Random IRC quote :       <sebas> alguna novedad sobre mi reporte? <wzzx> si, parece ser que alguien ya lo a imprimido y se esta limpiando el culo con el

Currando que es gerundio.

libdbgSi andas por aquí supongo que es porque de alguna manera estás relacionado profesionálmente con esto de la seguridad informática, o por lo menos te gusta. Si eres de estos últimos, ¿has pensado alguna vez que esa afición se puede convertir en una forma de ganarte la vida?

Los retos de ingeniería inversa han sido desde siempre una forma bastante buena de medir tus conocimientos, ampliarlos y/o aprender cosas. Aquí en 48bits os hemos planteado unos cuantos retos «por amor al arte». Sin embargo, hay empresas del Estado que ofrecen algo más que satisfacción personal si logras solucionar los que ellos te proponen; S21sec lleva desde hace tiempo regalando libros a los reversers que planteen las mejores soluciones( lo que también es una buena carta de presentación). Ahora, Hispasec te puede ofrecer hasta un puesto de trabajo si logras solucionar el crackme que plantean.

Ya veis, hace unos años se petaban crackmes por afición, ahora te pueden solucionar la vida. Los tiempos cambian, en este caso para mejor…

Por último, si alguien (que no sea familiar de primer grado) te ha dicho que lo tuyo es encontrar vulnerabilidades (abstenerse RFI, SQL injections y movidas Web de ese palo) y no te apetece venderlas al precio actual del dolar ni pasarte al lado «oscuro», escribe a: contact (at) wintercore (dot) com

adeuu

Actualizado
Como podéis leer en los comentarios, S21Sec también tiene en cuenta las soluciones que presentes a los retos para ofrecerte un puesto de trabajo.

RequeteActualizado
«La Guerra de los Retos» se ha desatado, desde Hispasec afirman que pagan más y que también regalan camisetas. Veremos cual es el próximo movimiento. 🙂

22 Comentarios para “Currando que es gerundio.”

  1. Comment por tomac | 03/27/08 at 4:46 pm

    Bueno, en S21sec también valoramos a los que nos envían los resultados de los crackme para contratarlos, no sólo regalamos libros!! 🙂

  2. Comment por Rubén | 03/27/08 at 6:08 pm

    Hola tomac,
    Ya imagino, lo había dejado caer en la siguiente frase «a los reversers que planteen las mejores soluciones( lo que también es una buena carta de presentación)», porque explícitamente no aparece en ninguna entrada de vuestro blog (creo), asi que para no meterme en camisas de once varas no lo puse.

    Pero vamos que ahora que lo confirmas pues actualizo el post y lo pongo también 🙂

    Un saludo!

  3. Comment por Anónimo | 03/28/08 at 7:08 am

    Rubén, hoy he leído una entrevista tuya en El País donde te atreves a hacer algunas afirmaciones que los que estamos en el ajo sabemos que no son ciertas, entre otras cosas porque no dispones de algunos datos.

    Debes tener más cuidado con estas cosas porque en este negocio nos conocemos todos, y ser bueno técnicamente es sólo el primer paso para ganarte el respecto de la comunidad.

    Es sólo un consejo, sin acritud.

  4. Comment por Ruben | 03/28/08 at 8:07 am

    Hola Anonymous,

    Podrías ser un poco más concreto?¿ qué afirmaciones de las que hago en esa entrevista (que por cierto forma parte de una más extensa que supongo que Mercè publicará más adelante, por lo que no todo está en su contexto) no son ciertas ?

    ¿Cuando he faltado al respeto a alguien de la comunidad? Si por algo creo que me he caracterizado es por escribir exclusívamente de temas técnicos, no creo que encuentres muchas opiones subjetivas y menos contra alguien en concreto ni en general.

    Acepto consejos y críticas por eso no hay problema, pero por favor se un poco más concreto porque realmente me has dejado a cuadros.

    Un saludo

  5. Comment por Anónimo | 03/28/08 at 9:06 am

    Por ejemplo cuando afirmas que el phishing provoca «pérdidas billonarias» a «los bancos», te refieres… ¿en todo el mundo? ¿En Europa? ¿España? ¿De media por cada entidad española? ¿Por año? ¿Desde que existe el phishing? ¿?

    Al presentar de forma tan «ligera» en un medio de comunicación como El País un dato tan importante estás frivolizando con algo muy serio, más aun sin tener una fuente fiable de donde haber obtenido el dato.

    Esto hace que tu entrevista tome un tinte «sensacionalista», lo cual no te conviene porque afecta a tu credibilidad.

    No deberias arriesgarte a dar datos/cifras (aunque los tuvieras) de temas que no manejas y de los que no tienes feedback directo y fiable. Eso te pone en contra de los sectores a los que afectan tus declaraciones (en este caso la banca) y estos son los que pagan a las empresas que a ti te pagan (no muerdas la mano que te da de comer!). No serías el primero (se me vienen a la cabeza varios nombres) al que se le cierran las puertas en sitios muy interesantes por haber creado «sensación» en los medios.

    Como consejo: pies de plomo cuando hables en los medios. Si quieres que te tomen en serio, tienes que ser riguroso y cauto, y manejar con inteligencia la información que tengas. Lo contrario puede afectar en tu carrera, y sería una pena en tu caso.

    Espero que no te lo tomes a mal y que te aporte algo el comentario.

    Suerte.

  6. Comment por Gabriel Gonzalez | 03/28/08 at 5:12 pm

    Sin intención de ofender tampoco, querido amigo Anonymous, creo que has mal interpretado la entrevista.

    1. En ningún momento Rubén ha fribolizado con nada, simplemente ha expuesto hechos y datos objetivos que todo el mundo tiene al alcance de su google, una simple búsqueda como «phishing loses 2007» arroja resultados que respaldan el comentario realizado.

    2. El medio en el que se presenta la información no es ni mucho menos ninguna publicación técnica, no se puede ni considerar divulgación científica, por lo que los hechos y la información se tiene que mostrar de una manera clara y entendible por todos, incluso aquellos que no tienen el privilegio (o desgracia) de tener conocimientos específicos del tema a tratar.

    3. Volviendo al punto 1, en ningún momento ha sacado a la luz ningún dato que no sea accesible y conocido por cualquier persona con el mínimo interés, por lo que no creo que nadie vaya a alarmarse por decir una vez más lo que que todos los medios de tirada nacional han dicho anteriormente:

    http://www.inteco.es/studyCategory/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_sobre_usuarios_y_profesionales_de_enti_134
    http://www.elpais.com/articulo/internet/bancos/sufren/490/variantes/phishing/primera/mitad/2007/elpeputec/20070802elpepunet_10/Tes

    Desde mi punto de vista, no veo que la repercusión del artículo sea tan alarmista como presentas en tus dos posts, de todas maneras los consejos de desconocidos, a mi manera de ver no tienen mucho valor, así que si quieres hacer valer tus palabras espero que hayas comunicado tus pensamientos por otro canal a quien corresponde. A no ser, claro está, que tu única intención sea la de causar daño y no la de aconsejar como pretendes hacer ver.

    Saludos.

  7. Comment por Zohiartze Herce | 03/28/08 at 6:54 pm

    Me meto donde no me llaman, pero anonimo, ¿no crees que hubiese sido mejor que le hubieses mandado un mail a Ruben, o en caso de postear algo, hacerlo con tu nombre?

  8. Comment por Anónimo | 03/28/08 at 6:59 pm

    Sólo era un consejo Gabriel, te aseguro que mi intención está muy lejos de querer dejar mal a nadie: Rubén me parece un gran profesional que tiene un gran futuro por delante.

    Es un gran error creerse todo lo que hay publicado en La Red: Inteco no dispone de los datos de fraude por phishing entre otras cosas porque ni el banco de España ni los bancos (ni cajas) los publican. Esos datos los sacaron haciendo encuestas de opinión (!!) a usuarios. fíjate que el informe dice:

    «Es importante indicar que en el análisis estadístico llevado a cabo en la fase de investigación para la realización del informe, los datos de los resultados cuantitativos que se muestran tienen su base en opiniones y percepciones de los usuarios encuestados».

    Es decir, que el Inteco no tiene una fuente de donde obtener el dato (y te aseguro que así es, por eso tiene que hacer una «encuesta de opinión» a usuarios).

    Aun así, si analizas ese informe, verás que: de los 3000 entrevistados, el 29% (870) sufrió un intento de fraude online, de los que sólo el 2,1% (19) fueron sido víctimas de fraude. El peor dato que dan es que el fraude medio por persona afectada fue de 593€, lo que no da ni 12000€ de pérdidas en toda España durante 2007 por phishing. Evidentemente esto no tiene ni pies ni cabeza.

    Esos informes hicieron que une vez más la credibilidad de Inteco cayese por los suelos, al igual que los que hacía la AUI, no para los usuarios que los leen y se creen todo lo que leen, sino para los profesionales del sector (incluidas empresas que protegen a los bancos y los propios bancos).

    ¿Y por qué hacen un informe así? Porque necesitan justificar presupuesto para años posteriores. No olvides que el Inteco es un funcionariado, con todos mis respetos 😉

    Este sector es más complicado de lo que parece desde fuera y tiene un lado oscuro donde se arroja a empresas y personas que pretenden «causar miedo» para generar necesidad (se que no es esa la intencion de Rubén, supongo que simplemente dio ese dato porque lo vio en alguna web) dando cifras que nadie tiene. Si queréis dar salida a Artica tenéis que tener cuidado con eso. Es sólo un consejo de un desconocido.

    De verdad que sin ninguna acritud. Que nadie me tome a mal.

  9. Comment por Anónimo | 03/28/08 at 7:06 pm

    Puedes ser Zohiartze, pero se que aquí hay gente con potencial a los que a lo mejor les interesaba saber como andan las cosas en el sector para no cometer fallos: use el ejemplo de Rubén para intentar aportar algo, nada más.

    No puedo poner mi nombre.

    Un saludo.

  10. Comment por Zohiartze Herce | 03/28/08 at 7:09 pm

    Estoy de acuerdo en mucho de lo que dices, pero entiende que lo de postear con nombre es por una cuestion de higiene del blog. Nada más.

    Slds.

  11. Comment por Jack | 03/28/08 at 7:13 pm

    Ok 🙂

  12. Comment por Bernardo | 03/28/08 at 7:27 pm

    ehhhh… que conste que nosotros también regalamos camisetas 😉

    Ya puestos, si vas a actualizar la entrada, pon también que Hispasec paga más :p

  13. Comment por Gabriel Gonzalez | 03/28/08 at 7:30 pm

    Ok, creo que he entendido cual es «your point», ya que en el último lo has explicado bastante bien.

    Sin acritud las cosas saben mejor 😀

    Saludos.

  14. Comment por Rubén | 03/28/08 at 7:46 pm

    Yo a lo único que me dedico es a trabajar, investigar y desarrollar. Mi intención no es llamar la atención de ninguna de las maneras si no es con el trabajo que realizo. De hecho ni siquiera he posteado nada de la entrevista en ningún lugar porque no entra dentro de lo post técnicos que escribo. Si acepté la entrevista fue porque la hacía Mercè Molist que lleva mucho tiempo en estas cosas. No busco «fama». Y creo que eso lo he demostrado durante los últimos 2 años publicando exclusivamente datos técnicos en listas técnicas.

    Si dije lo que dije es porque lo había leido previamente y creí que tenía que decir algo de los grandes sectores afectados como son los Gobiernos,Banca, empresas y usuarios.

    Creo que me estás sobreestimando. No hilo tan fino como para decir eso para que compren Artica…

    Si alguien cierra las puertas a Wintercore o Artica por esta entrevista me viene a confirmar que en este país hay una importante falta de criterio. Y lo digo sabiendo quien es anonymous.

    Para que veais esas declaraciones dentro del contexto os diré que me preguntaron sobre el pasado, el presente y el futuro de la seguridad informática y esto fue lo que respondí. De lo que cual la periodista extrajo lo que ella consideró más interesante para sus lectores.

    ————————
    El escenario de la seguridad informática es complétamente diferente al de hace años. Antes, en la mayoría de los casos, alguien hacía un virus, penetraba un sistema o se ahorraba unas pesetas en las cabinas por el mero hecho de aprender, superarse a sí mismo o a lo sumo, obtener algo de reconomiento.Rápidamente el acceso a internet, el ordenador y las nuevas tecnologías fue creciendo , a la par que se hacía accesible a todo el mundo. Prácticamente todo lo que antes se tenía que hacer de forma presencial, pasaba a poder hacerse a través de Internet…y entonces surgió el negocio. Ese fue el punto de inflexión, a partir de ahí apareció una profesionalización de todo lo que antes era un “entretenimiento”.

    Un usuario doméstico tiene que enfrentarse hoy a malware, spam, phishing, rootkits, exploits, etc… por lo que acceder a la web se ha convertido en una actividad de riesgo. En cuanto a las empresas, además de todo lo anterior sufren también ataques personalizados a sus empleados, destinados al espionage industrial, o a sus redes con el objetivo de robar sus bases de datos. Tampoco podemos olvidar las perdidas billonarias de los bancos debido al phishing. Los gobiernos además, se enfrentan a posibles amenazas a la seguridad de infraestructuras críticas debido a vulnerabilidades en los sistemas SCADA, muchos de ellos obsoletos y que a la hora de implementarse no tuvieron en cuenta su seguridad. Reciéntemente el Gobierno de EEUU ha dado a conocer ataques de este tipo contra centrales de suministro de energía en su territorio. Aunque este tipo de ataques necesitarían de un amplio conocimiento y sofitisticación, no pueden obviarse y de hecho las empresas se están preocupando ya de estos asuntos.

    Desde un punto de vista de un usuario común, el malware está en niveles epidémicos, literálmente hablando. Eugene Kasperksy comentaba hace tiempo que no podía hacer frente a la cantidad de malware que recibían cada día y pedía que las autoridades intervinieran. Esto se puede extrapolar a todas las compañías. Día tras día surgen nuevas variantes de malware cuyo objetivo va desde robar las credenciales de los usuarios de banca online, convertir el ordenador en un zombie esperando órdenes hasta cifrar los documentos de la víctima y pedir un rescate a cambio de la clave.

    El futuro de la seguridad informática pasa por la detección proactiva de todo este tipo de amenazas.
    Hay que pensar de una forma multidisciplinar, aplicar conceptos de la neurobiología, la genética, la estadística y en general de varias disciplinas científicas. Muchos Antivirus ya se han concienciado y trabajan desde hace tiempo tratando de identificar los comportamientos y clasificar las familias del malware con el fin de prevenir antes que curar. Por ejemplo, nosotros estamos desarrollando en esa dirección y sacaremos próximamente un producto destinado a la detección proactiva y automática de ataques de phishing, basándonos en técnicas de Computer Vision que son aplicadas habitualmente en campos como la robótica, la medicina o el control industrial pero que todavía no se ha extendido al de la seguridad informática.

    En definitiva, un escenario realmente inquietante, y que no tiene visos de solucionarse a corto plazo
    ————————-

  15. ash
    Comment por ash | 03/28/08 at 7:46 pm

    Ale, pues todos tan amigos!

    Jack? De donde ha salido Jack? Esto me lo vas a tener que explicar… ve preparandote 😛

  16. Comment por Jack | 03/28/08 at 8:03 pm

    Jack… es lo primero que se me ha ocurrido, no se por qué me vino a la cabeza el Quien es Quien 😉

    Completamente de acuerdo Rubén; en este país hay una falta absoluta de criterio… y mucha política de por medio en estos temas.

    No tendría sentido que nadie cerrara la puerta a nadie por ésto, sólo quería recomendarte que tuvieras cuidado en prensa. Espero que no te lo hayas tomado a mal.

    Saludos.

  17. Comment por Bernardo | 03/29/08 at 12:29 am

    jo.. «la guerra de los retos», me cachis… habrá que prepararse

    /me dudando entre comprar al por mayor una partida de iphones… o pasajes pa crucero…

  18. Comment por tomac | 03/29/08 at 2:10 am

    Bernardo, no empecemos que al final nos vamos a tirar los trastos 😛 Hay sitio para todos y todas 🙂

    Además, tenemos pendiente lo que hablamos un día en vuestro blog de hacer algo conjunto.

    PD: además de lo comentado por Hispasec, añadimos piruletas naranjas al montante 🙂

  19. Comment por erg0t | 03/29/08 at 2:19 am

    Aver cuando se avivan y ponen «Retos por Birra» 🙂

  20. Comment por Bernardo | 03/29/08 at 5:59 am

    tomac: que sí… si ya teníamos hilo argumental y todo para el reto conjunto, la magia se perdió cuando el tercero en discordia, el maligno de spectra, se echó para atrás al hablar de pelas para los premios…

  21. Comment por Trancek | 03/29/08 at 6:39 am

    A ver si saco algo de tiempo para el de hispasec, los de s21sec suelo verlos y de los 4 he resuelto 2, el primero no lo vi y el 3º era bastante espeso y dificil pa mi ejeje. Respecto a lo del reto conjunto, chema suele ser más de premios chorras, birras y demás, mejor eso que dinero hombre, si es para divertirse 😛

  22. Comment por Bernardo | 03/29/08 at 9:13 am

    Trancek: no hablábamos de dar premios en metálico directamente, pero si poner una bolsa para dar premios «apetecibles», como viajes a la blackhat en usa o cosas así… siempre premiando en especies. Pero vale, siempre hay alguien que prefiere de premio el calendario sexy de chema… pa gusto colores 😉

Se han cerrado los comentarios