Security et alii

Sí, me temo que soy un replicante, un androide con forma humanoide, un cascarón de piel sintética sobre cables y circuitería varia. Para aquellos no muy dedicados a la literatura, el título del relato de Philip K. Dick que dio lugar a la película Blade Runner, se titulaba originalmente “Do Androids Dream of Electric Sheep?”

¿Y por qué digo esto? Porque cada vez más, se da la situación de que me ven enfrente de un captcha que no puedo resolver. ¿Y no es el objetivo de los captchas dejar fuera a los autómatas y permitir su resolución a los seres humanos? Mi tasa de acierto debe ser aproximadamente del 66%, fallo un tercio de los captchas al menos (lo sé, lamentable).

En fin, sé que esto no os interesa mucho, pero lo que os voy a decir a continuación seguro que sí: vosotros tampoco sois humanos. ¿Qué? ¿Qué no os lo creéis? Vale, pues decidme cual es la solución a éste captcha de uploaded.to:

Captcha indescifrable

¡Salud!

Quería poner una pequeña actualización para comentar que hoy hice el examen del GPEN y que ya estoy oficialmente certificado por GIAC. He estado apurando la fecha hasta el último día (sí, me gusta vivir al límite) porque con el cambio de trabajo y residencia se me complicaron las cosas. El centro estaba un poco en ruinas y hacía algo de frío, pero posiblemente es porque se estaban instalando en la nueva oficina. Además, me quedaba a tres horas en coche (sigh).

Sobre el examen, decir que sigue la tónica de los test de prácticas, pero apenas se repite ninguna pregunta. El nivel de dificultad es similar, aunque hay que sumarle obviamente la presión del examen “real”. El examen es “open book”, lo que quiere decir que puedes llevar los libros, y cualquier otro apunte que creas que puede serte útil. Cabe decir que, a pesar de que se tienen tan sólo 4 horas para responder 150 preguntas, con un buen índice que te permita encontrar rápidamente las preguntas que no tienes claras, sobra tiempo para completarlo sin prisas.

Dicho esto, obtuve un resultado del 95,33%, más que suficiente para aprobar y sentirme orgulloso del resultado. No habría podido obtener éste resultado tan positivo si no hubiera sido por la excelente labor de Mentor que hicieron Jose Selvi y Rafa Alfaro durante las semanas que duró el curso en Madrid. Los dos dieron unas clases estupendas, se lo curraron muchísimo con el CTF del final y con las explicaciones, además de dar un gran soporte durante el curso.

A tenor del curso, y del contenido de la certificación, estoy muy satisfecho con el temario y creo que es realmente útil para el trabajo diario. El apartado de leyes queda un poco fuera de lugar, pero por lo demás merece la pena, sobretodo si no tienes muchos años de experiencia como pentester. Aún así, creo que incluso la gente con más experiencia podría aprender algún truquillo nuevo. Y aunque no es ni de lejos lo más interesante, debo admitir que la parte sobre la escritura de informes me ha resultado útil.

Por último, darle las gracias a Miguel López, compañero durante el curso, que amablemente me cedió uno de sus tests de prácticas. Si todo va como está previsto, creo que me apuntaré al GXPN en algún momento de 2012. Quería cerrar el post con una promesa: actualizar más a menudo este año

¡Salud!

Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos:

1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.

2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.

3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.

4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.

5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.

6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.

7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.

8. Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.

9. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.

10. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.

11. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.

La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.

Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir. La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.

Ha pasado un tiempo desde el último post (¡más de dos meses!) y no he dicho nada por aquí. La verdad es que ha habido cambios importantes a nivel personal, y profesional/laboral (esta última me ha costado la asistencia al Asegur@IT8). Me he embarcado en otros proyectos que han consumido parte del tiempo que dedico al blog y además ha llegado el calor; mi bioritmo en verano es más bien bajo.

A pesar de todo el espectáculo debe continuar y lo hará, una vez vuelva de mis vacaciones y reúna el tiempo suficiente. Mientras, baste decir que una de las cosas que me ha robado algo de tiempo ha sido el desarrollo de una pequeña aplicación para realizar parcheo de binarios, que he dejado parada pero de la que espero tener una versión beta dentro de poco y poder presentarla en el blog. Del resto de proyectos, algunos no tienen nada que ver con la seguridad, y la relación de otros con la informática es tangencial. De todos modos, si van saliendo adelante y lo considero relevante quizá hable de ellos o pueda extraer algo de interés para el blog.

A la vuelta la idea es seguir con la serie de exploiting, hablar un poco más de malware y finalizar el tema de la inyección de memoria en linux y otras cosas estilo api hooking también en linux. Poco a poco querría comentar también alguna cosa más de ingeniería inversa, quizá en windows, ya se verá. Ah, y fui tomando nota de los resultados de un par de wargames que pondré por aquí para compartir y opinar.

Colgamos el cartel de cerrado por vacaciones, pero no sin dejar una pequeña captura sobre la política de contraseñas de una web, donde además, se maneja bastante dinero. Y es que el estado siempre está pensando en mi seguridad y la de mi dinero.

Ya sabéis, nada de caracteres especiales, que se rompe el parser

Resumiendo, que a pesar del aparente parón del blog, como diría galileo: “Eppure si muove” (Y sin embargo se mueve). Nos vemos a la vuelta. Pasad buenas vacaciones.

Como habréis podido notar -porque sois unos lectores muy avispados, suponiendo que haya algún lector- he trasladado el blog a wordpress.com. El servicio de blogger.com es bastante malo. Desde mi punto de vista google ha abandonado su servicio de blogging para dedicarse a otros asuntos, lo que ha dado lugar a que mucha gente, entre ellos yo mismo, hayan ido abandonando paulatinamente blogger para encontrar algo más moderno y cómodo. Entre las características que agradezco de wordpress es su mayor capacidad para formatear una entrada, su coloreado de código por defecto, su cómoda forma de incluir imágenes o videos con su nota al pie y su enorme cantidad de plantillas oficiales, con resoluciones por encima de 800×600 de blogger. No todo es malo en blogger, claro, su integración con los servicios de google es cómoda, pudiendo colocar una columna con los RSS que más lees. También hay que resaltar que blogger no te cobra por utilizar tu propio dominio con su servicio, cosa que wordpress.com sí que hace, por un precio varias veces superior al valor del dominio.

Esta semana no ha habido post debido al trajín de la mudanza Espero que para la semana que viene haya algo interesante que contar.