De vez en cuando, en mi buzón de MyPublicInbox, recibo alguna petición de consejo para aprender hacking. Qué cursos hacer, cómo enfocar el primer trabajo, hacia dónde orientarse, qué certificación sacarse, etcétera. Son preguntas que yo contesto muchas veces, y para las que no hay solo una respuesta buena, pues mentiría si no dijera que he visto a grandes profesionales en la disciplina del hacking que han seguido rutas muy diversas.
#1:
Un hacker es 100% anónimo y autodidacta. Desde que alguien diga que alguien es un hacker... es que ese hacker no es un hacker sino más bien un niñato lamer que usa herramientas creadas por otros para darse el pego de saber hacer algo, cuando en realidad lo único que sabe es mover ratones en el entorno gráfica, o sea, un subnormal que no vale ni para ejemplo de inútil.
Sí, ahora los hackers tienen certificados de hacker, no te jode.
Ahora mismo todos los padres dicen que sus hijos son hackers porque saben teclear con dos dedos y saben pulsar botones. Los hijos son siempre muchísimo más subnormales de lo que piensan sus padres y mucho más listos de lo que piensan sus vecinos.
Los hackers que existen se pueden contar con los dedos de una mano y son invisibles, entran en los sitios y no dejan rastro ni nadie sabe nada sobre ellos, no modifican ningún dato e investigan solamente para adquirir cada día más conocimiento, es lo suyo.
Esos "hackers" que salen en las noticias que hicieron esto y lo otro no son hackers ni nada que les parezca, son juanquers o juaquers, o sea, una mierda espichada en un palo que seguramente hasta usan Windows.
#2:
Vaya máquina de marketing que es Chema Alonso. Me he metido en dos años al azar de su blog, 2006 y 2009, y hay cero líneas de código fuente.
¿Qué hacker que se precie se guarda absolutamente de escribir sobre cómo forzar los dispositivos de los que dispone mediante alguna modificación de código fuente?
En fin. De vendemotos (hola @Findeton) está este mundo lleno.
#40:
#31 synergic partners es una consultora big data que vende servicios de consultoría. No fabrican, ni mantienen software, una charcutera body shopping de toda la vida. Trabajé allí. Te contratan, te mandan a un cliente, te dan un portátil infradimensionado y se olvidan de ti.
Recuerdo que lo primero que hice para ellos fue participar en la creación del típico mamotreto con tecnología BigData de 400 páginas que se entrega a cada cliente, mamotreto de libro que era un copia y pega de la documentación de multitud de proyectos open source, por supuesto, luego resumido en varias diapositivas y folios enormes maquetados para que el típico pimpollo vendemotos líder del sector hablara repitiendo como un loro a los jefes vendemotos de otras multinacionales que empezaban a escuchar el típico humo de lo nuevo. Verdadera vergüenza ajena ver cómo timaban.
Me largué al poco de llegar porque era una pérdida de tiempo. Huid de estas empresas líderes del sector. Encima clasistas a tope, de tener que ir vestido de boda todos los días.
Un día se presentaron la señora Artigas y su marido, el señor Agut. La sensación es que eran personas encantados de conocerse. Les recuerdo pararse delante de una pizarra con el típico esquema streaming lambda y otro basado en micro batching. La señora Agut cogió el borrador, añadió algo incorrecto a la pizarra y se fue. Flipamos porque se había equivocado y TODOS nos dimos cuenta que la señora sabría de mucho, pero de tecnología BigData no sabía.
Si mal no recuerdo, la empresa de Alonso, creó un software de búsqueda de meta datos bastante decente, FOCA. Eso ya es más que SP.
#25:
#20 Chema Alonso es especialista en seguridad, y en especialmente de publicitarse a si mismo, sus productos cutres y a Telefónica. Para mi este tio siempre ha sido fachada y de "Hacker" más bien poco, sólo capaz de enganchar al que de verdad no tiene ni idea y medios de comunicación.
España ha ido perdiendo mucho fuelle en este área, teniendo el auge en los 90s y muy especialmente en grupos de ingeniería inversa.
#16:
#1 Estas hablando de black hats y no de hackers en general, hay muchas personas en el mundo autodenominas hackers que viven de los bug bounty programs. Yo tengo un compañero que en una tarde de aburrimiento se ha sacado delante mía 30k dólares por un sólo bug en una web bancaria.
Es un mundo que no tiene nada que ver con lo que describes.
#22:
#2 No olvidemos que a este juanquer de postín, ceo de seguridad de timostar, se le metieron hasta la cocina en su compañía...
Un hacker es 100% anónimo y autodidacta. Desde que alguien diga que alguien es un hacker... es que ese hacker no es un hacker sino más bien un niñato lamer que usa herramientas creadas por otros para darse el pego de saber hacer algo, cuando en realidad lo único que sabe es mover ratones en el entorno gráfica, o sea, un subnormal que no vale ni para ejemplo de inútil.
Sí, ahora los hackers tienen certificados de hacker, no te jode.
Ahora mismo todos los padres dicen que sus hijos son hackers porque saben teclear con dos dedos y saben pulsar botones. Los hijos son siempre muchísimo más subnormales de lo que piensan sus padres y mucho más listos de lo que piensan sus vecinos.
Los hackers que existen se pueden contar con los dedos de una mano y son invisibles, entran en los sitios y no dejan rastro ni nadie sabe nada sobre ellos, no modifican ningún dato e investigan solamente para adquirir cada día más conocimiento, es lo suyo.
Esos "hackers" que salen en las noticias que hicieron esto y lo otro no son hackers ni nada que les parezca, son juanquers o juaquers, o sea, una mierda espichada en un palo que seguramente hasta usan Windows.
#20 Yo lo sigo en twitter porque curioseo con la ciberseguridad a nivel usuario "me instalo kali y ya soy juanker". Y la verdad, desde lo novato que soy, no entiendo ese odio a Chema Alonso que se suele destilar por estos comentarios.
#24 El tema es que Chema Alonso no es hacker ni nada que se le parezca. Es un empresario del mundillo de la seguridad informática. Eso en si mismo no es un problema, pero el se vende como lo que no es, por que empresario vende menos que hacker.
Yo le conozco en persona. En general es una persona inteligente y capaz, pero como digo, de hacker no tiene absolutamente nada.
#20 Chema Alonso es especialista en seguridad, y en especialmente de publicitarse a si mismo, sus productos cutres y a Telefónica. Para mi este tio siempre ha sido fachada y de "Hacker" más bien poco, sólo capaz de enganchar al que de verdad no tiene ni idea y medios de comunicación.
España ha ido perdiendo mucho fuelle en este área, teniendo el auge en los 90s y muy especialmente en grupos de ingeniería inversa.
#25 Este fulano sabía de bases de datos y seguridad asociada, inyecciones sal y demás. Fuera de eso consiguió vender la empresa informatica64 a telefónica y a partir de ahí no ha hecho mucho más que arrimarse a quien más calienta.
Un ejemplo de trayectoria parecida fue la de Carmen Artigas, que fundó Sunergic Partners empresa dedicada al Big Data y compró también telefónica. La diferencia es que esta mujer no se junto a Pallete como experta a vivir la vida, sino que intentaba hacer cosas, pero el del gorro estaba a la greña con ella porque le eclipsaba. Así que se largó de telefónica y un par de años después la ficharon como secretaria de estado de digitalización.
En cambio el del gorro sigue ahí haciendo que hace y viendo cómo los colegas a los que colocó poco a poco se van. Ahora mismo es un muñeco roto y con el Pallete medio zombi a la espera de que le defenestren poco se puede esperar...
#31#25 entonces para ser hacker lo que hay que hacer es estar encerrado en una habitación oscura para no salir, ser un antisocial, y comer Doritos y pizza. ¿No?
A día de hoy actúa más como divulgador y es jefazo en telefónica que no es tontería. Obviamente ya no tendrá tiempo para estar al día en todo y sobre todo. Pero en mi opinión su papel es muy importante en el mundo del hacking.
Además, si es reconocido en el mundo de la seguridad informática por algo será. Pero como en todos los campos de la vida "haters are gonna hate"
#36 No es hacker ni lo ha sido nunca. No formaba parte de la "scene" y no tiene conocimientos reales de seguridad informática aplicados.
Es una persona inteligente y capaz, y es empresario del sector de la seguridad informática. Vendió su empresa a telefónica, y por eso es un jefazo allí. Tiene sentido que lo sea, como digo, es inteligente y capaz.
El odio a Chema Alonso viene de que se vende (o le venden) como lo que no es ni ha sido nunca.
#36 no, es conocer algo en profundidad, y este señor hace años que se dedica al chauchau, y por lo que me cuentan dentro de la telefonica el único soporte que tiene es Pallete y ya ha estado varias veces con la espada de damocles.
#31 synergic partners es una consultora big data que vende servicios de consultoría. No fabrican, ni mantienen software, una charcutera body shopping de toda la vida. Trabajé allí. Te contratan, te mandan a un cliente, te dan un portátil infradimensionado y se olvidan de ti.
Recuerdo que lo primero que hice para ellos fue participar en la creación del típico mamotreto con tecnología BigData de 400 páginas que se entrega a cada cliente, mamotreto de libro que era un copia y pega de la documentación de multitud de proyectos open source, por supuesto, luego resumido en varias diapositivas y folios enormes maquetados para que el típico pimpollo vendemotos líder del sector hablara repitiendo como un loro a los jefes vendemotos de otras multinacionales que empezaban a escuchar el típico humo de lo nuevo. Verdadera vergüenza ajena ver cómo timaban.
Me largué al poco de llegar porque era una pérdida de tiempo. Huid de estas empresas líderes del sector. Encima clasistas a tope, de tener que ir vestido de boda todos los días.
Un día se presentaron la señora Artigas y su marido, el señor Agut. La sensación es que eran personas encantados de conocerse. Les recuerdo pararse delante de una pizarra con el típico esquema streaming lambda y otro basado en micro batching. La señora Agut cogió el borrador, añadió algo incorrecto a la pizarra y se fue. Flipamos porque se había equivocado y TODOS nos dimos cuenta que la señora sabría de mucho, pero de tecnología BigData no sabía.
Si mal no recuerdo, la empresa de Alonso, creó un software de búsqueda de meta datos bastante decente, FOCA. Eso ya es más que SP.
#40 en España todas las empresas son líderes del mercado, sector, etc. o por lo menos es lo que pone en las cientos/miles de webs hechas con un Joomla guarro e imagines genéricas de marketing.
#40 del mismo modo te puedo contar cagadas del amigo del gorro, pero no tiene sentido alguno porque el hito fue montar la empresa explotando un mercado nuevo.
#52 No le arriendo la ganancia a esa herramienta. No hace nada que no se pueda hacer sin ella. En cualquier caso las empresas publican software libre como método de promoción y a informatica64 queda claro que le sirvió. Pero más allá de eso...
Me da que un buen hacker tiene que borrar unos cuantos logs y registros de auditorías para cubrir sus huellas, entre donde entre, incluso modificar el sistema accedido para evitar desencadenadores que puedan alertar remotamente de su presencia. Al final acaba siendo todo tan complicado y rebuscado que lo más "sencillo" acaba siendo impersonar al admin con sus mismas pautas.
#11 No te creas. Hay métodos que ya de partida no tocan disco ni modifican nada. Por ejemplo, cuando inicias una pseudo-shell en *nix (vía netcat, exploit o algún mecanismo similar) no se cargan las variables de entorno de usuario y no hay logs ni se escribe al histórico de comandos.
#13 La auditoría de ejecutables no vale de nada si estás explotando un bug sin parchear de algo instalado legítimamente. Eso si, si quieres un mecanismo de persistencia para cuando se parchee, tendrás que tocar disco y modificar cosas. Depende del alcance de lo que estés haciendo. Para entonces puede que ya tengas credenciales para acceder con un mecanismo "normal" y tendrás que usar técnicas de evasión comunes.
#12 Claro, pero para llegar a esa pseudo-shell si que has interactuado con los servicios del sistema, que han dejado registro de tu interacción.
Por ejemplo, esa pseudo-shell puede ser el resultado de una vulnerabilidad web (muy común hoy en día), y para explotarla has hecho peticiones get/post que han quedado en el access_log del servidor web. Si, tu pseudo-shell no registra nada, pero tu forma de llegar a ella si.
#45 Depende del caso. Hay exploits que generan eventos autentificados indistinguibles de los legítimos, los hay que alteran totalmente el flujo del servicio explotado de forma que no llega a loguear nada. Por eso hoy en día se recomienda registrar todo el tráfico en el perímetro de la red y no solo en las máquinas a defender. Para eso también hay proxys de aplicación.
#57 exacto, a eso me refiero yo, a que explotar el bug ha dejado registros en todas partes. No ponía el access_log como un ejemplo exclusivo, sino como un ejemplo evidente y casi siempre presente. Como bien indicas, puede haber registros de todo el tráfico en el perímetro, que es otro ejemplo un poco menos común. Esto que comentas refuerza mi comentario de que las huellas hay que borrarlas, y que decir que tu pseudo-shell no ha dejado huellas es absurdo, por que lo que ha dejado huellas es llegar a ejecutar tu pseudo-shell.
#1 Estas hablando de black hats y no de hackers en general, hay muchas personas en el mundo autodenominas hackers que viven de los bug bounty programs. Yo tengo un compañero que en una tarde de aburrimiento se ha sacado delante mía 30k dólares por un sólo bug en una web bancaria.
Es un mundo que no tiene nada que ver con lo que describes.
#16 una pregunta ¿Cuántos años lleva tu amigo en el mundillo? porque no es nada sencillo, más que nada, aunque conozcas muchísimas técnicas y combinaciones de ellas, aunque tengas 15 años de experiencia previa como desarrollador, la voraz competencia que hay en plataformas como hackerone y demás de gente que tiene ya décadas de experiencia + se dedica a tiempo completo te hace super complicado encontrar un bug.
Le dediqué como 30h y apenas conseguí producir un error que no era ni bug, probablemente algún día siga intentándolo, que es la única forma que hay para llegar a eso de "30k en una tarde".
#44 Toda la vida la verdad, pero más que la experiencia es una cuestión de conocimiento y talento. Tanto él como la gente que conozco que se sacan un buen sueldo con esto recomiendan mucho https://www.hackthebox.com/ para practicar y aprender!
Si te interesa ese mundo creo que es el mejor sitio para aprender y hacer comunidad.
#44 Bueno... Tengo un tio lejano que es mas tonto que un adoquin pero se saco casi 10 millones de euros en una mañana...
Le toco la loteria y a los pocos años habia quemado toda la pasta en gilipolleces.
#1 recuerdo alla por año 2000 o antes, un exploit remoto de bind de 0day hacia estragos , y algunos con un nmap modificado ,escaneaban en una noche una clase de ip entera y si encontraba alguno vulnerable lo parcheaba , le dejaba un msg al root borraba sus huellas y se piraba ....
Vaya máquina de marketing que es Chema Alonso. Me he metido en dos años al azar de su blog, 2006 y 2009, y hay cero líneas de código fuente.
¿Qué hacker que se precie se guarda absolutamente de escribir sobre cómo forzar los dispositivos de los que dispone mediante alguna modificación de código fuente?
En fin. De vendemotos (holaFindeton) está este mundo lleno.
Me hace gracia que cuando alguien como Chema Alonso llega a donde ha llegado, aparecen estos "hackers" haters "de verdad" a criticarlo y decir lo que es un verdadero hacker. En fin...
#21 Chema Alonso pudo haber sido hacker, pero si es CSO de Telefónica es imposible que sea hacker, si lo es, no es ni medianamente decente. Me explico:
La seguridad como toda afición requiere tiempo, si tu eres CSO no tendrás tiempo al día para leer artículos del mundillo cada día, de probar cosas nuevas cada día, de investigar tus propios exploits... que leñe, no podrás ni atacar a nadie, porque eres el CSO de Telefónica.
Al final chema tiene bajo el sombrero los tranquilos fáciles de seguridad, cosas que un hacker no llamaría hackear. El hace sus charlas con software que se encuentra libremente por Internet. Es ese niño que en 2003 sabía bajarse películas y piratear software, pero en adulto y enfocado a la seguridad en vez de la piratería.
El mundo se mueve rápido y los software cada vez parchean más rápido y pese a que aún hay poca inversión, las empresas cada día invierten más en seguridad.
No puedes ser CSO y estar al día del mundo del hacking real (no hablo de publireportajes de webmedia), así como no puedes se el líder de un equipo de programadores y saber programar igual de bien que todos los de tu equipo. Al principio cuando empiezas de jefe aun retienes algo, pero al final empiezas a olvidar parar aprender nuevos trucos (gestión de tus recursos humanos, presupuestos, proveedores, etc...)
existen certificaciones de hacking ético, los que nos dedicamos a evitar que los chungos entren y roben información o instalen ransomware o.........
puede ser que intentes penetrar en sistemas para descubrir sus debilidades o que estés en equipos dedicados a vigilancia de intrusos (resumiéndolo muchísimo)
Comentarios
Un hacker es 100% anónimo y autodidacta. Desde que alguien diga que alguien es un hacker... es que ese hacker no es un hacker sino más bien un niñato lamer que usa herramientas creadas por otros para darse el pego de saber hacer algo, cuando en realidad lo único que sabe es mover ratones en el entorno gráfica, o sea, un subnormal que no vale ni para ejemplo de inútil.
Sí, ahora los hackers tienen certificados de hacker, no te jode.
Ahora mismo todos los padres dicen que sus hijos son hackers porque saben teclear con dos dedos y saben pulsar botones. Los hijos son siempre muchísimo más subnormales de lo que piensan sus padres y mucho más listos de lo que piensan sus vecinos.
Los hackers que existen se pueden contar con los dedos de una mano y son invisibles, entran en los sitios y no dejan rastro ni nadie sabe nada sobre ellos, no modifican ningún dato e investigan solamente para adquirir cada día más conocimiento, es lo suyo.
Esos "hackers" que salen en las noticias que hicieron esto y lo otro no son hackers ni nada que les parezca, son juanquers o juaquers, o sea, una mierda espichada en un palo que seguramente hasta usan Windows.
#1 Jeikers les digo yo, y si usan Windows (el pollo este del artículo) y es mocosoftcertifiednoseque y lo repite bastante.
#3 el pollo del artículo te refieres a chema alonso?
#7 sí, el vende motos del gorrito
#10 mira un Jaker de verdad que dice que Chema Alonso está ahí por ser un vendemotos!
#20 Yo lo sigo en twitter porque curioseo con la ciberseguridad a nivel usuario "me instalo kali y ya soy juanker". Y la verdad, desde lo novato que soy, no entiendo ese odio a Chema Alonso que se suele destilar por estos comentarios.
Solo me mosquea el tema del gorrito.
#24 el gorrito es su marca. Necesita algo para venderse.
#34 el gorrito tapa su mayor secreto, que comparte con Jimbo.
#24 El tema es que Chema Alonso no es hacker ni nada que se le parezca. Es un empresario del mundillo de la seguridad informática. Eso en si mismo no es un problema, pero el se vende como lo que no es, por que empresario vende menos que hacker.
Yo le conozco en persona. En general es una persona inteligente y capaz, pero como digo, de hacker no tiene absolutamente nada.
#20 Chema Alonso es especialista en seguridad, y en especialmente de publicitarse a si mismo, sus productos cutres y a Telefónica. Para mi este tio siempre ha sido fachada y de "Hacker" más bien poco, sólo capaz de enganchar al que de verdad no tiene ni idea y medios de comunicación.
España ha ido perdiendo mucho fuelle en este área, teniendo el auge en los 90s y muy especialmente en grupos de ingeniería inversa.
#25 Este fulano sabía de bases de datos y seguridad asociada, inyecciones sal y demás. Fuera de eso consiguió vender la empresa informatica64 a telefónica y a partir de ahí no ha hecho mucho más que arrimarse a quien más calienta.
Un ejemplo de trayectoria parecida fue la de Carmen Artigas, que fundó Sunergic Partners empresa dedicada al Big Data y compró también telefónica. La diferencia es que esta mujer no se junto a Pallete como experta a vivir la vida, sino que intentaba hacer cosas, pero el del gorro estaba a la greña con ella porque le eclipsaba. Así que se largó de telefónica y un par de años después la ficharon como secretaria de estado de digitalización.
En cambio el del gorro sigue ahí haciendo que hace y viendo cómo los colegas a los que colocó poco a poco se van. Ahora mismo es un muñeco roto y con el Pallete medio zombi a la espera de que le defenestren poco se puede esperar...
#31 #25 entonces para ser hacker lo que hay que hacer es estar encerrado en una habitación oscura para no salir, ser un antisocial, y comer Doritos y pizza. ¿No?
A día de hoy actúa más como divulgador y es jefazo en telefónica que no es tontería. Obviamente ya no tendrá tiempo para estar al día en todo y sobre todo. Pero en mi opinión su papel es muy importante en el mundo del hacking.
Además, si es reconocido en el mundo de la seguridad informática por algo será. Pero como en todos los campos de la vida "haters are gonna hate"
#36 No es hacker ni lo ha sido nunca. No formaba parte de la "scene" y no tiene conocimientos reales de seguridad informática aplicados.
Es una persona inteligente y capaz, y es empresario del sector de la seguridad informática. Vendió su empresa a telefónica, y por eso es un jefazo allí. Tiene sentido que lo sea, como digo, es inteligente y capaz.
El odio a Chema Alonso viene de que se vende (o le venden) como lo que no es ni ha sido nunca.
#36 no, es conocer algo en profundidad, y este señor hace años que se dedica al chauchau, y por lo que me cuentan dentro de la telefonica el único soporte que tiene es Pallete y ya ha estado varias veces con la espada de damocles.
#31 synergic partners es una consultora big data que vende servicios de consultoría. No fabrican, ni mantienen software, una charcutera body shopping de toda la vida. Trabajé allí. Te contratan, te mandan a un cliente, te dan un portátil infradimensionado y se olvidan de ti.
Recuerdo que lo primero que hice para ellos fue participar en la creación del típico mamotreto con tecnología BigData de 400 páginas que se entrega a cada cliente, mamotreto de libro que era un copia y pega de la documentación de multitud de proyectos open source, por supuesto, luego resumido en varias diapositivas y folios enormes maquetados para que el típico pimpollo vendemotos líder del sector hablara repitiendo como un loro a los jefes vendemotos de otras multinacionales que empezaban a escuchar el típico humo de lo nuevo. Verdadera vergüenza ajena ver cómo timaban.
Me largué al poco de llegar porque era una pérdida de tiempo. Huid de estas empresas líderes del sector. Encima clasistas a tope, de tener que ir vestido de boda todos los días.
Un día se presentaron la señora Artigas y su marido, el señor Agut. La sensación es que eran personas encantados de conocerse. Les recuerdo pararse delante de una pizarra con el típico esquema streaming lambda y otro basado en micro batching. La señora Agut cogió el borrador, añadió algo incorrecto a la pizarra y se fue. Flipamos porque se había equivocado y TODOS nos dimos cuenta que la señora sabría de mucho, pero de tecnología BigData no sabía.
Si mal no recuerdo, la empresa de Alonso, creó un software de búsqueda de meta datos bastante decente, FOCA. Eso ya es más que SP.
#40 en España todas las empresas son líderes del mercado, sector, etc. o por lo menos es lo que pone en las cientos/miles de webs hechas con un Joomla guarro e imagines genéricas de marketing.
#40 del mismo modo te puedo contar cagadas del amigo del gorro, pero no tiene sentido alguno porque el hito fue montar la empresa explotando un mercado nuevo.
#50 la foca mola, y es software libre. Pena que sea una app windows, pero nada es perfecto.
#52 No le arriendo la ganancia a esa herramienta. No hace nada que no se pueda hacer sin ella. En cualquier caso las empresas publican software libre como método de promoción y a informatica64 queda claro que le sirvió. Pero más allá de eso...
#3 Hay un término con más solera:
https://es.wikipedia.org/wiki/Script_kiddie
#38 es como les digo yo, si a uno no metido en el mundo este le dices script kiddie no lo entiende, Jeiker lo entiende todo el mundo.
#1 No has visto tú peliculas ni nada.
#1 se ve que pilotas mucho del tema
#1 "no modifican ningún dato"
Me da que un buen hacker tiene que borrar unos cuantos logs y registros de auditorías para cubrir sus huellas, entre donde entre, incluso modificar el sistema accedido para evitar desencadenadores que puedan alertar remotamente de su presencia. Al final acaba siendo todo tan complicado y rebuscado que lo más "sencillo" acaba siendo impersonar al admin con sus mismas pautas.
#11 No te creas. Hay métodos que ya de partida no tocan disco ni modifican nada. Por ejemplo, cuando inicias una pseudo-shell en *nix (vía netcat, exploit o algún mecanismo similar) no se cargan las variables de entorno de usuario y no hay logs ni se escribe al histórico de comandos.
#12 ¿Y así cómo te saltas una auditoría de ejecutables en un sistema FIPS donde no puedes llamar a tu ejecutable?
#13 La auditoría de ejecutables no vale de nada si estás explotando un bug sin parchear de algo instalado legítimamente. Eso si, si quieres un mecanismo de persistencia para cuando se parchee, tendrás que tocar disco y modificar cosas. Depende del alcance de lo que estés haciendo. Para entonces puede que ya tengas credenciales para acceder con un mecanismo "normal" y tendrás que usar técnicas de evasión comunes.
#13 Los asuntos de compliance, como FIPS, no te protegen de exploits en el software. O no de una forma directa.
#12 Claro, pero para llegar a esa pseudo-shell si que has interactuado con los servicios del sistema, que han dejado registro de tu interacción.
Por ejemplo, esa pseudo-shell puede ser el resultado de una vulnerabilidad web (muy común hoy en día), y para explotarla has hecho peticiones get/post que han quedado en el access_log del servidor web. Si, tu pseudo-shell no registra nada, pero tu forma de llegar a ella si.
#45 Depende del caso. Hay exploits que generan eventos autentificados indistinguibles de los legítimos, los hay que alteran totalmente el flujo del servicio explotado de forma que no llega a loguear nada. Por eso hoy en día se recomienda registrar todo el tráfico en el perímetro de la red y no solo en las máquinas a defender. Para eso también hay proxys de aplicación.
#57 exacto, a eso me refiero yo, a que explotar el bug ha dejado registros en todas partes. No ponía el access_log como un ejemplo exclusivo, sino como un ejemplo evidente y casi siempre presente. Como bien indicas, puede haber registros de todo el tráfico en el perímetro, que es otro ejemplo un poco menos común. Esto que comentas refuerza mi comentario de que las huellas hay que borrarlas, y que decir que tu pseudo-shell no ha dejado huellas es absurdo, por que lo que ha dejado huellas es llegar a ejecutar tu pseudo-shell.
#1 cómo es un verdadero escocés?
#1 Estas hablando de black hats y no de hackers en general, hay muchas personas en el mundo autodenominas hackers que viven de los bug bounty programs. Yo tengo un compañero que en una tarde de aburrimiento se ha sacado delante mía 30k dólares por un sólo bug en una web bancaria.
Es un mundo que no tiene nada que ver con lo que describes.
#16 una pregunta ¿Cuántos años lleva tu amigo en el mundillo? porque no es nada sencillo, más que nada, aunque conozcas muchísimas técnicas y combinaciones de ellas, aunque tengas 15 años de experiencia previa como desarrollador, la voraz competencia que hay en plataformas como hackerone y demás de gente que tiene ya décadas de experiencia + se dedica a tiempo completo te hace super complicado encontrar un bug.
Le dediqué como 30h y apenas conseguí producir un error que no era ni bug, probablemente algún día siga intentándolo, que es la única forma que hay para llegar a eso de "30k en una tarde".
#44 Toda la vida la verdad, pero más que la experiencia es una cuestión de conocimiento y talento. Tanto él como la gente que conozco que se sacan un buen sueldo con esto recomiendan mucho https://www.hackthebox.com/ para practicar y aprender!
Si te interesa ese mundo creo que es el mejor sitio para aprender y hacer comunidad.
#44 Bueno... Tengo un tio lejano que es mas tonto que un adoquin pero se saco casi 10 millones de euros en una mañana...
Le toco la loteria y a los pocos años habia quemado toda la pasta en gilipolleces.
#1 es una raza particular, por cierto... Cagan sentados con el PC o De pié?
#1 recuerdo alla por año 2000 o antes, un exploit remoto de bind de 0day hacia estragos , y algunos con un nmap modificado ,escaneaban en una noche una clase de ip entera y si encontraba alguno vulnerable lo parcheaba , le dejaba un msg al root borraba sus huellas y se piraba ....
#1 Sino usan una sudadera con capucha tampoco son hackers
Vaya máquina de marketing que es Chema Alonso. Me he metido en dos años al azar de su blog, 2006 y 2009, y hay cero líneas de código fuente.
¿Qué hacker que se precie se guarda absolutamente de escribir sobre cómo forzar los dispositivos de los que dispone mediante alguna modificación de código fuente?
En fin. De vendemotos (holaFindeton) está este mundo lleno.
#2 No olvidemos que a este juanquer de postín, ceo de seguridad de timostar, se le metieron hasta la cocina en su compañía...
#22 Pero, eh, porque estaba de vacaciones.
#22 aquello fue sonado, pero más sonado sus vagos intentos de tirar balones fuera
Alguien que se llama a si mismo hacker, nunca es un hacker.
Menuda perorata se ha marcado el colega, y todo para terminar enviando el típico mail de estafa bancaria pidiéndote el pin de la VISA.
Lo más interesante es el vídeo del discurso de la servilleta que dio en la universidad.
Ah qué es el tipo este del gorro de lana....
Menuda turra para al final hacer phishing.
Este señor va como invitado a “la nave del misterio “ con eso digo todo.
¿Cómo ha llegado este spam a portada?
Que algo sea ilegal no lo lleva directamente al lado del mal. Si empieza con una asociación falsa ya en el títular...
Me hace gracia que cuando alguien como Chema Alonso llega a donde ha llegado, aparecen estos "hackers" haters "de verdad" a criticarlo y decir lo que es un verdadero hacker. En fin...
#21 Chema Alonso pudo haber sido hacker, pero si es CSO de Telefónica es imposible que sea hacker, si lo es, no es ni medianamente decente. Me explico:
La seguridad como toda afición requiere tiempo, si tu eres CSO no tendrás tiempo al día para leer artículos del mundillo cada día, de probar cosas nuevas cada día, de investigar tus propios exploits... que leñe, no podrás ni atacar a nadie, porque eres el CSO de Telefónica.
Al final chema tiene bajo el sombrero los tranquilos fáciles de seguridad, cosas que un hacker no llamaría hackear. El hace sus charlas con software que se encuentra libremente por Internet. Es ese niño que en 2003 sabía bajarse películas y piratear software, pero en adulto y enfocado a la seguridad en vez de la piratería.
El mundo se mueve rápido y los software cada vez parchean más rápido y pese a que aún hay poca inversión, las empresas cada día invierten más en seguridad.
No puedes ser CSO y estar al día del mundo del hacking real (no hablo de publireportajes de webmedia), así como no puedes se el líder de un equipo de programadores y saber programar igual de bien que todos los de tu equipo. Al principio cuando empiezas de jefe aun retienes algo, pero al final empiezas a olvidar parar aprender nuevos trucos (gestión de tus recursos humanos, presupuestos, proveedores, etc...)
#21 Donde ha llegado? a montar una empresa, venderla a telefónica, donde es directivo. Y a salir por la tele con Pablo Motos.
Si lo evalúas como empresario, está genial. Si lo evalúas como hacker, que ha hecho como hacker?
existen certificaciones de hacking ético, los que nos dedicamos a evitar que los chungos entren y roben información o instalen ransomware o.........
puede ser que intentes penetrar en sistemas para descubrir sus debilidades o que estés en equipos dedicados a vigilancia de intrusos (resumiéndolo muchísimo)
Resumen, YO, YO soy el puto amo.
Hacker de cuello blanco. Ser ejecutivo ( https://www.telefonica.com/es/nosotros/principales-datos/equipo-ejecutivo/ ) de una empresa específicamente como Telefoónica es incompatible con la cultura hacker.
¿Es aquí donde hay que diferenciar hacker de cracker?
Ya por el simple titular que relaciona Hacking con "el mal" me hace arrugar el morro
Los hackers no son el mal, sólo son frikis con mucho tiempo libre y paciencia infinita.
Los malos son los que se follan a las tías con que se pajean, los que les empujan como mosquitos y los que les pegaban en el cole.