http://irongeek.com

 
Alberto Partida Rodríguez
Especialista en Seguridad TI
Securityandrisk.blogspot.com
apartidar@gmail.com
El sitio que recomiendo en este número otoñal de SIC nació a comienzos de esta década. Si bien tiene una apariencia modesta, presenta un contenido muy valioso. El experto detrás de las páginas de Irongeek.com es Adrian Crenshaw, un apasionado de la seguridad que vive en Indiana, Estados Unidos. En una de sus apariciones públicas, él mismo se define como “...un técnico con algo de tiempo para trastear en seguridad... usando cosas baratas”.
Al conectarnos a este sitio, encontramos en la parte superior del navegador tres mensajes, de muy distinta naturaleza, que proporcionan algunas pistas sobre la forma de presentar la información del señor Crenshaw: A la izquierda se ve la dirección IP con la que nos conectamos, el sistema operativo de nuestra máquina y el modelo de navegador que usamos, así como un intento de localización geográfica de nuesto proveedor de Internet. En el centro, nos sugiere donar algún fondo para mantener el ancho de banda de su servidor, y a la derecha, anuncia dónde están hospedadas sus páginas.
La página inicial de Irongeek.com contiene el listado de cambios y de nuevas páginas creadas. El número mensual de nuevas entradas facilita que los lectores podamos seguir su ritmo de publicación. Adrian ofrece un sencillo menú horizontal de 25 secciones, entre las que destaco las siguientes:
- En vídeos de “hacking” (“Hacking Illustrated Videos”) pueden encontrarse más de 140 vídeos relacionados con la seguridad lógica. Todos aquellos convencidos de que “una imagen vale más que mil palabras” disfrutarán con toda una variedad de clases, extractos de conferencias, cursos y demostraciones de multitud de herramientas de seguridad, mayoritariamente gratuitas. Sólo por esta sección ya merece la pena visitar este sitio. Dos de los vídeos que despertaron mi curiosidad fueron los siguientes:
- El vídeo número 139 ofrece una clase de introducción al uso de ncat, herramienta similar a netcat desarrollada por Fyodor, el autor de nmap y su equipo. Es una de las creaciones audiovisuales típicas de Adrian, sencillas, pero a la vez, muy preparadas: Una serie de transparencias de fácil navegación, acompañadas de una voz en off explicando lo que aparece en cada una de ellas.
• Otro tipo de vídeos de interés que pueden encontrarse en este sitio son apariciones del autor o de otros colegas del sector en congresos de seguridad técnica. En el vídeo 140, por ejemplo, Adrian habla de “hardware keyloggers”.
• Si bien los vídeos hacen sombra al resto de apartados, me gustaría destacar la sección de artículos de seguridad (“Infosec articles”). En uno de ellos, sin ir más lejos, explica cómo crear un laboratorio de seguridad con una inversión mínima.
• El epígrafe aplicaciones y “scripts” (“Apps/Scripts”) contiene elementos tales como “Mutillidae”, una colección de programas vulnerables en PHP publicada en enero de 2009. “Mutillidae” implementa en PHP las 10 vulnerabilidades más importantes presentes en aplicaciones web publicadas por OWASP en 2007. Ésta es una herramienta muy práctica para aquellos desarrolladores con interés en la creación de aplicaciones seguras o para los “pentesters” que quieran experimentar cómo se puede atacar una aplicación web vulnerable.
• De su apartado de noticias (“Newscat”), recomendaría tener en cuenta las tres fuentes que utiliza: rootsecure.net, www.2600.com y securityfocus.com.
• Sobre el mundo académico, desde “Irongeek Campuses” se accede a la lista de centros de educación que utilizan alguno de sus contenidos de seguridad y en la sección libros (“Books”) enumera los libros de seguridad que incluyen referencias a su material.
• En el resto de secciones podemos ver de todo un poco: desde una lista de los “podcasts” sobre seguridad y forensía que escucha el autor, hasta un enlace a la lista más actualizada que conozco de “podcasts de seguridad” con un total de 29 entradas, pasando por una respetable lista de sitios de seguridad, accessible desde enlaces (“Links”).
Es posible contratar a Irongeek. Desconozco si acepta trabajos en Europa, pero las tarifas que publica bajo la etiqueta contrátame (“Hire Me”) parecen competitivas a primera vista.
Como anécdota, no me resisto a destacar la sección titulada observando a los federales (“Fed Watch”), donde Adrian Crenshaw publica las 100 últimas direcciones IP de agencias estatales y militares de Estados Unidos que visitan su web, a las que, por cierto, amablemente les ofrece sus servicios y les pide una gorra o una camiseta.
Con el final de mi quinto artículo, me gustaría animar a los lectores de “visitas recomendadas” a que compartan conmigo, a través de mi dirección de correo electrónico, los sitios web de seguridad que visitan habitualmente. Estaré encantado de escribir sobre ellos en próximos artículos.

Documento en PDF
 

<volver