viernes, 12 de septiembre de 2014

Aprendiendo seguridad

Amigos de Inseguros. Con la llegada de septiembre se acerca la época en la qué muchos jóvenes, o no tanto, deciden sus planes de estudio para el año interesandose por la seguridad.


En muchos blogs del sector podemos leer artículos muy interesantes sobre caminos para llegar a ser un profesional de la seguridad, vistos desde varias perspectivas.

Como es costumbre en Inseguros, voy a intentar dar unos consejos y mi visión personal de como debería ser un camino sólido en este mundillo.

El primer punto va a ser decir que los compañeros de profesión, por supuesto yo, estamos aún en ese camino de la formación. Todos estamos obligados a estar constantemente estudiando, practicando, aprendiendo, investigando, arreglando, rompiendo y nunca hay fin. No puedes ser futbolista teórico sin jugar partidos, hay que sudar la camiseta !!! Animo !!!.

¿Redes o programación?.¿Pentester o analista de malware? Las dos !! Puedes decantarte por cualquiera de estos dos aspectos base para profundizar sobre un área un poco más concreta. Si te gusta el mundo del Malware sin duda conocer los fundamentos de programación, ensamblador, C, Java... será necesario para poder llegar a ser un profesional. Si te interesa la seguridad desde el punto de vista ofensivo, conocer TCP/IP a fondo es el "idioma" necesario para poder realizar esas intrusiones que tanto deseas...No obstante, ambos conocimientos son necesarios en términos generales para poder evolucionar en la materia.
Por ejemplo, puedes estar haciendo un análisis de un binario infeccioso, y que necesites destripar el comportamiento de red que realice el "bicho", teniendo que conocer el área de redes algo más que en superficie. Si estás realizando una auditoria y necesitas compilar un exploit, modificar un elemento web o realizar un pequeño script en tu consola, necesitas programar.

Otra de las facetas que más me interesa de la seguridad, desde mi punto de vista de sysadmin es la "defensa". Conocer los sistemas defensivos en todas sus capas lo considero un requisito para comprender la "Security". Creo que blogs como este, como 1gbdeinformacion, HighSec, hacking ético, son un punto de partida interesante para los administradores de sistemas que leen a Chema Alonso o a Flu Project, Security By Default, etc y que les encanta la seguridad, pero quizás necesiten alguna guia más para conocer productos, tecnologías, primeros pasos y demás. No todos podemos investigar 0 days, crear herramientas, dar ponencias, etc, pero si que todos deberíamos tener un buen firewall, un ids, una buena política etc.


Formación reglada. He realizado varios cursos de preparación , cursos a distancia, certificaciones y tengo que decir que aunque me parecen interesantes para "demostrar" unos conocimientos, realmente no se aprende mucho mas que si te entrenas por tu cuenta. Hay gente que necesita tener un horario de clase, un material didactico concreto, un profesor... para animarse o centrarse. Perfecto. Yo personalmente suelo cambiar esa dedicación que si tengo, por el ahorro de dinero que supone. The money is the money...
Si te gustan las siglas, pues todo el mundo habla de CISSP, CISM, CISA y similares. En todas te piden contar con una experiencia profesional demostrable...Si quieres iniciarte o aprender no son el camino.
OCSP o CEH si son certificaciones MUY prácticas que se basan en una pequeña teória, y la prueba de concepto asociada, pero requieren de una preparación previa de al menos uno o dos años.

Parece que hoy solo pongo impedimentos :-). Quieres aprender seguridad, vamos a ello.


Lo primero que debes hacer es aprender a preguntar. Imaginas a un ladrón llamandote por teléfono para preguntarte tu pin? Entonces "ponte el gorro de hacker" y piensa como eso, como un hacker. Si cuelgo una referencia de un libro porque me gusta, no me digas que no parece el link de descarga. Si quieres ser "pirata" al menos debes saber buscarte un pdf con google...

Ahora es el turno de preparar tu laboratorio. Configura tu sistema de virtualización favorito para el sistema operativo que uses, sea el que sea !!! La gente que dice que Windows no sirve para el hacking no se mira a sus manos, son ellos los que no saben !!!

Realiza las prácticas o laboratorios que lleguen a tus manos. Puede qué muchos no los vea útiles, pero si estás aprendiendo, todo vale. Quizás hagas una práctica de hacking web que has leido en un blog y no te interese esa vertiente. HAZLA. Lo mismo solo aprendes el paso 56 y el resto es "chino", pero ya has aprendido algo. Con el tiempo y la práctica, pequeños pasos de laboratorios anteriores serán el éxito de futuros laboratorios. Se trata de eso, de adquirir el ritmo, la tendencia, el conocimiento de como funcionan mas o menos las cosas.
Si encuentras alguna área interesante profundiza sobre esa materia. Haz tus propias pruebas, variaciones en los laboratorios. No te quedes con todo lo que lees, cuestionalo todo.

La seguridad no es hacking, y muchas ves el hacking no tiene nada que ver con técnicas de seguridad, por lo que no te centres en el hacking, en la parte "guay" de poner tu cara en una web. Preocúpate por saber como funciona realmente esa web.

Te imaginas el acceso a una consola Windows Powershell por un exploit público, y no saber manejarte en el entorno?

Espero que os hayan gustado estas reflexiones. Gracias por leerme.