Hacking as a career...

Leyendo la fabulosa entrevista que ha hecho el compañero de http://www.seginformatica.net/2012/07/tenemos-lorenzo-martinez-por-un-ratito.html  al sr. Lorenzo Martinez de SbD me ha llamado la atención un comentario que ha hecho sobre la pregunta de como iniciarse en el mundo de la seguridad informática y he decidido escribir sobre ello. Gracias a los dos por vuestros proyectos...

Todos los que nos dedicamos, trabajamos o soñamos con la seguridad informática, seguro que coincidiréis conmigo en que muchas veces te preguntan: como puedo ser un hacker? como puedo especializarme en seguridad informática? por supuesto que no voy a hablar de "como hackear hotmail". El Sr. Cheman Alonso ya habló de eso hace unos dias. Voy a intentar expresar lo que pienso sobre este tema.
Ser hacker o un experto, o técnico en seguridad informática es algo que no se aprende en los libros, o mejor dicho, solo en los libros. Hoy en día hay en el mercado gran cantidad de certificaciones de seguridad, orientadas a aspectos puramente técnicos, otras dedicadas a la gestión, medición. No soy amigo de este tipo de certificaciones, aunque como luego comentaré, si lo soy de certificaciones de fabricantes de productos, y por eso me las saco !!!.
Os pongo un ejemplo. Te apuntas a un master en seguridad informática, o peor aun !!! te apuntas a un curso de esos que te prometen certificarte como, por ejemplo, Certified Ethical Hacker, en una semana !!!!! bien, pasas el examen, apruebas, te ponen unas pegatinas, pines y demás. Entras a trabajar a una empresa como responsable de seguridad, o como dicen los "modernos" CSO. A los 15 días sale una vulnerabilidad publicada en un blog de un chico de 16 años, que despues de tirarse todo el fin de semana castigado en su casa por no haber fregado los platos en su casa, descubre y programa, que tira "noseque" server, que además lo tienes implantado en tu empresa, y tienes la mala suerte de que algun "juacker" te encuentra, conoce el blog del chico que no friega... y te lia un pollo del 500 en tu organización. De que te sirve la certificación????.
La seguridad informática es la punta del Iceberg de los sistemas, por lo que para ser un buen profesional debes tener amplios conocimientos en:
  • Sistemas operativos. Recomiendo a los estudiantes que si quieren marcar la diferencia respecto a los 100/200/500 compañeros de facultad que se gradúan en tu ciudad que se estudien una certificación en su sistema operativo favorito. Esto no garantiza que seas un experto, NI MUCHO MENOS, eso te lo dará tu experiencia y valía, pero es un punto interesante de obtener los conocimientos necesarios para operar con estos S.O´s, y que mejor manera de la mano del fabricante.
  • Networking. Esto es como aprender a hablar, para poder escribir... Tienes que conocer de pe a pa el funcionamiento de la redes, sus protocolos, su diseño, implementación, seguridad teórica, etc. Hubo un tiempo en los que me estudiaba casi todos los RFC´s que me cain por las manos. Es de locos, y aburrido para un novicio, estudiarse el protocolo DHCP, ya que es algo muy técnico, y esta lejos de poder hackear el ordenador del vecino, que es realmente lo que nos motiva xD, pero es necesario conocer el funcionamiento, en mayor o menor medida, para poder usar las herramientas, exploit´s, conceptos etc.
  • Programación. Como os comentaba antes, la seguridad informática es la punta del iceberg de los sistemas. Nos apuntamos a nuestras carreras en la rama de sistemas porque nos gustan los sistemas, y ahora resulta que hay que saber programación... pues si !!!. No hace falta que seas un experto en .net, java, pl-sql, perl y demás, pero si al menos haber hecho el Hola mundo en todos estos lenguajes... y un poquito mas. Probar pequeños programas para nuestras rutinas diarias, y ser capaces con ello de leer un código fuente, modificar un script, crear un fuzzer para una aplicación concreta de un cliente que necesita auditar, y poder encontrar un Zero Day...
  • La comunidad en internet. Abro un punto y aparte.
Como empecé este post, leyendo la entrevista de Lorenzo Martinez en http://www.seginformatica.net me llamó la atención su comentario sobre RSS. Es VITAL mantenerte al día en el "world guay web", para saber los fallos de seguridad que aparecen en el panorama, para saber las contramedidas, para conocer los proyectos que llevan a cabo colegas de profesión, para saber que libros están marcando la diferencia, para saber que proveedores funcionan o no, etc.
En mi caso, y en el de la mayoría de los colegas, usamos pc´s en las oficinas, móviles, tabletas y demás dispositivos con acceso a internet. Como organizar esta cantidad de información para poder darle forma a todos los conocimientos que vamos obteniendo?.
Como es mi workflow de información? Me levanto, aprovecho 10 minutos en el baño para leer en mi fabuloso Ipad para leer el RSS. Cuando encuentro algún articulo interesante, teórico o práctico, que hago?? !?!?!?! estoy en el baño !!! y como lo deje pendiente para mi laboratorio...puede dar las uvas. Me mando un correo a mi mismo, con el asunto "Teoría" o "Practica".  En la oficina, y delante de mi Personal Information Manager favorito tengo habilitada una regla de correo y unas carpetas, y en cuanto me llega el correo se va a su carpetita correspondiente. Salgo a desayunar con los compañeros, y aprovecho los momentos de empanada que no me interesa la conversación para meterme en Twitter , y lo mismo, repasar los post que más me interesan, y para el correo !!! usando la misma técnica Jedi del asunto...
Cuando llego a casa, pues si tengo ganas de leer, me meto en mi Outlook, en mi carpeta de "teoría" y me leo el articulo. Si lo que quiero es ponerme con las máquinas virtuales manos a la obra, pues lo mismo, tiro de carpeta "practica". Parece una tontería, pero me ha costado cierto tiempo acostumbrarte a esta rutina de trabajo, porque si dejas para la memoria meterte en tal blog para hacer tal cosa, pues pierdes mucha información.
Otras veces me preparo en pdf ( impresora pdf...) artículos buenos que veo por la web, para tenerlos bajados en mi Ipad/Iphone, para los momentos que me voy a la playa, montaña, casa de suegros xD y no hay mucha cobertura.
Cuando leo en algún post, tweet, web o cualquier termino de estos... alguna referencia a algún sitio, persona, web, que me interesa seguir, me mando un correo a mi mismo con el asunto "para rss". así sé cuando tenga un rato, tengo añadir a mi lector de Rss tal fuente. Por qué "al rato" y no al momento, muy sencillo. La mayoría de los blog´s detectan el User-agent del dispositivo IO´s, y cambian la url del feed con un prefijo "mac" que mi lector RSS no detecta, por lo que tengo que "averiguar" la dirección del RSS en mi navegador de escritorio para poder importarlo en mi RSS...
Muchos pensareis que es una tontería todo lo que estoy diciendo, pero es mi manera de mantenerme al día, probar las cositas que salen, y no dejarme nada en el tintero. Muchas ideas se nos ocurren como he dicho en la taza del wc, de camino en coche, o en desayuno en la oficina, y por qué perderlas !!!.

Ahora bien, un poco de chicha: a riesgo de olvidarme de alguno, en mi blog tengo unos links hacia los Blogs/web´s en castellano que sigo. En ingles os recomiendo estos, que me he molestado en publicar en formato RSS para que solo tengáis que agregarlos.
Como siempre, gracias por leerme, y si considerais que debéis estar en mis links en castellano, o queréis recomendarme algún blog de algún "loco por la seguridad" como nosotros, adelante !!!.












































Google +