Caperucita Roja y Escalar más allá de la nube (Cómo convertirse en hacker)

(Para Fabrizio Colalongo)
14/12/20

"Érase una vez el mundo real ..." En cien años con esta premisa contaremos un cuento de hadas para que nuestros tataranietos se vayan a la cama. Empezaremos hablando de una dulce niña a la que su abuela le regaló una capa de terciopelo rojo que usaba para ir a la computadora antes de entrar en la nube del dominio cibernético. Caperucita Roja quería convertirse en uno pirata informático...

“Como todos los de su raza, ella era una raza mixta: mitad máquina y mitad nerd. Ella no tenía vida social y lo hacía todo sola, entendía los números que bajaban desde lo alto de las pantallas, siempre usaba capuchas y nació sabiendo todo "..

Partiendo de tópicos y banalizaciones, esta fábula enseñará a nuestros pequeños aquellos valores que los convertirán en adultos responsables. Pero luego los niños crecerán y se harán preguntas que tendremos que estar listos para responder de una manera que sea lo suficientemente simple de entender pero lo suficientemente completa para evitar ideas vergonzosas.

Y luego el pequeño, con la lengua asomando por los agujeros que dejan los dientes de leche, preguntará: "Tatarabuelo, ¿qué son los piratas informáticos?"

“Ellos son los que usan sus habilidades informáticas para explorar computadoras y redes de computadoras y para experimentar cómo extender su uso. Algunos son malos y se llaman sombreros negros '.sombrero negro', otros son buenos y, por supuesto, los llamaremos sombreros blancos, o'Sombrero blanco'1. Los primeros son estafadores, estafadores o ladrones que piratean sistemas informáticos con fines maliciosos. A veces simplemente roban datos, otras veces se enriquecen a expensas de las cuentas corrientes de propietarios desprevenidos, y otras veces se entrometen en sistemas automatizados con fines terroristas. Esos son los más malos de todos porque a veces prenden fuego a fábricas y contaminan ríos. Otras veces chocan aviones2 o provocar accidentes entre nuestros coches autónomos3".

Después de una breve parada para tomar un sorbo de agua fresca, el abuelo continúa ...

“Tuvimos que correr para escondernos y, en las dos primeras décadas del siglo pasado (nota: me refiero al siglo XXI, el que va del 2001 dC al 2100 dC), las empresas empezaron a protegerse. Se crearon grupos de respuesta a emergencias cibernéticas4 y los pobló con la mejor profesionalidad: el 'equipo azul'de ciberseguridad. Son los que utilizan los sistemas de monitoreo y ayudan a los administradores a mantener actualizadas las medidas de seguridad de la red y del sistema.5. Cualquier actividad extraña o sospechosa es interceptada por sus poderosas herramientas.6 que escanean miles de millones de paquetes digitales y encuentran cualquier anomalía que represente una pista de una infección creada por los sombreros negros. Si hay un accidente, los equipos azules son los primeros en intervenir. Realizan investigaciones para identificar al agresor y descubrir las fallas que permitieron dar el golpe. La nube es un lugar más seguro cuando están en el trabajo. Son los guardias armados de la red ".

La realidad es que, lamentablemente, con demasiada frecuencia, tenemos que contentarnos con cerrar el establo cuando los bueyes ya han huido. Sería mejor prevenir pero, para hacerlo, sería necesario poder prever.

Es obvio que para predecir el ataque hay que dominar las técnicas de los atacantes. ¿Pero quién puede hacerlo? Los informáticos están capacitados para operar sus sistemas, los administradores están capacitados para protegerlos y ciberpolicía está entrenada para defender, investigar y reprimir. Ninguno sabe atacar.

Entonces, finalmente se dio cuenta de que para vencer sombrero negro necesitaban algo pirata informático que ponen sus técnicas al servicio del bien. Fue entonces cuando aparecieron los "sombreros blancos".

Sombrero blanco son los que violan los sistemas informáticos para informar a los propietarios de las vulnerabilidades. Son como ladrones contratados por el dueño del banco que, para probar los sistemas de seguridad, intentan entrar a la caja fuerte y salir con una mercancía robada simulada. De esta forma, quien tiene la tarea de mantener la solidez del muro estudia las mejores técnicas constructivas; el cerrajero que construye la caja fuerte la equipa con una puerta antiintrusión con llave robusta; el guardia en los trenes de entrada para reconocer comportamientos sospechosos; la policía aprende a intervenir para detener el crimen antes de que sea demasiado tarde y el director adopta reglas para minimizar el riesgo y manejar la crisis. Fuera de la metáfora, yo Sombrero blanco Verificar que los programadores y administradores de red hayan fortalecido sus sistemas.7, las claves y los protocolos criptográficos son inexpugnables8, los equipo azul capacitarse para reconocer la actividad maliciosa, los gerentes aprenden a calcular riesgos, asignar recursos y desarrollar políticas de la empresa adecuadas para la gestión de incidentes.

Cuando yo Sombrero blanco pasan a formar parte de una organización, forman un equipo rojo. Estudian y se documentan continuamente. Siempre tienen que estar un paso por delante de todos porque en dominio cibernético terminar segundo es lo mismo que terminar último. Para ello, desarrollan procedimientos dinámicos y flexibles. Tienen una cadena de mando y control muy corta para evitar que sus secretos lleguen a quienes no deben saberlo.

Pero esto se abre a un gran riesgo. Juvenal preguntaría "Quis custodiet ipsos custodes?" o "¿Quién controla a los controladores?La respuesta sería compleja pero a un niño se la explicamos simple.9. Nadie puede hacerlo10. Entonces, el equipo rojo debe tener niveles indiscutibles de moralidad y gozar de la máxima confianza de la cima.

Para posponer un poco más el momento en que se apaga la luz, nuestros nietos inevitablemente nos harán otra pregunta: "Tatarabuelo, ¿cómo te conviertes en un sombrero blanco?"

Hablaremos de una leyenda que cuenta sombrero negro que dejan el lado oscuro para volver a la luz pero esto, quizás, fue posible al principio. Hoy nadie autoriza voluntariamente al ladrón autodenominado arrepentido a forzar su propia cerradura y, con la demanda del mercado, la oferta ha comenzado a organizarse para formar profesionales del sector. Con este espíritu los cursos de Hacker ético. El problema es que estas certificaciones se basan en conocimientos semánticos. Un famoso meme dice: “¡Puse 93 cruces de 100 bien! ¡Esto me convierte en un hacker ético! ". Lamento romper un sueño tan hermoso pero no, lamentablemente las cosas son más complicadas que eso.

Desde cuando la seguridad cibernética Ha alcanzado una mayor madurez existen cursos y certificaciones que llevan al aprendizaje de los rudimentos y la evaluación de las habilidades de los profesionales.

La certificación más solicitada es la otorgada por Seguridad ofensiva que, al final del curso desde el molde puramente práctico11 someterse a un examen de 24 horas. Es una especie de juego de robo de banderas. Se practica en un entorno virtual especialmente preparado. En resumen, debe poder eludir las medidas de seguridad de algunas computadoras remotas y leer la cadena de código secreto. Es un examen difícil en el que se demuestran habilidades técnicas y resistencia a la fatiga. Corremos contra el tiempo. Sin embargo, el curso solo da los rudimentos y luego, a partir de ahí, hay que golpearse la cabeza y encontrar la solución de los rompecabezas. Su lema es "esforzarse más" o "esforzarse más". La filosofía es que hay de todo en internet, solo necesitas saber encontrar la solución al problema.12. Este es el enfoque de "hacer para entender".

De una idea completamente opuesta, "entender por hacer", los cursos de SIN (Certificaciones GIAC) y la eLearnSecurity. Pero las similitudes entre las dos últimas empresas terminan ahí. Los cursos de la SIN13 son más tradicionales. Están estructurados en dos fases, una frontal en presencia y otra basada en manuales. ELearnSecurity, por otro lado, solo está en línea. Primero aprendes la teoría a través de miles de diapositivas que contienen un par de conceptos cada una, luego ves los videos de quienes trabajan con las herramientas descritas y finalmente se realizan los talleres prácticos. En caso de dificultad existen foros internos para buscar o pedir respuestas.

Al hacerlo, se construye un trasfondo cultural que se traduce en un método de trabajo. Es cierto que hay de todo en internet pero también hay todo lo contrario y si no conoces las mejores herramientas y las mejores prácticas, cualquiera puede perderse en la nube.

En su intento de acompañar a los alumnos en sus elecciones, el eLearnSecurity aconseja dei Rutas de entrenamiento, o cursos de formación que permitan a los profesionales del la seguridad cibernética para alcanzar una cierta madurez. Las vías propuestas van desde la defensa corporativa y la respuesta a incidentes (Equipo azul), al HNI e Pentester de aplicaciones web14 (Equipo rojo).

“Siendo Caperucita enamorada del color 'rojo', decidió que el primer curso que tomaría sería el Estudiante de Prueba de Penetración. Después de leer y releer todo el material, decidió comprar los laboratorios y el examen para probar y certificar las habilidades adquiridas ".

No es un curso fácil pero puede ser seguido y aprobado por cualquier persona que quiera comprometerse durante unos meses, ver videos y tutoriales, prueba talleres educativos. El examen se lleva a cabo en un entorno realista y dura tres días, es elemental pero no obvio, desafiante pero no frustrante. Vamos con prisa pero sin prisa. Debe encontrarse una manera de violar una servidor web mal configurado y use esta "puerta" para acceder al área privada. Una vez dentro del perímetro, encuentre vulnerabilidades y extraiga datos confidenciales.

Había sido una alumna diligente y, gracias a los muchos apuntes tomados, el conocimiento de la teoría y la competencia dada por las pruebas en los laboratorios, Caperucita Roja había obtenido su primera certificación de prestigio: se había convertido en eJPT, o "eLearnSecurity Junior Penetration Tester". .

Siendo que el mundo laboral del la seguridad cibernética tiene más hambre que el lobo, a los pocos días empezó a recibir ofertas y encontró trabajo. Había experimentado las actividades de OSINT15, se sentía como una agente de contrainteligencia16, había encontrado información sensible que, sin el permiso de sus clientes, había sido robada. Había probado sistemas y redes en busca de fallas y vulnerabilidades. Los había denunciado a colegas del equipo azul que habían tomado medidas para hacer más sólida su porción del mundo virtual. Con la experiencia ganada de joven pirata informático del Equipo rojo (y un gran deseo de involucrarse), estaba lista para comenzar nuevos desafíos y emprender el proceso eCPPT y convertirse en una Probador de penetración profesional certificado. Allí aprendería nuevas técnicas y alcanzaría nuevas metas que le permitirán algún día adquirir la certificación de Probador de penetración eXtreme17.

Entonces un día Caperucita Roja se dio cuenta de que había crecido, se casó con un pirata informático arrepentidos y juntos tuvieron muchos hijos ... y todos vivieron felices para siempre.

Pero ahora es tarde, así que a dormir mi querido sobrino ...

1 Esta distinción es muy común, pero los operadores del sector la consideran superficial.

2 Aún no ha ocurrido tal incidente.

3 Muchos medios de comunicación han estado informando sobre esto durante años.

4 Equipo de respuesta de emergencia informática.

5 Es una simplificación, las tareas de Equipo azul son innumerables.

6 Por ejemplo SIEM, Información de seguridad y gestión de eventos: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.

7 Fase de endurecimiento: idealmente, el código de programación debe estar libre de vulnerabilidades (ej. desbordamiento de búfer) y los sistemas de red deben incluir herramientas de protección (por ejemplo, cortafuegos, políticas, etc.). Desafortunadamente, por razones de rentabilidad y funcionalidad, siempre se debe aceptar una cierta cantidad de riesgo.

8 La criptografía es una rama bastante compleja de las matemáticas teóricas. La seguridad depende de muchos factores heterogéneos. El secreto perfecto existe, pero es inaplicable en un contexto real, por lo que se debe aceptar una cierta cantidad de riesgo que los matemáticos saben calcular. Desarrollar sus propios códigos criptográficos es peligroso pero bastante común entre los criptógrafos en ciernes, los piratas informáticos saben cómo explotar estos defectos. Para obtener más información, consulte "Jonathan Katz, Yehuda Lindell - Introducción a la criptografía moderna_ Principios y protocolos-Chapman y Hall".

9 La ciencia del derecho aplicada a las tecnologías de la información y especializada en ciber.

10 Aquí también se hace una simplificación, el equipo rojo actúa bajo un contrato muy preciso que define los límites de manera oportuna. Exceder estos límites puede tener consecuencias civiles y fuertes sanciones penales.

11 PWK: pruebas de penetración con Kali Linux.

12 Se tomó como ejemplo la primera de las certificaciones Seguridad ofensiva, es decir, el OSCP (Offensive Security Certificated Professional). La oferta de esta prestigiosa empresa se enriquece con otros cursos aún más valiosos y difíciles todos orientados al entrenamiento ofensivo, es decir equipo rojo.

13 El SANS ofrece cursos de prestigio, pero con un coste muy elevado, en todos los campos de la ciberseguridad.

14 PRUEBA DE PENetración.

15 INTelligence de código abierto.

16 Sobre el tema, consulte mi artículo anterior: “mi nombre es seguridad, ciberseguridad. Google Hacking y Shodan: la inteligencia que no esperas ”.

17 Se requieren las siguientes aclaraciones:

  • Ninguna certificación en sí misma prueba la capacidad del operador de ciberseguridad, el camino del probador de penetración se basa principalmente en la experiencia de campo;
  • Hay cursos de formación tan válidos como los descritos; la historia se basa en la experiencia personal del autor y no tiene valor científico;
  • El propósito del artículo no es publicitario y no existe vínculo entre el autor, el editor y las empresas que imparten cursos y certificaciones.