sábado, septiembre 10, 2016

THW Labs: Laboratorios con entornos de Hacking & Pentesting #Hacking #Pentesting

En esta ocasión quiero hablaros de una nueva iniciativa que llevamos desarrollando desde hace algunos meses y que finalmente se encuentra disponible. Es algo que creo que va a llamar la atención y el interés de muchos hackers, pentesters y entusiastas de la seguridad informática, estamos hablando de TheHackerWay Labs (THW Labs). Se trata de una plataforma completa de entrenamiento, cuya filosofía y funcionamiento se ha inspirado en los laboratorios de la popular certificación OSCP (Offensive Security Certified Professional), que tiene un amplio reconocimiento al tratarse de una certificación con un enfoque 100% "hands on" y con una filosofía que fomenta el esfuerzo y la investigación entre todos los participantes.

Figura 1: THW Labs. Laboratorios con entornos de Hacking & Pentesting

El laboratorio de la OSCP destaca principalmente por estar compuesto por varios sistemas vulnerables, los cuales son extremadamente útiles para aprender a detectar y explotar vulnerabilidades en diferentes entornos habituales. THW Labs pretende ser una solución similar a los laboratorios de la OSCP, pero con algunas características adicionales y ventajas.

En primer lugar, THW Labs tiene un coste reducido y pensado para todos los públicos, desde una persona que tiene unas bases de seguridad informática y un manejo básico de sistemas basados en *NIX* hasta hackers y pentesters con amplios conocimientos y experiencia. THW Labs es un entorno completo que actualmente cuenta con más de 30 sistemas vulnerables y un total de más de 80 vulnerabilidades que pueden ser explotadas de forma remota y/o local, dependiendo evidentemente del contexto. Otra de las ventajas de THW Labs en comparación con el laboratorio de OSCP, es que el número de objetivos vulnerables seguirá creciendo para ofrecer un entorno mucho más amplio, dinámico y enfocado completamente al mundo real.

Figura 2: Características de THW Labs

Antes de continuar explicando las características de THW Labs, es conveniente explicar qué NO es para que entiendas el funcionamiento del laboratorio.
* THW Labs no es una máquina virtual con múltiples servicios vulnerables del estilo de Metasploitable, Dojo Web Security, Nebula, entre otras. 
* THW Labs no es una plataforma CTF con unos pocos retos que normalmente se consiguen superar en pocas horas. 
* THW Labs no es un curso, es un lugar de entrenamiento para que puedas afianzar tus habilidades y mejorarlas por medio de la investigación. 
* THW Labs no es una distribución descargable. 
* THW Labs no es un plataforma con sistemas completamente aislados entre ellos.
Una vez dicho esto, os explico lo qué sí es THW Labs.
* THW Labs es una plataforma que cuenta con más de 30 sistemas vulnerables, los cuales se encuentran conectados y simulan la red de una empresa con algunos de los problemas más habituales en dichos entornos. 
* THW Labs cuenta con sistemas de todo tipo, varias distribuciones basadas en GNU/Linux, FreeBSD, Android, entre otros. 
* THW Labs está compuesto por sistemas con diferentes niveles de dificultad. 
* THW Labs cuenta con un segmento de red llamado "XIBANYA", cuyos sistemas tienen varias vulnerabilidades que pueden ser explotadas fácilmente. 
* THW Labs cuenta con un segmento de red llamado "RIBEN", cuyos sistemas tienen algunas vulnerabilidades con un nivel de dificultad medio. A diferencia de los sistemas que componen "XIBANYA", las vulnerabilidades de explotación remota en éste segmento no son suficientes para tener un control total sobre el sistema en cuestión, es necesario llevar a cabo un proceso de post-explotación para elevar privilegios y hacerse con el control total del sistema. 
* THW Labs cuenta con un segmento de red llamado "ZHONGGUO", cuyos sistemas tienen muy pocas vulnerabilidades que se puedan explotar remota y localmente, se trata de sistemas con un nivel de dificultad alto y suponen uno de los principales retos de THW Labs. 
* THW Labs cuenta con dos segmentos de red ocultos que pueden ser atacados de forma indirecta utilizando técnicas de pivoting y port-forwarding desde algunos de los sistemas que componen los segmentos de red mencionados anteriormente. 
* THW Labs se encuentra disponible por medio de una conexión segura a la VPN privada de TheHackerWay. 
* THW Labs se encuentra inspirada en la filosofía "Try Harder" de Offensive Security, con lo cual se fomenta el descubrimiento y la explotación de fallos utilizando la creatividad y el pensamiento lateral, es importante entender que no se trata de un curso, los participantes deben tener el hábito de investigar y resolver problemas. 
* Todos los participantes de THW Labs reciben un pack de bienvenida con las instrucciones para conectarse a la red privada y comenzar a interactuar con los sistemas de la plataforma.
THW Labs es un entorno legal y seguro, en el que todos los participantes podrán poner a prueba sus habilidades y conocer el funcionamiento y la filosofía de entornos como el de la certificación OSCP sin gastar demasiado dinero.

Entorno de THW Labs

Creo que con esto queda mucho más claro el concepto y la finalidad de THW Labs y sobre todo, los beneficios que le puede aportar a cualquiera que decida apuntarse. Cabe anotar que ninguno de los participantes tienen limitación alguna sobre el uso de herramientas para intentar comprometer los sistemas que componen la plataforma y además, todas las personas que decidan registrarse a THW Labs tienen acceso a todos los segmentos de red disponibles sin importar su nivel de dificultad. Como se ha mencionado anteriormente, para comprometer los sistemas del entorno es necesario desarrollar el hábito de investigar y fomentar el pensamiento lateral.

Figura 3: Entornos completos de explotación en los laboratorios

Por otro lado, es un entorno que puede ser especialmente interesante para aquellas personas que se dedican profesionalmente a labores de pentesting y hacking, ya que ha sido diseñado para simular algunos de los problemas más comunes en organizaciones de todo tipo, de esta forma, es posible adquirir y/o mejorar las habilidades necesarias para las labores desempeñadas por cualquier profesional de la seguridad informática.

Finalmente, si necesitas más información o estas interesado en acceder a éste entorno, puedes consultar el sitio web oficial https://thehackerway.es/thw-labs/ o escribir directamente un correo a adastra@thehackerway.com. Espero que THW Labs sea de tu agrado y que sea tan divertido para ti su explotación como lo ha sido su construcción.

Un saludo y Happy Hack!

Autor: Daniel Echevarry, escritor de los libros Python para pentesters & Hacking con Python

5 comentarios:

nombre apellidos dijo...

Jajaja y lo poneis mas caros que los del OSCP

Deb Adastra dijo...

1 mes de THW Labs: €280
1 mes de OSCP: $800

3 meses de THW Labs: €630
3 meses de OSCP: $1150

"nombre apellidos" no sé de donde sacas que son más caros, creo que te hace falta informarte mejor: https://www.offensive-security.com/information-security-training/penetration-testing-training-kali-linux/

Un saludo.

nombre apellidos dijo...

800$ es la certificacion + examen + laboratorios. Informate tilu antes, lamerazo

Maligno dijo...

@nombre apellidos, en este blog dejo a todo el mundo criticar lo que sea - incluso cuando se equivoca o se tenga razón -, pero no me gustan los insultos y los malos modales. Tú ya has venido a este blog con falta de respeto y mala educación un par de veces, así que te informo de que los próximos comentarios en los que insultes o uses malas formas te los voy a eliminar.

Saludos!

GIE dijo...

Estupendo el lab controlado, los felicito; saludos desde Colombia.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares