Estimados amigos del blog,
Se acerca el verano en el hemisferio norte y con ello se abre una temporada un poco más relajada en lo laboral, a no ser que trabajes como socorrista o similares 🙂
Muchos de nosotros, de vosotros, nos proponemos estudiar alguna materia. Profundizar en un área que tenemos pendiente desde hace tiempo pero debido a los ritmos de «producción» en las empresas nos vemos obligados a dejarlo para otro momento.
Para los más jóvenes, termina el ciclo escolar. Acaban las carreras, ciclos formativos y demás.
El título del post de hoy comienza con «penúltima» porque creo que el tema de cómo aprender hacking es recurrente, y desde luego no es el primero, y sospecho que por muy bien que quede el artículo no será el último.
Para hacerlo más atractivo, voy a darle un enfoque distinto del que estamos acostumbrados a ver cuando vemos este tipo de artículos. Voy a intentar dar mi opinión sobre cómo empezar o estudiar esta apasionante profesión que es la informática, en su vertiente de seguridad, la llamemos hacking, infosec, ciberseguridad o como se te antoje. Siempre intentando dar ese toque de humor que, a veces, os gusta 🙂
El «corte» de 30 años no es relativo a una edad, sino más bien a un concepto, el de la juventud y la madurez. No me refiero a la madurez sexual, todos sabemos que eres un campeón. Ni tampoco a la aparición o pérdida de pelo, según el caso. Me refiero a esa fase de la vida en la que dejas de ser joven y pasas a tener una familia con sus consecuentes obligaciones.
Por supuesto que esto no es un decálogo de ningún estilo de vida, si quieres ser soltero toda tu vida me alegro, perfecto, o si quieres tener familia con 16 años también, pero creo que en la sociedad española en la qué vivimos el «cambio» de status o tipo de vida suele estar en esos términos de edad, y bajo el cambio de la familia/hijos.
Dicho esto…
Siempre se defiende que el hacking como concepto es de aquel tipo que va más allá en lo que se refiere al uso de tecnologías, intentando descubrir nuevos usos, nuevos fallos, nuevas formas de emplear esa tecnología, haciéndose distinto del resto de usuarios por ello. Es un concepto que incluso tiene un tintes románticos porque implica «ser diferente» por ir un paso más allá.
>> Formación
Ahora vamos a la práctica. Si tienes 45 años, 2 hijos, llevas 17 años en una empresa como informático, y quieres aprender seguridad informática, debes conocer las bases tecnológicas que sustentan los procesos que quieres defender/atacar, pero después de una dura jornada laboral de 8/10 horas y una «aún más dura» jornada de trabajo en casa, dígase: educación, cenas, higiene, juegos… no tienes mucho tiempo para estudiarte el RFC del protocolo DNS para darle una capa de seguridad a este en tu empresa, o para probar una transferencia de zona contra tus servidores públicos para ver el estado de la seguridad.
Leo muchos comentarios de expertos mundialmente reconocidos, y gente de Albacete y Murcia 🙂 que defienden esta postura, pero creo que el matiz está en la edad. Yo de joven leía TODOS los RFC´s que podía descargar sobre protocolos de red y esas cosas. Quizás ello me sirvió más adelante, no quizás, seguro, pero entiendo que si empiezas «tarde» en esta disciplina, tienes derecho a ello, sin la necesidad de pasar por los famosos RFC´s.
¡¡Aprende programación!! Claro, qué guay. Mejor si es C y ensamblador x86. Perfecto. Es más, si eres joven y estás estudiando o trabajando como programador te aconsejo que no solo estudies dichos lenguajes, sino que aprendas lenguajes de scripting para «plaformas» windows y linux como powershell, bash, python/perl/ruby y, por supuesto, php, sql (ansi, t-sql y pl-sql) y javascript. Ahora, si tienes más de 30 años, haz una cosa: date la vuelta, no mires a la pantalla, ¿recuerdas todos los lenguajes que he enumerado? 🙂 Como es lógico estudiar todos esos lenguajes te será muy complicado si quieres dedicarte a la seguridad.
Lo que si puedes hacer es tomar un curso extremadamente práctico de la materia, como los que imparten nuestros amigos Daniel o Lorenzo, o cualquiera que te guste. Suelen ser MUY prácticos, muy económicos y están pensados para hacerlos desde casa tranquilamente. No serás un experto en esta materia, pero si serás capaz de manejar programación para hacerte tus pequeñas herramientas, modificar el comportamiento de alguna, y sobre todo poder resolver problemas a la hora de su uso. No vas a auditar código estático en aplicaciones JAVA, pero eso no quita que puedas iniciarte en esta disciplina y al menos, saber recrear técnicas y procedimientos de ataque web de los que leemos por la blogosfera.
Nos comenta el responsable de Securizame Lorenzo Martínez, autor del blog Secuty by default, que quedan plazas libres para junio en cursos presenciales en Madrid. [Decirle que vais de nuestra parte y algún «cariño» os hará :-)]
>> Blogosfera
Seguro que como asiduo lector a nuestro blog habrás repasado cada uno de los enlaces que se publicaron en el artículo 50 Blogs de seguridad informática Aquí tienes una gran lista de artículos para leer y aprender, pero ¿cómo transformas todo esto en lo que queremos, en estudiar y aprender?. Yo os voy a contar cómo lo hago yo, y esto es válido tanto para los jóvenes como para los viejóvenes. Yo uso un lector RSS de toda la vida, con su aplicación para el móvil. Cuando tengo un rato libre, bien sea en el transporte hacia la facultad, o en el entrenamiento del hijo, olfateo los artículos. Voy dando un repaso a los que más me gustan y aquellos que considero interesantes para leer en detalle o para practicar algún procedimiento, y me los envío a una cuenta de correo.
Ahora tengo un rato en el trabajo o en casa, y voy a dedicarle 30 minutos a esto de la seguridad. ¿Voy a ponerme a repasar las 1000 páginas web que hay?, ¿Navegar por internet de un sitio a otro buscando el artículo que me llene la vida? Si haces esto, al final verás Youtube o gatit@s y no harás nada (nada de hacking 🙂 ) Es el momento de rescatar ese correo que ya filtraste una vez como interesante, tirarlo a la basura y pensar: «en qué estaría pensando» y cuando lleves tres así, realizar la práctica de alguno que te interese.
Hace un tiempo decidí crear una lista de artículos que me gustan de hacking y relacionarlos en mi blog personal. La lista se llama Artículos auditorías seguridad en ella aparece una lista de artículos con procedimientos concretos y detallados de hacking y seguridad informática en CASTELLANO. La lista contiene artículos míos y de los blogs más importantes del panorama. Si estás interesado en aprender, puedes seguir cualquiera de los artículos, separados por la fase de la auditoría que te encuentres, y de esta manera practicar tu «kung-fu» en esto del hacking. Si eres joven y tienes tiempo, te animo no solo a qué hagas las prácticas, sino a que crees tu propio blog.
Para mi escribir en un blog es una manera de devolver a la comunidad una pequeña parte de lo que me da, pero también tiene otras intenciones como son el tener un recordatorio de mis cosas, y una visión pública que me facilite el acceso a trabajo. Sin embargo, la principal motivación que me mueve a escribir o aporrear el teclado es la de «obligarme» a renovarme, a tener la «presión» de escribir, de sacar temas nuevos, de estar constantemente pensando en qué voy decir o escribir. Para mi, es un empuje. ¿Para ti lo sería? Ahora viene un dato desalentador: el 90% de los blogs mueren con la primera entrada 🙂 y del 10% que queda, la mitad no llega al año de vida.
>> Congresos
Todo el mundo habla de asistir a congresos de hacking. Yo estoy de acuerdo con esto tengas la edad que tengas, porque suele haber espacio para todos los públicos, salvo que asistas a congresos en los que te requieran conocimientos previos, pero esos son los menos, creo que solo uno… Podría hablarte aquí de los que más me gustan, o de los que suelo asistir, pero dejo esto a tu gusto y disponibilidad geográfica.
>> Estudio autodidacta
La parte del estudio autodidacta es sin duda la más económica. Mucha gente es capaz de comprar un libro o manual y realizar el estudio por su cuenta. Como mencionaba antes, otras personas necesitan un curso a modo de motivación u organización. A veces el hecho de haber pagado por el curso te obliga a terminarlo. Si eres de los que se «apañan» con libros os dejo este enlace sobre la lista de libros que me gustan de seguridad informática y de hacking. Hay muchos, lo sé, pero no sabría cuál quitar o poner. Hay de todos los niveles, gustos y colores. Esta es la lista.
Si tienes como barrera el inglés no sufras, puedes hacer dos cosas. La primera y peor es seguir los libros en inglés, lo que puedas, porque al fin y al cabo sabes más inglés que el crees, y donde pone settings en el libro lo pondrá también en el fichero… Si ni con esas, puedes ir a la biblioteca de temas que tiene la editorial 0xword con los títulos más actualizados en castellano. Tienen una pega muy importante para mi, que no son digitales, son en papel, pero si estás dispuesto a eso, son recomendables para iniciarte en la materia.
Si ya has iniciado tu proceso de estudio o práctica, y lo que quieres es «saltar» al ruedo, puedes comenzar por auditar tus propios sistemas, o de conocidos, SIEMPRE con permiso.
Si lo que quieres es indagar más en técnicas más variopintas o sistemas más complejos, puedes optar por usar máquinas de «entrenamiento» con vulnerabilidades y así no pondrás en peligro tu libertad 🙂
Algunas de las más populares las recopiló nuestro amigo Vicente de HackPlayers en este fantástico post.
>> Despliegue básico de principiante
Si estabas esperando en este artículo algún consejo un poco más técnico, siento decirte que no es el caso, que para eso están los recursos que te estoy ofreciendo. Lo que sí voy a hacer es enumerar lo que sería un «despliegue» básico de principiante:
- Manejo de máquinas virtuales.
- Manejo de servidores Windows y linux. Comienza por instalar un Windows 2012 y una debian, ambos sistemas con todas las características de seguridad que vayas leyendo.
- Sistema operativo «tuneado». No me refiero con esto a un montón de widgets de la temperatura de la CPU ni un wallpaper futurista. Me refiero a tu Windows o Linux con las herramientas que vas a ir probando. Si quieres usar KALI como distribución Linux ahorrarás tiempo en la instalación de algunos programas.
- Documentación. Prepárate pequeños manuales o guías para recordar los procedimientos. Si lo está leyendo de una web, con guardarlos en un favoritos podría ser suficiente. ¿O te has animado a comenzar con un blog?
- PACIENCIA.
La más importante es esta última. No te dejes amedrentar porque no tengas conocimientos de algo. Si estás falto de algo, estúdialo. Cómete los libros. Si eres más mayor y te encuentras con retos de difícil o lejana solución, emplea el «hacking» para darles la vuelta y saltar el obstáculo. Lo más importante para comenzar con esta disciplina son las ganas que le pongas y el esfuerzo. Seguro que con más o menos nivel, consigues satisfacer tus inquietudes en la materia de hacking, bien siendo a nivel de ayudar en tu empresa a tomar una decisión de compra, a auditar tu sistema, a trabajar como pentester, o ganarte la vida en los «bug bounty» o «cazarecompensas» de las grandes empresas. Hay sitio para todos.
Espero que este artículo haya servido para darte algunas guías sobre cómo empezar, sobre cómo pienso sobre esto, y sobre todo darte mucho ánimo si has decidido dar el paso de lector del blog a experto en ciberseguridad.
Gracias por leerme.