Organización Mexicana de Hackers Éticos

Jueves 22 Julio Reunión de seguridad y hacking en Guanajuato

Kuaninj4s es un grupo de interesados en diversos temas #ninjas #espionaje #geeks #l33t #sociedad #política #libertad #wtf #beer #cyberpunk #inseguridad

X.25 Ethical Hacking Conferences 2010

El Centro de Estudios Superiores en Alta tecnología en coordinación con la Asociación Latinoamericana de Especialistas en Seguridad Informática (ALAPSI) a través del CCAT Research Labs, organizan el primer:

“X.25 Ethical Hacking Conferences”

Uno de los principales eventos en Latinoamérica relacionado con la seguridad informática.

El “X.25 Ethical Hacking Conferences” permitirá reunir a investigadores reconocidos a nivel nacional y mundial quienes compartirán las nuevas tendencias de la seguridad informática a un nivel totalmente técnico quienes son provenientes de una gran variedad de universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores que por su propia cuenta han hecho descubrimientos en cuestión de seguridad informática se refiere.

Este evento se dividirá en dos etapas: los talleres de Especialización enfocados a capacitar en las principales áreas de Seguridad Informática, y el ciclo de Conferencias impartidas por reconocidos expertos que serán invitados a este magno evento para compartir sus últimas investigaciones y experiencias en el área.

Las Conferencias y los talleres de Seguridad Informática se llevarán a cabo del

22 al 23 de Octubre del 2010

Para mayores informes:x.25sec

Reclaman a gobierno a través de protesta en la red. CPM

¡Viva México Cabrones!, esta es la leyenda que se puede leer escrita sobre una imagen de la bandera mexicana en varios portales de algunas páginas oficiales de varios gobiernos estatales, dependencias y organizaciones. La protesta se la adjudica el grupo autonombrado como Ciber Protesta Mexicana (CPM).

“En un país en el que nuestros gobernantes, diputados y senadores piensan que somos ciegos, que somos sordos, que somos mudos, que esperamos pacientes con miedo, sin voluntad ni protesta alguna nosotros Mexicanos levantamos esta protesta cibernética pacifica y decimos… Si vemos! Si escuchamos! Si hablamos, Si pensamos, Hablamos y Actuamos… Escribimos…”, de esta manera la CPM escribe para convocar a la población a participar en esa ciberprotesta

En los mensajes que se leen en las páginas hackeadas, el grupo se manifiesta en contra de Telmex, Comisión Federal de Electricidad, Pemex, los líderes sindicales, la corrupción entre los policías y servidores públicos entre otros temas: “Corrupción, Nepotismo, Abuso de Autoridad, Ineptitud, trafico de influencias, abuso de poder, Compadrísimo […] etc”

En un último mensaje los hackers invitan a la cibernautas a dejar su “propuesta ciudadana”

“Esta protesta es del pueblo mexicano, no pensamos en dar nuestra opinión sin dejar a este mismo… el pueblo hacerlo, ya que parecen ser nuestros gobernantes los que no nos escuchan.”

Después de este mensaje aparecen 347 comentarios, entre los que se leen reclamos subidos de tono, propuestas y críticas

Algunos de los portales que la CPM hackeó fueron las del gobierno de Colima, Tuxtla, Michoacán; el Sistema de Observación por la Seguridad Ciudadana, la Coordinadora Nacional de las Fundaciones Produce, El Diario de Chihuahua, la Secretaría de Desarrollo Rural de Puebla, Liconsa

Además de: www.palenqueonline.com/, www.casadelarchivo.gob.mx/, www.laboratoriosjulio.com.mx/, www.eldiariodedelicias.com.mx/, www.plataformafinancierajz.com/, ligadeunidadsocialista.org/, www.spm.org.mx/, convermex.com.mx/, www.parggon.com.mx/, www.colegiocervantesprimaria.edu.mx/, www.monitorapcj.com/, www.lapuertanoticias.com

BugCON Security Conference 2009

# La OMHE recomienda la asistencia a BugCON 2009.

Primera Cumbre de Seguridad Informática del Estado de Querétaro.

La URL del evento es:

http://www.cumbreseguridadinformaticaqueretaro.com

Ahí podrá encontrar más información.

Si consideras este evento interesante puedes reenviarlo a otras personas y así apoyar a la seguridad informática del País.

Si tienes una empresa ó trabaja en alguna que sienta que merezca una invitación gratuita para el evento puedes solicitarla en: confirmaciones@cumbreseguridadinformaticaqueretaro.com

Si eres un estudiante puedes considerar ir para despejar tus dudas de muchos temas relacionados con seguridad, hacking, phreacking, urban hacking, cracking, espionaje, delitos informáticos, explosivos, programación, ninjas, etc…

Si trabaja para el gobierno , podrá aprender algo de la industria de la seguridad de la información, a proteger tus sistemas gubernamentales, a cuidar tu información confidencial y sobre todo a no exponer información de los ciudados que confian en la seguridad de los sistemas gubernamentales.

Se agradece cualquier comentario personal a hl@omhe.org

Presentación y Antecedentes:

El ser humano ha evolucionado, y con él sus intereses. La información se ha vuelto esencial para su continuo desarrollo y en ocasiones es base fundamental para sus características funcionales y económicas. La información ahora tiene un valor e importancia que, entonces, demanda un trato y una protección especializada.

Las empresas, el gobierno, los terroristas han tenido que adaptarse a una curva tecnológica que representan los grandes avances en las telecomunicaciones, en tan solo los último 10 años. Con los avances tecnológicos, se sobrevienen grandes amenazas por un lado, y grandes responsabilidades por otros.

Todo en esta vida se basa en sistemas, podemos observar esto en nuestro cuerpo humano empezando por el sistema nervioso.

El que un sistema funcione no quiere decir que sea del todo justo, correcto ó seguro.

La industria de la seguridad de la información se dedica a brindar una falsa sensación de la seguridad a cambio de dinero. Podemos observar a empresas ofreciendo soluciones seguras; ¿Seguras de qué? ¿Seguras contra quién ?

La realidad esque la arquitectura de las soluciones tecnológicas es cada vez más compleja.

El crimen organizado ha evolucionando y para ellos es más sencillo robar passwords, información bancaria, identidades, alterar el contenido de un sitio web, compatir información, etc. Ahora todo está conectado.

El detalle esque nadie hace lo suficiente y nunca será suficiente; el internet lo ha cambiado todo. Ahora podemos viajar de red en red sin tener que ser vistos de manera física, sin pasar por un detector de armas, dejando rastros “MAC, IP address” que pueden ser falsificados de una manera muy sencilla con herramientas que cualquier ser humano puede descargar de internet.

El marco legal en México en materia de seguridad informática es deficiente. Según la encuesta de CSI/FBI cuando una empresa sufre un ataque, la mayoría de las veces no se reporta ya que las empresas han perdido la credibilidad en el sistema legal, nuestros abogados no tienen el entrenamiento adecuado, las autoridades no saben como responder a este tipo de incidentes.

Nuestra agencias de inteligencia no pueden competir contra el crimen organizado en internet, esa es la realidad.

El Internet ha dejado fuera las barreras de distancia, una persona sentada en Japón ó China puede estar controlando una “botnet” con máquinas zombie de cualquier parte del mundo y causando una denegación de servicio a un sitio gubernamental de México.

Los encargados de los sistemas de información lejos de tomar un curso ó una certificación de seguridad deberían de tomar un descanso y analizar el problema de raíz. Una certificación no les brindará el conocimiento para proteger un sistema contra una persona experta en espionaje, tal como pasa en la naturaleza. Si confrontamos a un lobo salvaje contra un perro doméstico creo que se puede asumir rapidamente cual de ellos tiene más posibilidades de ganar.

En el ecosistema de Internet nosotros somos el perro doméstico que necesita aprender como funciona la vida salvaje para poder anticiparse y tratar de protegerse.

Si nos detenemos un poco para tratar de aprender como funciona el cerebro de dichos atacantes desde un punto de vista psicológico podemos desarrollar medidas más proactivas en lugar de correctivas.

La OMHE no pretende brindar la solución a los problemas por la sencilla razón de que no la tenemos; Pero nos gustaría compartir nuestro punto de vista para ayudar a cualquier persona que este interesada.

En la OMHE creemos en la importancia de conocer cosas más allá para poder tener estrategias más efectivas de protección.

Esperamos contar con su asistencia.

GRACIAS

Héctor López - Fundador OMHE www.omhe.org (477) 1918912

Platica IP-Spoofing Trust-Relationship Exploitation - Querétaro - Sábado 17 de Enero

Con el motivo de platicar sobre algunas ideas de negocios y el proyecto de la fraternidad mireuisce.org realizaré una visita el próximo Sábado a Querétaro. Y aprovechando la situación se realizará una platica.

Dirección: 

Conferencia en la Universidad Quetzalcoatl en Irapuato - Viernes 28 de Noviembre - 11:00 am

La OMHE fue invitada a dar una ponencia el Viernes 28 de Noviembre a las 11:00 a.m en la Universidad Quetzalcoatl en Irapuato.

Título: Técnicas de intrusión a sistemas de información

Ponente: Héctor López

La agenda es la siguiente:

Requerimientos: La persona que asista a esta conferencia deberá de tener conocimientos básicos de desarrollo web “PHP, HTML” y tener algo de experiencia básica como administrador de servidores GNU/Linux.

Objetivo: Esta ponencia no se basa en la utilización de alguna herramienta privativa en específico y brinda a la audiencia un conocimiento explorativo de varias maneras en las cuales se puede realizar una intrusión a un sistema de información. No es un taller práctico.

- Intrusiones Relevantes: Vladimir Levin, Kevin Mitnick, Phiber Optik.

- Intrusiones por Malware: Adware, Spyware, Rootkit, Trojan, VIRUS, Worm, Código malicioso sin clasificación.

- Intrusiones a servidores por vulnerabilidades en servicios: DHCP, DNS, FTP, TELNET, SMTP y algunos otros.

- Intrusiones mediante una aplicación web: Se explicarán tecnicas como XSS, CSRF, SQL Injection y algunas otras del top 10 del OWASP

- Intrusiones mediante ingeniería social: Se hablará un poco de phishing, trashing, shoulder surfing y derivados.

- Efectos de una intrusión y motivos del atacante.

Diskette Bomba Ilustrado por nitr0us

La verdad siempre me llama mucho la atención la forma en la que mi broda nitr0us hace sus papers ó saca sus notas sobre algún tema. El friki style usando ascii art la verdad se me hace super cool.  Creo que vale mucho la pena este artículo. Para ir al post original pueden hacerlo en: http://www.genexx.org/nitrous/papers/Diskette_Bomba/

 .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.
 / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \
`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´
                     _____  _     _        _   _           ______                 _
                     |  _ \(_)   | |      | | | |          | ___ \               | |
                     | | | |_ ___| | _____| |_| |_ ___     | |_/ / ___  _ __ ___ | |__   __ _
 _________________   | | | | / __| |/ / _ \ __| __/ _ \    | ___ \/ _ \| '_ ` _ \| '_ \ / _` |
|o| _0day_____* |o|  | |/ /| \__ \   <  __/ |_| ||  __/    | |_/ / (_) | | | | | | |_) | (_| |
| | _exploits | |  |___/ |_|___/_|\_\___|\__|\__\___|    \____/ \___/|_| |_| |_|_.__/ \__,_|
| | ___________ | |              _____ _           _                 _ 
| | ___nitrØus | |             |_   _| |         | |               | |                                   ,--.!,
| |_____________| |               | | | |_   _ ___| |_ _ _ _ _ _| | __ ___                        __/  ----
|     _______     |               | | | | | | / __| __| '__/ _` |/ _` | '__/ _ \                     ,.  '!`
|    |       |   ||              _| |_| | |_| \__ \ |_| | | (_| | (_| | | | (_) |  |    |       |    |              \___/|_|\__,_|___/\__|_|  \__,_|\__,_|_|  \___/                     `´
|____|_______|____|^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
                                                 _        _____
                                              (_) |      |  _  |
                                         _ __ | | _ _| |/' | _ ___
                                        | '_ \| | __| '__|  /| | | | / __|
                                        | | | | | |_| |  \ |_/ / |_| \__ \                        nitr0us@0hday.org
                                        |_| |_|_|\__|_|   \___/ \__,_|___/                              México/2008
  .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.   .-.-.
 / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \ / / \ \
`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´   `-`-´ 

Corría el año de 2003, cuando frente a mi el Tubo de Rayos Catódicos (Monitor CRT) desfilaban desde las “Guias de Hacking (mayormente) Inofensivo” de Carolyn Meinel hasta los old-school papers de cDc Communications (Cult of the Dead Cow). Ah! y como olvidar las recetas del "Anarchist Cookbook“ y el tutorial del ”Temporizador Explosivo" de www.cielodelosperros.cjb.net.

Quizás muchos recuerden esos años, años en donde en muchos foros encontrabas el "Diskette Bomba" pero en realidad, era un copy+paste de algún otro foro. Nunca conocí a alguien que en verdad lo hiciera, solamente leía comentarios como "Woow, que buena aportación“ ó ”Uno de estos días lo haré para destruirle el PC principal del Laboratorio de mi escuela", nada real.

Los años pasaban… Los años pasaron, hasta que en 2008, surfeando de link en link me encontré con "How to Make a Diskette Bomb by Phrick-A-Phrack" en PHRACK Magazine y una ráfaga de recuerdos invadió mi memoria. Decisión: Hacer el sublime diskette bomba ! ;-).

En el documento mencionado anteriormente, se explica muy a grosso modo como hacer tan deseado diskette, aunque en la práctica existen una serie de factores que hacen que el diskette bomba simplemente no funcione o peor aún, factores no tomados en cuenta que pueden resultar en un accidente (lo digo por experiencia).

Mucha boca, poco arte… Y bien, pues aquí explico paso a paso el diskette bomba I L U S T R A D O, para recordar algo de la vieja escuela que está completamente olvidado, algo que en su momento nos llamó la atención a muchos pero muy pocos hicieron realidad. Vamos a la acción!.

�

___  ___      _            _       _
|  \/  |     | |          (_)     | |
| .  . | __ | | ___ _ __ _  __ _| | ___  ___
| |\/| |/ _` | __/ _ \ '__| |/ _` | |/ _ \/ __|
| |  | | (_| | ||  __/ |  | | (_| | | _/\_ \
\_|  |_/\__,_|\__\___|_|  |_|\__,_|_|\___||___/ 

1 Diskette de 3.5" 75 Cerillos Esmalte para uñas 1 Lápiz (Madera) 1 Jeringa 1 Libreta 1 Hoja de papel Cafeina + Taurina Buena música

______                               _ _
|  _  \                             | | |
| | | |___  ___  __ _ _ __ _ __ ___ | | | ___
| | | / _ \/ __|/ _` | '__| '__/ _ \| | |/ _ \
| |/ / _/\_ \ (_| | |  | | | (_) | | | (_) |
|___/ \___||___/\__,_|_|  |_|  \___/|_|_|\___/ 

1.- Desprende las cabezas de los cerillos

�

2.- Muele el fósforo (cabezas de cerillos) sobre la libreta con el extremo plano de un lápiz. Déjalo lo más fino que puedas para que pase a la siguiente fase de pulverizado, la cual consiste en ir poniendo el fósforo en pocas cantidades en papel, luego hacer dobleces en el papel para que no salga nada de material.

En la práctica, hice este proceso 4 veces, es decir, el fósforo total de los 75 cerillos lo dividí en 4 partes e hice el proceso descrito 4 veces.

�

3.- El siguiente punto es importante, ya que puede ocurrír una explosión. Cualquier persona de {#mendozaaaa,#0hday.org} pudo constatar el susto que me llevé la tarde en que comenzé a pulverizar el fósforo, ya que tomé un instrumento de plástico pero de base ancha y plana y comenzé a mover el brazo derecho de arriba a abajo rápidamente, dando fuertes golpes sobre el papel que envolví a 1/4 del fósforo, entonces lo inesperado, UNA ¡ EXPLOSIÓN ! la cual no me esperaba por el hecho de que utilizé una herramienta de plástico, pero el problema fué que la base era muy ancha y estaba ejerciendo presión rápidamente contra el suelo.

Es por ello que recomiendo que utilices de nuevo la punta plana de un lápiz y pulverices lo más que puedas el fósforo.

NOTA: No seas flojo, sino pulverizas completamente el fósforo NO FUNCIONARÁ! ya que el disco magnético ni siquiera podrá girar debido a los trozos de fósforo (1era prueba).

�

4.- Abre el diskette cuidadosamente y remueve las 2 delgadas capas de felpa (tejido de algodón, seda.)

5.- Ahora, es momento de esparcir el fósforo sobre las caras del disco magnético.

NOTA: En los tutoriales dicen que se debe esparcir el polvo uniformemente sobre la superficie del disco, yo lo hice y desafortunadamente no funcionó (2a prueba) debido a que que el polvo sobre toda la superficie hizo suficiente resistencia para evitar que la cabeza lectora se desplazara a lo largo del disco, evitando así los giros que causarían la fricción.

Entonces, es necesario dejar espacio limpio entre línea y línea de fósforo. Para ello, toma el aplicador del frasco de Esmalte, remójalo con poca cantidad de esmalte, crea un patrón sobre el disco magnético y espolvorea el fósforo sobre el. Al final, debe quedar como se ve en la siguiente figura.

Recuerda, no distribuyas el polvo uniformemente ya que no funcionará!

�

6.- Tomar algo de esmalte con la jeringa e ir poniendo gotas de esmalte aleatoriamente sobre el fósforo ya pegado al disco magnético.

Recordemos que el Esmalte de Uñas contiene:

Tolueno: Es la materia prima a partir de la cual se obtienen derivados del benceno, el ácido benzoico, el fenol, la caprolactama, la sacarina, medicamentos, colorantes, perfumes, TNT (Más conocido como Dinamita, se prepara por la nitración de tolueno) y detergentes.

Nitrocelulosa: Es un sólido parecido al algodón, o un líquido gelatinoso ligeramente amarillo o incoloro con olor a éter. Se emplea en la elaboración de explosivos, propulsores para cohetes, celuloide (base transparente para las emulsiones de las películas fotográficas) y como materia prima en la elaboración de pinturas, lacas, barnices, tintas, selladores y otros productos similares.

Formaldehído: Es un compuesto químico, más específicamente un aldehído (el más simple de ellos) es altamente volatil y muy inflamable. Es uno de los compuestos orgánicos básicos más importantes de la industria química.

Por lo tanto, el esmalte hará a que el diskette sea altamente inflamable en el momento en que la cabeza lectora se sobrecaliente y cree una pequeña chispa.

�

7.- Poner el disco magnético en su lugar, cerrar el diskette y sellarlo con un poco de esmalte en los extremos (solamente es para que pegue y no se destape el diskette)

�

8.- Escribir un mensaje llamativo en la carátula del diskette

�

8.- Introducir a la diskettera e intentar leer el contenido del diskette. Se tardará aproximadamente 30 segundos en generar suficiente fricción y explotar.

______                _ _            _
| ___ \              | | |          | |
| |_/ /___  ___ _ | | | __ _  __| | ___
|    // _ \/ __| | | | | __/ _` |/ _` |/ _ \
| |\ \ _/\_ \ |_| | | || (_| | (_| | (_) |
\_| \_\___||___/\__,_|_|\__\__,_|\__,_|\___/ 

}:-) Una diskettera inservible.

NOTA: El olor que expide es sumamente fuerte, casi tóxico jeje.

Finalmente, espero que el documento haya sido entendible y que muchos de ustedes prueben tan bonito experimento en sus computadoras viejitas. Y recuerden: “Este texto es con fines educativos ;-). El autor no alienta a destruir equipos de cómputo ajenos”.

Happy Bombing ! (_)--*

�

______                              _     _
| ___ \                            | |   | |            _
| |_/ /____      _____ _ __ ___ _| |   | |_ _   _  (_)
|  __/ _ \ \ /\ / / _ \ '__/ _ \/ ` |   | ' \| | | |  _
| | | (_) \ V  V /  __/ | |  __/ (_| |   | |_) | |_| | (_)
\_|  \___/ \_/\_/ \___|_|  \___|\__,_|   |_.__/ \__, |
                                                 __/ |
                                                |___/ 

�

 _____       _           _
/  ___|     | |         | |
\ `--.  __ | | _  __| | ___  ___
 `--. \/ _` | | | | |/ _` |/ _ \/ __|
/\__/ / (_| | | |_| | (_| | (_) \__ \
\____/ \__,_|_|\__,_|\__,_|\___/|___/ 

#0hday.org, underground.org.mx, zonartm.org, #mendozaaaa, pr0j3kt m4yh3m, blackhat-forums.com, viØlet, CRAc, crypkey, nediam, hkm, nahual, Dark Knight, alt3kx, Héctor López, Xtian, dex, Optix, Bucio, zer0, xiam, Geek, kaz, roa, beck, Rolman, Kbrown, hit0, vendetta, janux, benn, NaPa, k00l, darko, Zeus, el5patas, beavis, r00t3d, Preh00nker, Gus, psymera, HackUltimate, protoloco, d4rk, c31L, ap0, dr_fdisk^, ran, elhacker.net, ice9, Daemon, zerial killer, JMC, Gndx, r3vz, ka0x, Taurus, SirDarckCat, rey_brujo, th3r0n, yobagem, #rtm, zoneM, usoli.org, Paisterist… etc… etc.. etc…

Comentario Beck - Qué es un hacker ?

Decidí mover estos comentarios a un post especial. Puesto que considero que beck toca algunos puntos muy interesantes y algunas ideas que aunque para mi gusto un poquito radicales. Creo que todos podemos aprender de las mismas para sacar nuestras propias conclusiones. Haciendo notar que nadie tiene la verdad absoluta.

Primero comentario - Realizado por Beck.

<beck>: Que es esto?? Hackers eticos ? Que es un hacker etico para ustedes ? Que skills debe tener un hacker etico segun ustedes? (no sirve su about) hacer SQL injections y XSS scriptings no es ser un hacker. Mas bien deberian ser “Organizacion Mexicana de Pentester's Eticos” y compran un core-impact o canvas. El concepto de hacker esta muy tergiversado por la tele. No caigan en ese tipo de conceptos, lean a Paul Graham Minimo. creo que un dia los vi en bugcon, Pero no creo que fuera real. Mi comentario es 'fuerte' si lo quieren ver asi pero no ofensivo. cualquier cosa escribanme.

Respuesta de Héctor L. al comentario de Beck.

Qué es esto? La OMHE es una organización de profesionales multidisciplinarios comprometida a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país.

Qué es un hacker ético? Ufff pues quien sabe , primero deberiamos de preguntarle al Ec-Council. Por lo menos lo que nosotros hacemos es hacer que los miembros firmen un código de ética con validez legal para si existe un problema con ese miembro.

Y como te menciono más adelante. Tengo personas que se dedican a varias cosas. Es decir hay abogados que pertenecen a la OMHE. Y el decir hacker ético fue para tener un nombre pegajoso y fácil.

Si nos ponemos a hablar de el verdadero significado de la ética acompañados de unas chelas podriamos durar horas, pero si te gusta filosofear y eso con gusto para la siguiente reunión.

Qué skills debe tener un hacker ético según ustedes?

Skillz. - Por lo menos para mi un chingo. Debe de programar muy bien, conocimiento de networking y no hablo de tener un curso de cisco sino de leer los rfcs para aprender cosas chidas.

Debe de tener una forma de vida diferente, ver las cosas desde otro aspecto.

Por lo menos yo considero que en México lo mejor que tenemos es al nahual.

Yo solo trato de estar contento conmigo mismo haciendo uso de mi libertad y con 21 años siempre tratando de ser mejor y seguir mis ideales. Le guste a quien le guste.

Con respecto al punto de que deberiamos ser Organización Mexicana de Pentester's Éticos. Quizá tengas razón , deberiamos, pero el mercado no se mueve así.  De hecho mi idea original fue ponerle algo como Organización Mexicana de Seguridad Informática, pero de igual manera me hubieran criticado y quizá ese nombre no hubiera tenido el mismo impacto que el otro.

- El Ec-Council no debería de ofrecer la certificación Ethical Hacker - A mi en lo personal se me hace una estupidez que en un boot camp de 2 semanas ya te puedas autodenominar hacker ético.

- Symantec no debería de ofrecer mayor calidad en sus productos.

- Microsoft Windows debería de ser un sistema seguro y no obligar a sus usuarios a comprar un antivirus.

- No deberían de existir las personas que se hacen llamar gurus dentro de algunas comunidades, ya que es la mayor muestra de egocentrismo.

- Empresas que venden apliances para seguridad informática, no deberian de decirles a sus clientes que venden cajas mágicas que lo resuelven todo.

En cualquier de mis platicas puedes preguntarme y te responderé de igual manera. La industria de la seguridad informática no se maneja de una forma adecuada. No pienso cambiarla ni mucho menos. Es una tarea dificil.�

Simplemente me adapto al entorno y veo que se puede hacer. Pero si tienes una mejor idea estaría encantado en apoyarte.

Con respecto al comentario de comprar CANVAS ó Core-impact - Mi respuesta es - los conosco pero de igual manera puedo usar tools como metasploit, nmap, openvas, nikto, webscarab, ntop, snort, netcat, tshark y bueno varias me pueden servir no crees ? Comprar software privativo para hacer mi trabajo no se me hace una idea conveniente. A menos que realmente lo que voy a adquirir sea muy bueno. Tengo que admitir que el core-impact es una chulada pero esta muy caro. Quizá despues lo compre pero no entiendo el punto de comprar un software. ????

La otra vez vi tu ponencia en la cual criticabas que todo se ha vuelto de alto nivel y ya a nadie le gusta el hardware, ni programar en ensamblador y mucho menos el shellcode programming. Creo que hay mucho por hacer.

Quiero decirte que como Héctor López muchos de mis pensamientos son divergentes pero me adapte a aceptar algunos cambios para poder tener más posibilidad de alcanzar mis objetivos y crecer más rápido. Esto fue al incluir personas de otras areas. Para poder tener más soporte. La informática no lo es todo. Por lo menos yo no lo veo así y una organización requiere de contadores, abogados, administradores y muchas cosas más.

Estoy de acuerdo que hacer SQL injections y XSS scriptings no es ser un hacker - concuerdo con tu opinión. Pero el concepto real de hacker es algo muy abstracto y muchos tienen diferentes puntos de vista con respecto a eso.

Con respecto a tu comentario en relación al concepto de hacker esta muy tergiversado por la tele: Estoy totalmente de acuerdo sino preguntale al hacker de la hora de la papa que se dedicada a ver videos en youtube. Ya les mandaste un correo para quejarte con ellos ? Creo que eso si es un verdadero insulto al término hacker.

Muchos dicen que los hackers se originaron en el MIT, otros dicen que los hackers se originaron en berkeley con las tendencias de phreaking del capitan crunch. Muchos otros dicen que el verdadero hacking viene de la cultura del cyber punk y los hackers spaces hechos por el ccc, otros dirán que el hacking se expandió con el grupo 2600. Muchos dicen que los hackers son personas que les gusta hacer que las cosas funcionen de manera diferente, otros siguen la filosófia de raymond. Muchos llaman a Richard Stallman hacker otros solo lo nombran como buen programador. Para algunos escritores de phrack es necesario hacer una intrusión a sistemas y mantener el lado black. Yo mismo le he preguntado a varias personas que considero muy buenas que es un hacker. Y te puedo asegurar que nunca se ha repetido el mismo concepto al 100 % de una persona a otra.

Por último te menciono que a mi no me gusta autodenominarme hacker; Yo soy un geek con mucho placer por la seguridad informática, GNU/Linux y Programación. Si te molesta el nombre de la organización nada puedo hacer tiene fines de marketing, etc…�

Quizá no sea el más adecuado pero tampoco esta pensado en hacer algo para ofender a otras comunidades ni mucho menos, yo mismo he tratado de convivir con muchas personas , obtener ideas para cambiar y ver poco a poco. La única verdad esque ni yo se cuanto pueda durar la organización y si pueda lograr todos mis objetivos marcados. Pero de menos si se que he tratado de impartir conocimiento bajo ningún costo. Nunca he cobrado por una sola ponencia. Hemos hecho algunos proyectos activistas de combate a la pedofília en internet, Hemos tratado de combatir un poco la ignoracia, he hablado con instituciones educativas para que mejoren el plan de estudios para los ingenieros en sistemas, hemos debatido sobre la ley en México y otras cuestiones. Hemos tratado de ser un espacio alternativo para chavos que desean aprender.�

En fin fuera de los proyectos lucrativo que tiene la OMHE, hay una filosofía de hacer cosas por amor a la humanidad, por ridícula que pueda parecer esta frase para algunos. �

Y siempre en mis ponencias muchos conceptos no los manifiesto como una verdad absoluta y explico al público que es mi punto de vista muy personal.�

De igual manera me gustaría decirte que entre a tu platica de criptografía y te admiro mucho, te considero muy bueno para lo que haces. Ojalá despues en persona puedas aclararme algunos puntos y yo pueda hacer lo mismo.

Y tomalo como una empresa, digo todos estan abiertos a opinar y demás pero esto no quiere decir que voy a correr a cambiarle el nombre porque tu lo mencionas. Tengo mis ideales y esperanza en realizarlos.

Libertad , Igualdad y Fraternidad.

Héctor López - Fundador

OMHE

Respuesta de Beck

Bueno… mi comentario va a lugar en el aspecto de que las personas nuevas en la escena , pueden tener una imagen erronea de lo que es el hacking.

Todo eso de que mencionas de metasploit y nmap y todo eso … vaya…

no por usar eso hace a alguien un hacker… todo eso es TRIVIAL.

Mas adelante de este mail te comento lo que para mi es un hacker,

Sin embargo aprovecho el punto para hacer notar que Fyodor

lleva un par de anios buscando por alguien que presente un nuevo port-scanner

Lo que hace pensar que hacen hackers que hagan eso.

Por ejemplo..

Personas que han visitado Mexico como Fernando Gont de la IETF

quien descubrio vulnerabilidades en ICMP mas alla de lo que hizo Ofir Arkin.

Mira deja cito una parte del correo que le respondi al universal sobre hacking.

preguntandome sobre q hace y que no hace un hacker.

-----

un verdadero cracker/hacker entiende la naturaleza del computo , puede hacer lo que quiera e investigar los protocolos , reprogramarlos y modificarlos.

pudiendo hacer cosas mucho menos triviales…. yo te puedo mostrar que con google y un par de cosas mas, puedes 'hackearte' en 1 minuto por WEB a alguien.. (que el WEB es otra historia). (pero esto incluso se vende en el sanborns por 50 pesos en libros con portada amarilla)

En Mexico se tergiversa todo… y los verdaderos hackers no existen en Mexico.

o no los ves , tal vez estan haciendo investigacion o ganando su sueldo gustosamente.

yo opino que los verdaderos hackers tambien son gente que tienen buenas formacion academica. , asi es en estos tiempos

El hacking como se conoce en hollywood ya esta extinguiendose.

y los metodos de explotacion en las cosas se vuelven mas complejos.

Sobre los hackers que tienen formacion academica..

hay sus excepciones , pero esas excepciones terminan leyendo sobre estos temas a nivel cientifico… para poder conseguir el conocimiento suficiente (notese suficiente mas no conocimiento completo)

para poder entender mejor como funcionan las cosas…

Ese es mi punto de vista.

--------------- FIN DE CORREO

Y en resumen , para mi un hacker en ejemplos es alguien que:

- hace buena ingenieria inversa de cualquier tipo (hardware , software)

- sabe programar bien un sistema operativo.

- implementa, innova en estructuras complejas (imagenes , video , audio, compresion, cifrado)

- tiene una solida formacion academica.

- entre otros…

ya despues de esto el 'hacking' como se conoce usualmente es una consecuencia.

Que NO es un hacker para mi (por la razon de que es trivial… y no requiere esfuerzo mental , solamente talacha):

- Un admin que conoce su sistema operativo

- un defacer de paginas (asi use herramientas libres o privativas y unix etc..)

- un 'experto en sql injection , xss , etc..'

- una persona que se dedique a web apps.

- una persona que siente necesidad por escribir codigo en una servilleta en una borrachera, (notese que son hola mundos o strcpy's() )

- una persona que use miles de gadgets y sea respetado por eso

El hacking va mas alla, el hacker hace TCP/IP , el hacker hace Lempel-ziv-welch,

El hacker hace Linux/BSD/Windows etc.. o rompe DES, el hacker supera la seguridad de RSA con geometria algebraica o hace que un robot juegue futbol o entiende la transformada de coseno discreta para manipular imagenes mas alla de solo fijarte si el MSN puede ejecutar codigo arbitrario, y un hacker sabe buscar sobre toneladas de informacion sin necesidad de google , “Notese que el NO-hacker usa google como su dios”, un hacker puede hacer procesamiento de seniales si te falla el modem o entender el modelo de espacio de vectorial para manejo de toneladas de informacion en tiempo constante y pequenio o definir la transformada compleja necesaria para hacer un CAPTCHA y no te spammeen o

implementa en 1 byte un polinomio de grado 7 sobre Z2 para definir la manera mas rapida

de manipular campos finitos y generar aritmeticas extremadamente rapidas y asi sin que te des cuenta estes transmitiendo informacion cifrada a nivel militar en tu aspire one en menos de una fraccion de segundo

al momento de comprar tu CD de New Kids on the Block por internet, tambien sabe que la manera mas rapida de generar numeros primos aleatorios no es deterministica

y la relacion que podria tener la funcion zeta de riemann con los numeros primos y conoce como openssl genera primos aleatorios y para que y como verificar su primalidad

de manera rapida usando probabilidad para que asi puedas conectarte por SSH a un servidor remoto y dejar bajando torrents en tu universidad desde tu casa.

el hacker en el aspecto web, audita php, apache , ruby , iis , etc..

hace codigo seguro por default y no confia en el codigo ajeno, no confia en ti y

jamas te conocera, el hacker tiene buen sentido del humor, el hacker sabe enganiarte

y te saca tu password mientras tu sonries.

Como vez , el hacker puede tener multiples facetas, y el ser hacker no es nada sencillo.

y como veras , en mexico son pocos o son nulos, dependiendo de la concepcion que sigas teniendo.

Esto que estoy diciendo espero publicarlo mas seriamente pronto.

un saludo espero mi comentario sirva de algo y no sea para causar polemica.

beck

Comentario Héctor López.

Qué te puedo decir beck ? Estoy completamente de acuerdo con tu comentario.

Congreso Internacional de Tecnología, Calidad y Capital Humano

Objetivo

Establecer un espacio para el intercambio de ideas entre las principales universidades del país y las empresas públicas y privadas, en relación a los avances tecnológicos, los estándares de calidad y el talento humano, elementos que hacen posible contribuir al cambio en las organizaciones.

La OMHE fue invitada a dar una ponencia el Martes 21 de Octubre de 16:00 a 19:00 hrs. en el Centro de Cómputo D 15de UCEA.

Título: Técnicas de intrusión a sistemas de información

Ponente: Héctor López

La agenda es la siguiente:

Requerimientos: La persona que asista a esta conferencia deberá de tener conocimientos básicos de desarrollo web “PHP, HTML” y tener algo de experiencia básica como administrador de servidores GNU/Linux.

Objetivo: Esta ponencia no se basa en la utilización de alguna herramienta privativa en específico y brinda a la audiencia un conocimiento explorativo de varias maneras en las cuales se puede realizar una intrusión a un sistema de información. No es un taller práctico.

- Intrusiones Relevantes: Vladimir Levin, Kevin Mitnick, Phiber Optik.

- Intrusiones por Malware: Adware, Spyware, Rootkit, Trojan, VIRUS, Worm, Código malicioso sin clasificación.

- Intrusiones a servidores por vulnerabilidades en servicios: DHCP, DNS, FTP, TELNET, SMTP y algunos otros.

- Intrusiones mediante una aplicación web: Se explicarán tecnicas como XSS, CSRF, SQL Injection y algunas otras del top 10 del OWASP

- Intrusiones mediante ingeniería social: Se hablará un poco de phishing, trashing, shoulder surfing y derivados.

- Efectos de una intrusión y motivos del atacante.