20 febrero 2015

Tendencias sobre seguridad (IMHO)


Mucha gente nos envía correos preguntando por nuestra opinión con respecto a qué tecnologías merece la pena apostar, qué titulaciones tienen futuro o simplemente, cual lenguaje de programación es el que ahora 'lo peta'


Estas preguntas son difíciles de responder ya que siempre tienen un componente altamente subjetivo, no obstante hay algunos criterios que sí suelen ser bastante obvios. En esta entrada voy a expresar mi punto de vista.



Dentro de la seguridad, ¿qué áreas están ahora al rojo vivo?


Sube claramente:
  • Respuesta ante incidentes (detección de intrusos, análisis de malware, etc)
  • Análisis forense (Área que no deja de crecer)
  • Reputación Online (búsqueda de información sensible que afecte a una compañía / persona, gestión de 'leaks' ...)

Se mantiene:
  • Pentest y Auditorías (y esto va a seguir en el TOP años y años y años)
  • Hardening / bastionado (No tiene el tirón que tuvo hace algún tiempo, pero sigue siendo apuesta segura)

A la baja:
  • Auditorías 'de papel' (entendiendo por 'papel', LOPD, normativas, etc)
  • Redes (Firewalls, elementos de red, etc)
  • Exploiting / cazador de 0Days (la barrera de entrada actual a nivel técnico es MUY ELEVADA, se requiere profundizar mucho y el sector cuenta con actores muy consolidados. Si te metes en esto y eres un crack, vas a forrarte, pero tu caso será 1 entre 1.000.000)


Si tengo que aprender un lenguaje ¿Cual triunfa actualmente?

Sube claramente:
  • Python (Te guste o no, hoy día todo en seguridad es Python)
Se mantiene:
  • C y C++ (Esto es como el pentest, siempre va a estar arriba ...)
  • Perl (En Europa claramente está en decadencia, pero EEUU sigue contando con una legión de programadores de Perl enfocados a seguridad)
A la baja:
  • PHP (En algún momento estuvo de moda ...)
  • Ruby (Metasploit es Ruby y eso creó un 'hype' con este lenguaje que no ha terminado de cuajar)

Titulaciones y formación en seguridad


Sube claramente:

Se mantiene:
  • Los masters universitarios sobre seguridad
  • Los talleres presenciales

A la baja:
  • Las certificaciones CISSP, CISA y CISM (años atrás eran imprescindibles, hoy día ya no tienen tirón)
  • La certificación CEH    

Sistemas operativos

Sube claramente:
  • Android
  • IOS

Se mantiene:
  • Linux
  • Windows

A la baja:
  • Solaris
  • Sistemas *BSD   

Países para ir a trabajar  


Sube claramente:
  • Argentina, Chile, Colombia y en general sudamérica (ahora mismo, destinos HOT para buscar trabajo en seguridad)
  • EEUU (Siempre vas a encontrar trabajo)

Se mantiene:
  • Inglaterra
  • Alemania   

A la baja:
  • Francia (muchas de las empresas creadas entre el 2000 y el 2010 no han terminado de funcionar)
  • Rusia (Fue un destino HOT hace 3-4 años)    

16 comments :

invitado dijo...

Gracias por el post y gran blog.

¿Qué quiere decir exactamente con Python?

"Python (Te guste o no, hoy día todo en seguridad es Python"

Me gustaria saber un poco más de info sobre este tema.

Un saludo y gracias

María García dijo...

Gracias por compartir tus ideas.
A mí también me gustaría saber por qué exactamente el python es tan adecuado para la seguridad, más que el C (¿funciones, apis, o qué?)
Quisiera también saber por qué opinas que están a la baja las certificaciones, incluso por debajo de los másteres. Cuando las certificaciones se renuevan y demuestran que estás al día; mientras que un máster u otro tipo de formación lo has podido hacer hace años.
Gracias de antemano.

marcos dijo...

Yo estoy de acuerdo en todo.


Las certificaciones Offensive Security han subido mucho pues se ha dado cuenta que son muy practicas y son perfectas para el puesto de pentester.

marcos dijo...

El tema es hacerse un experto en exploiting y ganarse la vida, si se puede. Hay que dedicarle muchas horas y yo creo que vale la pena. Si le dedicas horas al dia en 12 meses puedes ser un experto.


Para ello es recomendable hacer OSCE y luego el SANS 760. Para finalmente hacer el AWE. Los cursos de Corelan ayudan bastante para alcanzar esa meta pero son muy intensivos.

Yago Jesus dijo...

Hola, me refiero a que si te decantas por empezar a aprender un lenguaje de programación, ahora mismo el lenguaje en el que se escriben las herramientas de seguridad es mayoritariamente Python. Por lo que, a la hora de encontrar información, vas a tener más posibilidades

Yago Jesus dijo...

Hola, mi opinión es qué, ahora mismo, todas las herramientas de nuevo cuño, Pruebas de concepto y en general, ejemplos, están escritas en Python. Esto lo puedes ver si piensas en las herramientas más imprescindibles hoy día como por ejemplo SQLMap o MiTMProxy, también lo puedes ver en que es el lenguaje para el que tiene API el debugger Immunity etc etc ...

Yago Jesus dijo...

Hombre, yo en esto discrepo contigo. El tema del exploiting ha mutado muchísimo y a día de hoy por mucho que domines lo que explica Corelan y otros, te siguen faltando piezas como por ejemplo los famosos 'info leaks' que al final son privados y sin eso, adiós a saltarte ASLR. No es como hace algunos años donde el conocer la técnica te permitía desarrollar exploits plenamente funcionales. Salvo cosas muy muy puntuales (DLLs sin ASLR y cosas que se ven tan poco ...) hacer un exploit es algo complejo y costoso. No obstante estoy contigo en que si superas esa barrera, te haces de oro

Lorenzo Martinez dijo...

Respecto a las certificaciones, ¿está al alza la titulitis? No, está como siempre. En mi caso, este año he dejado de pagar el CISA y el CISSP. Sí... pagar. Porque realmente, no me aportaban nada más que una entrada en mi CV, que en su día ya tuve. Para mí lo importante es la formación: tener el conocimiento sobre las cosas y no simplemente disponer de un título. Los máster y las certificaciones sólo prueban que te has leído un temario o que has hecho muuuuuchos tests parecidos, y que a lo mejor toca que se repiten las preguntas (o la forma de hacerlas)...

María García dijo...

Estoy de acuerdo: lo importante es aprender y saber hacer las cosas. Normalmente un título (máster, certificación...) certifica que has aprendido (o, al menos, así debería de ser). Pero si lo sacaste hace mucho y no lo practicas puede ser papel mojado. Pensaba que para eso estaban las certificaciones, que hay que renovar. Me ha sorprendido que un máster sin fecha de caducidad pueda estar mejor considerado que una certificación que te acabas de sacar. Yo había oído que esas tienen mucha fama. Si los test son fáciles o no, lo desconozco.

JJ dijo...

Hola, soy estudiante universitario y con suerte termino este año. Me gustaría conocer más información sobre qué másteres son más los adecuados. Me gustaría hacer un máster en ciberseguridad el año que viene. He visto que la U-Tad, la europea y la uc3m ofertan masteres en este tema. Se que el de la europea es bastante conocido, ya se encarga Chema Alonso de que lo sea pero no creo que pueda costearmelo. ¿Sabéis algo del de la uc3m?. Ya que estamos con el tema me gustaría comentaros que tal vez sería buena idea añadir una sección de estudios/información a vuestro blog donde se pongan este tipo de cosas, con un par de posts al año valdría ya que las cosas no cambian mucho dentro de las entidades que ofertan los cursos.

random dijo...

Me llama mucho la atención la profesionalización del underground informático. Me parece una motivación incorrecta, aunque la respete. ¿Dónde quedó la ética hacker de la curiosidad devoradora?

random dijo...

Python es a lo que acabas acudiendo por su sencillez. Al ser un lenguaje interpretado no hace falta compilar nada. Puedes estar editando con gedit el script que tengas en .py y ejecutándolo rápidamente en consola con sólo ejecutar "python script.py".
Al ser tan "fácil de invocar" es el lenguaje más popular a la hora de hacer scripts en sucio a modo de borrador, pero una vez que está completado y funciona da mucha pereza portarlo a otro lenguaje porque, básicamente, no nos hace falta. Por eso hay tantos scripts en python compartidos en la red que, si trabajamos con este lenguaje, podremos entender y adaptar a nuestros propios programas.

Jonathan Novel dijo...

Esto esta de lujo Yago, muchas gracias!
Saludos!

Riva Silvercrown dijo...

Olvidate de la UC3M. Yo estudié allí la carrera y, pese a que los profesores son buenos, los conocimientos estan más en la línea de temas de red y demás que otra cosa.
De la europea, lo da Chema Alonso... que puede sumar o restar puntos en función de dónde quieras entrar a trabajar (creeme, en muchas de las entrevistas que he hecho restaría...).
Desde el punto de vista de temario puro y duro, yo le tengo echados el ojo a los de la UOC aunque, como consejo, puede que te salga más rentable en primera aproximación ir a por el OSCP y buscar formación de análisis de malware (ambas cosas pueden compatibilizarse en un año de forma autodidacta). Luego es razonablemente sencillo conseguir formación dentro de la empresa.

Ollupacre dijo...

Justo estaba pensando lo mismo. O sea entiendo que en los ultimos años ha habido un salto hacia la profesionalizacion y monetizacion legal del hacking. Ahora alguien puede hacerse un profesional de la seguridad sin haber "roto un plato" ya me entendeis, y esto se me hace raro. Ojo, que yo soy un aficionado en esto, no me dedico ni me voy a dedicar a ello, para mi es un complemento para mi profesion en sistemas y un hoby, pero aunque la profesionalizacion mediante formacion, masters, certificaciones, etc es una buena via (mas metodologica, mas dirigida) creo que hay una componente underground y de estudio propio, una componente de "lado del mal" que muchos nuevos profesionales de esto se saltan. No se si me estoy explicando la verdad ;-)

random dijo...

Ni Mitnick ni el Capitán Crunch hicieron "cursos de hacking".