25 julio 2014

De 0 a profesional de la seguridad en 2 meses

Es algo sistémico: siempre llegan al buzón de correo muchas preguntas relacionadas a cómo empezar en el mundo de la seguridad para dar el paso a la parte profesional.

En muchas ocasiones son estudiantes, gente que está cursando ingenierías tecnológicas, y también hay un nutrido grupo de personas que trabajan en informática (desarrollo / sys admin) que les apetece iniciarse en este apasionante mundo, con la esperanza de convertirlo en su profesión.

Sin duda hay mucha información en internet, muchos blogs, tutoriales, recursos, cursos y libros. Cada uno puede iniciarse como más se ajuste a su forma de mejorar sus 'skills', pero a mi particularmente me gusta seguir un método basado en libros. Creo que es el pilar sobre el que debería sustentarse toda formación. Un libro siempre va a estar ahí, es 'consultable' y se puede leer en modo diagonal (para luego incidir en temas específicos) o leerlo letra-por-letra.

Dado que Chema, a través de la editorial 0xWord, ofrece un montón de interesantes packs de libros, me voy a tirar al ruedo y voy a crear mi propio pack llamado: De 0 a profesional de la seguridad en 2 meses

Ahora que es verano y que a la gente le suele sobrar tiempo, es el momento ideal de aprovechar estos calurosos meses para dar un giro al expediente profesional. Asumiendo el criterio de 1 libro x 1 semana. 8 libros = 8 semanas = 2 meses

Los libros que he seleccionado son bajo criterio personal, los habrá mejores, los habrá distintos, incluso el orden puede variar según gustos, pero, esta es mi elección:

La base: Mucha gente cae una y otra vez en el error de empezar por libros de hacking e intentar dar el 'super salto' de la nada a un libro que hable de SQLI o exploiting. En mi humilde opinión es un fallo, aquí aplica el famoso 'dal cela pulil cela', antes de llegar a lo divertido, conviene tener una formación de base sobre seguridad en sistemas operativos lo más extensa posible. Antes de romper: saber como está fortificado.


Para mi, el mejor libro sobre seguridad en Windows, todos los resortes, mecanismos y el conocimiento necesario sobre cómo funciona un sistema Windows

Una vez estés harto de claves de registro, políticas de seguridad y ventanas, tu siguiente paso es cambiar todo eso por la línea de comandos, una shell y dominar al indómito Linux


¿Te han gustado los sistemas operativos? Todavía te falta un paso más antes de saltar al pentesting: Las redes. Es asombroso la cantidad de personas que llegan a adquirir un nivel muy respetable en pentesting que luego flaquean mucho en temas de red. Por eso, es importante entender cómo funciona IPV4 y el que se presupone será su descendiente IPV6


Momento de empezar a sacar partido a los conocimientos que has adquirido y empezar a conocer herramientas para saber encontrar vulnerabilidades y explotarlas. Relájate, no es necesario que este libro lo termines en una semana, puedes dedicarle un poco más de tiempo. Lo merece


El libro con el que, sin duda, más te vas a divertir. ¿El motivo? básicamente que hoy día hay miles y miles de sitios con este tipo de vulnerabilidades, apuesta a que en tu futura actividad profesional vas a rellenar mil informes con este tipo de vulnerabilidades.


Una vez hayas terminado este libro, sentirás que se te han desbloqueado un montón de conocimientos que, hasta ese momento, pensabas que estaban reservados a un selecto grupo de personas. Ojo ! este libro requiere poner los 5 sentidos.


En este punto deberías tener un conocimiento técnico muy elevado, conoces y dominas la forma en la que un sistema puede ser vulnerable, tanto a nivel Web como a nivel interno. Has usado un buen número de herramientas, pero ... como dice el anuncio: la potencia sin control no sirve de NADA. Y esto es 100% cierto en el mundo profesional. De nada vale tener un ninja si luego no es capaz de tener método y saber ser ordenado mentalmente para rematar un buen trabajo. Este libro te aportará orden mental y formas de presentar tu trabajo con estilo profesional.


Por último, pero no por ello menos importante, creo que es de alta relevancia que un buen profesional de la seguridad adquiera conocimientos de informática forense. Es una disciplina muy 'CSI', en la que se puede desarrollar un alto grado de creatividad.

20 comments :

goreman dijo...

Buena recopilación! Yo personalmente cambiaría el de "Pentesting con Kali" (puesto que el ámbito que abarca es muy general) y pondría el de "Metasploit para Pentesters 2° edición".
Por otro lado quiero destacar que soy fan incondicional de 0xWord, para mí, en el campo de Seguridad informática, sin duda alguna son los mejores.

Un saludo desde Alemanía.

Adrián Gil dijo...

Gran recolección. Hace un tiempo compre dos a 0xword y son libros geniales. Una pena que estos libros tan buenos no se puedan comprar en formato digital.

deadlock dijo...

Interesante artículo, pero no está a escala. Por no hablar de que nada más puedes pegarte 3 o 4 investigando/creando reglas de iptables o snort.

Saludos

ckanquerys dijo...

Aunque la recopilación de libros me ha parecido bastante buena, creo que el título del post es totalmente inadecuado. No se puede llamar "profesional de la seguridad informática" a alguien que leído 8 libros sobre el tema. Se necesitan muchos más libros para ser un profesional de la seguridad. Además de estos libros, se necesita muchísima práctica. Todo ello implica mucho más de dos meses. Incluso años.

Jask dijo...

Estoy contigo. Me gustaría tenerlo en formato digital.


Un saludo

juanito dijo...

Esta entrada es por promocionar eGarante?..... sniffffffffffffffffffffffffffffffffffffff :)

Yago Jesus dijo...

No estoy de acuerdo y creo que es un error bastante común ver las cosas así. Un profesional es alguien cuya actividad laboral está relacionada con un tema en concreto. En el mundo laboral hay muchas pero que muchas escalas, hay personas 'senior' que aportan decenas de años de experiencia y los hay 'Juniors' que es gente con un conocimiento base que necesitan extender a lo largo del tiempo. Todos son profesionales. No caigamos en el error de pensar que un profesional es un tipo con 15 años de experiencia y que otro recién aterrizado no lo es.

/home/tmp/ dijo...

Uno no se convierte en Junior leyendo 8 libros tampoco. Yo puedo ser la persona mas erudita de la seguridad de la información, pero si uno no aprende a pensar holísticamente no sirve de nada. Leer es fundamental, pero algo mas fundamental es la practica a mi parecer.

Sin ánimos de ofender pero parece un post para promocionar libros del Chema, con un titulo pomposo al frente. Hay una infinidad de material y encerrarse en un solo autor me parece absurdo y poco objetivo.

Yago Jesus dijo...

Si partes de la base de arrogarte el derecho y el poder de determinar que es o no es un profesional, entonces fin de la discusión. Como he dicho hay muchos perfiles profesionales, algunos sin experiencia que requieren solo formación. Para que la gente pueda darte o quitarte autoridad moral, bien harías en indicar quien eres y que has hecho profesionalmente

PD: No hablo de un solo autor, sino de un montón de excelentes profesionales que han plasmado su conocimiento en libros.

ygallardo dijo...

Y para los que estamos del otro lado del charco (America), alguna recomendación o similares de compra online?

/home/tmp dijo...

Perdón si soné arrogante, no era mi intención.

Prefiero reservar mi identidad, trabajo como consultor hace 5 años y es un hobbie de toda la vida que comenzó a los 10 años. Incluso luego de 5 años me creo un amateur para muchas cosas y profesional para otras.

No me parece un buen camino para empezar. En mi caso particular aprendí 60% haciendo y 40% leyendo, reitero en MI caso que tal vez no sea el mejor para todos.

Un cordial saludo.

Yago Jesus dijo...

Me parece bien tu planteamiento, en mi caso, creo para un perfil Junior lo que se exige es pasión, voluntad y capacidad de asimilar. Yo creo que una persona que consiga leer y practicar en 2 meses esos libros se convierte automáticamente en un perfil MUY atractivo para ficharlo, principalmente porque demuestra ganas y que en poco tiempo va a adquirir el plus que le falta

Mink dijo...

Excelente articulo...es increíble que lo que realmente les molestas a aquellas personas que reclaman...es que otros también obtengan valioso conocimiento con estos libros..he intentan disfrazarlo con la discusión del profesionalismo y que además estoy totalmente de acuerdo con la postura de Yago. saludos!

Gerardo Ariel Ramírez dijo...

Del otro lado del charco también puedes conseguir estos libros, En http://0xword.com/es/ tienes los distribuidores en América.

Y estoy con /home/tmp/, parece mas un anuncio que un artículo, sobretodo porque tengo a Chema Alonso en el FB que puso el link y fue por el que llegué aquí.
Pero bueno, ayer me compré Hardening de servidores GNU/Linux y es el primero de los 11 que tengo en lista, así que si vamos al caso, conmigo funcionó la publi, jejeje. Pero me parecen unos libros muy apetecibles.
Ahora de eso a convertirme en un hacker de la noche a la mañana, no me lo creo, creo que la gente que está metida en este mundo es mas vocación que otra cosa y eso no te lo da un libro, ni ocho, y me arriesgaría a decir que ni siquiera te lo da una carrera.

mario dijo...

Buenas tardes. Yo no me dedico a estos temas, aunque informático me muevo dentro drl ambito de gestión y diseno de programas. Pero personalmente siempre me ha atraido la seguridad informática. Pienso dedicar algo de tiempo a esos libros aunque sinceramente pienso que antes me interesaria tener conocimientos mas amplios en bases de datos y scripts. Podrian recomendarme algun libro para empezar con estos temas mas básicos o creeos que es mejor empezar por los recomendados. Gracias.

Yago Jesus dijo...

A ver, te pido por favor que no tergiverses mis palabras. Yo no he dicho que te vayas a convertir en un hacker, de hecho, en todo el artículo me he cuidado muy mucho de no crear falsas expectativas. Lo que digo es que en esos libros está el conocimiento para que puedas hacer el paso a un mundo profesional. No estoy diciendo que tras leerlos vas a ser el mejor profesional o que vas a poder pedir un sueldo de varias decenas de miles de dólares. Es la llave que abre la puerta, lo que luego avances queda en ti, en tu talento y tu capacidad

juanitourquiza dijo...

Si huebira en formato digital en 10 minutos tendrias esta coleccion y no habria que esperar tanto ya que el no conseguir un libro rapidamente puede desviar tu entusiasmo a otra lectura.

Kaiser_XXI dijo...

Interesante colección de libros.

En cuanto al contenido y practica de los mismos, y ya que veo muchas personas metidas en el mundo de la seguridad informática. Quisiera que me digan.

¿Que lenguaje de programación y mejor conocer y es más utilizado en el área de la seguridad informática?

Gracias.

Peter dijo...

No se que tal seran los demas libros, pero el último libro lo tengo yo, lo compre pensando que me ayudaria para un trabajo de análisis forense para mi asignatura de seguridad en el ciclo superior de ASIR. Debo decir que me decepciono y no me sirvió de mucho.

Ferbetta dijo...

Una lastima que viva en Argentina, y no pueda conseguir los libros de 0xWord. Aunque me gustaria mucho tener esos libros en mis manos, y ademas estoy estudiando seguridad informatica, pero me frena muchisimo sin esos materiales que tanto quiero. Si alguien me ayudaria o alguien en Argentina haya comprado los libros, les agradezco! Una pena lo mio y suerte los que pueden comprar libros. Hace 2 semanas buscando libros de 0xWord, y nada, contacte los distribuidores de Argentina y no me respondieron.
Pero bueno, suerte para los futuros especialistas o profesionales! Hasta luego!