lo injusto, lo bueno, lo malo, y tener claras las ideas sobre como cambiar el mundo? Sí, yo también quiero un mundo mejor, e intento hacer mis cosas, ayudo al que puedo, doy cariño al que me lo pide, colaboro con todo lo que está en mi mano y me parece digno, pero no tengo ni idéa de como gobernar un país o un mundo. Me da un escalofrío. Me asustan todos esos informáticos, que sé que están como yo, que tienen tan poca idéa como yo de todas estas cosas y sin embargo quieren destruir lo que existe....¿para construir qué?. Antes de tirar mi casa, que es dónde vivo, cuentame como vas a hacerme una casa más bonita y mejor para mi y para todos.

Me asustan los que lo tienen tan claro y tienen claro que hay que destruir y quién es el enemigo. No sé mucho de historia, peor sí se que la historia se cuenta con hombres que tienen muy claro lo que quieren construir.

Yo soy informático, ¿y tú?

Saludos Malignos!