martes, julio 07, 2020

Una historia de tantas: ¿Qué quiero ser? ¿Y si quiero ser pentester?

Podemos decir que el verano está entre nosotros, aunque también podemos decir que uno no entiende que el verano está aquí hasta que llegan sus vacaciones. Nostalgia gatuna, aquella que te hace recordar los largos veranos del colegio, del instituto o de la Universidad. Aquellos veranos en los que te proponías hacer mil cosas y acababas haciendo dos o tres cosas de tu lista, o aquellos veranos que no te proponías muchas cosas y acababas haciendo de todo.

Figura 1: Una historia de tantas:
¿Qué quiero ser? ¿Y si quiero ser pentester?

Es una época en la que muchos deben elegir qué hacer con su vida en los próximos años. Algunos ya lo tienen elegido, es más, seguramente lo eligieron desde hace años, pero para otros muchos puede llegar a ser un pequeño suplicio. Lo dicho habrá que elegir. Para muchos tomar decisiones, elegir qué hacer, qué ponerse, en qué orientar los esfuerzos puede ser, de nuevo, un mundo. No es fácil aprender a tomar decisiones, aunque uno pueda pensar que es simplemente eso: elegir.

Recientemente he participado en un par de charlas de motivación y no tan técnicas, aunque a mí me gusta dotarle de elementos técnicos a las charlas de motivación o inspiracionales, ya que al final lo que más va a motivar a un técnico es, precisamente, la técnica. En estas charlas quería mostrarles en qué consiste el mundo de los proyectos de hacking ético, lo que es un ejercicio de Red Team, lo que es el pentesting, los falsos mitos, las duras realidades y lo gratificante que puede ser tu elección el día de mañana.

Figura 2: Libro de Ethical Hacking 2ª Edición

En la charla, aparte de contextualizar e intentar acercar qué es cada mundo, o cada rama de la ciberseguridad, quería enseñarles un poco que esto no va de llegar, si no esto va de mantenerse. Llegar está genial, pero mantenerse es mucho más gratificante, pero sobretodo el esfuerzo que hay que hacer en ese “mantenimiento”. 

Todo esto es subjetivo.

Tú puedes pensar de otra forma, tener otros ideales, otros objetivos, otra felicidad. Pero me tocaba dar mi punto de vista y creo que el esfuerzo puede llevarte por varios caminos, en algunos de esos caminos conseguirás lograr lo que te marcaste como objetivo. Lo que tengo claro es que si el esfuerzo no es tu compañero, nadie vendrá a casa a buscarte. 

Volviendo al tema del artículo de hoy, quería dar respuesta en esta charla a algunas preguntas que me hacen por los lugares que voy. ¿Cómo puedo meterme en ciberseguridad? ¿Cómo puedo ser pentester? ¿Cómo puedo dedicarme al Red Team? Son preguntas que hoy en día no son más fáciles de contestar que hace unos años, pero podemos decir que si que tenemos más claro ciertos caminos a seguir.

Por un lado, la aparición de carreras de ciberseguridad, másteres en ciberseguridad y formación profesional con títulos en ciberseguridad ha allanado el camino. No es que por estudiar esto, ya vayas a serlo, eso acabará dependiendo de ti y de tu esfuerzo y pasión por ello. Todo suma, todo tu gramo de esfuerzo aporta.

¿Y si me dan la oportunidad? 

Yo tengo claro que, en líneas generales, aunque no me guste generalizar, la tecnología es algo que conlleva un entrenamiento constante, puro y duro. En el ámbito de la ciberseguridad es así, es una carrera de reciclaje constante, pero no solo de reciclaje, si no de entrenamiento hacia nuevos conocimientos. La informática y las nuevas tecnologías avanzan muy rápido, es una frase que os habréis cansado de escuchar, y la ciberseguridad como elemento vertical lo hace al mismo ritmo.

¿Cómo puedo entrenar?

Creo que hoy en día, gracias a la tecnología, a Internet y al conocimiento que existe es más fácil, pero necesitas una gran base. La base de la ciberseguridad, para mí, se encuentra en el conocimiento en redes, en sistemas operativos y en programación. Esta triada es la base de la ciber y permite que teniendo una base fuerte puedas crecer en el conocimiento ciberseguridad de manera ágil y exponencial. Si flaqueas en algo, dicho conocimiento costará más. Es una opinión, y de nuevo, cada uno puede tener su punto de vista.

Cuando hablo de redes o sistemas operativos se puede entender fácilmente que es totalmente necesario, ya los ordenadores se manejan con sistemas operativos y éstos intercambian mensajes a través de las redes. En cuanto a la programación y tener una base sólida, no me refiero a que seas un desarrollador. Pero ganarás tiempo y flexibilidad si eres capaz de desarrollar tus propias ideas, tus propias pruebas de concepto o tus propias automatizaciones en caso de necesidad en un pentest. El scripting acabará siendo tu amigo. Automatizar y poder leer herramientas de otros, por si tienes que tocar. A eso me refiero. De nuevo, es una visión propia pero las tres patas comentadas forman una triada importante.

Recuerdo palabras de un buen amigo de Informática 64, el Sr. Silverhack, cuando me comentaba lo que era el forense en uno de esos primeros días, me lo resumía en… al final conociendo bien el sistema operativo puedes sacar mucha información. De Silverhack uno puede aprender muchas cosas, y yo aprendí. Aprendí de él, aprendí de muchos, seguramente de todos aprendí cosas. Más cuando llegas recién salido de la Universidad y tienes la tentación de creerte el rey del mambo, algo de esto cuento en la charla de "Cybercamp 2018: Aquellos años locos", cómo convertir tu hobby en tu profesión.


Figura 3: CyberCamp 2018: Aquellos años locos

Volviendo al hilo de cómo entrenar, me gusta estructurar los pensamientos, intentar “procedimentar”, aunque en muchas ocasiones no se pueda, y me gusta poder organizar mis pensamientos, asentarlos, interiorizarlos y hacerlos míos.

Me gusta la ciberseguridad y tengo mucha curiosidad, ¿cómo puedo empezar? Bien, en este punto, creo que es importante que mires blogs. ¿Blogs? Sí, blogs. Durante muchos años los blogs han albergado un gran conocimiento, diversificando contenidos, tipos de técnicas, conceptos base, diferentes definiciones que te pueden ayudar a hacerte una idea de lo que quieres, de lo que hay y de que es todo esto. Hay blogs más técnicos, los hay menos técnicos, con conocimientos base, con conocimientos avanzados. Ese conocimiento está ahí para que tú lo puedas consumir. Hacer tuyo.


Figura 4: 10 libros de seguridad informática y hacking en 0xWord
que recomienda Chema Alonso

Hoy en día, tienes la opción de estudiar con libros en tu idioma. La editorial 0xWord es una fuente de conocimiento en este mundo, reunir el conocimiento en un tema y poder consumirlo ahorrando tiempo es algo muy valioso. El tiempo es algo que no valoramos, hasta que no lo tenemos. Estudia con compañeros, es una forma interesante de meter la cabeza en un tema. Lo que uno aprende, lo comparte con el otro, porque esto también va de compartir y no de competir. Por poner un pequeño ejemplo, así era la Informática 64 que conocí y que viví, lo que uno aprendía lo compartía y todos crecíamos. 

Practica.

Para aprender hay que practicar, por lo que monta tu laboratorio con máquinas virtuales y prueba todo lo que puedas. 

“No vale con mirar cómo el profe lo hace, lo tenéis que probar vosotros y enfrentaros a ello”. 

Alguno reconocerá esta frase que en alguna ocasión me ha tocado decir. Nada más lejos de la realidad y se aplica a todo, si tu ves a otra persona hacerlo está bien, simplificará el proceso de aprenderlo, pero lo interiorizarás cuando tu te enfrentes a ello. Hoy en día tenemos tecnología de virtualización y de contenedores que simplifican que podamos montar nuestros laboratorios y probar, aprovechemos esto.

Figura 5: Una lista a tener en mente si quieres ser pentester

Otro de los recursos a trabajar y a aprovechar para aprender son los entornos de pruebas en Internet. Por ejemplo, HackTheBox. Otro ejemplo es Vulnhub. Este tipo de máquinas nos retan y hacen que pongamos en práctica todo lo que hemos ido aprendiendo con el tiempo. Utilizando una máquina de Vulnhub sobre la que no tenemos ningún tipo de conocimiento es algo más que interesante. Aprovechemos este tipo de recursos.

Las certificaciones. 

Esto es un capítulo aparte. Ayudan a varias cosas, aunque cada uno puede tener una visión muy distinta. Sin duda, ayudan a posicionarte frente al trabajo, pero hay de todo, como en cualquier punto. Respecto a esto, haz lo que creas: hay gente que quiere certificarse para optar a un trabajo y otros prefieren que sea la empresa quien apueste por certificarles para entrar en proyectos. Tú decides.

Nos queda poco en esta organización del aprendizaje. Llegados a este punto, y puede que antes, juega a los CTF o los Retos HackingEs otra forma de retarse, de entretenerse, pero también de aprender.

¿Bug Bounty? 

¿Por qué no monetizar lo aprendido ayudando a las empresas? Es una forma de retarse, de aprender y de monetizar todo el proceso. Un tema interesante y que colocaré en la parte más avanzada, aunque hay bounties de todo, cosas más técnicas, otras menos técnicas y nunca se sabe. Como dije al principio, sin esfuerzo no habrá recompensa. 

Figura 6: Entrenamiento duro

Todo esto llevará tiempo. En el primer encuentro de autores de 0xword, Carlos García y Sergio de los Santos hablaban de la sociedad de la inmediatez, un concepto que me encantó en su definición. En este concepto estoy bastante de acuerdo. Vivimos en una sociedad que lo quiere todo ya. El aprendizaje lleva su tiempo, su esfuerzo y el resultado no es inmediato. Pensar así, es un error. Pero de nuevo, es mi punto de vista.


Figura: 7 Encuentro Virtual de OxWord con Sergio de los Santos,
Pablo González, Fran Ramírez, Rafael Troncoso y Carlos García

Por último, otro concepto. El agradecimiento. Una palabra que hace uno o dos meses era una palabra muy utilizada. En estos 12 años de carrera profesional he estado agradecido a mucha gente que ha pasado por mi camino, sigo estándolo y es algo que con cierta facilidad se pierde.


Figura 8: Niños y pentesters nunca mienten 

El día que perdamos la humildad, habremos olvidado nuestros orígenes y lo que nos hizo crecer.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 9: Contactar con Pablo González

2 comentarios:

Unknown dijo...

Hola esta publicación me fue de mucha ayuda para direccionar mis estudios gracias y felicitaciones por su trabajo saludos malignos

Unknown dijo...

infinito agradecimiento freund

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares