• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Entrevista a Carlos Pérez. "Metasploit ha cambiado la industria y lo seguirá haciendo"

Entrevista a Carlos Pérez. "Metasploit ha cambiado la industria y lo seguirá haciendo"

18 septiembre, 2013 Por Hispasec 4 comentarios

Hispasec ha tenido el placer de entrevistar a Carlos Pérez (@carlos_perez). Carlos Pérez ha trabajado como consultor en las áreas de seguridad, redes y virtualización para Compaq, HP o Microsoft en las regiones de América Central, Caribe y Puerto Rico. Es un activo contribuidor del proyecto Metasploit con múltiples scripts incluidos en el proyecto. Es conocido como miembro del podcast PaulDotCom (http://www.pauldotcom.com) donde también ha coordinado la versión española del mismo (PaulDotCom en español). Especialista en escribir código en Python, Ruby, Powershell, T-SQL y Bash, muchos de sus scripts y herramientas pueden encontrarse en http://www.darkoperator.com. Posee múltiples certificaciones como MCSE, MCDBA, CCDA, Security +, A+, Linux + o Network+ .
Pregunta: Postexplotación, Metasploit, Nessus, Powershell, dnsrecon… Eres una persona difícil de encasillar a la vista a la cantidad de temas que tocas y en los que aportas herramientas y conocimiento, sin embargo ¿Hay algún área que te gustaría explorar a fondo que aún no hayas tratado?
Respuesta: Ese es el propósito, el mundo no es solo Windows, Linux, Unix, Cisco o cualquier otra plataforma. Igual que no solo hay sistemas operativos, sino que también hay almacenamiento, redes, bases de datos y sistemas que operan sobre ellas. Siempre estoy leyendo y aprendiendo de todo, mi experiencia viene de haber trabajado muchos años, no solo en seguridad, también en diseño de CPDs y soluciones para estos. He tenido muchas reuniones con hombres de negocios viendo como plasmar sus necesidades en soluciones técnicamente seguras. Te seré sincero, la seguridad en general es el área que más estudio en profundidad, pero siempre estoy aprendiendo de diseño, programación e infraestructuras. Porque el saber solo de algo sin tener la imagen completa hace lo que yo llamo «One trick ponny«, es como un pentester que no sepa de programación y de administración de sistemas, ¿cómo podría hacer recomendaciones si el mismo no conoce como funciona? solo sabe trucos de como meterse en los mismos.
P: Los fabricantes de software emplean más y mejores medidas antiexplotación, dirigidas a contener o reducir el impacto de las vulnerabilidades. ¿Cómo ves el futuro del pentester en un escenario donde la explotación podría parecer cosa del pasado? ¿Crees que nos estamos acercamos a este escenario?
R: Se verá reducida la explotación remota de «buffer overflow» y «memory corruption» de servicios remotos a los que nos conectamos. Los fallos en aplicaciones tipo web y del lado de cliente son cada vez más complejos y esa complejidad siempre traerá problemas; por lo cual veo una reducción según se aprende, pero no desaparecerán. También siempre estará el problema del factor humano donde veremos malas configuraciones e implementación de controles.
P: Comentabas en «PaulDotCom en Español» que tenías diferencias con la política de publicación de módulos en Metasploit cuando el fabricante aún no había publicado parche alguno. ¿Hay debate interno entre los desarrolladores de Metasploit en ese sentido? ¿Qué razonamiento justifica la publicación de dichos módulos en las circunstancias comentadas?
R: El debate que sepa no ocurre, Metasploit hoy en día es un producto de Rapid7, cuyas normas y evolución se dictan más por la compañía que por los desarrolladores que contribuyen su código al Framework. El Framework es solo una base para el producto comercial, ya que el instalador lo que te instala es la demo de los mismos no una versión completamente libre. No veo que ofrezca valor el poner una vulnerabilidad de manera «Weaponized» libre si el fabricante ya se comprometió a parchearlo en su próximo ciclo o semanas, y solo un número pequeño de personas lo está usando. Hacerlo público lo abre a que cualquier «Script Kiddy» pueda abusar del mismo, ya que no hay protección. Se dice que es para que la gente configure sus IPS o que investigue una mitigación, pero ¿Cuántos realmente lo hacen o lo tienen en forma de bloqueo? por lo que he visto creo que bien pocos, por lo cual lo veo como puro mercadeo.
Sí veo que hay momentos en los cuales sirve para presionar para que se solucione cuando el desarrollador ignora o simplemente no le importa, al igual que veo que sirve para los auditores de sistemas en sus pruebas para demostrar riesgo cuando el exploit es abusado por varios medios externos. Pero cuando el exploit no es público ni abusado en ese caso no le veo el valor a hacerlo completamente público a cualquier persona externa. Todo es como se hace, en algunos casos estoy en desacuerdo en otros no, pero como mencioné la comunidad no tiene voto ni voz sobre como ellos lo trabajan. Ahora no lo tomes como que no quiero el proyecto, Metasploit ha cambiado la industria y lo seguirá haciendo. El cambio al modelo comercial ha mejorado la calidad de código considerablemente, estoy contento de que a muchos de los desarrolladores ahora se les pague para escribir todo el día en el proyecto que aman y quieren, tengo el mayor respeto por todos ellos. El cambio ha sido para bien y el que quiera contribuir puede seguir haciéndolo, por eso es que creé el script de instalación y sigo escribiendo módulos para amistades y bajo contrato. Es una de las mejores herramientas y siempre me verás trabajando en la base de código abierto de ella, con mis propios plugins, módulos y enviando arreglos al código según el tiempo y motivación me permitan.
P: ¿Tienes que hacer un pentest y solo puedes emplear tres herramientas? ¿Cuáles serían?
R: Eso está difícil. Dependiendo del cliente, plataforma y lo que tenga, diría que mi cerebro, cualquier lenguaje moderno y como sistema operativo Linux, ya que me brinda la mayor flexibilidad en utilidades dentro del mismo que puedo usar y unir usando bash, python o ruby.
P: Fuiste militar ¿En que sentido ha marcado esa etapa de tu vida tu labor actual como profesional de la seguridad lógica?
R: Bueno firmé para ello pero no logré graduarme por problemas de vista, después me buscaron para volver tras una cirugía que me corrigió el problema, pero mi esposa me amenazó con el divorcio si lo hacía. He practicado artes marciales, y durante mucho tiempo he estudiado las ciencias de combate, hasta he sido instructor de combate cercano con arma corta. Todo eso me ha enseñado a simplificar y no sobrecomplicar las cosas. También me ha llevado a una noción de entrenar constantemente, evaluar, descartar lo que no sirve según pasa el tiempo y reinventar procesos y técnicas según evoluciona el ambiente.
Otra área es que puedo entrenar en el polígono disparando todo el día, en el gimnasio golpeando el saco o en el laboratorio corriendo módulos y scripts, pero si no entrenas contra otra persona no verás tus fallos y áreas de mejoras, sea en fogueo con munición simulada contra contrincantes o que un amigo configure una red y trates de penetrarla, solo estás en el principio del proceso de aprendizaje.
P:¿Tienes alguna anécdota o momento especial que recuerdes durante tu trabajo de pentesting?
R: Te seré sincero, no recuerdo nada que brille o sobresalga. Siempre me ha sorprendido algo que pasa una vez o dos al año, que es el ser llamado para hacer un pentest, no gano la adjudicación y después me llaman para evaluar el trabajo del que ganó, y encontrar que la mayoría de los pentesters que veo no saben lo básico como en tiempos anteriores. No saben de redes, de sistemas operativos, de como trabajan las cosas, solo saben correr herramientas que otros han escrito y no saben ni como el cliente genera dinero y maneja su negocio para entender sus necesidades, de manera que puedan adaptar su reporte de recomendaciones a las realidades del mismo. Te diría que lo que más me llena ahora es enseñar a otros a no ser como esos. El dar clases o escribir sobre la base me ha llenado de mucha alegría y buenos momentos más que el ejecutar los pentest.
P: Powershell, Windows 8… ¿Que puedes contarnos de ese interés en Windows? ¿Se trata de algo en lo que estás trabajando (aparte de Posh-SecMod) o simplemente es un «cambio de aires«?
R: En realidad vengo del mundo MS y nunca lo he dejado. Te contaré algo personal que muy pocos lo saben, yo al nacer tuve problemas de oxígeno y sufrí daños por ello. No aprendo ni retengo información como todo el mundo por lo cual tengo que trabajar un poco más duro que el resto. Mi gran ventaja es que mi madre nunca aceptó eso e ignoró lo que los médicos y psicólogos decían y me enseñó una lección bien importante de la vida: que es no rendirse y trabajar duro para avanzar en la vida. También mi madre ha sido cocinera, vendedora, diseñadora de interiores, empresaria, creó su propia línea de ropa y es artista (ahora mismo mi casa esta decorada con sus cuadros). En pocas palabras, me enseño que en esta vida hay que evolucionar y cambiar según el tiempo pasa. En mi trabajo día a día trabajo con Cisco, Juniper, servidores, unidades de almacenamiento de fibra, iSCSI, NFS, CIFS, con Windows, Linux, HPUX, Solaris y otras cosas más.
Nunca me ha gustado la idea de ser lo que llaman «One Trick Ponny«. Durante mucho tiempo le dediqué todo el tiempo a Metasploit; antes de eso fue defensa e infraestructura, consolidando y asegurando centros de cómputo; ahora trabajo más en defensa. Como verás, por todo ello toco un poco de todo y me ves semanas leyendo de un área y después me puedes ver el siguiente mes leyendo y aprendiendo de otra, pero siempre practicando los fundamentos de redes y administración.
PowerShell es algo en lo que llevaba trabajando hace años pero no lo hablaba mucho. Cuando empecé a dar clases me di cuenta de cuanto hijo de vecino estaba entrenando gente en como romper cosas, en Metasploit, etc. pero veía muy poco en los fundamentos, y aun peor veía gente que sabia mucho de Linux haciendo pentests de Windows y no tenían ni idea de como asegurar, defender y monitorizar el entorno que estaban evaluando! Saben mil trucos para meterse pero nada de como se opera, como afecta el negocio, nada de lo básico y lo peor con una mentalidad cerrada de «X es superior«. Las plataformas son herramientas y las herramientas no son personas para amar o querer, no se le puede poner sentimiento a las mismas, sino aprender de todas ellas y dar lo mejor a los clientes en un servicio profesional como es debido. En lo personal no se puede tener ego, si soy bueno en algo siempre habrá alguien que sepa más de lo mismo y siempre se debe estar buscando el avanzar y no quedarse cómodo en una sola cosa porque todos los entornos son multidisciplinarios hoy en día.
P: Más de dos años con «PaulDotCom en Español«. ¿Qué ha significado para ti este tiempo? ¿Tienes planes para el podcast?
http://pauldotcom.com/wiki/index.php/PaulDotCom_Espanol
R: Sobre el Podcast, Paul me pidió que tomase control del mismo por completo, ya que siente que no lo apoya mucho más allá del nombre de PaulDotCom. Por eso mismo me encuentro planeando con amistades moverlo a uno con nombre nuevo, con más personas que yo mismo y evolucionarlo, por lo cual te diré que vienen cosas nuevas pronto. En términos de tiempo consume, ya estoy dándome cuenta que al ser padre, esposo, mi trabajo diario como Director de un grupo de investigación, mis proyectos y clases, me estoy quemando mentalmente más rápido que antes.
P: PRISM, ¿Qué opinión te merece?
R: Es a la luz pública lo que muchos ya sabíamos y sospechábamos. Lo que me sorprende es la incredulidad de las personas, estás usando servicios en la nube que se rigen primero por su responsabilidad a los dueños de acciones y después a las leyes locales donde se encuentran. Estás cediendo el control de tu información. Los emails siempre han sido abiertos, los ISP siempre ven lo que haces, no es nuevo. Lo nuevo es como la gente confía ciegamente más y más en estos servicios de nube y compañías sin una evaluación sincera. Todos los países espían, todos de un nivel a otro, por eso no ves mucho ruido de otros países. Lo que asusta es la retención de esta información y como puede ser minada en el futuro. Aún asusta más el que no haya sido mucha la indignación, fuera del sensacionalismo que se le ha dado en las noticias. En pocas palabras, los terroristas ganaron. Querían una sociedad con miedo y atacar las libertades de la misma y lo lograron, porque muchos ahora aceptan esta invasión de la privacidad y las libertades, que en el futuro es casi seguro serán abusadas según se siguen quitando controles.
P: ¿Que libro y que herramienta echas de menos y que aún nadie ha escrito?
R: Te soy sincero, cuando no encuentro una herramienta trato de crearla. En términos de libros me gustaría ver series sólidas en los fundamentos, no solo en herramientas específicas.
Laboratorio Hispasec
laboratorio@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Comentarios

  1. Anónimo dice

    18 septiembre, 2013 a las 3:10 pm

    Gracias Carlos por tus aportes, compartir conocimiento y saber un poco mas de ti. Una gran inspiracion para ver un rumbo claro y solido.

    Responder
  2. Anónimo dice

    18 septiembre, 2013 a las 4:30 pm

    Que buena entrevista. Excelente información sobre seguridad IT. Agregado a Twitter.

    Responder
  3. Anónimo dice

    18 septiembre, 2013 a las 6:47 pm

    Te felicito carlos, que Dios te siga bendiciendo grandemente cada dia…Dios bendiga tu Hermosa familia…
    att: Maritza perez (prima de tu esposa)

    Responder
  4. Anónimo dice

    27 septiembre, 2013 a las 9:33 am

    Completamente de acuerdo en tu opinión sobre PRISM

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR