¿Donde estudiar hacking?

Publicado en 'Seguridad Informática' por aLexei.net, 25 Jul 2016.





  1. aLexei.net

    aLexei.net Miembro frecuente

    Registro:
    11 Jun 2009
    Mensajes:
    88
    Likes:
    16




    Me amino a escribir en este foro, para despejar algunas dudas de personas interesadas en el tema, espero poder ayudarlos con respuestas concretas.
    Pero antes tenemos que separar algunos conceptos y responder algunas preguntas clásicas:


    ¿Donde debo estudiar para ser un hacker?
    No existe alguna academia o centro de estudios que te preparen para serlo, como siempre he repetido, 4 cosas importantes: persistencia, curiosidad, disciplina y ser autodidacta al %99.999, si no tienes esas cualidades dedicate a otra cosa.
    ¿Entonces no debo estudiar nada profesional?
    Pues no, es muy importante afianzar tus conocimientos con bases, tener alguna carrera a fin, el cual te pueda ayudar a entender criterios básicos de la informática.
    ¿Que carreras?
    Quizas las carreras mas relacionadas son ingeniera informática y ciencias de la computación, pero tampoco estudiar estas carreras te garantizan que realmente tengas buenos fundamentos, ya que depende realmente tu disposición a aplicar, practicar y por consecuencia llegar a entender ciertos criterios elementales, por otro lado también existen carreras técnicas que tienen mallas bien estructuradas que te dan alcance a conocimientos “básicos” de informática.

    ¿Que debo conocer ?

    La verdad esta pregunta puede ser muy compleja, ya que el denominativo de “hacker” no solo se centra en ser un programador y menos uno bueno, ser hacker realmente puede ser dominar algún sistema que tenga alguna lógica o mecanismo de funcionamiento sea física o digital de ahi la proveniencia en su terminología.

    ¿Físico o digital?

    Terminologías como Loopicking o red and blue team, seguridad física etc, te puedan ayudar a entender, búscalas en google.

    ¿Entonces no debo ser programador?

    Si en parte, pero eso no quita a poder “entender la lógica de los algoritmos”, ya sea en programación basado en objetos o en algo tan crudo como el assembler y sobre todo tener “el perfil de un desarrollador”.

    ¿Que deseo ser?

    Si quieres realmente verlo desde perfil PROFESIONAL, acá debo aclarar antes algunas cosas:
    Preguntas clásicas de los “Script-kiddies o niños ratas” : ¿como hackeo el facebook?¿como hackeo el correo?¿como entro al wifi del vecino?

    Preguntas o afirmaciones de un delincuente informático:”¿Donde encuentro base de datos de tal sitio?”, ¿alguien que me hackee tal cuenta ...?, desde el perfil atacante(delicuente medio profesional):¡Quiero adquirir servicios para una botnet!, Necesito algún crypter o stuff para mi malware, ¿encoders para tal entrada en raw de mi BO? ¿Como hago un reversing a tal o cual infraestructura?etc.
    Preguntas de researcher o investigador:”problemas con el error … en mi Line code ...”, ¿Problemas con la modificación del exploit …..? ¿Como realizar un analisis dinamico o estatico a tal malware? etc

    Preguntas de alguien que pretende ser profesional: ¿Donde encuentro una metodologías para realizar un pentesting?¿Que certificaciones necesito?¿Si llevo un curso de hacking etico de que me debo asegurar?

    Sujetándome a la ultima pregunta:

    ¿Si quiero ser profesional EH, que certificaciones debo tener?
    En Peru y gran parte de latinoamerica solo pesan las siguientes certificaciones: mile2 http://mile2.com/ , las de eccouncil https://www.eccouncil.org/ , las de Sans institute https://www.sans.org/course/network-penetration-testing-ethical-hacking y las de OF https://www.offensive-security.com/...cp-offensive-security-certified-professional/ , NO MAS.

    Certificaciones como ITIL, COBIT, ISC2(CISSP), ISACA(CISA,CISM etc), auditor ISO 27001 u los otros modelos de EVALUACION DE SEGURIDAD DE LA INFORMACION, solo sirven como métricas y son destinados a ser auditores en gestión y administracion(los de saco y corbata que les gusta redactar o discutir horas de horas , si tal política de seguridad llego a mitigar el riesgo X).
    ¿Si deseo ser profesional EH, donde puedo estudiar?

    Ya basado en la anterior pregunta, mi primera mirada seria en el docente:
    1)Que tenga las certificaciones validas en el tema, en el Peru, existe tanto charlatan de saco y corbata.

    2)Que tenga experiencia laboral en “pentesting” , son pocas las empresas peruanas que se dedican a este rubro así que por ahi quizás sea difícil, alguna mirada al linkedin les pueda dar una pequeña ayuda.

    3)Que haya sido expositor en eventos nacionales e internacionales de HACKING, algunos eventos en Peru importantes: Peruhack, Limahack(extinto), Inkahack(nuevo pero creo que los organizadores han tenido buena disposición), owasp chapter peru , de ahí sinceramente técnicos técnicos, no existen mas.

    En eventos internacionales en america, Ekoparty, Campus Party, Besides international, Dragonjar(por los años)

    Eventos internacional(top): defcon, Blackhack, rootcon
    Y que la instucion que lo auspicia no sea “leticia” o “el ejercito peruano”, que están mas perdidos que la divindat.

    ¿Si me certifico en CEH y CPTE, ya soy un hacker?
    No, en ambas certificaciones el examen son un conjunto de preguntas, que las encuentras en internet y crees que resolviendo preguntas puedes ser un hacker( vuelve a mi primera pregunta/respuesta).
    Para mi la mas cercaba a un ámbito real de hacking es la OSCP (los mismos creadores de backtrack y kali), 5 servidores en tal o cual red o subred, hackealos, excelente examen, como debe ser 100% practico y con cierto nivel de complejidad.

    Algunos consejos finales(sacados de un blog bastante bueno):

    1. Debes aprender Linux, no puedes ser hacker usando solo MS Windows, no seas payaso!

    2. Debes aprender Ingles, al menos, de lo contrario, como diablos siquiera leerás un readme ?! Menos pensar en modificar la tool o crear una.

    3. Debes tener perfil de desarrollador para llegar a un nivel alto, de lo contrario, estarás limitado a ser un buen profesional (osea, hoy haces hacking, mañana instalas un firewall, pasado eres un gerente sin memoria técnica).

    4. Debes leer mucho.

    5. Debes investigar mucho.

    6. No debes tener horario de oficina.

    7. Penetrar no es meterse a un server, es meterse a todos los que puedas incluido el que esta apagado! (medio broma, fácil es un server con wake-on-lan).

    8. Debes saber mas que tus toolz.

    9. Tus toolz son necesarias, aprende a usarlas bien, cuidalas, quieralas, mejoralas, mandalas al asilo cuando creas que ya son viejas (algún día las podrás recoger para darles un paseito).

    10. Aceptalo: tendrás que trabajar en equipo!
     
    A Enzorro y Znorux les gustó este mensaje.


  2. Natsu

    Natsu Miembro de bronce

    Registro:
    6 Abr 2015
    Mensajes:
    2,220
    Likes:
    403
    Me gustó la redacción y el contenido.
     
  3. ZyzzBrah

    ZyzzBrah Miembro maestro

    Registro:
    9 May 2014
    Mensajes:
    566
    Likes:
    120
    bacan !
     
  4. OffLine

    OffLine Miembro de plata

    Registro:
    2 May 2013
    Mensajes:
    3,344
    Likes:
    1,099
    en el IPH
     
  5. kardialuka

    kardialuka Miembro nuevo

    Registro:
    11 Jul 2016
    Mensajes:
    31
    Likes:
    1
    con todo lo que has dicho ya me gradué de hacking
     
    A OSUM2010 le gustó este mensaje.
  6. killer3

    killer3 Miembro maestro

    Registro:
    30 Abr 2016
    Mensajes:
    383
    Likes:
    37
    informática forense (?) :mmm:
     
    A Joshua Tree le gustó este mensaje.
  7. aLexei.net

    aLexei.net Miembro frecuente

    Registro:
    11 Jun 2009
    Mensajes:
    88
    Likes:
    16
    El tema se centra en perfil profesional de un pentester (penetration testing), simulación de un atacante.
    Ahora si estas interesado con la advertencia que en Peru no hay mercado, te aconsejo los cursos solo forenses en:
    https://www.securizame.com/
    Las razones, una empresa con mas de 10 años y que trabaja con la unidad policial de inteligencia informatica en España en temas de analisis forense, Lorenzo martines me parece un buen profesional en el tema.
    Algo anecdotico, los de la divindat me parecen buenos analistas en informática forense, por eso los han hackeado mas de 3 veces.
     
  8. gatitoblack

    gatitoblack Miembro maestro

    Registro:
    31 Oct 2014
    Mensajes:
    923
    Likes:
    230
    en univercidac national de jaqers :v
     
  9. SoportePc

    SoportePc Miembro de oro

    Registro:
    28 Abr 2011
    Mensajes:
    5,325
    Likes:
    562
    aqui hay varios k hemos hecho hacking y hacemos sin un curriCULAZO
     
    A OSUM2010 le gustó este mensaje.
  10. batou

    batou Miembro frecuente

    Registro:
    8 Set 2014
    Mensajes:
    99
    Likes:
    31
    El tema de las certificaciones es bastante discriminador.

    Para sacar los certificados tienes que pagar el curso que viene con el examen o si no tienes que haber trabajado más de 1 año en un puesto relacionado a la seguridad, sin contar con el costo del examen que es bastante caro.

    Tampoco es que sepa mucho, pero esas cosas tampoco incentivan mucho :/

    Saludos.
     
  11. Joshua Tree

    Joshua Tree Miembro de bronce

    Registro:
    5 Jun 2014
    Mensajes:
    1,618
    Likes:
    231
    Le falta redacción: tiene errores.
    Adiciono: tener lógica y conocer de Matemáticas.
     
    A OSUM2010 le gustó este mensaje.
  12. Natsu

    Natsu Miembro de bronce

    Registro:
    6 Abr 2015
    Mensajes:
    2,220
    Likes:
    403
    Algo así como las tildes que faltaron, pero sin duda fue mucho mejor que lo que se suele ver por acá.
     
  13. OSUM2010

    OSUM2010 Miembro de bronce

    Registro:
    31 Ago 2010
    Mensajes:
    1,769
    Likes:
    215
    Y pa que quieres ser hacker??
     
  14. aLexei.net

    aLexei.net Miembro frecuente

    Registro:
    11 Jun 2009
    Mensajes:
    88
    Likes:
    16
    Algunas precisiones que por temas de tiempo y el redactor no son coherentes
    es "blackhat" no blackhack
    "crypters & packers " no stuff
    researcher: ¿Como hago un reversing a tal o cual infraestructura?
    Saludos.
     
    A CarLoStyLe le gustó este mensaje.