Portada
mis comunidades
otras secciones
#118 No sabía ni que era. Igual eso te responde...
#120 Pues sí, je je, es bastante revelador. Se supone que los SIEM van a beber de información como la de tu libro, pero de una manera organizada y ahí es donde entra el lenguaje STIX y la plataforma TAXII:
En teoría para el cliente final, a poco que sea una empresa relativamente grande un AV actualizado no es suficiente ni mucho menos y ahora lo que se llevan son plataformas de ciberseguridad con AV como el Panda 360, pero también con Network Security ( https://suricata-ids.org/ ), monitoreo de eventos ( CARMEN, del CNI ), e incluso contrainteligencia (dar visibilidad a ciertas vulnerabilidades, "honeypots", que no son tales, para "trackear" el origen y el modus operandi).
Todo esto claro requiere un sysadmin 24/7 que un momento dado cierre puertos USB o avise al usuario de que no meta el pass en lo que probablemente es un intento de spearphising.
El SIEM más conocida ahora mismo diría que es el de Deloitte.
https://cybersoc.deloitte.es/buglanding/
#53 Pues pregunta y ya está.
#66 Como experto en seguridad puedes confirmar si la tortilla de patatas tiene que llevar cebolla que le confiere esas capas extras de seguridad? Vamos que si eres concebollista?
Iba a poner tortilla española pero viendo que eres independentista...
#44 Sí, lo hicieron. En aquellos años éramos ya muchos dándoles el coñazo: David Litchfield, Cesar Cerrudo, Alexander Kornbrust, etc... Eso sí, tardaron de media 1 año por vulnerabilidad. Y una de ellas, la más gorda (TNS Poison la llamé), tardaron 4 años y, para cuando se la reporté yo, ya la conocían 4 años antes.
#29 Dejé de buscar vulnerabilidades en Oracle hace muchos años. Pero, lo que si que te puedo decir, es que dejé de buscar y los siguientes 3 años seguí apareciendo en sus boletines de corrección de vulnerabilidades (CPU, Critical Patch Updates).
#44 Sí, lo hicieron. En aquellos años éramos ya muchos dándoles el coñazo: David Litchfield, Cesar Cerrudo, Alexander Kornbrust, etc... Eso sí, tardaron de media 1 año por vulnerabilidad. Y una de ellas, la más gorda (TNS Poison la llamé), tardaron 4 años y, para cuando se la reporté yo, ya la conocían 4 años antes.
#34 Siendo independentista vasco, muy alagado no me he sentido. Pero es igual.
#20 Eso es algo que se hace mucho en la industria (infosec): usar una máquina virtual para cada tarea.
#38 Un ejemplo de esto que comentáis: https://www.qubes-os.org
Pero vamos, yo tampoco veo nada que no se pueda comprometer. Al final los débiles de la cadena son los usuarios.
#36 Realmente ese es el problema. En las casa AVs hay hackers muy buenos con ideas magníficas que se bloquean porque la dirección no las entiende o porque requiere un tiempo de desarrollo que, económicamente hablando, no les parece que revierta. Un ejemplo práctico: en el AV donde trabajé, comenté para hacer una cosa que preveíamos (los técnicos) tardaría 6 meses. Mentimos y dijimos que tardaríamos 3 para ver si aprobaban dicha idea. Resultado: nos dijeron que 3 meses era muchísimo tiempo, que si no podíamos hacer algo en una semana. Y eso es lo habitual.
Eso sí, dinero para campañas de marketing, el que sea. Porque eso si que ven rapidamente que revierte. Calidad de software? Eso no lo ve el cliente.
#120 Pues sí, je je, es bastante revelador. Se supone que los SIEM van a beber de información como la de tu libro, pero de una manera organizada y ahí es donde entra el lenguaje STIX y la plataforma TAXII:
En teoría para el cliente final, a poco que sea una empresa relativamente grande un AV actualizado no es suficiente ni mucho menos y ahora lo que se llevan son plataformas de ciberseguridad con AV como el Panda 360, pero también con Network Security ( https://suricata-ids.org/ ), monitoreo de eventos ( CARMEN, del CNI ), e incluso contrainteligencia (dar visibilidad a ciertas vulnerabilidades, "honeypots", que no son tales, para "trackear" el origen y el modus operandi).
Todo esto claro requiere un sysadmin 24/7 que un momento dado cierre puertos USB o avise al usuario de que no meta el pass en lo que probablemente es un intento de spearphising.
El SIEM más conocida ahora mismo diría que es el de Deloitte.
https://cybersoc.deloitte.es/buglanding/
#37 He estado mirando tu presentación.
http://joxeankoret.com/download/breaking_av_software_44con.pdf
Y aunque la seguridad no es mi especialidad si que he podido entender bastante la problemática que presentas y aunque sospechaba que las cosas estaban mal no imaginaba que fuese tanto.
Y por cierto, me encanta tu estilo "trolleo" . Los de Comodo la proxima vez que hagan una entrada de blog sobre ti será digna de ver . Y si, es una mierda de AV. Chupa recursos que da gusto para que encima apeste de esa manera.
#2 Soy el de la entrevista: trabajé en un antivirus durante algo menos de 2 años.
#26 Depende.. ¿realmente tu crees que los desarrolladores tienen control final sobre la calidad del código y en que se invierte durante el desarrollo de un antivirus?
Generalmente la dirección la hacen cuñaos que tienen en una mano la posibilidad del dinero fácil, y en otra la posibilidad de contratar buenos desarrolladores (te aseguro que Matalaz/Joxean es uno) e invertir en una línea de desarrollo a largo plazo.
Llegados a este punto, si no has valorado todo esto, me temo que la colleja te la mereces tú como cuñao.
#36 Realmente ese es el problema. En las casa AVs hay hackers muy buenos con ideas magníficas que se bloquean porque la dirección no las entiende o porque requiere un tiempo de desarrollo que, económicamente hablando, no les parece que revierta. Un ejemplo práctico: en el AV donde trabajé, comenté para hacer una cosa que preveíamos (los técnicos) tardaría 6 meses. Mentimos y dijimos que tardaríamos 3 para ver si aprobaban dicha idea. Resultado: nos dijeron que 3 meses era muchísimo tiempo, que si no podíamos hacer algo en una semana. Y eso es lo habitual.
Eso sí, dinero para campañas de marketing, el que sea. Porque eso si que ven rapidamente que revierte. Calidad de software? Eso no lo ve el cliente.
#37 He estado mirando tu presentación.
http://joxeankoret.com/download/breaking_av_software_44con.pdf
Y aunque la seguridad no es mi especialidad si que he podido entender bastante la problemática que presentas y aunque sospechaba que las cosas estaban mal no imaginaba que fuese tanto.
Y por cierto, me encanta tu estilo "trolleo" . Los de Comodo la proxima vez que hagan una entrada de blog sobre ti será digna de ver . Y si, es una mierda de AV. Chupa recursos que da gusto para que encima apeste de esa manera.
#36 "¿realmente tu crees que los desarrolladores tienen control final sobre la calidad del código y en que se invierte durante el desarrollo de un antivirus?"
De hecho lo tienen, vente a una empresa de software seria y lo verás en tus carnes, pero claro, no sabes de lo que te hablo supongo.
Sabes lo que es un code review?
Si eres, médico, fontanero, abogado u otra cosa pues no digas chorradas.
Gracias.
#76 Mándame una referencia ya, por favor. Llevo casi veinte años en el ramo y todavía no he encontrado ninguna, al menos con una facturación medianamente grande (¿es eso a lo que te refieres como seria?).
Por lo que en efecto, no se de que hablas
BTW un code review me suena, al menos creo que lo he oído en algún momento de mi trabajo. Mi especialidad es soporte desarrollo de metodologías de SSDLC (Secure Software Development Lifecycle). Soy auditor en desarrollo de código. Y un code review me suena que generalmente sólo lo hago en las fases iniciales de introducción del SSDLC cuando la empresa es totalmente inmadura, o si el análisis de riesgos continuo valora que es conveniente un code review por commit en determinados subsistemas, o en revisiones cruzadas entre desarrolladores en puntos concretos del tiempo, o en casos de desmadre porque la SSDLC no ha funcionado, o por auditorías externas puntuales.
Pero lo que se es que un code review es sólo una piececita, por lo que tu conocimiento de las empresas serías parece ser pequeñito.
#66 Como experto en seguridad puedes confirmar si la tortilla de patatas tiene que llevar cebolla que le confiere esas capas extras de seguridad? Vamos que si eres concebollista?
Iba a poner tortilla española pero viendo que eres independentista...
#16 haz un TeRespondo
#16 Para el común de los usuarios de informática yo aconsejaría tener un antivirus gratuito y liviano... tú que aconsejarías?
#16 Si no es molestia, ¿Por qué cojones los AV no son capaces de detectar las típicas extensiones de publicidad en los navegadores, falsos antivirus y optimizadores que campan a sus anchas y toda esa clase de mierda que es de lo más común pero si te pillan al vuelo un keygen o crack aunque este esté limpio?¿Es alguna estrategia de tirarse piedras al tejado? resulta patético que un AV de pago sea totalmente inoperante al respecto y una simple herramienta gratuita como adwcleaner acabe siendo más beneficiosa y eficaz que ese programa por el que has pagado 30€/año
¿Qué clase de decisiones se toman para crear esos absurdos y antinaturales interfaces de usuario que pesan un huevo y parte del otro?
#96 El antivirus de Microsoft y sentido común.
#118 No sabía ni que era. Igual eso te responde...
#120 Pues sí, je je, es bastante revelador. Se supone que los SIEM van a beber de información como la de tu libro, pero de una manera organizada y ahí es donde entra el lenguaje STIX y la plataforma TAXII:
En teoría para el cliente final, a poco que sea una empresa relativamente grande un AV actualizado no es suficiente ni mucho menos y ahora lo que se llevan son plataformas de ciberseguridad con AV como el Panda 360, pero también con Network Security ( https://suricata-ids.org/ ), monitoreo de eventos ( CARMEN, del CNI ), e incluso contrainteligencia (dar visibilidad a ciertas vulnerabilidades, "honeypots", que no son tales, para "trackear" el origen y el modus operandi).
Todo esto claro requiere un sysadmin 24/7 que un momento dado cierre puertos USB o avise al usuario de que no meta el pass en lo que probablemente es un intento de spearphising.
El SIEM más conocida ahora mismo diría que es el de Deloitte.
https://cybersoc.deloitte.es/buglanding/
#53 Pues pregunta y ya está.
#66 Como experto en seguridad puedes confirmar si la tortilla de patatas tiene que llevar cebolla que le confiere esas capas extras de seguridad? Vamos que si eres concebollista?
Iba a poner tortilla española pero viendo que eres independentista...
#44 Sí, lo hicieron. En aquellos años éramos ya muchos dándoles el coñazo: David Litchfield, Cesar Cerrudo, Alexander Kornbrust, etc... Eso sí, tardaron de media 1 año por vulnerabilidad. Y una de ellas, la más gorda (TNS Poison la llamé), tardaron 4 años y, para cuando se la reporté yo, ya la conocían 4 años antes.
#29 Dejé de buscar vulnerabilidades en Oracle hace muchos años. Pero, lo que si que te puedo decir, es que dejé de buscar y los siguientes 3 años seguí apareciendo en sus boletines de corrección de vulnerabilidades (CPU, Critical Patch Updates).
#44 Sí, lo hicieron. En aquellos años éramos ya muchos dándoles el coñazo: David Litchfield, Cesar Cerrudo, Alexander Kornbrust, etc... Eso sí, tardaron de media 1 año por vulnerabilidad. Y una de ellas, la más gorda (TNS Poison la llamé), tardaron 4 años y, para cuando se la reporté yo, ya la conocían 4 años antes.
#34 Siendo independentista vasco, muy alagado no me he sentido. Pero es igual.
#20 Eso es algo que se hace mucho en la industria (infosec): usar una máquina virtual para cada tarea.
#38 Un ejemplo de esto que comentáis: https://www.qubes-os.org
Pero vamos, yo tampoco veo nada que no se pueda comprometer. Al final los débiles de la cadena son los usuarios.
#36 Realmente ese es el problema. En las casa AVs hay hackers muy buenos con ideas magníficas que se bloquean porque la dirección no las entiende o porque requiere un tiempo de desarrollo que, económicamente hablando, no les parece que revierta. Un ejemplo práctico: en el AV donde trabajé, comenté para hacer una cosa que preveíamos (los técnicos) tardaría 6 meses. Mentimos y dijimos que tardaríamos 3 para ver si aprobaban dicha idea. Resultado: nos dijeron que 3 meses era muchísimo tiempo, que si no podíamos hacer algo en una semana. Y eso es lo habitual.
Eso sí, dinero para campañas de marketing, el que sea. Porque eso si que ven rapidamente que revierte. Calidad de software? Eso no lo ve el cliente.
#120 Pues sí, je je, es bastante revelador. Se supone que los SIEM van a beber de información como la de tu libro, pero de una manera organizada y ahí es donde entra el lenguaje STIX y la plataforma TAXII:
En teoría para el cliente final, a poco que sea una empresa relativamente grande un AV actualizado no es suficiente ni mucho menos y ahora lo que se llevan son plataformas de ciberseguridad con AV como el Panda 360, pero también con Network Security ( https://suricata-ids.org/ ), monitoreo de eventos ( CARMEN, del CNI ), e incluso contrainteligencia (dar visibilidad a ciertas vulnerabilidades, "honeypots", que no son tales, para "trackear" el origen y el modus operandi).
Todo esto claro requiere un sysadmin 24/7 que un momento dado cierre puertos USB o avise al usuario de que no meta el pass en lo que probablemente es un intento de spearphising.
El SIEM más conocida ahora mismo diría que es el de Deloitte.
https://cybersoc.deloitte.es/buglanding/
#37 He estado mirando tu presentación.
http://joxeankoret.com/download/breaking_av_software_44con.pdf
Y aunque la seguridad no es mi especialidad si que he podido entender bastante la problemática que presentas y aunque sospechaba que las cosas estaban mal no imaginaba que fuese tanto.
Y por cierto, me encanta tu estilo "trolleo" . Los de Comodo la proxima vez que hagan una entrada de blog sobre ti será digna de ver . Y si, es una mierda de AV. Chupa recursos que da gusto para que encima apeste de esa manera.
#2 Soy el de la entrevista: trabajé en un antivirus durante algo menos de 2 años.
#26 Depende.. ¿realmente tu crees que los desarrolladores tienen control final sobre la calidad del código y en que se invierte durante el desarrollo de un antivirus?
Generalmente la dirección la hacen cuñaos que tienen en una mano la posibilidad del dinero fácil, y en otra la posibilidad de contratar buenos desarrolladores (te aseguro que Matalaz/Joxean es uno) e invertir en una línea de desarrollo a largo plazo.
Llegados a este punto, si no has valorado todo esto, me temo que la colleja te la mereces tú como cuñao.
#36 Realmente ese es el problema. En las casa AVs hay hackers muy buenos con ideas magníficas que se bloquean porque la dirección no las entiende o porque requiere un tiempo de desarrollo que, económicamente hablando, no les parece que revierta. Un ejemplo práctico: en el AV donde trabajé, comenté para hacer una cosa que preveíamos (los técnicos) tardaría 6 meses. Mentimos y dijimos que tardaríamos 3 para ver si aprobaban dicha idea. Resultado: nos dijeron que 3 meses era muchísimo tiempo, que si no podíamos hacer algo en una semana. Y eso es lo habitual.
Eso sí, dinero para campañas de marketing, el que sea. Porque eso si que ven rapidamente que revierte. Calidad de software? Eso no lo ve el cliente.
#37 He estado mirando tu presentación.
http://joxeankoret.com/download/breaking_av_software_44con.pdf
Y aunque la seguridad no es mi especialidad si que he podido entender bastante la problemática que presentas y aunque sospechaba que las cosas estaban mal no imaginaba que fuese tanto.
Y por cierto, me encanta tu estilo "trolleo" . Los de Comodo la proxima vez que hagan una entrada de blog sobre ti será digna de ver . Y si, es una mierda de AV. Chupa recursos que da gusto para que encima apeste de esa manera.
#36 "¿realmente tu crees que los desarrolladores tienen control final sobre la calidad del código y en que se invierte durante el desarrollo de un antivirus?"
De hecho lo tienen, vente a una empresa de software seria y lo verás en tus carnes, pero claro, no sabes de lo que te hablo supongo.
Sabes lo que es un code review?
Si eres, médico, fontanero, abogado u otra cosa pues no digas chorradas.
Gracias.
#76 Mándame una referencia ya, por favor. Llevo casi veinte años en el ramo y todavía no he encontrado ninguna, al menos con una facturación medianamente grande (¿es eso a lo que te refieres como seria?).
Por lo que en efecto, no se de que hablas
BTW un code review me suena, al menos creo que lo he oído en algún momento de mi trabajo. Mi especialidad es soporte desarrollo de metodologías de SSDLC (Secure Software Development Lifecycle). Soy auditor en desarrollo de código. Y un code review me suena que generalmente sólo lo hago en las fases iniciales de introducción del SSDLC cuando la empresa es totalmente inmadura, o si el análisis de riesgos continuo valora que es conveniente un code review por commit en determinados subsistemas, o en revisiones cruzadas entre desarrolladores en puntos concretos del tiempo, o en casos de desmadre porque la SSDLC no ha funcionado, o por auditorías externas puntuales.
Pero lo que se es que un code review es sólo una piececita, por lo que tu conocimiento de las empresas serías parece ser pequeñito.
#66 Como experto en seguridad puedes confirmar si la tortilla de patatas tiene que llevar cebolla que le confiere esas capas extras de seguridad? Vamos que si eres concebollista?
Iba a poner tortilla española pero viendo que eres independentista...
#16 haz un TeRespondo
#16 Para el común de los usuarios de informática yo aconsejaría tener un antivirus gratuito y liviano... tú que aconsejarías?
#16 Si no es molestia, ¿Por qué cojones los AV no son capaces de detectar las típicas extensiones de publicidad en los navegadores, falsos antivirus y optimizadores que campan a sus anchas y toda esa clase de mierda que es de lo más común pero si te pillan al vuelo un keygen o crack aunque este esté limpio?¿Es alguna estrategia de tirarse piedras al tejado? resulta patético que un AV de pago sea totalmente inoperante al respecto y una simple herramienta gratuita como adwcleaner acabe siendo más beneficiosa y eficaz que ese programa por el que has pagado 30€/año
¿Qué clase de decisiones se toman para crear esos absurdos y antinaturales interfaces de usuario que pesan un huevo y parte del otro?
#96 El antivirus de Microsoft y sentido común.