Mi opinión sobre los Hackers
Ene04

Mi opinión sobre los Hackers

Antes de finalizar el año fui contactado por un periodista Chileno del diario Mercurio quien estaba escribiendo un articulo sobre “hackers” y quería mi participación en él, yo escéptico como siempre que me realizan este tipo de solicitudes le advertí antes, que no me referiría a hacker como un delincuente informático, sino como lo que es realmente un investigador y que no quería que tergiversaran mis palabras para hacer mas llamativo el texto, como quedó plasmado en los varios DM´s intercambiados: Las preguntas las recibí inmediatamente y me dispuse a contestarlas, sacando tiempo de donde no tenia en una temporada llena de compromisos familiares, ya que no siempre tiene uno la oportunidad de encontrar un periodista de un medio de comunicación masivo comprometido a quitar la mala fama a la palabra “hacker” y todos los profesionales asociados a ella. Les dejo las preguntas y respuestas tal y como se enviaron [con algunos comentarios que estarán en negrilla y entre corchetes]: [Introducción del periodista, donde aclaraba que siempre distinguen entre hackers y delincuentes] El artículo que estoy escribiendo es para el suplemento Vidactual del diario El Mercurio. Siempre hemos hecho la diferencia entre hacker y black hats o ciberpiratas. Acudo a ti, porque mi tema se trata de que los que saben puedan contar [Primera pregunta] en qué momento un hacker pasa a convertirse en delincuente informático e incluso en terrorista, en algunos casos. Esa es la primera pregunta. [Respuesta] Convertirse en un ”Delincuente Informático” puede ser tan simple o complejo según la legislación de cada país, en Colombia por ejemplo la legislación es muy estricta y muchas ”PoC” o pruebas de concepto [cuando ensayas algo para ver si tu teoría es correcta] podrían convertir en “Delincuente Informático” a un investigador de seguridad, pero personalmente pienso que en el momento que buscas un beneficio personal explotando esos fallos que descubriste es cuando pasas esa delgada linea existente entre un hacker propiamente dicho y un “Delincuente Informático” En el último congreso 8.8 en Chile expusiste sobre hackeo de coches. En realidad era detección de fallos. Otros expositores hablaron de vulnerar teléfonos y semáforos. Cualquier pudo haber utilizado sus conocimientos para causar daño, pero eligieron aportar. [Segunda pregunta, con sub-preguntas] ¿Cómo quedarse en el lado correcto, cuál es la línea que no se puede traspasar y cómo se logra eso? Si puedes contar tu experiencia, los consejos que te han pedido, las tentaciones que debes evitar a toda costa, con vivencias concretas, sería mejor. [Respuesta] En mi caso particular no decidí hacer publica mi investigación tan pronto la realicé, me tomé el trabajo de notificar a la empresa encargada del sistema sobre...

Leer Más
La entrevista que los bancos no querrían publicar
Ago07

La entrevista que los bancos no querrían publicar

Los bancos y las empresas relacionadas con el sector financiero, lo consideran un especialista de seguridad informática y a la vez una preocupación para sus sistemas. Su nombre es Oscar Banchiero, un especialista en el área de seguridad de la información y trabaja para uno de los proveedores de comunicaciones más importantes del país, es instructor internacional contando con varias certificaciones importantes, ofrece sus servicios de enseñanza en universidades, y es considerado por grandes empresas, una fuente importante de consultas y asesoramientos sobre sistemas de seguridad informáticos. Mi pregunta obligada: usas Homebanking? “Si por supuesto, que vea fallas en casi todos, no significa que no lo deba utilizar, tampoco es para ser tan paranoico, dado que el problema viene por dos lados que trabajan en conjunto: el usuario y el servicio” Así empieza esta entrevista, con una respuesta directa al problema que viene siendo una pesadilla para algunos, como por ejemplo: “me robaron el saldo de mi cuenta” o “seguramente fue una falla en el sistema”, donde el punto en común está relacionado con los incidentes de robos financieros a través de la informática. Hace cuanto que estas relacionado con este tema de la seguridad informática? “Más de 20 años, pasando por varias tecnologías, sistemas y dispositivos. Por suerte tuve un buen acceso a todo, mis padres me regalaban lo que yo les pedía y así podía ponerme al tanto de lo nuevo. He trabajado siempre en sectores involucrados con la tecnología y la comunicación, donde pude hacer mis primeros pasos a través de una manera de llamar gratis al exterior, por intermedio de una placa que me regalaron. Hoy en día, aparte de mi trabajo, doy charlas y cursos tanto aquí como en el exterior y trato de ponerme al día con los incidentes actuales, pero es complicado porque cada vez hay más y no hay tiempo. Me intereso mucho aprender el uso de los lectores magnéticos y tuve acceso a muchos diagramas y soluciones de mejoras de los mismos, lo que me hace acordar que hace un buen tiempo me había conseguido uno, en una época que recién empezaban a salir los cajeros automáticos. A propósito, son seguros? Muchos se sorprenderían de cómo son internamente, hay videos en Internet, de algunos locos que le meten un juego dentro, o de que pueden cambiar el sistema, mostrando un mensaje lo que obviamente asustarían a muchos. En nivel técnico, cada vez están mejor preparados, pero es increíble cómo sale un modelo nuevo de cajero y a la semana ya está el dispositivo llamado skimmer, para insertarlo y usarlo en el mismo. Contanos desde un principio porque pasan estas cosas...

Leer Más
Entrevista a Roman Ramírez
Ago01

Entrevista a Roman Ramírez

Hace tiempo que conozco a Roman, lo conocí en una de las Rooted Con, un congreso de referencia en seguridad informática en España. Roman es un tipo muy afable, te echará una mano si lo necesitas y es una persona con unas convicciones muy firmes, supimos mas de él con la charla que presentó en el ciclo de conferencias UPM Tassi. Tenemos el placer de tenerle aquí para hacerle una entrevista, os dejo con ella. -¿Quien es Román Ramírez? Una persona con inquietudes y ganas de mejorar su entorno. -¿A que te dedicas profesionalmente? Mi rol profesional es de responsable de seguridad en una empresa del IBEX35, que se traduce en que, principalmente, me dedico a gestionar riesgos que afectan a la organización. -Román, ¿cómo es eso de irte a trabajar a un cliente final? ¿No echas de menos otro tipo de retos? En absoluto. Cuando me dedicaba a la seguridad en la parte de proveedor de servicios, realizaba una serie de trabajos que me apasionaban – pentesting, forense, consultoría -, pero siempre eran proyectos con un principio y un final. La metáfora que siempre utilizo es que me dedicaba a la construcción de pequeñas iglesias, muchas y en distintos lugares. Pero ahora, estoy inmerso en la construcción de una gran catedral, colaborando con mucha gente, participando de todos y cada uno de los detalles de ese proyecto: riesgos, seguridad técnica, jurídico, negociación, presupuestos… -¿Cómo ves el futuro de Rooted? Pues es una excelente pregunta, ¿cómo lo ves tú? Te respondo en dos partes, por un lado, lo que a mí me gustaría y, por otro, lo que creo que será. Me gustaría que se convirtiera en un punto de encuentro y referencia mundial en materia de seguridad… en español. Creo que todo el mundo conoce mi postura sobre renunciar a nuestra cultura, nuestra identidad y nuestro idioma en pro de “ser reconocido por el mercado anglo”. Pero, por otro lado, cuesta mucho esfuerzo modificar la inercia de la realidad, por lo que veo traducción simultánea (español – ingles, inglés – español), más asistentes, nuevos tipos de charlas… pero, sobre todo, hacer crecer la Comunidad. Contando con todo el mundo. -Se qué es difícil pero, ¿ A qué profesionales del ámbito nacional respetas más? A todos los que trabajan en pro de que tengamos una Comunidad. Desde los que se rompen los cuernos investigando para presentar una charla en NcN, GSIC, Navaja Negra, X1RedMásSegura o RootedCON, hasta los que revisan contratos y se dedican a la seguridad jurídica, a los que elaboran informes y análisis de tendencias, forenses, hackers, fuerzas del estado, profesionales de la ingeniería inversa, criptoanalistas, programadores…...

Leer Más
Entrevista Jose Selvi
Jul24

Entrevista Jose Selvi

Tenemos el privilegio de haberles echo una entrevista a Jose Selvi. Yo he tenido la oportunidad de trabajar con él y es una de las mejores personas que conozco, no solo como profesional sino como persona. Seguramente Selvi no se acuerde de esta foto: Le he querido hacer una entrevista en DragonJAR. -¿Quien es Jose Selvi? Siempre me resultan difíciles estas preguntas :P Soy una persona apasionada de la seguridad informática, aunque la descubrí bastante tarde en comparación con otros amigos y compañeros del sector, ya en la universidad, reventando las prácticas de programación de mis compañeros Me perdí una época muy bonita del hacking en España, pero bueno, intento recuperar el tiempo perdido -¿A que te dedicas profesionalmente? Hace unos 10 años que me dedico profesionalmente a la seguridad. Con el paso del tiempo he ido tocando varios palos dentro del sector, primero programación, más tarde detección de intrusiones y gestión de incidentes, y posteriormente y hasta la fecha, a hacer tests de intrusión, que siempre fue una de mis grandes pasiones, de ahí el nombre de mi blog (www.pentester.es). Actualmente trabajo en la empresa S21sec, que es una de las más importantes que hay en España dedicadas a la seguridad informática. También soy Community Instructor del SANS Institute e imparto en España el SEC-560 (certificación GPEN, para entendernos). -Háblanos de tus herramientas que sabemos que has desarrollado algunas. No es que haya desarrollado herramientas super-conocidas e imprescindibles, pero alguna cosilla he contribuido. La mayor parte de las veces intento contribuir a proyectos que ya existen, como por ejemplo el módulo fakedns de Metasploit o algún otro módulo. Me encanta programar herramientas, pero el día a día de mantener un software (mejorar interface, corregir bugs, etc)… es un coñazo! así que siempre prefiero contribuirlo a otra herramienta más grande y que sea la comunidad la encargada de mantenerlo En la web http://tools.pentester.es podéis encontrar alguna de las herramientas "standalone" que he programado, la mayor parte de ellas en Python. -Es verdad que eres el hombre certificaciones? Bueno, sí que tengo fama de tener un churro de certificaciones, pero la verdad es que conozco unas cuantas personas que tienen más que yo :P En realidad las certificaciones me las he ido sacando a lo largo del tiempo. Yo necesito marcarme pequeños objetivos anuales para ir mejorando, y generalmente estos suelen ser investigar algún tema concreto y/o hacer alguna certificación. Eso, al cabo de 10 años… pues acaba siendo unas cuantas certificaciones xD -Se qué es difícil pero, ¿ A qué profesionales del ámbito nacional respetas más? Sería incapaz de mencionar solo a unos pocos, la verdad es que hay...

Leer Más
Entrevista a Yago Jesús
Jun26

Entrevista a Yago Jesús

Existen múltiples profesionales en el mundo de la seguridad informática. Uno de ellos Es Yago Jesús, es probable que lo conozcáis por ser uno de los editores de Security by Default y por ser el creador de distintas herramientas, entre ellas SSLCop, garante etc.. Tenemos la oportunidad de tenerlo aquí en DragonJAR para saber un poco mas de él. -¿Quien es Yago Jesus? Sin ánimo de aburrir a tus lectores, resumo un poco: Soy de Zaragoza (España), trabajo en Madrid, me dedico a la seguridad informática, soy editor del blog Security By Default, y si os interesan las herramientas que he ido desarrollando, podéis encontrarlas en www.security-projects.com -¿A que te dedicas profesionalmente? Me dedico a la consultoría en seguridad, coordino y ejecuto proyectos de pentesting, forense, hardening, análisis de malware y -por suerte- mucho I+D -Háblanos del que creemos tu proyecto mas grande, Egarante eGarante es mi niño bonito, un proyecto en el que he volcado muchas muchas ilusiones, un número considerable de horas y del que me siento muy orgulloso. eGarante es una idea que parte de la base de que en internet existe más bien poca fiabilidad en las herramientas que usamos todos los días. Tomando como ejemplo el correo electrónico, todos sabemos que un correo es muy fácilmente falsificable, tu me puedes enviar un correo con una propuesta comercial, yo te puedo responder acordando unos términos y luego o bien porque tu te echas atrás o porque lo hago yo, podemos poner en tela de juicio lo que hemos hablado. Yo altero ese correo, y al final es tu palabra contra la mía. eGarante soluciona esto utilizando tecnología PKI de una forma muy sencilla. En el momento que tu me escribes a mi, además de mi cuenta de correo, añades como cc o bcc a [email protected] Cuando el correo llegue a eGarante lo que hacemos es extraer todo el correo electrónico (cabeceras incluidas, adjuntos …) realizar una serie de comprobaciones (si el origen está verificado por SPF, si las cuentas de correo que aparecen en ese e-mail existen …) y metemos todo eso en un PDF que firmamos digitalmente y le añadimos un sello de tiempo. Luego, enviamos a todas las cuentas que aparecen en ese e-mail una copia de ese PDF. De esa forma, eGarante actúa como ‘testigo tercero independiente’ emitiendo un documento con plena validez jurídica que da FE del contenido de ese correo, sus destinatarios y la fecha en la que fue enviado. ¿Fácil verdad? Tan solo has de añadir [email protected] en cualquiera de tus correos para tener una prueba de ese envío y su contenido. Y lo mejor de todo es que...

Leer Más
Entrevista exclusiva con el Captain Crunch para La Comunidad DragonJAR
Mar11

Entrevista exclusiva con el Captain Crunch para La Comunidad DragonJAR

Actualizado 11/03/2013: Hoy esta de cumpleaños John Draper @jdcrunchman, mas conocido como el Captain Crunch y para conmemorarlo publicamos de nuevo en portada la entrevista exclusiva que nos regaló a la Comunidad DragonJAR hace un tiempo. Quien lleve ya un tiempo en esto de la seguridad informática, debe saber quien es John Draper AKA Captain Crunch, uno de los pioneros en testear la seguridad de las centrales telefónicas (el sistema de comunicaciones mas avanzado de su época), quien saltó a la fama después de dar a conocer que el silbato que venia como juguete dentro de las cajas de los cereales Captain Crunch (de aquí su nick) emitía un sonido de 2600 Hz, que permitía utilizar la línea en modo “operador” y entre otras cosas hacer llamadas gratis. Se puede decir que el Captain Crunch estuvo en el momento indicado y a la hora precisa, ya que su descubrimiento inspiro la creación de la primera revista hacker conocida “2600: The Hacker Quarterly”, pero también con su ayuda Steve Jobs y Woznia produjeron la famosa caja azul, un dispositivo que permitía facilitar la tarea de emisión de tonos de forma digital, para “automatizar” o facilitar el “abuso” de las líneas telefónicas… que después les daría ideas para generar “otros cacharros electrónicos” como el primer computador personal, que terminarían definiendo el mundo tecnológico como lo conocemos actualmente. Hace ya bastante el Capitán Crunch estuvo de visita en Colombia, un evento que pocas veces ocurre en el mundo del hacking y mucho menos en Colombia, esto gracias a la campus party de 2011 realizada en Bogotá , tuvimos la oportunidad de sentarnos con el Capitán Crunch y que nos contara algo de lo anda haciendo y de sus experiencias en los inicios del hacking y todo el legado que nos dejó a los amantes de la seguridad informática. Ya retirado se ha dedicado a pensar en ideas para un mundo mejor y sin lugar a dudas algunos de los que vean este vídeo se unirán a ellas, el vídeo es un vídeo totalmente aficionado y NO posee edición profesional, se hizo con el animo de que la comunidad estuviera cerca del capitán ya que es muy raro verlo en Colombia. Vídeo y entrevista realizado en junio de 2011, por Alejandro Giraldo (_ ||Do0kK|em4n|| _) en exclusiva para La Comunidad DragonJAR Esperamos disfruten al igual que han disfrutado la Entrevista exclusiva con Kevin Mitnick para La Comunidad...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES