No sé si os he comentado que soy uno de los profesores de la asignatura de Seguridad y Privacidad dentro del Master en Big Data Analytics de la Universidad Politécnica de Valencia. Es un máster que ha tenido una muy buena aceptación desde el principio ya que no existía formación reglada al respecto. De hecho, todos los años hay lista de espera de gente que se queda fuera y se tiene que esperar a la siguiente convocatoria (y empresas que solicitan a alguno de los alumnos), todo un éxito.
Como os decía, doy una de las partes de la asignatura de Seguridad y Privacidad, por lo que empezamos hablando de Privacidad en algunas redes sociales, cómo utilizan nuestra información para hacer según qué cosas, qué técnicas de Big Data utilizan para mejorar su servicio, etcétera.
Test de intrusión
Durante la segunda parte de la clase, vemos cómo hacer una auditoría de nuestra plataforma antes de empezar a trabajar con ella y comprobar si hemos puesto las medidas de seguridad necesarias o tenemos que mejorar algún punto débil para evitar que los malotes accedan a la información. Para ello, hablamos sobre las distintas distribuciones de Linux preparadas para auditoría (nos basamos en Kali Linux para las pruebas), comentamos alguna de las herramientas más comunes como Nmap, Metasploit u OpenVas, las distintas fases a realizar de cara a una auditoría, etc.
Llegar a controlar todas las aplicaciones incluidas en Kali es prácticamente imposible, al final siempre utilizas las que más conoces, tienes personalizadas a tu gusto y sabes qué resultados van a dar. Creo que no utilizo ni el 20% de las herramientas que tiene Kali… pero aun así es una distribución que me encanta. No es para tenerla como escritorio ya que las actualizaciones de todos los paquetes que contiene a veces la vuelven un poco inestable, pero sí para tenerla en una máquina virtual o en un USB con el que poder arrancar en caso de necesidad.
Aun así, hace unas semanas descubrí una página al respecto de Kali donde se incluye un pequeño ‘chat sheet’ con todas las aplicaciones distribuidas por áreas, lo cual es bastante útil e interesante para probar alternativas. Además, hace un pequeño resumen de algunas de las aplicaciones más populares, a mi me ha permitido descubrir algunas que no utilizaba. El artículo en concreto lo podéis encontrar en https://www.comparitech.com/net-admin/kali-linux-cheat-sheet/
El valor de unos buenos alumnos
Ambas partes del curso se hacen divertidas y amenas. La primera porque está llena de cotilleos, chascarrillos y fallos fortuitos en redes sociales y la segunda porque aprenden técnicas de hacking básico y auditoría de sistemas. Como dijo una vez Chema Alonso, ‘está bien que te paguen por arreglar cristales, pero es más divertido que te paguen por romperlos’. Aprovechando que esta parte es más divertida y práctica, para completar las horas de la asignatura los alumnos tienen que realizar una tarea: auditar una máquina real en Amazon AWS, por lo que durante unos días publico una máquina en Amazon con unas vulnerabilidades concretas que tienen que ir descubriendo e investigar si alguna de ellas da acceso al sistema.
El caso es que hace unos días finalizó el plazo para que los alumnos entregaran los distintos trabajos de las distintas asignaturas y ya he terminado de revisar los míos… y no sabría explicaros la mezcla entre orgullo, satisfacción y sensaciones varias que me han producido los trabajos. Hay algunos realmente MUY buenos, excepcionales, en un par de ellos hasta han encontrado una vulnerabilidad que no había puesto conscientemente 😀 Y, teniendo en cuenta que la mayoría de ellos son jóvenes promesas, me hace tener Fé en los nuevos compañeros que van a ayudarnos a los más antiguos del lugar, a los que crecimos con módems, FTPs e IRC. Es posible que alguno de ellos no haya conocido el IRC o no se haya conectado utilizando con un módem conectado por el puerto de serie a una BBS en modo texto con el pppd, o que no sepan qué es el 055 de Infovía, pero son capaces de pensar de formar no-convencional, de ir un paso más allá, de no quedarse con el primer resultado y de generar sus propios scripts y algoritmos para automatizar tareas. Estamos en el buen camino.