lunes, 31 de agosto de 2020

How to become a Security Porn Star... versión Papá quiero ser hacker.

 Estimados amigos de Inseguros !!!

En este post voy a intentar sintetizar varios de los consejos que suelo dar a mis allegados sobre este tema. El título es un poco de broma, yo me aplico todos los consejos en mi carrera laboral, que lejos de estar en su final, me encuentro en constante cambio y aprendizaje. Espero que no interpretes este título como algo pretensioso, porque me considero el eterno becario...dicho esto...

Constantemente contactan conmigo amigos, familiares, compañeros, amigos de compañeros, amigos de familiares, etc preguntándome por lo mismo: tengo un hijo/sobrino/conocido/amigo/compañero... que le gusta la ciberseguridad y quiere dedicarse a ello. Podrías dedicarle 10 minutos para orientarlo?.

Cuántos casos como estos creeis que se me presentan al cabo de los días? Te puedo asegurar que muchos. Muchos es Muchos.

Cuando el papa/tio/amigo... contacta conmigo, siempre suelo ayudarle en la medida de lo posible, pero siempre inicio la conversación en el sentido interesado---yo. Es decir, que el interesado se ponga en contacto conmigo directo y sea el quien se preocupe. No os imagináis la de veces que hago esto, qué le digo al contacto: dile que me escriba... y ni lo hace !!! aquí acaba el mentoring xD antes de empezar !!! y al final es un reflejo de lo que pasa, que si te tienes que preocupar por un tercero... al final denota que ese tercero no está muy centrado, pero no siempre es así !!!

En ciertas ocasiones me ha llegado también algún recomendado que hablando con él te dice que le gusta "el cacharreo", el micro... y le voy preguntando y me cuenta: siii, instalar el windows, tunearlo, instalarle el antivirus, configurar juegos, instalarle una tarjeta... y cuando le dices que eso no es "informática" se queda blanco. Que eso era informática hace 30 años, pero que un profesional de la informática que quiere trabajar de eso, al final tiene que aportar algo más... tiene que ir a la empresa y conocer aplicaciones de usuario... dominios windoseros... un poco más que lo que haría un usuario freak no profesional...

Bueno, imaginamos que la persona interesada contacta conmigo. Siempre digo lo mismo, para entrar en la ciber o cualquier tech. hacen falta dos cosas, ser bueno y parecerlo. Vamos a centrarnos en las dos cosas de manera separada.

Es muy importante interiorizar esto, porque para mi, es tan importante una cuestión como la otra. No voy a entrar en que si es más interesante una u otra, pero en el escenario laboral en el que nos movemos, hay veces que entras por una recomendación, por la aparición en un medio, o porque en un proceso de selección tradicional tienes ques destacar en tu Currículum. De cualquier manera, demostrar que eres bueno es FUNDAMENTAL.

Me gusta poner el ejemplo de la película de sobremesa de la TV.  Esa película mala, de adolescentes, en el que el chaval gordito e inteligente se enamora de la más guapa, pero esta no le hace caso porque le gusta el QuarterBack fuerte y no tan listo de la escuela. El chaval gordito sueña con que se fije en él... y al final lo consigue porque el "mazao" se la lía a la chica y encima el gordito le ayuda con los deberes... El mundo real NO ES ASI. eso es mentira, en la realidad la tía buena se va con el "triunfador" y el que no se entera de la movida, se queda sin "comer"... NO es así del todo... entender que es una metáfora, pero conozco gente MUY MUY lista, inteligente, preparada, BRILLANTE que no sabe venderse y tiene trabajos MALOS, no solo por la pasta, sino por malos. Si eres el "gordito" tienes que ir al gimnasio, si eres el fuerte, tienes que estudiar más... al final, todos tenemos que mejorar nuestras carencias, sean las de la parte "ser inteligente" o de las de "demostrarlo". 

No sé si me he explicado bien o la he liado más xDDDD

Os pongo otro ejemplo más cercano: el informático inteligente pero "autista". Conozco MUCHOS que encajan en este perfil. Muy buenos técnicamente, pero con pocas habilidades sociales a la hora, por ejemplo, de empatizar con un cliente. Al revés también los hay !!! gente muy vende-humos sin un contenido preparado. NO estoy diciendo de elegir uno u otro, te hablo de la mejora que cada uno debemos hacer, y cada uno tiene que tener claras sus habilidades y carencias. Creerte que porque seas un genio, ya no tienes que alinearte con el negocio es un error, el caso de " echarle la comida por debajo de la puerta" en 2020 ya no es así. Es más, en el negocio, prima más luego a luego las habilidades que la inteligencia o conocimiento de una materia...

Siguiente con esta línea de pensamientos raros, voy a empezar por algo que leí una vez de pequeño. Me gustaban las iguanas, quería comprarme una. Me compré un libro y empezaba diciendo: si te gustan las iguanas, no te compres una !!! El autor hablaba sobre el problema de la trata de animales, el peligro que conlleva, lo delicadas que eran, etc, pero te indicaba que si ya habías cometido el error, la mejor manera de solucionarlo eran sus guías...

Con la ciber pasa lo mismo. Ser "hacker" o dedicarse a la ciberseguridad es un afán por conocer la tecnología y cómo mejorar su uso, desde el punto de vista la seguridad. Hacer que un funcionamiento de un aparato, sistemas, cacharro, etc sea más seguro. Para ello tienes que tener profundos conocimientos de lo que tienes entre manos, y sobre todo, requiere de una actualización brutal para conocer las últimas novedades tanto de ataques, defensas, como de los productos en sí. Te imaginas un experto en seguridad de Windows 98????

Esto es algo que nace, sale solo, y con mis consejos puedo ayudarte a despertar en tí ese sentimiento, pero tienes que tenerlo. Es como ser médico. Si no tienes vocación, no vas a pasar por el proceso de 10 años de estudio fuerte... La ciberseguridad es y debe ser vocacional. Tienes que tener ese espíritu de ver que pasa cuando pinchas ese botón, o qué pasa cuando haces un cambio en un código, etc... 

Conozco informáticos, MALOS informáticos, que trabajan 8 horas y no vuelven a tocar el ordenador hasta el día siguiente. Si buscas eso, la ciber no es tu campo. Te diría que ninguno de la informática, porque esta profesión requiere mucha renovación.

Si aún quieres seguir siendo "hacker", si quieres dedicarte a la ciberseguridad... continua leyendo :-)

Soltado este rollo, vamos con las dos vías de mejora.

1.- Mejorar.

Tienes que preparar tus habilidades. Tienes que aprender. Cada uno tiene su manera de hacerlo, unos prefieren formación reglada, otros auto-formación. Unos hacen Masters, otros leen artículos. Cada uno encuentra su motivación y fuerza de la manera que sea. Hay gente que tiene dinero, otros no tanto. Hay gente que se inicia joven y tiene más tiempo, otros lo hacen a mediados de su carrera.

Lo que sí te puedo garantizar es que te tienes que formar, a conciencia. Buscar un master que te lo de todo hecho no es la solución, porque el master será una pieza más, al igual que es la carrera, o el ciclo, pero también está el curso, la conferencia, la práctica, la máquina virtual, el CTF, al final vas a estar TODA TU VIDA FORMÁNDOTE. Desde ese punto de vista, invertir 5000 euros en un master te da conocimiento y título, está bien...si tienes el dinero, pero no es determinante, ya que es una pieza más de esa formación continua. Quizás te interese más hacer 10 cursos en Udemy prácticos y participar en alguna de las plataformas de entrenamiento CTF como Hack The Box o Vulnhub...

El tema de las certificaciones es otro asunto que se pone sobre la mesa. El hacer un camino de formación ligado a un fabricante o prestador de servicio para pasar unos exámenes que te dan credibilidad de conocer ese producto o servicio. Por ejemplo las certificaciones de Microsoft son guías para aprender sobre determinados productos y posterior evaluación. Si lo pasas, Microsoft Certifica que conoce esa herramienta. Las hay de todo tipo, siendo muy reconocidas OSCP, CISSP, CEH, CISM, GIAC, etc. Volveremos a esto en la parte de demostrar.

Seguro que muchos de los que me leéis entenderéis todo esto, pero si estás iniciando quizás andes aún perdido, espero que no más que cuando empezaste a leer :-)

Si no tienes ni idea, pilla una máquina de VULNHUB, la bajas, la instalas en tu Virtualbox y busca el solucionario. Se suele llamar Write Up. Sigue los pasos de la solución de PE a PA, y apunta TODO lo que no sepas. El primer día no sabrás NADA, y tendrás que buscar "qué es un escaneo de puertos" o qué es una SQLI.... con el tiempo, no solo aprenderás a "hackear" sistemas, sino que irás profundizando en la materia.

Aquí está lo curioso y las ganas que tengas. Siguiendo el ejemplo del "escaneo de puertos" te puedes quedar con el comando, puedes buscar que significa en la wikipedia, o puedes realizar un doctorado en la técnica del escaneo de puertos... lo profundo que tu quieras llegar es lo preparado que vas a estar. Habrá una diferencia del que tira el comando y no sabe muy bien que pasa, al que se lee el RFC del handshake TCP y pasa 3 meses estudiando capturas de red para saber que es un syn-scan... 

Así con todo. El hacerlo con un guión de máquinas virtuales me parece interesante de cara a la motivación. Vamos a ponernos al revés. Vas a una carrera de teleco, tienes una asignatura de redes y sin saber por qué, tienes que aprender la pila tcp/ip sin saber mucho para qué... aburre. Sin embargo si lo haces dentro del contexto del hacking, de pasar de "pantalla", de intentar romper cosas... lo mismo te motivas más...

2.- Demostrar.

Como mencionaba antes, las plataformas de CTF son una buena manera de entrenarse, pero también son de demostrar conocimiento. En los procesos de selección de las vertientes más ofensivas se evalúa la posición en dichas plataformas del candidato, ya que demuestran que REALMENTE has pasado el reto.

Es importante que te rodees de colegas del sector, de muchas maneras, mediante congresos, redes sociales, proyectos colaborativos... monta tu blog... al final mucho trabajos se dan a dedo por confianza, y el tener una red de profesionales que "respalden" tu conocimiento, el técnico, o tus habilidades personales, sin duda es un añadido.

Es muy difícil luchar con 100 personas en una candidatura en la que no siempre tienes la suerte de que tu información se interprete como piensas, o mereces, pero la vida es así. 

Yo vivo en una ciudad pequeña, por lo que es buena idea buscar el top 50 de empresas del sector, y añadir a sus responsables en Linkedin, a sus técnicos de RRHH. Quizás un día te sientes frente a ellos en una entrevista y conozcan tu presencia "positiva" en la red...

Si tu vertiente es de programación, tener proyectos en GitHub en los que la comunidad y las empresas puedan medir "en caliente" tus habilidades, y por qué no, tu compromiso y dedicación, me parece otra genial idea.

Respecto a la búsqueda de empleo relacionado, es muy importante que manejes la frustración. No siempre se consigue lo que uno quiere a la primera, ni a la segunda. A veces tienes que pasar por procesos que no te gustan, para llegar al que sí. Me refiero a empresas no muy atractivas, a prácticas poco o nada remuneradas... al final son experiencias que todos hemos vivido y sufrido. No existe el trabajo perfecto y el camino es muy largo. Aprende a manejar esto y no desesperes, el camino laboral son 30 o 40 años...

Al final os he soltado un rollo importante, pero espero que hayas entendido mi punto de vista, que no es el único ni tan siquiera el mejor, pero aprende a leer entrelíneas y quedarte con la información que vas necesitando.

Si necesitas más ayuda, no dudes en contactar conmigo. Gracias por leerme.



viernes, 21 de agosto de 2020

Si quieres auditar tu Windows y no lo tienes claro, usa Clara: Herramienta del evaluación de cumplimiento ENS

 Estimados amigos de Inseguros!!!

Por poco que hayas leído este humilde blog, habrás leído sobre auditorías de seguridad, red team, pentesting y demás términos para referirnos a distintos procesos de análisis de la seguridad.

Soy fiel defensor de emplear un mix entre herramientas y profundo conocimiento, y es lo que practico en mis servicios profesionales de auditorías. Nada más lejos de la realidad de muchas empresas o profesionales que emplean un software concreto que da un report y lo considera una auditoría.

Sin embargo, al final tienes que usar herramientas, y en esta ocasión voy a comentaros la herramienta Clara, proporcionada por el CCN-CERT en su trabajo por hacer las organizaciones españolas y de todo el mundo un poco más seguras.

La herramienta no es de hacking, necesita permisos de administrador local en la máquina... en un DC... por lo que si ya eres admin del Dc poca más necesitas :-) pero bueno, me gusta aclararlo. Puede funcionar en modo standalone o cliente-servidor, para compartir un conjunto de settings y realizar el mismo análisis en todos los servidores. Como ya te habrás dado cuenta, me he equivocado... he dicho en el DC... es solo porque las GPO´s de seguridad se suelen aplicar en el los DC, al menos las que se refieren a la propia seguridad del dominio... por eso lo vamos a realizar sobre un DC.

El proceso de descarga y ejecución es muy sencillo y está suficientemente explicado en la documentación oficial y web de descarga.

Trás la primera ejecución tenemos ya información del estado de cumplimiento del ENS, cosa que no me interesa de momento, pero sí con información de valor.

Lo más interesante no es el estado del cumplimiento, sino la información técnica que aporta. Podemos ver según el nivel de certificación que hayamos elegido ( alto, medio o bajo), qué GPO´s tenemos que cambiar y el resultado esperado.

Una herramienta sencilla que puede servir como comienzo para robustecer nuestros entornos AD.

Espero que te guste, gracias por leerme !!!

jueves, 20 de agosto de 2020

Veo, leo !!! qué lees? Parser para logs de Windows...

 Estimados amigos de Inseguros !!!


En la aventura gráfica de hoy :-) vamos a usar una pequeña herramienta que seguro que te será o habrá sido útil si lidias con temas forenses o defensivos incluso ofensivos, vamos, si te dedicas a los Windows y la ciber.

Vamos a tratar el Microsoft Log Parser para parsear en un formato entendible nuestros logs, en este caso de Internet Information Server. 


Imagina un escenario en el que por temas forenses debes recurrir a trabajar en log de un servidor web, o por un tema defensivo, monitorizar ciertas peticiones, u ofensivo !!! imagina que has comprometido un webserver y buscar peticiones get con algún dato... el uso que le des es cosa tuya, pero realmente es una herramienta muy útil.

La herramienta tiene un manejo muy sencillo, cargamos el fichero y tenemos a nuestra disposición consultas preconfiguradas o podemos realizar las nuestras. Vamos a realizar una prueba sencilla pasándole un fichero de logs de IIS y realizando una consulta de número de peticiones por hora.


Como puedes ver, o mejor dicho, intuir, el proceso es MUY sencillo. Podemos utilizarlo para la mayoría de formatos de logs del mundo Microsoft, incluyendo el registro de Windows, Exchange, Office, etc...

Mi manera de hacerlo, pudiendolo hacer por línea de comandos, es crear una consulta vacía con un select * sobre el fichero o ficheros a tratar y darle la salida en CSV, para este caso me reservo el tratamiento para Excel.

Para este caso voy a sacar las url´s únicas, con un simple group by.

Darle la salida en csv es igual de sencillo pulsando el botón de output.

Una herramienta muy sencilla de usar y muy salvavidas cuando te hace falta.

Espero que te guste !!!