Le damos la bienvenida al 2016

No voy a dejar pasar esta oportunidad para cerrar este magnífico año 2015, desde lo laboral y lo personal y ojala para ustedes también lo sea.

Es por eso que desde este humilde espacio pero muy importante para mi, les quería desear un Feliz 2016! que este inicio de año los encuentre junto a sus familiares y amigos, buscando siempre el reencuentro, la paz y mucho pero mucho trabajo e investigaciones para todos.

Ya les dejé alguno de mis proyectos para el 2016 cosas que tengo en mente y quiero comenzar a materializarlo cuanto antes.

Nuevamente muy agradecido a todos ustedes que están del otro lado leyendo aquello que tanto me gusta compartir y desde mis blogs personales Cacería de Spammers y el codigo k les quería desear de corazón un muy

F E L I Z  2016!!!

Saludos! y nos leemos el año que viene :D

How GitHub is redefining software development

Esta entrada no es más que una difusión de una entrevista asincrónica en la cuál colaboré para el sitio HELP NET SECURITY gracias a la invitación de Mirko Zor, HNS Editor in Chief.

La idea del artículo era dar a conocer nuestra experiencia con el uso de GitHub y cómo gracias a esta plataforma, las metodologías de trabajo fueron cambiando.

Saludos

Enlace | How GitHub is redefining software development

Compartí tu blog de Seguridad Informática

Ayer por medio de mi cuenta de Twitter, les pedía a mis seguidores que me recomendaran blogs o nuevos proyectos basados en Seguridad Informática para poder leerlos, dentro de mi listado de RSS, en una depuración y limpieza de inicio de año, me dí cuenta que muchos de los blog que estaban allí dejaron de actualizarse hace tiempo.

Sin embargo, se que ustedes están trabajando y compartiendo información, y es por ello que si se animan envíen en los comentarios todas sus recomendaciones para leerlos y establecer algún feedback.

¿Por qué les recomiendo escribir un blog?

Tengo varios años escribiendo blog, creo que en un punto perdí la cuenta, pero estimo que fue hace unos 12 años aproximadamente cuando comenzamos en la movida de programar para la web y contribuir para el software libre.

Tener, Mantener y Escribir un blog es un desafío diario, los que lo tienen saben que es así, sin embargo te va a permitir, además de aprender a diario diferentes temas, investigaciones, etc. les va a permitir crecer intelectualmente, buscar la mejor forma de expresarte y por sobre todas las cosas, compartir el conocimiento.

Así es como encontré este medio para crear una gran comunidad de gente y amigos, establecer contactos realmente gratificantes y mantenerme activo y motivado para seguir aprendiendo y comunicando.

Yo se que tienes tu blog y que estas contribuyendo con la comunidad Hacker! Compartilo en los comentarios... y si no lo tienes que estas esperando?

Saludos!

Seguridad en WordPress ahora en Google+

Arrancamos el año con el lanzamiento de una nueva comunidad dentro de la plataforma de Google+ llamada “Seguridad en WordPress” con la intención de reunir a todos los profesionales y aficionados que trabajan con WordPress.

El objetivo del grupo es reunir en esta comunidad todos los Enlaces, recomendaciones, Herramientas, Eventos y Noticias con relación a su temática.

Si estás interesado en colaborar y enterarte todo sobre la Seguridad en WordPress te esperamos!

Saludos!

Enlace | Comunidad Seguridad en WordPress

WPScan Vulnerability Database

Este es un proyecto que depende directamente de la herramienta WPScan, una de las herramientas de auditoría y pentesting en WordPress más utilizada por los profesionales.

Recién por estos días descubrí este recurso y realmente me pareció excelente para seguir el hilo en todas las actualizaciones y problemas de seguridad que se puede encontrar en el Core de WordPress en sus Plugins o Themes.

Por otro lado, WPScan Vulnerability Database, nos permite colaborar con este gran proyecto y podemos enviar los fallos que encontremos para enriquecer esta base de datos y hacer que la herramienta sea aún más efectiva en el proceso de auditoría.

Para los que nos dedicamos a estar revisando la seguridad en WordPress es un recurso muy valioso y que podemos sacar muy buen provecho de toda esa información centralizada.

Saludos!

Enlace | WPScan Vulnerability Database

Están todos invitados a publicar sus scripts

Ya a estas alturas podemos decir que arrancamos con todo este nuevo año, atrás quedaron estas últimas semanas para cerrar algunos proyectos y pendientes. A partir de ahora muchos acostumbran hacer “borrón y cuenta nueva” para iniciar el año con más fuerzas.

Tengo la ligera sensación de que este año voy a estar codeando muchos scripts en Python y Bash buscando la forma de automatizar tareas que ejecuto a diario, y por esta razón estoy seguro que los voy a estar compartiendo con ustedes, por otro lado lo interesante de estos lenguajes, es que muchas de las herramientas que utilizamos para realizar Pentesting se encuentran programadas bajo estos lenguajes, por esta razón mientras más código escribamos, más vamos a ir adquiriendo conocimientos para mejorar esas herramientas.

Por otro lado, es muy importante tener una noción básica sobre estos o algunos lenguajes de programación, como PHP, C, C++, Ruby, etc. Todo conocimiento que sirva para una mejor solución y podamos llagar a implementarla, siempre va muy bien.

Cuál es la razón por la que Python me gusta tanto, simplemente uno, escribe en la consola de comandos la palabra python y ya puede estar trabajando con el lenguaje, probando clases y módulos.

$ python
Python 2.7.6 (default, Mar 22 2014, 22:59:56) 
[GCC 4.8.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>>

y que les puedo comentar de Bash, para los que estamos acostumbrados a administrar servidores desde la consola, tenemos la capacidad de escribir bastante, y hacer un scripts en Bash no va a ser más que combinar comandos y agregar algunas estructuras de control para ir optimizando.

Una de las cosas que aprendí en estos últimos años, la importancia de poder cuantificar las cosas y realizar informes, no para que los mismos informáticos lo puedan leer, sino para que cualquier persona tenga la capacidad de interpretar y procesar de forma simple, esa información que le vamos a proporcionar.

Gente! Saben programar en algún lenguaje y tienen ganas de compartir sus scripts con la comunidad, pues aquí les dejo mi espacio que es el de ustedes también para que lo puedan hacer.

Saludos!

Feliz 2015

Gente para todos les deseo un Feliz 2015! para que este año, sea tu año y logren un progreso personal, profesional, laboral y familiar.

Gracias por comenzar el año leyendo este blog y acompañando este proyecto que es parte de mi vida junto a todos los proyectos que les voy contando a lo largo del año.

Un gran abrazo en la distancia y nuevamente un Feliz 2015!

Saludos!

The Original Hacker Nº 9, una edición «muy Zen»

Que bueno es volver a estar organizado y tener unos minutos para dejarles algunas líneas y compartir algunos enlaces, pero en primer lugar quería agradecerles a todos y cada uno de los usuarios que estan dejando su voto en los Premios Bitacoras 2014, ya que en la primer clasificación parcial estamos en la posición 15 junto a otros excelente blogs de seguridad.

Y ahora si, les dejo el enlace de la novena edición The Original Hacker para leerla y aprender varias cosas interesantes.

El artículo estrella de la edición Nº 9 de The Original Hacker, es el que mejor representa al verdadero espíritu de la palabra Hacker. Se trata de «Las 12 reglas del aprendiz de Hacker», una guía para no solo convertirse en un buen estudiante de sistemas, sino también, para aprender a emplear la inteligencia estratégica en beneficio de la propia sabiduría. Un artículo que bien aprovechado podría convertirse en el futuro «Zen del Hacker».

Con la llegada de la última versión LTS de Ubuntu, la 14.04, comenzaron los problemas con Apache. La mayoría, generados por una política poco acercada por parte de Canonical, que en el afán por hacer un sistema «apto para usuarios poco ávidos» terminaron excediéndose, llegando a establecer configuraciones por defecto en binarios destinados a programadores, como el caso del paquete apache2 disponible en los repositorios. Sin embargo, en medio del caótico resultado, uno de ellos, resulta ser un bug que Apache se niega a reconocer como tal. En esta entrega, la «explicación del bug #56883 de Apache y la forma de solventarlo» hasta tanto los desarrolladores se animen a revisarlo.

Para retomar con «cosas raras» un artículo que parece salido del cajón de los recuerdos ¿alguien se acuerda de las TUI, las Text User Interfaces? Para los amantes del scripting, una «guía de desarrollo con dialog, la herramienta principal para creación de TUI con GNU Bash» y su disponibilidad en otros lenguajes como Python.

Finamente, se hace honor al verdadero hacking avanzando sobre uno de los temas más controvertidos y que mayor cantidad de discusiones genera en el mundo del desarrollo de aplicaciones Web: la «ingeniería de Web Software con Python y ¡Sin Frameworks!» En esta oportunidad, desmitificando otro de los tantos mitos que corren sobre el terreno de las aplicaciones Web: «el manejo de sesiones». En este artículo queda demostrado como con un simple «pip» y unas pocas líneas de código, el manejo de sesiones en Python NO requiere de frameworks para aportar seguridad, confianza y un desarrollo sustentable a la aplicación.

Perderse esta edición, podría ser peligroso para la salud. ¡Disfrútenla!

Saludos!

Enlace | The Original Hacker N° 9

The Original Hackers Nº 8

Ya se encuentra disponible “The Original Hackers” Nº 8, una de las revistas digitales libres favoritas, escrita por Eugenia Bahit.

Este número, a diferencia de los anteriores, Eugenia nos preparó nuevos temas para compartir como:

• PHP y el manejo de objetos en memoria
• PHP: Hacking, Debugging o simplemente diversión
• Software Libre y las diferencias con el software privativo, desde una óptica intrínsecamente profesional y no política
• La orientación a objetos y sus enfoques como estilo y paradigma

Les debo confesar que una de las notas que más me gustó es la de “Software Libre y las diferencias con el software privativo...” en lo particular, me considero un activista del software libre, trabajo con software libre y genero software libre y les recomiendo que la lean.

A no perderse esa nota y todas las que completan este nuevo número de la revista “The Original Hackers”

Saludos!

Enlace | The Original Hackers Nº 8

Regresamos al dominio .com.ar

Les voy a contar como fue que perdí el dominio caceriadespammers.com.ar algo que desde hace tiempo lo sabía ¿? y como fui que lo recupere.

Por le 2012 NIC Argentina decidió cambiar y modernizar los sistemas para la registración de dominios, priorizando la seguridad, simplificando la gestión de los dominios y cobrando un canon anual por cada dominio registrado, algo que se viene dando muy bien, al igual que se publicaron los tiempos de migración y se fueron cumpliendo paso a paso.

NIC Argentina, bajo la jurisdicción de la Dirección Nacional de Registro de Dominios de Internet, tiene la responsabilidad de administrar el dominio de nivel superior .ar, además del registro de nombres de dominio de Internet de las personas físicas y jurídicas.

Para poder continuar como dueño de los dominios, los usuario teníamos que registrarnos con una cuenta de correo y vincularla con el anterior servicio, tal y como se mostraban en los documentos y videos que NIC Argentina comenzó a circular por las redes sociales.

El problema con caceriadespammers.com.ar surgió en la vinculación de los datos, ya que cuando voy a verificar la lista de dominios, aparecían unos 10 dominios que son de clientes, familia, amigos y otros proyectos pero no aparecía caceriadespammers.

En el buscador de dominios de NIC Argentina aparecía esta información asociada al dominio

Lo único que coincide aquí es el Nombre y Apellido, el resto de la información no corresponde a mi persona y eso en el área de atención al usuario se lo hice saber varias veces, reporte datos falsos, intercambiamos correos, pero ninguno de estos puntos dio resultado.

Por la cuál, la única solución fue esperar a que el dominio se venciera y nuevamente registrarlo, corriendo el riesgo de que otra persona tenga la posibilidad de registrarlo.

En todo este tiempo, afortunadamente utilizamos el dominio .blogspot.com para seguir en contacto y compartiendo información, por supuesto que no es lo mismo.

Y esa fue la historia de como injustamente perdí un dominio hoy lo recupere.

Saludos!

The Original Hackers Nº 7

Ya tenemos disponible la entrega número 7 de la revista digital libre “The Original Hacker” escrita por nuestra amiga Eugenia Bahit ( @eugeniabahit ) correspondiente al 30 de Junio del 2014.

Para este número, Eugenia nos preparo:

• Europio Engine Lab: URL customizables y slugs en Europio Engine
• Ingeniería de Software y estructura de directorios definitivas en aplicaciones MVC modulares.
• Hack para emular la autocarga y desactivación de módulos de un sistema como política de emergencia frente a fallos inesperados.
• Ese Captcha no verifica a los humanos, sino que comprueba su miopía. 

Además con el hashtag #AcertijoTOH7 podes participar del acertijo que está al final de la edición.

Saludos!

Descarga | The Original Hacker Nº 7

The Original Hacker Nº 6

Por estos días, Eugenia (@eugeniabahit) nos envió el mail para informarnos que ya se encuentra la 6ta edición de la revista digital The Original Hacker! Correspondiente al 30 de Mayo.

Para este número, Eugenia nos preparó:

• Bloqueos mutuos y estados de carreras
• Ingeniería de Software: Propiedades al vuelo, una forma de optimizar colecciones.
• Europio Engine Lab: Manipulación de datos con DataHandler.
• Desmitificando el concepto de Sesiones.

Además un nuevo acertijo como desafío que se puede serguir en #AcertijoTOH6

A sacar provecho de este nuevo material

Saludos!

Descarga | The Original Hacker Nº 6

The Original Hacker Nº 5

Cuando ya se nos escapaba el mes de Abril, Eugenia Bahit nos ( @eugeniabahit ) presenta la edición número 5 de su revista digital The Original Hacker

Para este número, Eugenia nos trae estos temas:

• Ingeniería de Software: Manipulación de Web Forms y carga de archivos con Python y WSGI sobre Apache.
• Europio Engine Lab: Dict Object, un nuevo concepto en objetos para las vistas en PHP.
• Seguridad Informática: Modelos de Seguridad permisivos como mecanismos de prevención de vulnerabilidades.
• Bash Scripting Avanzados: Diversas formas de implementación de menús dinámicos.

Gente, una vez, invitamos a todo el mundo para que se descarguen este material libre y continúen aprendiendo e implementando estos nuevos conocimientos.

Saludos!

Descarga | The Original Hacker Nº 5

The Original Hacker Nº 4

Antes de que Febrero se nos escape, Eugenia Bahit ( @eugeniabahit ) me envió para compartir el enlace del nuevo número de la revista digital The Original Hacker Nº 4 donde escribe de los siguientes temas:

• Bash Scripting Avanzado: Sustitución de parámetros y manipulación de variables
• Seguridad Informática: EuropioCode, un sistema de codificación de caracteres basado en el modelo SAC de 3 capas
• Ingeniería Inversa: Solo el “qué” puede desvelar el camino hacia el “cómo”
• Ingeniería de Software: Wrappers y decoradores en Python
• EuropioEngine Lab: SecurityLayer, una capa de seguridad inteligente

A disfrutar de este material libre y aplicar los nuevos conocimientos

Saludos!

Enlace | The Original Hacker Nº 4

Gr2Dest - Seguridad Informática y Hacking Ético

Gr2Dest.org es un grupo de estudio, abierto a todo aquel que quiera aprender y enseñar sobre Seguridad Informática y Hacking Ético.

Somos un grupo de estudio conformado por personas apasionadas por la tecnología, la informática y el Hacking Ético. Reunidos desde el inicio a través del foro de DragonJAR, Maria (@mirojo84), Alejandro (@alekshf), Marcos y Jorge (@SamuraiHNSA) hemos venido organizando las sesiones prácticas para aumentar nuestros conocimientos sobre los temas de interés, esperando que más gente se una a nuestra comunidad. Al día de hoy contamos con más de 30 miembros(y siguen en aumento) alrededor del mundo, comprometidos con el aprendizaje y la enseñanza del Hacking Ético. 

Semanalmente los miembros del equipo ofrecemos ponencias y además invitamos a personajes relevantes en el mundo del Hacking Ético y la Seguridad informática quienes nos brindan sus charlas de manera desinteresada y gratuita.

Entre las sesiones que se encuentran en su canal de YouTube, encontramos:

• Sesión 2: Information Gathering
• Sesión 3: Backtrack + Metasploitable 2
• Sesión 5P1: Footprinting Básico con FOCA
• Sesión 5P2: Tips & Tricks Hacking Ético
• Sesión 6: Tools & Scripts básicos para BackTrack
• Sesión 7P1: Gracias Kiver, Footprinting + Email Harvesting
• Sesión 7P2: Repaso + Nmap, SMTP & Brute Forcing VRFY
• Sesión 8: SMTP, VRFY, Brute Forcing + Python/NMAP/Hydra
• Sesión 9: Construyendo un troyano - Infectando una víctima
• Sesión 10: Ataque y contramedidas + Smile de la muerte
• Sesión 11P1: Correladores [Charla]
• Sesión 11P2: Vulnerabilidades en DVWA [BackTrack]
• Sesión 12P1: Vulnerabilidades Armitage[KALI] + DVL
• Sesión 12P2: Unicornscan [BackTrack]
• Sesión 13: Httprint - Nikto [BackTrack]
• Sesión 14: SQL Injection [Manual / SQLMap]
• Sesión 15P1: Remote File Inclusion P1
• Sesión 15P2: Remote File Inclusion P2
• Sesión 16P1: Apps Móviles HTML5 P1
• Sesión 16P2: Apps Móviles HTML5 P2
• Sesión 17: Apps Móviles HTML5 P3

Cuál es mi dirección IP con ifconfig.me

En más de una oportunidad vamos a necesitar conocer la dirección de IP pública con la que estas navegando o accediendo a los servicios, y para ello nada mejor que utilizar el sitio ifconfig.me para obtener esa información.

ifconfig.me te brinda toda la información sobre tu conexión a internet, proveedor de ISP, navegador, KeepAlive de nuestra conexión, MIME, que va a ser de mucha ayuda.

Por otra lado nos brinda la posibilidad de utilizar el comando curl en la consola y realizar diferentes consultas para obtener distintos datos y en diferentes formatos como en texto plano, XML o JSON como una suerte de API.

Para ello siemplemente con curl podemos ejecutar:

$ curl ifconfig.me

$ curl ifconfig.me/ip

$ curl ifconfig.me/host

Informe de Seguridad en WordPress

Akamai junto a la ayuda del Big Data, publicó en su blog un informe de lo más interesante respecto a los ataques en los plugins de WordPress, mostrando datos de lo más interesantes a la hora de escoger las mejores herramientas.

Dentro de los CVE asociados a la palabras 'WordPress' y 'plugins' para el 2013, se obtuvieron 64 vulnerabilidades diferentes.

The Original Hacker Nº 3

Anoche y como todos los primeros Martes de cada mes, ya se encuentra disponible el tercer número de la revista digital y técnica “The Original Hacker” creada por Eugenia Bahit @eugeniabahit, y para este número se encuentran varios temas interesante:

• Ingeniería Inversa de código en la Seguridad Informática como forma de detección de vulnerabilidades
• Bash Scripting avanzado: Utilizando declare para la difusión de tipos
• Ingeniería de Software: De lambdas, closures, wrappers y decoradores. Desmitificando Python Parte I
• Europio Engine Lab: Consumir la API de Europio Engine desde el Front-end de un sitio web estándar

26 hojas para cargar en la tableta y llevar a todas partes.

Saludos!

Enlace | The Original Hacker Nº 3

Feliz 2014

3 ... 2 ... 1 

Feliz año nuevo para todos! A comenzar con el pié derecho y mi deseo para un muy buen 2014 para todos.

Saludos!

Feliz Navidad a todos

Hoy no vamos a hablar ni de hacking ni de programación, de eso vamos a tener todo un año más por delante. Hoy simplemente desearles a todos y cada uno de los geek que nos siguieron en Cacería de Spammers y en el regreso de El CoDiGo K que tengan una muy Feliz Navidad para ustedes y a los que tengan la suerte de compartirlo con familia y amigos.

Felicidades! Saludos!