Editor:WHK
En este segundo número quise hacer la entrevista un poco mas entretenida hablando de múltiples cosas sin dejar escapar el tema relacionado con la seguridad.
Sirdarckcat
Entrevista
Esta ves no hize la entrevista en un pub como ene l número anterior sino que fuimos directamente a las instalaciones de Google. Mientras haciamos el tour caminando le iba haciendo un par de preguntas:
\\\WHK/// dice:
Hola, quería comenzar preguntando quien eres aunque a estas alturas medio internet lo sabe
sirdarckcat dice:
Soy, eduardo vela.. y no creo que me conozca medio internet jaja.. en el foro soy sirdarckcat y antes era coadmin pero para evitar la tentacion de entrar a banear personas durante el trabajo, pues ahora solo soy colabo.
\\\WHK/// dice:
Crees que la falta de conocimiento se deba a la falta de poder estudiar en alguna universidad o grán institución?
sirdarckcat dice:
Pues creo que el que quiere aprender aprende, independientemente de si estudia o no en alguna universidad.. La universidad mas es un lugar donde los padres mandan a sus hijos para que aprendan aunque no quieran.
\\\WHK/// dice:
Piensas que un IDS (sistema de detección de intrusos) puede salvar tu vida?
sirdarckcat dice:
Definitivamente, PCI require a los sitios que manejan datos de tarjetas de credito una de tres, una revision profesional de codigo fuente, una revision "blackbox" de pentesting, o un IDS. La mayoria se va por los WAF/IDS porque es mas barato, y como tal eso le puede salvar la vida a todos los carders del mundo, porque la aplicacion web que maneja los datos no es segura, solo tiene un IDS.
\\\WHK/// dice:
Bueno, se que en algunas ocasiones te dedicas a revisar el estado del Servidor de ElHacker.net, es muy dificil poder detener un ataque en curso?
sirdarckcat dice:
Depende, practicamente todos los ataques que recibe el foro son DoS.. ya que el resto de las vulnerabilidades las encontramos y reparamos en privado, el servidor de españa algunas veces ha causado problemas, asi como /noticias, pero en general no es algo dificil de solucionar.
Las protecciones a nivel red que tiene el foro, asi como de cargas de apache, en general son obra de el-brujo.
Respecto a DDoS yo solo hice el script que detecta y redirige bots (para desactivarlos o medirlos).
\\\WHK/// dice:
Quería conversar un poco sobre las vulnerabilidades a nivel WEB. Antiguamente un XSS (Cross site Scripting) era considerado una vulnerabilidad de un sitio web en bajo nivel, hoy se considera una falla de nivel medio, tu crees que pueda llegar a ser critico?
sirdarckcat dice:
Pues ha aumentado el nivel de seriedad para vulnerabilidades de XSS simplemente porque las aplicaciones web cada vez son mas grandes y manejan mas informacion. Ademas, cada dia se explotan mas y mas vulnerabilidades de este tipo que han generado un impacto economico, lo que hace que su riezgo sea reconocido.
La diferencia entre XSS y otras vulnerabilidades es que este tipo de problemas atacan al cliente y no al servidor.
(otras como CSRF, DoS, etc.. tambien pueden atacar al cliente)
\\\WHK/// dice:
Al momento de navegar por internet sin tener mayores conocimientos sobre seguridad informática, que debemos hacer o de que debemos cuidarnos y como hacerlo?
sirdarckcat dice:
Existen dos maneras de afrontar la inseguridad en la web, y son las mismas que en la vida diaria. Puedes salir a la calle con miedo, en modo paranoico, con gas pimienta en la bolsa, y demas, cosa que reducira el impacto que recibiras si algo te pasa, o puedes salir a la calle, sin que te importe confiando en "la policia" (equipo de seguridad de los sitios web que visitas, si existe).
Yo creo que debes hacer en una web insegura, lo mismo que haces en un pais inseguro. Y en una web segura, lo que haces en un pais seguro.
No vas a salir a caminar a las 2 de la madrugada en una web de cracks.
Y sobre el como pues, antivirus, firewall, y sugeriria el uso de sistemas como noscript, y demas.. pero los usuarios comunes simplemente no usan eso, prefieren tener virus a tener que estar dando 3 clicks a "allow" cada 15 minutos.
\\\WHK/// dice:
Bueno, se que te gustan las mascotas y en especial los gatos , que raza te gusta mas?
sirdarckcat dice:
Nunca he tenido un gato de mascota. jajajaja
\\\WHK/// dice:
jajaja. Cuando te regalaron la camizeta de parte de Google al colaborar con el reconocimiento de bugs en su sitio no venía con algún transmisor GPS o algo por el estilo? supongo que te da orgullo cada ves que la metes en la lavadora jaja
sirdarckcat dice:
Pues esta padre la tshirt, cada que veo a empleados de google usandola digo "woo, yo tengo esa tshirt" jaja, pero pues en general lo que he ayudado a google es mas que nada porque yo soy usuario del mismo, y si encuentro una vulnerabilidad y no la reporto, cuando alguien mas la encuentre puede que la use contra mi. Ademas que es divertido y se aprende mucho haciendo este tipo de cosas.
\\\WHK/// dice:
Crees en la retribución del uso de un Sistema o software libre y/o sin pago alguno?
sirdarckcat dice:
Eso no se hace por retribucion, se hace por ayudar.. De eso depende el software libre, de permitir el libre uso de software.
\\\WHK/// dice:
bueno y para concluir, la pregunta trival.
Mozilla Firefox 3.0x o Internet Explorer 8?
sirdarckcat dice:
Oh, depende para que?
IE 8 es rapido y muy seguro en varios aspectos, la mayoria de los que dicen que no es porque no entienden realmente la vulnerabilidad (que en general son en componentes externos).
Pero yo uso Firefox porque es mas comodo.
\\\WHK/// dice:
bueno, gracias por tu tiempo, nos vemos.
Despedida
Al terminar la entrevista salimos de las instalaciones de google para pasar a tomarnos un mantecado en la heladería "bravísimo". Mañana a trabajar.
Créditos
Autor: WHK
Entrevistado: Sirdarckcat (http://foro.elhacker.net/profiles/sirdarckcat-u80879.html || http://sirdarckcat.blogspot.com/ )
Lugar de encuentro: MSN
Fecha: Domingo 28 de Junio del 2009
Enlaces descriptivos:
http://es.wikipedia.org/wiki/Cross-site_scripting
http://es.wikipedia.org/wiki/Ids
http://es.wikipedia.org/wiki/DDoS
http://es.wikipedia.org/wiki/Cross_Site_Request_Forgery
link a el foro:
http://foro.elhacker.net/foro_libre/la_entrevista_informatica_nordm1_2462009-t259055.0.html;msg1261228#msg1261228
En este segundo número quise hacer la entrevista un poco mas entretenida hablando de múltiples cosas sin dejar escapar el tema relacionado con la seguridad.
Sirdarckcat
Entrevista
Esta ves no hize la entrevista en un pub como ene l número anterior sino que fuimos directamente a las instalaciones de Google. Mientras haciamos el tour caminando le iba haciendo un par de preguntas:
\\\WHK/// dice:
Hola, quería comenzar preguntando quien eres aunque a estas alturas medio internet lo sabe
sirdarckcat dice:
Soy, eduardo vela.. y no creo que me conozca medio internet jaja.. en el foro soy sirdarckcat y antes era coadmin pero para evitar la tentacion de entrar a banear personas durante el trabajo, pues ahora solo soy colabo.
\\\WHK/// dice:
Crees que la falta de conocimiento se deba a la falta de poder estudiar en alguna universidad o grán institución?
sirdarckcat dice:
Pues creo que el que quiere aprender aprende, independientemente de si estudia o no en alguna universidad.. La universidad mas es un lugar donde los padres mandan a sus hijos para que aprendan aunque no quieran.
\\\WHK/// dice:
Piensas que un IDS (sistema de detección de intrusos) puede salvar tu vida?
sirdarckcat dice:
Definitivamente, PCI require a los sitios que manejan datos de tarjetas de credito una de tres, una revision profesional de codigo fuente, una revision "blackbox" de pentesting, o un IDS. La mayoria se va por los WAF/IDS porque es mas barato, y como tal eso le puede salvar la vida a todos los carders del mundo, porque la aplicacion web que maneja los datos no es segura, solo tiene un IDS.
\\\WHK/// dice:
Bueno, se que en algunas ocasiones te dedicas a revisar el estado del Servidor de ElHacker.net, es muy dificil poder detener un ataque en curso?
sirdarckcat dice:
Depende, practicamente todos los ataques que recibe el foro son DoS.. ya que el resto de las vulnerabilidades las encontramos y reparamos en privado, el servidor de españa algunas veces ha causado problemas, asi como /noticias, pero en general no es algo dificil de solucionar.
Las protecciones a nivel red que tiene el foro, asi como de cargas de apache, en general son obra de el-brujo.
Respecto a DDoS yo solo hice el script que detecta y redirige bots (para desactivarlos o medirlos).
\\\WHK/// dice:
Quería conversar un poco sobre las vulnerabilidades a nivel WEB. Antiguamente un XSS (Cross site Scripting) era considerado una vulnerabilidad de un sitio web en bajo nivel, hoy se considera una falla de nivel medio, tu crees que pueda llegar a ser critico?
sirdarckcat dice:
Pues ha aumentado el nivel de seriedad para vulnerabilidades de XSS simplemente porque las aplicaciones web cada vez son mas grandes y manejan mas informacion. Ademas, cada dia se explotan mas y mas vulnerabilidades de este tipo que han generado un impacto economico, lo que hace que su riezgo sea reconocido.
La diferencia entre XSS y otras vulnerabilidades es que este tipo de problemas atacan al cliente y no al servidor.
(otras como CSRF, DoS, etc.. tambien pueden atacar al cliente)
\\\WHK/// dice:
Al momento de navegar por internet sin tener mayores conocimientos sobre seguridad informática, que debemos hacer o de que debemos cuidarnos y como hacerlo?
sirdarckcat dice:
Existen dos maneras de afrontar la inseguridad en la web, y son las mismas que en la vida diaria. Puedes salir a la calle con miedo, en modo paranoico, con gas pimienta en la bolsa, y demas, cosa que reducira el impacto que recibiras si algo te pasa, o puedes salir a la calle, sin que te importe confiando en "la policia" (equipo de seguridad de los sitios web que visitas, si existe).
Yo creo que debes hacer en una web insegura, lo mismo que haces en un pais inseguro. Y en una web segura, lo que haces en un pais seguro.
No vas a salir a caminar a las 2 de la madrugada en una web de cracks.
Y sobre el como pues, antivirus, firewall, y sugeriria el uso de sistemas como noscript, y demas.. pero los usuarios comunes simplemente no usan eso, prefieren tener virus a tener que estar dando 3 clicks a "allow" cada 15 minutos.
\\\WHK/// dice:
Bueno, se que te gustan las mascotas y en especial los gatos , que raza te gusta mas?
sirdarckcat dice:
Nunca he tenido un gato de mascota. jajajaja
\\\WHK/// dice:
jajaja. Cuando te regalaron la camizeta de parte de Google al colaborar con el reconocimiento de bugs en su sitio no venía con algún transmisor GPS o algo por el estilo? supongo que te da orgullo cada ves que la metes en la lavadora jaja
sirdarckcat dice:
Pues esta padre la tshirt, cada que veo a empleados de google usandola digo "woo, yo tengo esa tshirt" jaja, pero pues en general lo que he ayudado a google es mas que nada porque yo soy usuario del mismo, y si encuentro una vulnerabilidad y no la reporto, cuando alguien mas la encuentre puede que la use contra mi. Ademas que es divertido y se aprende mucho haciendo este tipo de cosas.
\\\WHK/// dice:
Crees en la retribución del uso de un Sistema o software libre y/o sin pago alguno?
sirdarckcat dice:
Eso no se hace por retribucion, se hace por ayudar.. De eso depende el software libre, de permitir el libre uso de software.
\\\WHK/// dice:
bueno y para concluir, la pregunta trival.
Mozilla Firefox 3.0x o Internet Explorer 8?
sirdarckcat dice:
Oh, depende para que?
IE 8 es rapido y muy seguro en varios aspectos, la mayoria de los que dicen que no es porque no entienden realmente la vulnerabilidad (que en general son en componentes externos).
Pero yo uso Firefox porque es mas comodo.
\\\WHK/// dice:
bueno, gracias por tu tiempo, nos vemos.
Despedida
Al terminar la entrevista salimos de las instalaciones de google para pasar a tomarnos un mantecado en la heladería "bravísimo". Mañana a trabajar.
Créditos
Autor: WHK
Entrevistado: Sirdarckcat (http://foro.elhacker.net/profiles/sirdarckcat-u80879.html || http://sirdarckcat.blogspot.com/ )
Lugar de encuentro: MSN
Fecha: Domingo 28 de Junio del 2009
Enlaces descriptivos:
http://es.wikipedia.org/wiki/Cross-site_scripting
http://es.wikipedia.org/wiki/Ids
http://es.wikipedia.org/wiki/DDoS
http://es.wikipedia.org/wiki/Cross_Site_Request_Forgery
link a el foro:
http://foro.elhacker.net/foro_libre/la_entrevista_informatica_nordm1_2462009-t259055.0.html;msg1261228#msg1261228
0 comentarios:
Publicar un comentario