Old School Karate

Ahora que tenemos nuevos episodios de Cobra Kai no puedo evitar recordar mi experiencia con el Karate y cómo viví en aquel momento la película The Karate Kid, con el paso del tiempo hago una lectura totalmente distinta de la película. Todos recordamos esa película con Daniel San haciendo la postura de la grulla en la final del campeonato, pero esa no es la historia ......

Y es que lo primero que hace el maestro Miyagi cuando un pobre niño, que sufre acoso escolar le pide ayuda para defenderse, no es  ponerle el traje de karate, es ponerlo a trabajar.....

 

Y luego lo pone a trabajar, un poquito más, y después le da algo más de trabajo, y esto se llama Cultura del esfuerzo, es tan básico, que sin esa capacidad no se consigue nada, en ningún aspecto de la vida, y si has hecho artes marciales, sabes de que te estoy hablando.....

 

 

En este proceso de aprendizaje, es muy interesante ver cómo Daniel San, piensa que esta realizando un enorme esfuerzo, y Miyagi le da "mucho más trabajo" la mítica frase: "Toda la Cerca....." donde le hace pintar un enorme vallado, eso hace que aumente tu capacidad de trabajo, de esfuerzo, y ese aprendizaje en un regalo muy bueno. Cuando creemos que no podemos hacer y hacemos un poquito más, eso se convierte en un motor de evolución personal increíble, para cualquier desafío de la vida....

 

Y al final, el alumno no solo aprende  Karate, aprende Karate-Do, porque Do significa "El Camino" y la cultura del esfuerzo, la enseñanza de no rendirse, superar tus limites y conseguir terminar el trabajo, un trabajo bien hecho es una de las mejores recompensas de la vida, es algo que te hace crecer, que te hace sentir orgullo y te da felicidad porque sabes que es el resultado de un trabajo honesto.  

Este video muestra de lo que estoy hablando, cómo el alumno entiende, que el trabajo duro, el trabajo honesto, da buenos resultados, de eso va The Karate Kid

Y qué tiene que ver todo esto con la seguridad informática y el hacking, pues todo y nada, porque al final el espíritu del hacker no es "romper todo" es "saber todo", estudiar cómo funciona algo, un protocolo, un dispositivo, el comportamiento humano, y llevar ese estudio a su máxima expresión, a un conocimiento profundo adquirido por un trabajo duro y constante a lo largo del tiempo y eso es lo que hace te convierte en un buen profesional, en un verdadero hacker.... y lo demás son tonterías.

Hace muchos años hice Karate-Do, enseñe Karate-Do, pero es solo mi opinión, igual son tonterías de uno que ya va para viejo, así que disfrutar de la serie de Cobra Kai y no me hagáis mucho caso, o sí.

Seguridad a lo Jabalí para Todos!!

 

Curso de Seguridad Informatica Ofensiva en Hack by Security

 La Ciberseguridad o Seguridad Informática, se está convirtiendo en un pilar principal y necesario en multitud de puestos de trabajo, tanto técnicos, desarrolladores, administradores de sistemas, pentesters, … y esto afecta a gran cantidad de empresas independientemente de a qué se dediquen, si tienen alguna conexión con internet o página web, pueden ser atacados por Ciberdelincuentes, y, para prevenir este tipo de ataques, debemos estar preparados.

 

El Curso de Seguridad Informática Ofensiva, por sus siglas CSIO que impartimos en HBS Hacking Academy, es una formación orientada al aprendizaje del Ethical Hacking, no solo de las bases, si no de técnicas complejas y actuales mediante las cuales podrás realizar auditorías técnicas basadas en Pentesting.

 

Este curso tiene un temario completo donde se ven todas las fases de un Pentesting, desde la fase inicial donde se realiza un reconocimiento del objetivo a la final donde se realizan tareas de post-explotación, pasando por las fases de análisis de vulnerabilidades y explotación de las mismas

 

Además, incluye 2 cursos iniciales de programación, uno en Bash y otro en Python, que te servirán para adquirir los conocimientos necesarios para crear tus propios scripts y automatizar tareas o a leer código que se ejecute en aplicaciones.

 

Todo esto siempre tutorizado por un equipo docente experto en hacking ético que responderá a tus preguntas y te irá corrigiendo los ejercicios propuestos en cada tema, dichos ejercicios son siempre prácticos, basados en escenarios Windows y Linux en los que podrás practicar las técnicas aprendidas de manera controlada y sin ningún riesgo; además hemos incluido escenarios de tipo CTF con retos en los cuales tendrás que conseguir capturar una o varias banderas que podrán a prueba tus habilidades como hacker.

 

Por si no fuera poco, dentro del curso asistirás a Masterclass online en directo dictadas por Pablo González, donde se verán temas como bypass de AMSI en Windows entre otros.

 

¿Qué te quedas con dudas o necesitas una guía o luz que te facilite el camino? No hay problema, porque también dentro del contenido del curso se incluye una semana de mentorización en una sala privada de MyPublicInbox donde podrás hablar de tú a tú con Pablo González, que te podrá resolver dudas y ayudarte en tu progresión dentro de la ciberseguridad.

 

Y, para terminar, incluido en el curso, obtienes el libro de 0xWord “Metasploit para Pentesters” escrito por Pablo González y Chema Alonso, el cual te servirá para profundizar en algunos puntos del temario o complementarlos así como poder adquirir el VBOOK (Video Libro) “Ethical Hacking”, Tempos de MyPublicInbox que te permitirán hablar con perfiles públicos reconocidos en multitud de ámbitos, tanto tecnológico (Chema Alonso, Kevin Mitnick) como deportivos (Iker Casillas, Rudy Fernandez, …) como otros muchos; de esta manera la formación se convierte en un aprendizaje de primer nivel, donde conocerás conceptos y técnicas de hacking que te ayudarán a progresar en tu carrera hacia puestos de trabajo en Ciberseguridad.

 

En Hack by Security siempre os traemos formación y servicios adaptados a la necesidad real que tengáis, y por ello es que iremos desarrollando diversas entradas para que podáis conocer más de cerca a todo el equipo que formamos esta gran familia.

 

 

Experto en CiberSeguridad

Hace unos cuantos años que estoy con temas de seguridad informática y hacking, no soy ni mucho menos, un pionero en este campo, todo lo contrario, me considero muy afortunado de haber comenzado a estudiar temas de seguridad y hacking en un momento en el que investigadores, y grandes profesionales de estas materias compartían en blogs y redes sociales sus conocimientos, investigaciones y también sus dudas.

Hace de todo esto, más de 12 años y todavía se tardaría en escuchar el término "Ciber" unos cuantos años; En este tiempo en el que la seguridad y la tecnología se ha difundido tanto y cada vez esta más integrada en nuestra vida cotidiana, han ido surgiendo varios términos sin otro propósito que validar el perfil profesional de alguien o justificar un evento o una organización.

Experto: Este término define una persona con muchos conocimientos en una determinada materia, pero no se puede ser experto, como profesión, en caso contrario, que alguien me indique donde se estudia, título oficial, grado académico, etc. Personalmente es una palabra que siempre me ha impuesto mucho respeto, hay que ser muy bueno y tener una carrera profesional muy dilatada para aceptar esa medalla.

Hacker: Lo mismo sucede con la palabra, hacker (Jáquer, en Español), no se puede ser hacker profesional, no hay ningún ciclo formativo, carrera universitaria o máster con esa denominación, entre la comunidad de apasionados sobre el tema, el apelativo de hacker era muy respetado y no estaba bien visto autodenominarse hacker sin habértelo ganado, normalmente eran otros compañeros los que se referían a ti con esa distinción.

Pero cuando la seguridad informática empezó a profesionalizarse (monetizarse), entonces empezaron a aparecer en el panorama público, una serie de profesionales que se auto nombraban Hackers en su perfil profesional, algo muy interesante porque al no ser una profesión es un poco ridículo.

El 28 de Marzo del año de Nuestro Señor del 2014, se explicaba nuestro parecer en Seguridad Jabalí: Hacker Definición.

Y aparece el término CiberSeguridad y en Seguridad Informática a lo Jabalí nos subíamos por las paredes, comenzó una proliferación de consultores, empresas, congresos y formaciones en ciberseguridad, por todas partes sonaba el término y lo mejor de todo es que muchos de los profesionales se presentan como Expertos en CiberSeguridad, no solo la palabra experto no debería ser un elemento asociado a una profesión, es que ciberseguridad como tal, no existe en el diccionario.

Un poco de seriedad, por favor, intentemos que la seguridad de la información, la seguridad informática sea una profesión rigurosa, y dejemos que sean otros los que nos premien refiriéndose a nosotros con palabras como Experto o Hacker.

Seguridad a lo Jabalí para Todos!!

Azure Security Center The Cyber Kill Chain

La cadena de eliminación fue creada por Lockheed Martin y se modeló a partir de un marco militar establecido para identificar y atacar objetivos enemigos. Este modelo consta de ocho fases, cada fase tiene asociados diferentes tipos de ataques y se dirige a distintos subsistemas. Están contemplados todos los vectores de ataque, desde inicios de sesión de fuerza bruta a virus y gusanos, representan la actividad en la cadena de eliminación.

Las alertas de Azure Security Center intentan detectar y reconocer comportamientos conocidos en cada fase de la cadena de eliminación y proporcionar al equipo de operaciones de seguridad la oportunidad de detener un ciberataque en curso. Security Center puede proporcionar los detalles necesarios para identificar la filtración y cerrar los sistemas en peligro. La alertas contienen información útil sobre qué ha desencadenado la alerta, los recursos atacados y el origen del ataque. La información incluida en una alerta varía según el tipo de análisis que se use para detectar la amenaza.

 

Las alertas de seguridad recopiladas se ven directamente en Azure Security Center en la página Información general, a través de herramientas de línea de comandos o mediante la API REST. El portal es la forma más fácil de ver las alertas: muestra un gráfico de las alertas actuales, coloreado por el nivel de gravedad: alto, medio o bajo.

Seguridad a lo Jabalí para Todos!!

10010 Contactos en LinkedIn

Las relaciones sociales siempre han sido importantes en el ámbito laboral, mi padre siempre decía que "el trabajo se encontraba en los bares...." las nuevas tecnologías han cambiado totalmente el panorama social, conoces a personas de todo el planeta, puedes compartir experiencias y opiniones, de múltiples formas (chat, video, fotos, etc), en casi cualquier parte del mundo, y esto tenia que terminar teniendo un impacto importante en el tema laboral.

Fomentar una red social para asuntos profesionales tiene un impacto directo en tu perfil como profesional, en los proyectos a los que puedes tener acceso o en las iniciativas en las que podrías participar,  y te guste o no, es importante que, en mayor o menor medida, dediques un poco de tiempo a incentivar tus relaciones sociales en el ámbito laboral.

En mi caso personal dedico cuando dispongo de tiempo, unos minutos a revisar mis redes sociales profesionales, en las que trato de mantener actualizado mi perfil profesional y los proyectos en los que voy colaborando. Ahora cuento con más de 10.000 contactos en LinkedIn y esta red social me proporciona a menudo propuestas para participar en proyectos de diferente ámbito, oportunidades laborales que no conocería si no fuera por este tipo de medios.

En mi opinión es importante utilizar todos los medios a tu alcance para mejorar como profesional y potenciar tus relaciones laborales es un buena forma de hacerlo.

Encuentra mi perfil de LinkedIn en (y si quieres puedes agregarme a tu red profesional): https://www.linkedin.com/in/angel-a-nunez

Seguridad a lo Jabalí para Todos!!

Hacking Vs Hardening

"Es necesario fortificar cientos de elementos para asegurar un sistema, un atacante solo necesita encontrar un error para tomarlo".

En mi caso particular, tengo la suerte de conocer a varios hackers a los que puedo llamar amigos, excelentes profesionales de la seguridad informática con un nivel técnico impresionante en lo que se refiere a conocimientos sobre pentesting o hacking. En algunas ocasiones, cuando publican artículos sobre ciertas vulnerabilidades o técnicas para atacar un servicio, componente del sistema o protocolo determinado suelo preguntar en qué ámbito funciona ese ataque y comentamos si esta o aquella característica del sistema operativo o una configuración determinada, evita o dificulta el ataque.

No siempre, pero en muchos casos, la correcta configuración del sistema y la utilización de las características de seguridad de este permiten mitigar muchos ataques conocidos. Elementos conocidos como UAC el control de cuentas de usuario, en el nivel más alto, o el forzado de DEP pueden dificultar la ejecución de malware, otras características como Credential Guard hacen que sea poco probable un técnica de robo de credenciales basada en protocolos inseguros como NTLMv1, MS-CHAPv2, Digest o CredSSP, con lo que ataques a esos protocolos NO funcionan. 

Otros planteamientos como Privileged Access Management PAM hacen inviable el robo de credenciales con privilegios porque literalmente no se tiene acceso a estas, están en un bosque distinto al del dominio principal y solo se emite un token temporal con los permisos necesarios para gestionar los recursos.

Conocer estas características e implementarlas de forma correcta pueden marcar la diferencia entre el compromiso o no del sistema o el acceso no autorizado a los recursos de una organización.

 

En mi libro Windows Server 2016: Administración, Seguridad y Operaciones disponible en 0xWord también se describen las características y configuraciones de seguridad nuevas en Server 2016. Existen muchas formas de fortificar un sistema informático pero todas pasan por conocer las características del S.O, las aplicaciones y servicios instalados, ademas de configurar todos estos elementos de forma correcta.

Después de fortificar el sistema operativo puedes aprender a atacarlo, y uno de los mejores recursos para aprender es el libro Hacking con Metasploit: Advanced Pentesting de Borja Merino y Pablo González, dos de esos profesionales que puedo llamar amigos y de los que aprendo muchísimo todos los días.

Seguridad a lo Jabalí para Todos!!

Oferta de Trabajo para Hacker Seguridad Informática

La Informática y las Telecomunicaciones son dos de las disciplinas con más demanda de profesionales, los expertos en seguridad informática o Hacking son un bien escaso y obligan a los reclutadores a desarrollar su imaginación en la parte de captación de talento.

Esta oferta de trabajo en el ámbito de la seguridad informática me pareció muy interesante, sobre todo muy original.... ¡Se busca Hacker!!

Así que si estas pensando en formarte en una profesión con futuro, la seguridad informática o el hacking pueden ser una de las mejores opciones laborales....

Seguridad a lo Jabalí para Todos!!

FaceBook Rumores (Parte 21) ¿Avanzamos en seguridad?

En esta sección hablamos generalmente de rumores infundados, noticias falsas y publicaciones que se propagan por las redes sociales donde muchos le dan a compartir sin saber si la noticia que ayudan a difundir es cierta...

En este caso lo que se estaba propagando es el desmentido de una noticia falsa, ¿estamos ante un avance en la utilización de redes sociales? o nos dirigimos a una "guerra de difusión" de noticias, desmentidos y cadenas de información sin contrastar donde lo fácil es dar al botón de publicar.

Seguridad a lo Jabalí para Todos!!

Educa un Hacker, aunque no sea informático

Una de las cuestiones más debatidas últimamente es sobre el tema de la definición de hacker y el buen o mal uso del término. En mi opinión la palabra hacker no define unos conocimientos, ni una profesión, no se trabaja de hacker, nadie te paga por “romper cosas”, lo hace por el informe que permite minimizar riesgos y corregir errores o vulnerabilidades, una profesión sería auditor, analista o investigador.

Entonces el término hacker ¿Qué define?; Creo que es más una actitud, una serie de cualidades o talentos: constancia, inteligencia pero también intuición, pensamiento lateral.

Y estas cualidades son cada vez más necesarias en nuestra sociedad, deberíamos empezar por la educación correcta de los más pequeños en esta línea, aunque no sean informáticos… ver este vídeo puede cambiar tu idea de la educación.

Seguridad a lo Jabalí para Todos!!

Hacker Definición

Investigación, Definición

• La investigación es considerada una actividad humana orientada a la obtención de nuevos conocimientos y su aplicación para la solución a problemas o interrogantes de carácter científico.
• Investigación experimental: Se presenta mediante la manipulación de una variable experimental no comprobada, en condiciones rigurosamente controladas, con el fin de describir de qué modo o por qué causa se produce una situación o acontecimiento particular.

Fuente: Wikipedia

Hacker, Definición 

• Investigador.
• Entusiasta (profesional o no) con un profundo conocimiento sobre el funcionamiento de una o varias tecnologías, que aplica métodos formales y no formales (hacks) para la resolución de un problema.
• El que: En seguridad informática, generar entradas de procesos no esperados o documentados y analizar los resultados obtenidos (inesperados en ocasiones) y los efectos en el comportamiento de ese componente, maquina o sistema. En ocasiones crear, programar o construir los elementos necesarios para generar los estímulos,  y/o analizar los resultados.
• Un hacker es alguien que descubre las debilidades de una computadora o de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado de computadoras y de redes informáticas. 

Fuente: Wikipedia

• Una persona que se deleita en tener una comprensión íntima del funcionamiento interno de un sistema, en particular los ordenadores y las redes informáticas.

RFC1392: Internet Users’ Glossary (Pg. 21)

• Hack Story: Hacker.

El término de Hack tiene su origen en el Massachusetts Institute of Technology (MIT) en los años 60, donde se define como una solución por métodos no formales para la resolución de un problema, aquellos que crean estos hacks se denominan hackers.

Uno de los primeros hacks fue la generación del software que permite utilizar una tarjeta en modo promiscuo, permitiendo el primer sniffer de tráfico de red.

Hacker Ético

En un intento por mejorar la connotación del término hacker se empezó a utilizar la etiqueta Hacker ético, a mi parecer unos de los errores que más han perjudicado la definición de hacker. Al asociar este término a la palabra se asocia que la carencia de ético indica la falta de ética en el termino hacker.

Al igual que hay médicos, policías o abogados que infringen la Ley o utilizan sus conocimientos de forma dañina para otras personas, no se acuña el termino abogado ético o policía ético. No voy a definir las clases de hackers en función de su actividad (black, grey o white) si rompen (crack er) o sus conocimientos (Lammer, script-kiddie o Newbie).

Ética Hacker

Hay mucha controversia en la definición del término ética hacker entendido como una única respuesta correcta, muchas visiones diferentes y varias definiciones…

Hackers: Heroes of the Computer Revolution, enuncia con detalle los principios morales que surgieron en el Laboratorio de Inteligencia Artificial del MIT en los 50, en general y en la informática de los 60. Se resumen en el acceso libre a la información y en que la informática puede mejorar la calidad de vida de las personas.

Steven Levy

Ética Hacker Wikypedia

Ética Hacker Hack Story 

Personalmente solo quiero dejar una última reflexión, muchos denominados hackers han aportado al mundo las investigaciones, conocimientos y tecnología que hoy posibilitan internet, wifi y otras muchas cosas que facilitan tu vida, muchos son los primeros en salir a denunciar, publicar y defender TUS derechos en la red, derechos que no sabías que se estaban vulnerando. Por favor respeta un término al que algunos dedican una vida, su vida. ¿No merecen al menos tu respeto?  

Seguridad a lo Jabalí para Todos!!