Archivo

Archivo de Autor

Lenguaje verbal y no verbal en las empresas

mayo 28, 2014 Deja un comentario

Las relaciones humanas son complejas. Los humanos somos seres cambiantes que respondemos a estímulos que activan determinadas zonas de nuestros cerebros y nos hacen comportarnos de formas que en muchos casos, no es posible medir con exactitud u objetivamente. No somos tan predecibles como cualquier ordenador, al que se le ingresan instrucciones y se ejecutan inmediatamente con muy poco margen a errores lógicos. Los vínculos que establecemos con otras personas, son mucho más intensos y permanentes que las conexiones que existen entre ordenadores y además, manejamos muchas más variables que influyen en nuestro comportamiento, tales como los factores ambientales y socio-culturales. Las relaciones humanas son las que realmente impulsan los movimientos y las causas más importantes que han provocado los progresos más impresionantes de los últimos años, no las máquinas. Imaginaros por un segundo, qué seria de la informática hoy en día si no existieran comunidades de usuarios y desarrolladores, imaginaros que el software privativo fuera la idea predominante y nadie compartiera lo que hace con sus colegas o amigos, ¿Qué seria de la informática? Sin duda, algo muy distinto a lo que conocemos hoy en día.
Los humanos somos una especie realmente interesante y sorprendente, tanto en su grandeza como en su bajeza y desde mi perspectiva; que no deja de ser la perspectiva de un informático, es especialmente interesante leer sobre los estudios de investigadores como Paul Ekman, Christopher Hadnagy o Daniel Goleman, así como entender los conceptos del “Social Engineering Framework” que a diferencia de lo que muchos opinan, no solamente se centra en engañar, estafar o ganar accesos no autorizados a zonas restringidas como en cualquier producción hollywoodense, sino que son principios que nos pueden ser útiles en nuestro día a día, nos ayudan a entender mejor a las personas que nos rodean y a nosotros mismos. Si aplicamos esos mismos principios psicológicos a nuestras relaciones personales, rápidamente podemos darnos cuenta que para establecer relaciones solidas, es necesario tiempo, dedicación, confianza y sobre todo, honestidad. Esto aplica para todo, no solamente en la vida personal, también en la vida profesional, pero es justo ahí donde nos encontramos un gran “pero”, una gran “excepción”.

Llevo casi 10 años trabajando en empresas de informática, he trabajado en varios sitios y siempre he desempeñado labores técnicas porque es lo que me interesa. En todos los sitios por los que he pasado me he encontrado con lo mismo (en mayor o menor medida): El lenguaje verbal casi nunca corresponde con el lenguaje no verbal y lo que realmente la gente quiere expresar, siempre se engalana con un lenguaje lleno de palabras cuidadosamente seleccionadas para no ofender ni cabrear a nadie. Evidentemente, lo que se esconde detrás de esa aparente educación y tacto a la hora de decir las cosas, es el miedo. Miedo a perder el empleo, miedo al “qué dirán”, miedo a que los demás no tengan una imagen “perfecta” de lo buenos que somos profesionalmente hablando, etc. Ese miedo se traduce posteriormente a un entorno completamente viciado, en el que todo el mundo se esfuerza por ocultar algo, por no enseñar a los demás lo que realmente piensan o sienten, por aparentar cosas que no son, en fin… la gente se esfuerza demasiado en disimular. En un entorno como ese todos pierden y la pregunta lógica es: ¿Por qué razón esto persiste y se ha vuelto una constante en las empresas? En mi opinión, se debe a los intereses de aquellos que solamente saben gestionar sus “chiringuitos” en base al miedo y no en base al conocimiento y las habilidades de sus empleados. Así de claro y así de simple.

Por ejemplo, veamos algunos casos comunes que he visto y desafortunadamente, sigo viendo en entornos empresariales. Cualquier parecido con la realidad de alguno, es pura coincidencia:

  1. Jefe solicitando un esfuerzo a su equipo.Lo que el lenguaje verbal dice:
    Jefe: El tiempo que teníamos disponible para entregar el proyecto se ha terminado y aun quedan muchos frentes abiertos que necesitamos cubrir entre todos. Tenemos un compromiso con el cliente que estamos obligados a cumplir. Sé perfectamente que todos y cada uno de vosotros lo habéis dado todo para llegar hasta donde hemos llegado, pero necesitamos hacer un esfuerzo extra para conseguir el objetivo de la entrega.
    Equipo: <resignación y caras largas>
    Lo que el lenguaje no verbal dice:

    Jefecillo de algo: Vamos a ver, os habéis estado tocando los huevos todo este tiempo y me han metido un jalón de orejas por no tener esta mierda terminada. Necesito que vosotros acabéis el trabajo que queda pendiente para que los amos no me aprieten más la corbata y pueda seguir viviendo tranquilamente, vamos… como he hecho todo este tiempo.
    Pues eso, a currar cabrones!! <Estremecedor sonido de un látigo rasgando pieles>
    Equipo: Ya estamos otra vez con las gilipolleces. Puta crisis! Cuando será que se acaba para mandarles a tomar por culo e irnos a otra empresa.

  2. Un Simple saludo en las mañanas.Lo que el lenguaje verbal dice:

    Compañero 1: Buenos días.
    Compañero 2: Buenos días.

    Lo que el lenguaje no verbal dice:

    Currito 1: Estoy hasta los huevos de tirarme todos los días más de 1 hora en transporte público para llegar hasta aquí. No me explico porque tenían que montar esta oficina en un extremo de la ciudad. Además, no he dormido bien, estoy cansado y francamente no me apetece estar aquí.

    Currito 2: ¿Me lo dices o me lo cuentas? Ayer me he tenido que quedar hasta las tantas; horas extra que por supuesto no me van a pagar y por si fuera poco, llego y lo primero que recibo es un correo de mi jefe con más curro que tengo que sacar para hoy.

  3. Comercial intentando ganar un proyecto o vender un producto:
    Lo que el lenguaje verbal dice:
    Comercial: Tenemos equipos con un alto perfil técnico y con una dilatada experiencia tanto en el área del desarrollo de software como en temas relacionados con auditoria de sistemas. Somos una empresa que se caracteriza por ser eficaz y eficiente en el desempeño de su actividad profesional y tenemos en nomina a los mejores profesionales que se dedican a crear proyectos de última tecnología con un énfasis especial en satisfacer las necesidades de nuestros clientes.
    Cliente: <Silencio absoluto, únicamente se escucha el eco de la voz del comercial> <Después de unos instantes de silencio> Muy bien, suena interesante pero tendremos que hablar detenidamente sobre las condiciones del acuerdo.Lo que el lenguaje no verbal dice:
    Vende-Motos: No tengo ni puta idea de cual es la diferencia entre un programa y una patata, ambos se comen, ¿no?. No se que es un equipo de desarrollo, ni mucho menos lo que es un sistema, pero me han dicho que el equipo que tenemos es muy bueno. ¿Nos contratas? Te invitamos a copas y lo que haga falta!
    Abusón: Hijo mío, ¿estas escuchando lo que nos estas contando?… Espera, ¿Has dicho copas y lo que haga falta? Mira, nos interesa lo que nos cuentas y el proyecto es tuyo si nos haces un descuento del 80%, que es que con la crisis todo anda muy mal.
  4. Definiendo el alcance de un proyecto.Lo que el lenguaje verbal dice:

    Cliente: Quiero que el sistema sea capaz de conectarse con todos los sistemas de mi organización y me genere reportes parametrizables, fáciles de manejar y con muchas gráficas que me muestren las rutas más criticas en términos de recursos, proveedores, insumos y tiempos de espera. Además, quiero que el sistema sea capaz de monitorizar todos los ordenadores de la organización y permita detectar el momento en el que un ordenador ha dejado de funcionar por un problema de hardware. Otra funcionalidad critica que también quiero que el sistema controle, es que sea capaz de conectarse a las máquinas de café de todas las plantas del edificio y permita saber cuál de todas tiene el mejor café, que no hay nada que me moleste más que un café con mal sabor a primeras horas de la mañana.

    Jefe de Proyecto: Creo que podemos cumplir con las necesidades del proyecto, ¿Qué opinas consultor experto de mi compañía?

    Consultor Experto: Estoy de acuerdo, pero creo que para cumplir íntegramente con todos los objetivos expuestos, tenemos que utilizar X tecnología (basada en Java o .Net, casi seguro), ya que es la arquitectura más eficiente, robusta, estable, eficaz, escalable, precisa y genial.

    Lo que el lenguaje no verbal dice:

    Niño escribiendo su carta a los reyes: Quiero que me lo hagáis todo hecho. Que haya un botón gordo que haga todo por mi. Si se me acaba la viagra, que sea capaz de ir a donde haga falta para comprármela, que cuando ataque el hambre, sea capaz preparar un bocadillo de jamón con queso y me consuele cuando me sienta triste.

    Jefecillo de algo: Esto se ve complicado… Eh tú, di algo que para eso te he traído, no podemos quedar mal!.

    Tecno-paleto haciéndose pasar por informático: No tengo ni puta idea de lo que me están hablando, de hecho, no tengo ni idea de cómo funciona un ordenador, pero claro, no puedo decir que no sé o quedarme callado, así que mi estrategia consistirá en despistar con palabrejas y haciéndoles creer que controlo mucho de tecnología. Total, el problema será para los desarrolladores, así que me da igual. Lo importante es venderme bien y tener un subidón de auto-estima viéndoles como admiran mis supuestos conocimientos. Si, lo sé. Soy patético.

  5. Empleado “quemado” pasando de su jefe.Lo que el lenguaje verbal dice:
    Jefe: ¿Has visto el correo? Nos han enviado una incidencia reportada por un usuario. Nos comenta que la escala de grises que tiene la pantalla principal le parece fea y quiere que la cambiemos por un “azul aguamarina” para que tenga la sensación de estar en una playa mientras navega por nuestra web. ¿Has podido echarle un vistazo?

    Soporte Técnico: No, he tenido mucho lío hoy y no he podido revisar tu correo.
    Jefe: Ok, échale un vistazo cuanto antes, es un tema que nos urge resolver.

    Lo que el lenguaje no verbal dice:

    Jefecillo de algo: Eh, ppissssstt pisstt, que he visto que tienes poco curro y me he buscado la gilipollez más rebuscada que hay para mantenerte ocupado, pero estoy notando con total asombro, que pasas completamente de mi y de mis deseos.
    Currito soportando idioteces: Pues si, paso de ti porque tengo cosas más importantes que hacer. Si estas aburrido, te sugiero que te dirijas al cuarto de baño con un libro de informática en mano y te quedes allí todo el día leyendo. Falta que te hace!

    Jefecillo de algo: Ah, ya veo. Pues, ahora quiero que dejes lo que sea que estés haciendo y te centres en hacer lo que te digo. Que aquí el que manda soy yo!

  6. Súper Jefe explicando a un desarrollador las bondades en un nuevo proyecto.
    Lo que el lenguaje verbal dice:Super Jefe: Tenemos un proyecto que creemos que se ajusta perfectamente a tu perfil y a tus necesidades profesionales. Es un proyecto en el que vas a aprender muchísimo y vas a poder afinar tus habilidades. Creemos que es el proyecto ideal para ti y queremos verte crecer profesionalmente en nuestra compañía.

    Desarrollador Novato: Claro, suena muy interesante y también creo que encaja con mis metas profesionales.

    Desarrollador Experimentado: <Silencio absoluto>

    Lo que el lenguaje no verbal dice:
    Gran Corbata: Tenemos un marrón de tres pares y quiero que te lo comas tú, pero eso si, con buen rollito. Me da igual lo que respondas, ahí vas a ir de cabeza te guste o no.

    Currito sin pelos en los huevos: Buah, mi jefe me valora un montón. Por fin alguien que aprecia mis habilidades como uno de los más grandes hackers de los últimos tiempos. Esto es solo el comienzo, lo siguiente será trabajar para la NSA o la NASA. Bueno, ya veremos quien me ofrece más dinero.

    Currito quemado: Otro marrón que me cae a mi. Puff… estoy cansado de proyectos que no me aportan nada interesante técnicamente y que encima, me venden como si fueran la hostia.

  7. Compañerismo en fechas de entregas.Lo que el lenguaje verbal dice:

    Técnico con problemas: Que tal tío, mira es que ahora estoy con la funcionalidad “B” que depende de “A”, que tengo entendido que la has hecho tú y resulta que me esta dando errores a la hora de utilizarla, con lo cual se me dificulta avanzar. ¿Me puedes echar un cable un momento a ver si a ti se te ocurre porque puede ser?

    Técnico ocupado: Hombre, cuando yo lo probé en mi local funcionaba perfectamente, fíjate en lo que sale en los logs de tu funcionalidad a ver si ves algo, porque la funcionalidad que yo desarrolle funcionaba cuando la subí al repositorio y si ahora falla es que alguien la ha tocado. Yo ahora estoy con otras cosas y no te puedo ayudar, pero si sigues atascado, me dices y lo vemos.

    Técnico con problemas: Ok, gracias!

    Técnico con problemas <10 minutos después>: Ya he visto el problema en la funcionalidad “A” que habías subido y lo he corregido, lo subo nuevamente al repositorio para que te actualices cuando puedas.

    Técnico ocupado: Ok, luego le echo un vistazo.

    Lo que el lenguaje no verbal dice:
    Compañero Jodido: Tío, lo que has hecho esta fallando y me impide continuar, ¿podrías revisarlo por si ves algo que te haya faltado por subir?. Sabes que tenemos que entregar para ayer y ahora mismo, estoy perjudicado porque no funciona lo que has hecho.

    Compañero Cabrón: La funcionalidad es perfecta en si misma. ¿Que cómo lo sé? Joder, la he hecho yo, así que por definición es perfecta. Lo que pasa es que eres un paquete que no sabe programar y claro, para ti es imposible entender la magnificencia de mi código.
    Compañero Jodido: Ok, gran señor programador, pues tendré que revisar lo que has hecho con detenimiento para ver en donde está el fallo.

    Compañero Jodido<10 minutos después>: Ya he visto lo que has hecho mal y lo he corregido con mis manitas. Te lo comento para que te duela un poquito el orgullo.

    Compañero Cabrón: No me lo creo, ahora mismo voy a ver lo que has subido! Como te has atrevido a profanar mi código perfecto con tu deficiente lógica! Que sepas que esto ha sido una afrenta contra mi profesionalidad y gran talento.

  8. Interacción entre pentester y cliente
    Lo que el lenguaje verbal dice:Pentester: En este documento indica que la auditoria cubrirá los casos “A” y “B”. Descubriremos cualquier vulnerabilidad en dichos contextos y te daremos un reporte, sin embargo, los casos “C” y “D” pueden ser igualmente críticos y se recomienda realizar pruebas sobre dichos casos también.

    Cliente: Nos interesa los casos “A” y “B”. Sobre los casos “C” y “D”, hablaremos más adelante.

    Pentester: De acuerdo, pero es importante puntualizar que son casos que pueden incluir vulnerabilidades criticas y que no se cubrirán en la auditoria que realizaremos en “X” fecha.

    Cliente: Tendremos en cuenta tus recomendaciones.

    <POCO TIEMPO DESPUÉS, UNA VULNERABILIDAD EN EL CASO “E” COMPROMETE INFORMACIÓN DE NEGOCIO CRITICA DEL CLIENTE>
    Cliente: La auditoria ha sido ineficaz y no se han reportado todas las vulnerabilidades que debería haber incluido.

    Pentester: La auditoria ha sido completa, pero tal como se ha indicado en su momento, no nos hacemos responsables por los entornos y casos de prueba que no se han pactado en el acuerdo firmado.

    Lo que el lenguaje no verbal dice:

    Currante de la seguridad: Vamos a ejecutar una auditoria completa sobre los casos “A” y “B”, pero en los casos “C” y “D” te puedes encontrar con un problema serio, que lo sepas.

    Cliente rácano: No creo, me interesan los casos “A” y “B”. Los demás casos no me preocupan. Voy a aflojar la pasta justa para tener un informe de seguridad que me permita dormir tranquilamente por las noches. Que si algo falla, es culpa tuya y te exigiré responsabilidades.

    Currante de la seguridad: Ok, como tu digas. Los demás casos no están cubiertos y si hay un problema, el marrón te lo comes tú. Recuerda que la información es tuya y no mía, así que tú mismo.

    Cliente rácano: Vale, vale… lo apunto en mi libreta invisible.

    <POCO TIEMPO DESPUÉS, UNA VULNERABILIDAD EN EL CASO “E” COMPROMETE INFORMACIÓN DE NEGOCIO CRITICA DEL CLIENTE>
    Cliente rácano cabreado: Pero que ha pasao!! ¿y tu eres un hacker ético profesional? Esto es el puto caos! Hasta nuestro competidor más pequeño se está mofando de nosotros en nuestra cara! y con la pasta que te he pagado y van y se nos meten hasta la cocina!. El informe que me has dado es una mierda, no ha servido para nada el esfuerzo y el dinero invertido. Que sepas que nos has jodido el negocio y te voy a exigir responsabilidades legales.

    Currante de la seguridad: Te lo dijimos en su momento, pero por andar racaneando te han jodido vivo. Te lo hemos advertido y está por escrito, así que ahora no vengas a echarnos la mierda encima que no cuela. La responsabilidad ha sido toda tuya.

En todos los casos faltan dos cosas primordiales: HONESTIDAD y PROFESIONALIDAD. Valores que desafortunadamente brillan por su ausencia en muchas empresas dedicadas a la informática. Han sido muchas las ocasiones en las que he hablado con compañeros sobre estas cosas y siempre hemos llegado a lo mismo: Lo mejor es pasar de todo eso, hacer tu trabajo de la mejor forma que te sea posible e intentar ser buena persona, que no es más que colaborar con tus compañeros y entender que haces parte de en un equipo de trabajo, que ellos también son personas como tú, que tienen problemas y que lo pasan mal, exactamente igual que tu, ese que se sienta a tu lado también sangra si le pinchas. Piénsalo de ese modo y te será más fácil ponerte en su lugar. Sin embargo, los problemas de algunos que conforman las “capas altas”, no tienen solución inmediata. ¿Qué solución habría ante un jefe que desconoce por completo el termino “informática” y que con total arrogancia se cree superior a los técnicos por estar en las posiciones altas de una jerarquía mediocre? ¿Qué solución habría para un “consultor” que no solamente no quiere aprender nada, sino que además se cree que lo sabe todo o se vende como un experto? ¿Qué solución habría ante clientes y empleadores que se aprovechan de la situación actual para bajar los precios a costa de la calidad de productos y servicios? No he encontrado respuesta para preguntas como esas, pero sinceramente espero que las nuevas generaciones desarrollen verdaderas capacidades para la gestión y que no tengan problemas en investigar y aprender cosas nuevas, que se centren más en hacer bien su trabajo y menos en la “política” para ascender o mantenerse en una empresa, que apuesten por su auto-formación y que admitan con total sinceridad cuando no tienen conocimientos sobre alguna tecnología o tema concreto.
Hay demasiados “jefecillos” que creen que ser jefe es sinónimo de “vivir bien” y hacer un “dispaching” de todo el trabajo, así como “consultores” que creen que la informática es simplemente aprender dos palabrejas y hacerse pasar por experto sin tener ni puta idea de nada. Aun los hay que son buenos, que gestionan bien sus equipos de trabajo, con profesionalidad y un juicio adecuado, los hay que son expertos de verdad, esos que no les da miedo meterse con configuraciones o analizar código, esos que no tienen miedo de meterse en “el fregao” aunque tengan puesto un traje impecable. He tenido la oportunidad de trabajar con profesionales como esos y además de ser excelentes compañeros y jefes, son excelentes personas, pero desafortunadamente han sido muy pocos y cada vez hay menos porque prefieren irse a trabajar fuera. Desde mi punto de vista, hacen falta más informáticos y gestores de verdad, hacen falta más profesionales y menos farsantes.

Conclusión: Hace falta un cambio de mentalidad. Aprender a ser más honestos en el trato con nuestros compañeros de trabajo y clientes, del mismo modo que lo intentamos en nuestras vidas personales; evidentemente separando ambos contextos, tanto el personal como el profesional. De esa forma, a lo mejor, se podrá mitigar un poco el malestar que muchos sienten en sus puestos de trabajo, así como intentar ser más productivos y eficientes por medio del esfuerzo y la dedicación, que al final de cuentas son las principales características de un buen informático.
Hay que dejar hacer el subnormal en la fauna empresarial y empezar a ver que lo realmente importante, no es el color de la corbata del jefe de turno, sus afiliaciones políticas o sus “capacidades” a la hora de hacerle la pelota a “los de arriba”.

Saludos y Happy Hack!

Categorías:Uncategorized Etiquetas:

Hacking con Python Parte 17 – FuzzDB y PyWebFuzz

mayo 27, 2014 Deja un comentario

Utilizando FuzzDB y PyWebFuzz para ejecutar procesos de fuzzing desde python.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 16 – Introducción a MASM

mayo 22, 2014 2 comentarios

Introducción a MASM sobre plataformas windows.

MessageBoxMASM.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/MessageBoxMASM.asm
StdOutMASM.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/StdOutMASM.asm

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

21 Blogs sobre seguridad informática que deberías conocer, en castellano.

mayo 21, 2014 7 comentarios

Es cierto que la mayoría de blogs y sitios web con información actualizada sobre seguridad informática y hacking se encuentran en ingles, sin embargo, en castellano también hay muchos sitios con documentación interesante que viene muy bien conocer. En esta entrada hablaré sobre algunos de los blogs que suelo leer y que considero recursos “imprescindibles” a los que merece la pena dedicarles un poco de tiempo cada semana. Muchos de los sitios web que se listan a continuación, me han ayudado a mejorar mis conocimientos, resolver dudas, a pensar de un modo distinto a la hora de resolver problemas… en definitiva, me han ayudado a mejorar profesionalmente. Son sitios que favorecen a toda la comunidad y sus autores no solamente se han ganado todo mi respeto, también mi más sincero agradecimiento por dedicar parte de su tiempo en ayudar a que esas cosas que en seguridad informática son tan complejas, sean un poco más fáciles de entender. Los blogs no solamente son espacios para la difusión de conocimientos, también sirven para compartir opiniones o ideas, algo que contribuye al crecimiento de la comunidad hacker de habla hispana y complementar puntos de vista; por este motivo son tan importantes, especialmente en los tiempos de corren. Aquí solamente voy a incluir un listado muy corto de los que considero los mejores blogs que hay disponibles en habla hispana sobre seguridad informática.

El Lado del Mal: Blog personal de Chema Alonso. Habla sobre técnicas de hacking y muchos artículos interesantes relacionados con la seguridad informática (y otras cosas “fikis” que tanto nos gustan XD). Últimamente han habido varios artículos sobre Latch, una herramienta muy interesante para añadir una capa de seguridad extra a servicios en Internet. ¿No lo conoces? Venga ya, no me lo creo… XD  www.elladodelmal.com

Security By Default: Se trata de un blog llevado por un grupo de profesionales de la seguridad informática en el que se incluyen varias secciones sobre herramientas, eventos, libros recomendados, entre otras cosas. Es un blog en el que se publican entradas con mucha frecuencia y que cuenta con el reconocimiento de la comunidad por su alto contenido técnico. http://www.securitybydefault.com/

DaboBlog: Blog personal de David Hernández (aka. Dabo), este es “el sitio” por excelencia para todos los que usamos GNU/Linux y específicamente Debian. David es un profesional excelente que incluye en su blog personal  muy buenos contenidos sobre administración de servidores y hacking en sistemas basados en GNU/Linux. Además de su blog, tiene otros sitios web que merece la pena revisar con frecuencia: http://www.daboblog.comhttp://www.apachectl.com/  -  http://www.debianhackers.net/

DragonJar: Una de las comunidades más grandes en habla hispana fundada por Andrés Restrepo, en la que encontrarás múltiples recursos en forma de vídeo tutoriales, entrevistas, manuales, un foro de usuarios con bastante movimiento, etc. http://www.dragonjar.org/

Flu Project: Un blog mantenido por Juan Antonio Calles y Pablo Gonzáles, en el que todos los días podrás encontrar un nuevo artículo con noticias, manuales técnicos y eventos relacionados con la seguridad informática. También incluyen un listado de herramientas de seguridad y retos hacking que resultan muy útiles para practicar. http://www.flu-project.com/

Pentester.es: Es un blog especialmente interesante por incluir contenido completamente técnico en el que se explican al detalle pruebas de concepto y explotación de vulnerabilidades. Aunque no se actualiza con tanta frecuencia como los anteriores, lo considero como uno de los mejores blogs en español sobre hacking y exploiting. http://www.pentester.es/

Seguridad y Redes: Llevo varios años siguiendo este blog, leyendo cada una de sus entradas y ¿qué puedo decir? Nunca me ha defraudado. Creo que es el sitio con más información sobre redes de datos en castellano del que he tenido el gusto de aprender. http://seguridadyredes.wordpress.com/

TuxApuntes: Sitio web muy conocido entre los usuarios de Linux, ya que contiene una gran cantidad de tutoriales que van desde conceptos básicos hasta buenas prácticas a la hora de administrar de servidores. http://tuxapuntes.com/

Original Hacker: Sitio web administrado y mantenido Eugenia Bahit. en él podrás encontrar todas las ediciones de la revista “Original Hacker”, para mi es uno de los recursos más interesantes sobre seguridad informática en castellano, artículos técnicos muy bien explicados y como buena hacker, habla bastante sobre programación en lenguajes como Python. Altamente recomendado. http://www.originalhacker.org/

Inseguros: El blog de “kinomakino” en el que encontraras recursos muy interesantes sobre Pentesting, especialmente sobre sistemas basados en Windows y tecnologías Microsoft, aunque como todo buen blog de hacking, no se limita únicamente a eso. Tiene una colección bastante completa de libros recomendados, los cuales, desde mi punto de vista, son los mejores que hay actualmente sobre seguridad informática. Además, también tiene un listado de recursos y blogs recomendados bastante completa. http://kinomakino.blogspot.com.es/

Hacktimes v2: Este blog ha sido el ganador del concurso Bitácoras 2013 en la categoría de mejor blog de seguridad informática. Ya te podrás imaginar que te encontrarás en él ;-) http://www.hacktimes.com/

1GBdeinformacion: Roberto Garcia (aka. @akil3s) nos presenta un sitio web en el que habla de todo un poco, sobre hacking en aplicaciones web, manuales sobre redes, análisis forense, “trucos” varios, conferencias y eventos sobre seguridad informática en España (de las que parece que no se pierde ni una, fuera de coña… aparece en todas XD). Os animo a visitarlo! http://www.1gbdeinformacion.com/

HackPlayers: Otro gran blog que se suma a esta lista. Incluye información sobre retos, cursos, herramientas, etc. http://www.hackplayers.com/

Seguridad a lo Jabali: Si tuviera que elegir en tres palabras para definir este blog serian: divertido, educativo y  practico. A mi modo de ver, son las principales características de este sitio. http://www.seguridadjabali.com/

Un tal 4an0nymous en el pc: Blog personal de Germán Sánchez.Este blog siempre me ha resultado muy entretenido de leer por la forma en la que el autor explica las cosas, es un profesional que además de ser muy bueno por lo que se puede ver en su blog, tiene un sentido del humor que me resulta muy ameno. Habla un poco de todo, explotación de software, ataques en entornos web, maleware, etc. http://www.enelpc.com/

Kontrol0: Sitio web de Ismael Gonzáles, autor del libro “Backbox 3 – Iniciación al Pentesting” y la herramienta “K0SASP” para hacking en sistemas MacOS. Personalmente, una de las cosas que más gustan de este blog, es que casi todas las entradas son cortas, precisas y prácticas, de esas de las que te enteras rápidamente sobre lo que el autor quiere explicar y poner en práctica. http://www.kontrol0.com/

sniferl4bs: Blog de Jose Moruno Cadima,otro sitio genial sobre seguridad informática y técnicas de hacking. Hay publicaciones constantes que seguramente serán de tu interés. http://www.sniferl4bs.com/

Elhacker.net: Se trata de una comunidad que cuenta con una amplia trayectoria y con miles de usuarios registrados. En el foro y en el blog encontrarás contenidos actualizados todos los días sobre seguridad informática y sistemas en general. Hay gente con mucho nivel con la que puedes contactar directamente o por medio de comentarios, algo que te vendrá muy bien para resolver dudas o saber cómo se hacen ciertas cosas.  http://foro.elhacker.net  -  http://blog.elhacker.net  -  http://warzone.elhacker.net

Hay otros blogs que no llevan tanto tiempo o por lo que sea son menos conocidos, pero que aun así tienen aportes muy valiosos que deberían tener más difusión. Aquí aporto mi pequeño granito de arena. :-)

 

State X: Blog personal de Albert Sanchez, que si bien lleva un par de años rondando en la red y publica prácticamente a diario, creo que aun no ha tenido suficiente difusión (o a lo mejor sí XD). En cualquier caso, es otro blog en el que podrás aprender sobre técnicas básicas de ataque, así como también, algunos artículos sobre Python en los que el autor habla de sus “andaduras” con este lenguaje. http://infostatex.blogspot.com.es/

Securit CRS: Un blog de noticias muy interesante en el que te habla de las principales tendencias en lo relacionado a actividades maliciosas, cibercrimen y otros temas de actualidad. La forma en la que el autor relata cada artículo es simplemente genial, os recomiendo su lectura :-) http://securitcrs.wordpress.com/

Dadme un punto de Red y moveré el mundo!!: Se trata de un blog que data del año 2007 y aunque últimamente ha tenido pocas publicaciones, hay algunos artículos interesantes sobre seguridad informática y administración de servidores. http://monimandarina.blogspot.com.es/

Penny of Security: La primera entrada que leí de este blog, me pareció tan entretenida que desde entonces sigo pendiente de nuevas publicaciones. Lleva poco tiempo en circulación (poco menos de un año) pero tiene muy buena pinta de cara al futuro de sus contenidos. Os recomiendo seguir su evolución, en unos años puede ser un espacio informativo muy bueno. http://pennyofsecurity.blogspot.com.es

Me he dejado muchos, lo sé y son más de los que me gustaría, pero como he dicho al principio, se trata de una lista corta donde he incluido los blogs que más me gustan. ¿Quieres dar a conocer otro blog que no está incluido aquí? Deja un comentario.

UPDATE: Se me había pasado un sitio que no solamente tiene una gran trayectoria, sino que también incluye recursos que todo profesional de la seguridad informática debería conocer, estamos hablando de “elhacker.net”. Con lo cual, se trata de un listado de los 22 sitios que desde mi punto de vista, son los mejores en habla hispana.

Saludos y Happy Hack!

Categorías:Hacking Etiquetas: , ,

Hacking con Python Parte 16 – Twitter desde Python utilizando el protocolo OAuth

mayo 20, 2014 Deja un comentario

Uso de RAUTH para manejar los tokens y sesiones de OAUTH.
También se utiliza la librería python-twitter para gestionar alguna de las aplicaciones que podemos crear en una cuenta de Twitter.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 15 – Sintaxis Intel en NASM

mayo 15, 2014 4 comentarios

Programas escritos en sintaxis Intel y utilizando NASM.

Fibonacci.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/Fibonacci.asm
echo.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/echo.asm
Comparacion.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/Comparacion.asm
Comparacion.c: https://github.com/Adastra-thw/ExploitSerie/blob/master/Comparacion.c

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 15 – Utilizando Shodan desde Python

mayo 13, 2014 Deja un comentario

Utilizando la API de Shodan para encontrar servicios y dispositivos en internet.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 14 – Introducción a NASM y MASM


Introducción al NASM y programas escritos con sintaxis Intel.

HelloNASM.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/HelloNASM.asm
HelloNASM-Win.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/HelloNASM-Win.asm

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 14 – Utilizando NMAP desde Python

mayo 6, 2014 1 comentario

Uso de python-nmap para realizar escaneos en segmentos de red con Nmap desde scripts en python.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 13 – Assembly Inline

mayo 1, 2014 1 comentario

Uso de Assembly Inline desde programas escritos en lenguajes de alto nivel como C/C++

cfunctest.c: https://github.com/Adastra-thw/ExploitSerie/blob/master/cfunctest.c
globaltest.c: https://github.com/Adastra-thw/ExploitSerie/blob/master/globaltest.c
regtest1.c: https://github.com/Adastra-thw/ExploitSerie/blob/master/regtest1.c
regtest2.c: https://github.com/Adastra-thw/ExploitSerie/blob/master/regtest2.c
changedRegisters.c: https://github.com/Adastra-thw/ExploitSerie/blob/master/changedRegisters.c
jmpTest.c: https://github.com/Adastra-thw/ExploitSerie/blob/master/jmpTest.c

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 13 – Mecanismos de autenticación en protocolo HTTP

abril 29, 2014 1 comentario

Se explican los mecanismos de autenticación “Basic” y “Digest”, así como el uso de requests para utilizar ambos mecanismos desde clientes HTTP.

BasicAuth.py:  https://github.com/Adastra-thw/pyHacks/blob/master/BasicAuth.py

DigestAuth.py:   https://github.com/Adastra-thw/pyHacks/blob/master/DigestAuth.py

DigestAuthRequests.py:  https://github.com/Adastra-thw/pyHacks/blob/master/DigestAuthRequests.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Tortazo: Desarrollo de un framework de auditoría para la deep web de TOR.

abril 25, 2014 2 comentarios

Desde hace algunas semanas, he dedicado una parte de mi tiempo libre en el desarrollo Tortazo, que tal como he comentado en una entrada anterior, es una herramienta útil para  auditar repetidores de salida en la red de TOR. Sin embargo, no se ha limitado a recolectar información sobre repetidores de salida, desde la liberación de la primera versión he implementado algunas  características que van a permitir ejecutar pruebas de pentesting sobre sitios web en la deep web de TOR; algo que no siempre es fácil de hacer, ya que el formato de las direcciones ONION en la deep web de TOR solamente es resoluble estando “dentro” de la red y utilizando un cliente de TOR, algo para lo que herramientas como W3AF entre muchas otras, no están preparadas. Además, he creado una pequeña capa de persistencia que permite almacenar los resultados de los escaneos directamente en una base de datos SQLite, de esta  forma, los repetidores de salida encontrados por Tortazo quedarán almacenados para poder ejecutar pruebas de pentesting posteriormente.
Se trata de una herramienta escrita en Python y permite que algunas de las herramientas de pentesting comunes, tales como W3AF, Nessus, Nikto o Shodan puedan ejecutarse sin limitación alguna sobre sitios web en la deep web de TOR. Para  integrar estas herramientas; y cualquier otra herramienta, framework o rutina de código escrita por terceros, he implementado un sistema de plugins basado en IPython que permite cargar directamente un plugin (módulo python) en el interprete.
IPython cuenta con una API  muy interesante que permite integrar muchas características adicionales al interprete de Python convencional, como por ejemplo, la capacidad de ejecutar comandos del sistema y auto-completado de comandos con la tecla de tabulación, es una excelente forma de interactuar con objetos en Python y ver al vuelo su funcionamiento. Todos los plugins en Tortazo, son simplemente scripts escritos en Python que extienden de una clase base que se encarga de inyectar los repetidores de TOR encontrados en un escaneo activo o en la base de datos y de configurar los detalles de conexión para enrutar todas las peticiones por medio de TOR en el caso de que sea necesario.
Mi idea con todo esto, es la de crear un framework que permita ejecutar pruebas de pentesting contra repetidores y  cualquier hidden service en la red de TOR. Actualmente hay pocas herramientas con estas características, por este motivo intento desarrollarla de la mejor forma posible y aunque llevo poco tiempo de desarrollo, creo que he conseguido hacer bastantes progresos que seguramente resultarán interesantes a aquellas personas que deseen ejecutar auditorias contra servicios “ocultos” en la deep web de TOR. No obstante, es mucho lo que falta por desarrollar para convertir a Tortazo en  un framework robusto y potente enfocado a la deep web, así que nuevamente os invito a “clonar” el repositorio GIT de Tortazo para hacer pruebas y reportar cualquier tipo de fallo o mejora. Además, si estas interesado en colaborar con su desarrollo, no dudes en escribirme un mensaje ;-)
Ya que todo es mejor verlo en funcionamiento, he publicado algunos vídeos para explicar cómo utilizar algunas de las opciones de Tortazo que he desarrollado hasta el momento y también, para explicar como se cargan y utilizan los plugins en Tortazo por medio de IPython.

Recolección de Información con Tortazo.

Modo “Botnet” de Tortazo.

Plugin para ejecutar auditorias con Nessus en Tortazo

Plugin para ejecutar auditorias con W3AF en Tortazo

Plugin de Shodan en Tortazo
Saludos y Happy Hack!

Tortazo: Utilizando el plugin de Shodan contra repetidores de TOR.

abril 25, 2014 1 comentario

Las opciones para ejecutar consultas sobre Shodan desde Tortazo, son bastante limitadas, ya que consisten solamente en establecer una “Developer Key” de Shodan y ejecutar una consulta básica. Las características que se incluyen en Shodan; especialmente todo lo relacionado con el uso de los filtros, no se contempla en las opciones básicas de la herramienta y por este motivo se ha creado un plugin especifico para aprovechar las opciones disponibles en Shodan.

Ver en HD.  :-)

Saludos y Happy Hack!

Tortazo: Utilizando el plugin de W3AF contra aplicaciones web en la Deep Web de TOR.

abril 25, 2014 1 comentario

W3AF es un framework que permite ejecutar pruebas de auditoria contra aplicaciones web, ayuda en la detección de vulnerabilidades y su posterior explotación. No solamente permite encontrar vulnerabilidades, sino que también permite generar una consola; cuando las condiciones lo permiten, en el servidor web vulnerable. Sin embargo, W3AF no se encuentra preparado para ejecutar auditorias contra una aplicación web alojada en la deep web de TOR, por este motivo se ha desarrollado un plugin en Tortazo para extender las funcionalidades de W3AF a la hora de ejecutar pruebas de penetración contra aplicaciones en la deep web de TOR.
El siguiente vídeo enseña el uso básico de este plugin en Tortazo.

Ver en HD.  :-)

Saludos y Happy Hack!

Tortazo: Utilizando el plugin de Nessus contra repetidores de TOR.

abril 25, 2014 1 comentario

El mecanismo de plugins de Tortazo permite integrar rutinas externas u otras herramientas de pentesting para ejecutarlas contra los repetidores de salida encontrados por Tortazo. El plugin de Nessus utiliza una librería que se ha creado con el fin de soportar todas las características de Nessus desde cualquier script en Python, dicha librería es pynessus-rest y se encuentra disponible aquí

El siguiente vídeo enseña el uso del plugin de Nessus desde Tortazo.

Ver en HD.  :-)

Saludos y Happy Hack!

Tortazo: Modo “Botnet” para ejecución paralela de comandos.

abril 25, 2014 1 comentario

Cuando Tortazo se ejecuta en modo de ataque por diccionario con la opción “-b”, se encarga de utilizar un diccionario proporcionado por el usuario o los ficheros existentes en el proyecto FuzzDB. Si el ataque tiene éxito y consigue averiguar una cuenta de usuario valida para un servicio SSH, la herramienta se encarga de actualizar el fichero “tortazo_botnet.bot” con los detalles del servidor comprometido. Aunque dicho fichero es generado y mantenido automáticamente por la herramienta, no hay ningún impedimento a la hora de editarlo manualmente, solamente es necesario seguir el formato especificado que es:

host:user:passwd:port:nickname

Posteriormente,  en el modo “botnet”, Tortazo se encarga de leer el fichero “tortazo_botnet.bot” para realizar conexiones con los servidores registrados en dicho fichero y luego, permite la ejecución paralela de comandos sobre todas las máquinas o un subconjunto. Además, también permite la generación de una shell sobre una máquina especificada para ejecutar comandos de forma interactiva, como ocurre con cualquier cliente SSH. El siguiente vídeo detalla el uso del modo “botnet” en Tortazo.

Ver en HD.  :-)

Saludos y Happy Hack!

 

Explotación de Software Parte 12 – Uso de System Calls en Linux

abril 24, 2014 1 comentario

Ejemplos sobre el uso y monitorización de system calls en sistemas linux.

SimpleSysCalls.s: https://github.com/Adastra-thw/ExploitSerie/blob/master/SimpleSysCalls.s
ComplexSysCalls.s: https://github.com/Adastra-thw/ExploitSerie/blob/master/ComplexSysCalls.s

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Tortazo: Recolección de Información sobre nodos de salida de TOR

abril 23, 2014 1 comentario

Uso de Tortazo para recolectar información sobre repetidores de salida en la red de TOR.
Proyecto: https://github.com/Adastra-thw/Tortazo/

Ver en HD.  :-)

Saludos y Happy Hack!

Hacking con Python Parte 12 – Usando urllib3 y Requests

abril 22, 2014 1 comentario

Uso de las librerias urllib3 y requests para manipulación de peticiones y respuestas HTTP.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 11 – Funcionamiento del Kernel de Linux y System Calls

abril 17, 2014 1 comentario

Explicación sobre los componentes principales del Kernel de Linux y el funcionamiento de las System Calls.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 901 seguidores

%d personas les gusta esto: