Y mi ancho de banda?

Hace un rato mientras refunfuñaba porque la lentitud de mi conexión a Internet me impedía ver un video de Modelos de Victoria Secret que una buena amiga amablemente me envió, me puse a reflexionar sobre el hecho que desde hace algunos meses Internet se siente "mas lento". Se me ocurre que mucha gente que antes no estaba en Internet, ahora es un adicto y se roba parte de nuestro tan preciado ancho de banda. Investigué un poco más y encontré un estudio sobre el uso de Internet en México (el estudio 2009 porque el 2010 todavía no está). El dato que buscaba es muy interesante, de 2005 a 2008 el numero de usuarios mexicanos que acceden a Internet creció casi 40% y de ahí a la fecha yo le calculo al menos otro 15%. Además el acceso a internet se ha democratizado y ahora todo mundo puede entrar, sobre todo en casa y por la tarde-noche. Así que ahí lo tienen... por eso Internet se siente más lento.

Añoro esos días en los que los carriers invirtieron tanto que tenían infraestructuras de acceso a Internet enormes y sub-utilizadas. En esos tiempos realmente se podía navegar...

Read More

Please Rob Me

Un sitio web muy útil si eres amigo de lo ajeno. Este sitio en lista los twitts de toda la gente que dice no estar en casa. El objetivo en realidad no es incrementar el robo de vivienda sino hacer conciencia sobre lo que publicas en el ciberespacio.

http://pleaserobme.com/

Happy Robing!

Read More

las 25 fallas de desarrollo de aplicaciones

Los señores del CWE/SANS acaban de publicar las 25 fallas más comunes en materia de seguridad en el desarrollo de aplicaciones

Así que no hay pretexto. A trabajar!

Rank	Score	ID	Name
[1]	346	CWE-79	Failure to Preserve Web Page Structure ('Cross-site Scripting')
[2]	330	CWE-89	Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection')
[3]	273	CWE-120	Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
[4]	261	CWE-352	Cross-Site Request Forgery (CSRF)
[5]	219	CWE-285	Improper Access Control (Authorization)
[6]	202	CWE-807	Reliance on Untrusted Inputs in a Security Decision
[7]	197	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
[8]	194	CWE-434	Unrestricted Upload of File with Dangerous Type
[9]	188	CWE-78	Improper Sanitization of Special Elements used in an OS Command ('OS Command Injection')
[10]	188	CWE-311	Missing Encryption of Sensitive Data
[11]	176	CWE-798	Use of Hard-coded Credentials
[12]	158	CWE-805	Buffer Access with Incorrect Length Value
[13]	157	CWE-98	Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')
[14]	156	CWE-129	Improper Validation of Array Index
[15]	155	CWE-754	Improper Check for Unusual or Exceptional Conditions
[16]	154	CWE-209	Information Exposure Through an Error Message
[17]	154	CWE-190	Integer Overflow or Wraparound
[18]	153	CWE-131	Incorrect Calculation of Buffer Size
[19]	147	CWE-306	Missing Authentication for Critical Function
[20]	146	CWE-494	Download of Code Without Integrity Check
[21]	145	CWE-732	Incorrect Permission Assignment for Critical Resource
[22]	145	CWE-770	Allocation of Resources Without Limits or Throttling
[23]	142	CWE-601	URL Redirection to Untrusted Site ('Open Redirect')
[24]	141	CWE-327	Use of a Broken or Risky Cryptographic Algorithm
[25]	138	CWE-362	Race Condition

Read More

Google Security Diagnosis

Alguna vez han entrado a algún blogg o sitio en el que les aparecen popups, comerciales, scrips, de todo y se sienten de pronto infectados por todo tipo de tarantulas y tepocatas? Google nos resuelve el problema. Preguntale a google si el sitio que te pone nervioso realmente es dañino o no.

http://google.com/safebrowsing/diagnostic?site=websiteurl

Safe surfin!

Read More

Edita tus fotos con Picnik

Uno de los sitios más exitosos este año es Picnik

Un sitio en el cual puedes realizar edición de tus fotos sin costo

Read More

Otra aplicación que ayuda a automatizar el análisis de aplicaciones

Adicionalmente a los programas que ya hemos mencionado que nos ayudan a hacer tests de seguridad a aplicaciones ahora les presento una llamada no more 1=1

Esta aplicación evita el fastidioso proceso de escribir queries para inyección de sql, etc y tiene una interfaz gráfica

Happpy testing

Read More

Al fin una serie de tv para los infosecs

Espero que pronto se liberen los capítulos de este super chido concepto

Read More

Mashups en la red

Uno de las tendencias más interesantes en la red es la de los famosos mashups

Los mashups no son más que una forma diferente de presentar la información mezclando diferentes fuentes. Por ejemplo usar las APIS de facebook o google maps para mezclarlas con APIs de sistemas de musica y así poder mostrar un mapa con canciones. Un mashup es por naturaleza un servicio híbrido

Los mashups han tenido gran aceptación y han permitido mejorar muchos productos sin afectar su marketing. Incluso permite que muchos servicios como google maps tengan más funcionalidades. Lamentablemente aún no se ha explotado todo lo que se puede hace

Veamos algunos ejemplos interesantes

Weatherbonk mezcla servicios de clima con servicios de mapas

Twittervision permite ver tweets dentro de mapas del mundo

Freetube reune feeds de video de distintas fuentes en un sólo portal

Espero que gradualmente los mashups cobren fuerza para dejar de ser un tendencia y ser una realidad

No creo que los mashups como los conocemos hoy perduren, pero si creo que en el futuro casi la mitad de las cosas que usemos tendrán algo de híbrido en ellas para poder personalizarse a nuestras necesidades

Read More

George Lopez

En EU ha sido una total revolución lo que George López ha logrado en el mundo de la comedia

Este latino se ha convertido en uno de los mejores comediantes en estados unidos y lo mejor de todo es que ha usado sus experiencias y raíces latinas para lograr su éxito

En un viaje que hice lo vi por primera vez en HBO en un programa que les super recomiendo que se llama americas' mexican. La verdad reí mucho... Es cagado escuchar groserías en español entre diálogos en inglés

En esta ocasión les traigo el primer de varios videos de Why are you crying y también el american' mexican completito

Échenle un ojo. Seguro no se compara con nuestro polo polo, pero vale la pena

Read More

buenos comerciales de IT

Me puse a buscar comerciales y videos de IT chistosos para poder compartir en la oficina

De seguro alguien que no es de IT no disfrutaría estos clips

Buen fin de semana a todos

Read More

Hardening checks

Dentro de la seguridad de información, uno de los aspectos más importantes a tomar en cuenta en el plan de seguridad es el hardening de los equipos: desde switches hasta PDAs si es necesario. No basta con ponerles antivirus y parches a los equipos, es necesario definir cual es la configuración más segura y adecuada para el servicio.

A final de cuentas el hardening es eso: un conjunto de reglas de configuración, estado, etc relativas a un equipo con la finalidad de hacerlos lo más seguro posibles. Es el equivalente a cuando te vas a comprar a tepito. Si vas llevas únicamente lo necesario, nada más. Sabes con quien comprar y hablar, y NADA MÁS. Sabes que debes llevar ropa común y media jodidona, etc etc

Por tal relevancia uno de los sueños de cualquier especialista en seguridad es poder saber en tiempo real cuando uno de sus dispositivos está rompiendo las reglas de hardening establecidas (parte del sueño es que estas reglas estén documentadas, probadas e implementadas)

El punto es que no queremos que hayan windows xps por ahí con sw no necesario o servicios de impresión que no se usan, puertos abiertos, switches sin pw, etc etc etc
.
.
.

Para ayudarnos a cumplir nuestros sueños existen herramientas muy fregonas que te permiten hacer continuamente quality checks para comparar las instalaciones y configuraciones con una base de datos de hardening

En esta ocasión les presento a las herramientas de CIS para auditoría que no sólo permite comparar contra configuraciones nuestras sino que te puede hacer un buen benchmark con sus bases de datos

No más pedirle a los de operaciones que nos manden sus reportes (que de por sí no hacen bien). No más ojos vendados

Ahora que si están en la situación en que no tienen checklists de hardening existe un genial repositorio en el nist para nuestra consulta

Happy auditing

Read More

Cómo ser psíquico en pocos pasos

Navegando en el sitio de skeptic cuya finalidad es desenmascarar mitos y cuestionar creencias populares, religiosas, metafísicas, etc, me encontré un excelente pdf que te dice cómo arrancar tu negocio de psíquico

Obviamente tiene un estilo sarcástico, pero vale la pena leerlo

Descargalo aquí

A final de cuentas muchas veces nos hemos mofado de los que leen las cartas o claman leer tu futuro con tan sólo ver tu mano.

La verdad si fueran tan buenos deberían adivinar el número de lotería y volverse millonatios, o si fuera así deberían avisarle a los de haití que venía una catástrofe.

Pero bueno, la necesidad humana de creer en el destino y desentenderse de sus responsabilidades no desaparecerá. Mientras, los invito a ser los psíquicos de la cuadra. Seguro conocerán buenas chamacas y pueden ponerse de acuerdo con un amigo para aplicar la de: "encontrarás a un hombre, que tal vez no sea tan galán, pero seguro es lo mejor que te puede pasar... bla bla bla"

Así que recuerden: "cuidado que te lo está sonsacando"

Read More

Post consumption economy

-->

I have been reading some articles about this topic and I'm quite happy to come up with a conclusion. A post consumption economy is the imminent future even when it should be the present. Post consumption doesn't mean not to buy at all; it means buying just what you really need and making sure that whatever you buy is collaborating with a self sustainable consumption economy. But even when the key to such change are consumers, companies that actually manufacture everything we buy are used to push to the market whatever they think is going to be a "sales hit" without even thinking about sustainability. I think it's just a matter of time until we are capable enough to make our demands count. Hopefully with this whole global-collaboration-and-communication-era, we could make our way into the world's leaders mind and convince them that they can still get wealthier by selling sustainable products (and save the planet in the process).

The question is; do we really have the willing to move on to a post consumption economy? And I'm not asking the people from the US who have been living in the first world forever. I'm asking the people in the emerging economies like China or India (and Mexico by the way) who have never enjoyed enough purchasing power to buy nice stuff and now they're being told to give them up because the whole concept is wrong. How can we convince all these people to leave something they're just beginning to taste?

As I said, if we actually want a future it has be a sustainable one. The only way I can see it happening is by making an individual change… fast. Start with yourself and others will follow.

Read More

Blackberry Spyware

Un interesante video sobre una prueba de concepto de un spyware de Blackberry. Este spyware puede obtener la lista de contactos, sms existentes, registrar y notificar toda la actividad realizada en la BB como llamadas y sms's entrantes y salientes, grabar conversaciones a través del micrófono e incluso notificar la posición geográfica usando el GPS del dispositivo y reportarla en un sitio web. Impresionante y peligroso.

TXSBBSpy Demo from Veracode on Vimeo.

Read More

No pude resistirlo.... Twitter entró a mi vida

Hasta hace algunos meses recuerdo haber tenido una cuenta de twitter, pero honestamente no me resultaba interesante y preferí dejar de usarlo

A final de cuentas para mí, facebook tiene más lo que yo busco...

Sin embargo debido a las presiones externas y el marketing le estoy entrando a esta famosa herramienta. Este es mi perfil

Aún no estoy listo para darles mis comentarios pero mientras tanto les comparto este sitio donde explican muy con palitos y bolitas el concepto y también como usar las funcionalidades de twitter.

Read More

Una década de malware se fue tan rápido

Definitivamente los últimos 10 años estuvieron muy "divertidos" para quienes trabajamos en el mundo de la seguridad de información

En este sitio encontraremos los hechos o ejemplos de malware más relevantes de la última década



No se si lo que sentimos al ver esto es un poco de nauseas, bilis, risa o una mezcla bizarra como consecuencia de traer de nuestro archiving recuerdos de desvelos, mentadas de madre, prisas, reportes urgentes y mucha desesperación

Read More

Defacement para TATA

Uno de los proveedores de servicios de tecnología de información más poderosos del mundoha tenido un notorio traspié en últimas fechas

El sitio www.tcs.com tuvo un ataque de defacement como lo observan en la imagen.
Aunque nunca estamos 100% protegidos, es un poco preocupante ver que empresas que venden servicios de seguridad tengan estos flaws.



Aquí es donde tiene cabida la pregunta. Cuánto cuesta que te hackeen o más específicamente, que te hagan un defacement?

Cuanto pierde en mercado, en ventas, etc una empresa como TATA al tener un ataque a su imagen tan notorio?

Ojalá alguien tenga la fórmula y me la pase para nuestros análisis de riesgos

Así la próxima vez que vaya al consejo a presentar mis temas al menos me harán un poco más de caso

Read More

WEB-BOT Un nostradamus en la red

Porqué acudir a la religión, a nostradamus o a las profecías mayas si tenemos el internet?

Así es, predicciones del futuro usando el internet... :S


Web-bot es una pieza de software que de acuerdo a sus creadores tiene la posibilidad de recopilar y analizar información que circula a través de internet y es capaz de lanzar predicciones del futuro.

Obviamente mi excepticismo no me permite creer que este código puede ser certero, pero no suena descabellado que use el conocimiento de las masas para encontrar patrones interesantes

El sitio oficial es http://www.halfpasthuman.com/

A mí me parece puro bluff para ganar algo de dinero aprovechando la histeria colectiva del 2012. Pero bueno... al menos estén informados para que no los chamaqueen

Aquí algunas de sus predicciones



Aquí su canal actualizado en youtube http://www.youtube.com/webbotproject

Read More

Reflexiones entre santos, anotaciones e intercepciones

Advertencia: este post es uno más de mis desvaríos. Simplemente hoy después de ver que los santos de nueva orleans se convirtieron en campeones de la NFL llegaron a mi mente muchas ideas que exigían ser escritas para dejarme dormir


Los santos de nueva orleans terminaron destrozando a indianápolis hoy 7 de febrero del 2010. Una intercepción desafortunada de Payton M. fue convertida en una contundente anotación encontra. Así que el gatorate sobre el coach, los alaridos de la afición y los miles de mexicanos pidiendo la cuenta en el bar de confianza finalmente tuvieron simultánea cabida.

Detrás de todo esto vienen a mi mente muchas preguntas que seguro todos hemos tenido y que por más que sabemos sus respuestas preferimos continuar con nuestra vida entregada al marketing y los medios

¿Porqué vemos el super bowl?
¿Qué significa para nosotros?
¿Porque diablos le vamos a equipos gringos de americano?
¿Hay gringos que le van al Puebla en el futból mexicano?
¿Cuántos de los que hoy vieron el superbowl no habían visto ningún partido durante toda la temporada?

Seguramente habrán buenas respuestas en la superficie. Porque son muy buenos o profesionales, etc etc

Pero lo cierto es que el marketing gringo y la televisión han logrado que todos los demás países piensen que las ligas mundiales sólo son las gringas (a excepción del soccer).La liga mundial de beisbol sólo involucra a EU y Canadá por ejemplo. Poco a poco nos hemos convertido en fans de la vida gringa...

Por Dios, hasta han logrado que mucha gente prefiera irse de vacaciones a EU que a otros países donde realmente existe cultura interesante que conocer. Los gringos están logrando convertirse en la nueva historia del mundo. Quizá en 60 años lo que hoy son las pirámides mexicanas lo serán el astrodome o el Squared Garden... Lo que hoy es el mole de guajolote o el atole será la big mac y los Burritooousss

Qué estamos haciendo por crecer y trascender culturalmente en nuestro país. Cuántas de las cosas que hacemos diariamente ya no son auténticas nuestras. De entrada entramos a sitios mayoritariamente en inglés en internet, escuchamos canciones en inglés, usamos ropa importada o fayucona con tal de que diga abercrombie... Es más de 10 nuevos negocios apuesto que al menos la mitad tiene denotaciones gringas como:
GOLDEN GYM, SNACKS & BEER, BLACK JEANS...

Yo sé que de por sí somos madinchistas... pero no hay que hacerlo tan sencillo.

Sé que después de tanta palabrería no hay algo útil en mi post
Pero si al menos he logrado que se pregunten sobre sus hábitos, valió la pena

Gracias por leer, se vale comentar

Read More

Esas distracciones de internet

Después de mucha investigación he encontrado una manera didáctica de explicar que el maldito internet se está tragando nuestra productividad. Y ME ENCANTA!!

Este video seguro permitirá a muchos de nosotros entender nuestra triste realidad
Conozco a 1 o a 2 que se les da mucho creer que pueden terminar ese trabajo o tarea a tiempo pero que terminan leyendo posts como este o dandole refresh al facebook indefinidamente

Read More

Nueva versión de NMAP

Yo creo que muchos de nosotros hemos usado la excelente herramienta llamada NMAP, misma que te permite realizar escaneos y procesos de identificación de equipos de red.

NMAP es uno de los favoritos por mucho y lo mejor de todo es que es gratis y de código abierto. Visiten la página oficial de nmap y prueben ya la última versión



Y para quienes aún no han usado esta herramienta y quieren ver cómo empezar aquí un videito interesante

Read More

Open Security.... OK

Desde hace algunos años el mundo de la tecnología de información ha regresado a la filosofía open no sólo por compatibilidad entre productos o sistemas, sino también por el fin último de esa corriente, colaborar y mejorar día a día nuestro trabajo y el uso de los servicios de información

Ya conocemos por ejemplo TOGAF donde se pueden ver frameworks y herramientas para arquitectura y que decir de XML o los muchos estándares abiertos que hoy se usan en herramientas muy robustas y exitosas

Ahora es el turno de la seguridad de información y el risk management. Resulta ser que los muchachos de somap han trabajado en un modelo open source que comprende proceso, documentación y herramientas para este tema. Como la veeeeeeen?
continua

Vale la pena echarle un ojo al sitio de estos colegas que en verdad inspira a la comunidad a aportar, mejorar y crecer como profesionistas. Allí podremos encontrar el manual completo, una herramienta para la gestión del proceso, etc

Ojalá puedan revisarlo y dar un review sobre este interesante esfuerzo

Read More

Estadísticas para esas presentaciones fancy

Mucho hemos comentado sobre como hacer presentaciones efectivas

La verdad es que no hay nada más útil y absurdo que las estadísticas

No hay CIO o CEO que se resista a un buen slide cargado de datos o gráficas que te permiten ahorrarte horas de discusión especialmente si los obtuviste de una fuente pública o de una firma consultora. Aunque en realidad creo que las estadísticas casi siempre son engañosas y no sólo el método con el cual fueron calculadas sino las circunstancias específicas que las comprenden hacen que su interpretación pueda ser muy diferente, creo que son un socio inseparable en las salas de juntas con senior managers.

En esta ocasión posteo unos links muy útiles para aplicar el stats attack!



Aquí la lista:

Estadísticas de Web Browsers: buen link para analizar el comportamiento y tendencias de uso
Estadísticas de varios tipos (compendio de estudios)
Performance y seguridad
Dominios en internet
Web servers y muchos mas
Riesgos de TI Más comunes
Seguridad en websites

Los tips que puedo darles al usar esta info son muy sencillos:
- Pongan datos que realmente entiendan: no hay cosa más triste que poner estadísticas que no sabemos interpretar
- Siempre citen
- No exageren. Más de 3 datos ya son demasiados. Pueden perder el foco de la presentación y parecer más bien una página del financiero
- piensen cual es la gráfica más adecuada para explicar el punto.

Agreguen los links que usen para mejorar la colección

Read More