Le damos la bienvenida al 2016

No voy a dejar pasar esta oportunidad para cerrar este magnífico año 2015, desde lo laboral y lo personal y ojala para ustedes también lo sea.

Es por eso que desde este humilde espacio pero muy importante para mi, les quería desear un Feliz 2016! que este inicio de año los encuentre junto a sus familiares y amigos, buscando siempre el reencuentro, la paz y mucho pero mucho trabajo e investigaciones para todos.

Ya les dejé alguno de mis proyectos para el 2016 cosas que tengo en mente y quiero comenzar a materializarlo cuanto antes.

Nuevamente muy agradecido a todos ustedes que están del otro lado leyendo aquello que tanto me gusta compartir y desde mis blogs personales Cacería de Spammers y el codigo k les quería desear de corazón un muy

F E L I Z  2016!!!

Saludos! y nos leemos el año que viene :D

Falleció Ian Murdock, el creador de #Debian

Realmente es muy triste tener que dar esta noticia, pero la realidad es que el pasado Lunes 28 de Diciembre del 2015 falleció Ian Murdock y hoy sin duda toda la comunidad #Debian y #Linux lo va a recordad para siempre.

El anuncio de se muerte fue publicado en el blog de Docker donde se encontraba trabajando en sus últimos días.

Sus familiares han solicitado que se respete su privacidad y que dirijan cualquier tipo de preguntas a través de Docker, donde los comentarios se han dejado abiertos para quienes quieran expresar sus condolencias. La causa de muerte no ha sido revelada.

Realmente desde aquí lamento dar el adiós a un emblema del software Libre. ;(

Saludos!

Mis proyectos para el 2016

Sinceramente, no se si es el mejor título para este Post pero quizás el primero que se me ocurrió para ir cerrando este excelente año y comenzar a pensar en el 2016.

Este año la verdad que escribí la mitad de post de los que venía escribiendo en años anteriores, desde allí parten mis disculpas a todos y cada uno de los lectores que siguen Cacería de Spammers, las razones pueden ser un montón pero no me gustaría que suenen a excusa. Sin embargo quería remarcar que a pesar de no haber escrito tanto los usuarios y las visitan se duplicaron y por esa razón estoy muy contento por las repercusiones que esta teniendo este proyecto.

La idea siempre fue publicar cosas actuales e investigaciones que llevo, o quizás algo que me llame la atención, proyecto personales y afortunadamente esto va a seguir así.

Este año decidí volver a escribir en mi Blog de Programación el codigo k, un blog con el que me inicié y con muchas ganas de mostrar lo poco o mucho que voy aprendiendo en programación y que aveces poco tiene que ver con seguridad informática pero que siempre me gusta compartirlo.

Llevar adelante estos proyectos personales y pensar todo el tiempo que va a ser lo próximo que voy a compartir no es tarea fácil, pero nuevamente no vamos a caer en excusas sino mejor ver las formas de lograrlo. Por otro lado, no es un trabajo sino una pasión publicada en un medio digital.

Es por ello que para el 2016 seguiré aplicando mi plan de mejora continua con la idea de realizar más publicaciones y estoy seguro que cuento con la colaboración de cada uno de ustedes para compartirla y hacerla llegar a mas usuarios geek con las mismas pasiones.

Con respecto a WPHardening, un proyecto que me abrió muchas puertas y me permitió esta en varias conferencias, este año le vamos a dar el soporte que corresponde pero no está pensado en crecer tanto. Recuerden que es de licencia libre y están todos invitados a colaborar y mejorarlo. De todas maneras me parece que este año lo voy a dejar de vacaciones.

De más esta decir que a estas altura del año todos necesitamos de unas vacaciones, aunque sea un par de días para descansar la cabeza, estar con la familia y comenzar a pensar en los nuevos proyectos para el 2016.

En cuanto a eso tengo pensado hacer varias cosas, algunas que ya se van a ir enterando pero tiene mucho que ver con Scrapy, Mongodb y WordPress. voy a estar publicando cada Domingo algún video de conferencia recomendado, otros proyectos personales basados en servicios de seguridad para crecer profesionalmente y finalmente estoy con ganas de profesionalizar un poco más la escritura y buscar algún mecanismo de publicar algunos ebook.

Ahora tengo que comenzar a buscar los medios para concretar cada uno de estos proyectos y no las excusas, se que en cada publicaciones nuevamente me van a estar brindando todos sus Like, +1 o un RT y como siempre se los voy a estar más que agradecidos.

Saludos!

Terminal Hackpplications por @chemaalonso

Corría el año 2011 y en una de las conferencias más importantes de latinoamerica como la Ekoparty nuestro amigo Chema Alonso @chemaalonso realizaba una muy bonita presentación sobre hacking en Terminal Services y Citrix.

Ya estamos en el último Domingo del 2015 y la verdad que es una muy buena forma de despedirlo que viendo una conferencia sobre seguridad.

Que los disfruten y a tomar dato que hay mucha información, mucho humor y grandes demos.


Saludos!

Maratón de actualizaciones en #Symfony2

Los que estamos pendientes de las cosas nuevas que aparecen en el proyecto Symfony2 hoy nos dimo con la sorpresa que se encuentra disponible una maratón de actualizaciones para todas sus versiones estables.

Evidentemente las fiestas de navidad no son un motivo de descanso para los programadores que trabajan en el proyecto y hace algunas horas, en la web oficial de Symfony2 se publicaron las actualizaciones para las versiones Symfony 2.3.36, Symfony 2.7.8, Symfony 2.8.1 y Symfony 3.0.1 todas corrigiendo los siguientes bugs de cada uno de sus enlaces.

Finalmente y como recomendación, es indispensable mantener Symfony2 en nuestro proyecto actualizado a la última versión disponible para evitar problemas de seguridad futuros.

Saludos!

Feliz Navidad 2015.

A todos ustedes, que desde hace tiempo siguen Cacería de Spammers y el codigo k, no quería dejar pasar estas fechas para desearles una excelente Noche Buena, una mesa compartida con amigos y familia y una muy Feliz Navidad!

Un fuerte abrazo a la distancia a todos los amigos que hacen que la magia suceda y en lo personal un saludo muy especial a toda mi familia, mi esposa y mi pequeña princesita <3

Saludos!

Informática Forense en #ITTalks

Un nuevo e interesante episodio digital de nuestros amigos de #ITTalks Jason Soto @JsiTech y José Moruno Cadima @sniferl4bs

El perito que nos estará Acompañando es Lórien Doménech Ruiz, Perito Informático y Ceo en L.A. y Asociados (auditorías, tasaciones, peritajes y consultoría TIC) , pueden ver su perfil aquí https://ldr4.wordpress.com/.

Temas a Tratar en este Primer ITTalks de Informática Forense

1. ¿Qué es un Perito Informático Forense?
2. ¿Que se puede peritar?
3. La metodología
4. La profesión de Perito
5. Demos
a) Emails
b) Disco duro
c) Facebook
d) WhatsApp


Saludos!

Bases de Datos públicas de tu #WordPress

Si les gustó el último Google Hack publicado de WordPress donde indexaba algunos archivos logs, les prometo que éste les va a gustar mucho más.

Como se habrán dado cuenta, desde hace algunos años dediqué varias horas de trabajo e investigación a mejorar la seguridad de WordPress, ya sea desde WPHardening como así también publicando algunos Dorks en Google.

Siempre que se quiere comprometer una web se busca obtener como trofeo su activo más importante como son las Bases de Datos, entonces se intenta ejecutar diferentes vectores de ataque como FPD, Fuerza Bruta, Exploit o inclusos 0Days.

Pero que pasa cuando nuestro más preciado tesoro se encuentra indexado en Google?

inurl:"/wp-content/" filetype:sql

Nunca está de más hacer las mismas recomendaciones, WordPress por defecto no incluye un archivo robots.txt que es donde le indicamos a los buscadores que es lo que debe y no debe indexar.

Si utilizan WPHardening para fortificar la seguridad de su sitio, les puede generar un archivo robots.txt de la siguiente forma:

# Files and Directories to notindexing of our WordPress

User-Agent: *
Allow: /wp-content/uploads/
Allow: /feed/$
Disallow: /wp-
Disallow: /wp-content/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /?s=
Disallow: /search
Disallow: /index.php
Disallow: /*?
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: */trackback/

# Rules for most known bots

User-agent: Googlebot

User-agent: Googlebot-Image
Disallow: /wp-includes/
Allow: /wp-content/uploads/

User-agent: Mediapartners-Google*
Disallow:

User-agent: ia_archiver
Disallow: /

User-agent: duggmirror
Disallow: /

User-agent: noxtrumbot
Crawl-delay: 50

User-agent: msnbot
Crawl-delay: 30

User-agent: Slurp
Crawl-delay: 10

User-agent: MSIECrawler
Disallow: /

User-agent: WebCopier
Disallow: /

User-agent: HTTrack
Disallow: /

User-agent: Microsoft.URL.Control
Disallow: /

User-agent: libwww
Disallow: / 

No descuiden la información de sus proyectos webs o puede caer en manos de personas malintencionadas.

Saludos!

Cuida tu #WordPress para que no indexen el log

Hoy regresamos, luego de un tiempo de no descubrir y publicar algún Google Hack.

Para el día del hoy les tengo preparado el descubrimiento de los archivos Logs dentro del directorio wp-content/ de un clásico proyecto en WordPress

inurl:"/wp-content/debug.log"

Qué es lo que vamos a encontrar en estos archivos?

Principalmente un exposición Full Path Disclosure producto de algún tipo de error en tiempo de ejecución por algún mal funcionamiento o falta de algo.

Lo mejor que puede hacer en estos casos es hacer uso del archivo robots.txt y adicionar una directiva como la siguiente:

Disallow: /wp-content/

De esta forma, evitamos que Google meta sus narices e indexe cosas que no queremos

Saludos!

Tu DevOp me da trabajo: Soy auditor de seguridad en codemotion 2015

Que buen título para una bonita conferencia de Daniel García @ggdaniel para la última codemotion 2015 llevada a cabo el 27 y 28 de Noviembre.

Recordemos que dani García es un excelente programador en Python y uno de los creadores de proyectos como GoLismero y Plecost, y nos deja una conferencia sobre Fallos y "despistes" que cometen muchos SysAdmin y DevOps y cuál sería la mejor forma de mitigarlos.


Además se puede visualizar y seguir sus slides desde aqui.

Tu DevOp me da trabajo: Soy auditor de seguridad from Daniel Garcia (a.k.a. cr0hn)

Saludos!