10 consejos después de 1 año de hacer pentesting.

Posted by 26 septiembre, 2018 in Biblioteca

Durante los últimos años he dudado mucho sobre mis futuras opciones profesionales. En un principio, soy desarrollador, pero me gustaba mucho la seguridad y el hacking. En mi tiempo libre estaba haciendo todo tipo de CTFs. Para mi licenciatura tuve que hacer un proyecto final y pensé que sería el mejor momento para pasar al mundo (profesional) de la seguridad . Terminé mi pasantía y me ofrecieron un trabajo. He aprendido mucho en el último año y me gustaría compartir algunos consejos.

1) Discuta las oportunidades de capacitación con su jefe.

Cualquier empresa seria tiene un presupuesto anual para oportunidades de capacitación, conferencias y certificación. Personalmente, ya estaba aprendiendo mucho en el trabajo y no sentía nesecitar tales oportunidades. Mirando hacia atrás, debería haber realizado al menos una sola formación o certificación. Habría adquirido conocimientos diferentes de los que se enseñan en la empresa, con el beneficio adicional de que se registran en alguna parte (CV).

2) Atrévete a pedir ayuda.

Todos nos quedamos atascados en algún momento. Tratar de resolverlo todo por ti mismo podría ser un buen rasgo, sin embargo, la mayoría de los proyectos, si no todos, tienen limitaciones de tiempo. Los clientes están pagando dinero real. Atrás quedaron esos días de estudiantes en los que teníamos mucho tiempo. Así que pida ayuda a un colega de manera oportuna. Esto no significa que debamos preguntar todo y cualquier cosa en el momento en que nos encontremos con un problema. Siempre se requiere un mínimo de esfuerzo, de lo contrario sus colegas podrían cansarse de usted. Personalmente, todavía estoy tratando de encontrar el equilibrio entre preguntar demasiado pronto o demasiado tarde. Supongo que esto viene de la experiencia.

3) Discuta, pero escuche lo que sus mayores dicen.

Al ser considerado un “rock star” en la universidad y en prácticas anteriores, tuve que acostumbrarme a ser el empleado más joven. Tuve muchos desacuerdos con mis mayores (y todavía los tengo). Sólo después de algún tiempo me di cuenta de que me equivoqué en muchas ocasiones. A lo que me refiero es que algunos de mis colegas mayores hackeaban cuando yo aún estaba en la escuela primaria. Escuchar y ser menos testarudo es crucial para el desarrollo personal. Debo decir que discutir un poco es bueno, ya que entenderás mejor el razonamiento detrás de ciertas decisiones, aunque no lo entiendas de inmediato.

4) Ten contacto directo con el cliente.

A veces somos contratados por un cliente para probar un producto específico. Sin embargo, en este proyecto  también involucran a desarrolladores externos, administradores de sistemas, administradores de bases de datos, etc. Cada parte tiene su propio interés o desinterés con el servicio de pentesting. Por ejemplo, a veces los desarrolladores o administradores de sistemas externos no cooperan mucho en las evaluaciones de seguridad. Genera más trabajo para ellos y reduce su credibilidad o confianza hacia el cliente que los contrató. Si ve signos de comportamiento poco cooperativo, no discuta demasiado con ellos y siempre póngase en contacto con el cliente que lo contrató. El cliente debe ser la persona de contacto principal.

5) Evitar el trabajo de horas extras.

Trabajé horas extras en varias ocasiones por diferentes razones. No se lo dije a nadie. La mayoría de las veces fue principalmente porque me concentré demasiado en ciertas pistas que resultaron ser callejones sin salida. Ya sabes, postergar la parte aburrida del pentesting: escribir el informe. Al final del pentest, me encontré escribiendo el informe a altas horas de la noche. Esto es lo que me dijo mi jefe: nadie se beneficia de esto; usted, nosotros (la compañía) y el cliente por igual no se beneficiarán de esto. El cliente y el jefe no pagan las horas extras ya que yo no las registré. La cantidad extra de trabajo pasará desapercibida, pero lo peor es que el cliente esperará el mismo tipo de rendimiento por el mismo precio. Si cree que necesita más tiempo, informe inmediatamente a su jefe/gerente. La comunicación hace maravillas!

6) No posponer el informe de seguridad.

Creo que escribir el informe de seguridad de cada pentest es quizás una de las partes más aburridas del trabajo. Esto es también exactamente por lo que no debemos posponer este asunto. Una buena combinación que me pareció útil fue escribir parte del informe al final de cada día. Digamos, por ejemplo, que en una jornada laboral de 8 horas, yo haría de 1 a 2 horas diarias como máximo. Al final del pentest, el informe está casi terminado y tendría que escribir el resumen de la gestión con algunos otros pequeños detalles.

7) Escribir notas durante el pentest.

¿Encontraste una pista? ¿Quizás incluso una vulnerabilidad? Escríbalo inmediatamente. Esto puede ser de gran ayuda a la hora de redactar el informe final. También puede servir como un recordatorio de lo que ya ha probado y lo que no.

8) Empezar a automatizar tareas recurrentes.

Tal vez suena demasiado obvio si estás en IT pero aún así vale la pena comentarlo. Si nota que está repitiendo ciertas tareas con cada pentest, entonces es hora de un poco de automatización. Piense en la creación de macros de Word, funciones bash/shell, scripts python, etc…. La creación de plantillas ya preparadas para informes o código también puede aumentar la productividad.

9) Use las funciones de resaltado y comentarios de Burp.

Al principio me encontraba a veces desplazándome a través de cientos, si no miles, de peticiones buscando una determinada petición. Componiendo regexes basados en patrones vagamente recordados. Es mucho más eficiente resaltar las solicitudes interesantes directamente al verlas. Agregar comentarios también puede ayudar para futuras referencias. Es posible filtrar las peticiones resaltadas o comentadas en Burp.

10) Asegúrese de seguir a la comunidad de seguridad.

El mundo de la seguridad es un sector en rápida evolución. Todos los días se publican nuevos documentos, se crean herramientas y se encuentran vulnerabilidades. Cuanto antes conozca estas actualizaciones, mejor. No querrá perder el tiempo con una herramienta vieja que sigue fallando mientras hay una nueva o perderse una vulnerabilidad crítica revelada ayer. Personalmente, empecé a usar twitter y seguí a algunos organizaciones que son autores de mis herramientas de seguridad.

Artículo original de @bhamza4444 || Traducción realizada por VulneraLabs.

You May Also Like

Guía práctica para realizar Threat Hunting.

Repos con material de estudio para OSCP.

About the Author: Daniel Espinosa

Residente del mundo digital. Afortunado de trabajar en lo que me apasiona. Si quieres conocerme más, visita la sección "Sobre mi".

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *