martes, 13 de febrero de 2024

Ciberseguridad, hacking y certificaciones

La primera vez que oí hablar de hacking sería en los albores de los 90, cuando un amigo me habló de un libro sobre esto que se titulaba «El huevo del cuco» y que me leí en «cuatro tardes» de verano. Tiempos en España de la red Fidonet y modems de 2400bps, 9600bps y alguno más rápido que acababa de salir y costaba un riñón. Sería por la época dorada de mi Amstrad PC-1512 (o puede que otro algo mejor ya que se pierde en los albores de la historia de la segunda edad, como diría Tolkien) cuando recibí una invitación para participar en una reunión de hackers y que, a día de hoy, sigue siendo un misterio para mí cómo recibí dicha invitación por carta. En esta reunión conocí a una persona que se convertiría en uno de mis mejores amigos y con el que aprendí mucho ya que no había cursos ni certificaciones para poder saber cómo entrar en un ordenador, sin ser invitado, o hacer ingeniería inversa.

Fue una época donde empezaba con Minix y Xenix a ver el potencial de los sistemas Unix y más tarde con GNU Linux cuando me aficioné a aprender a recompilar el kernel para tener más fiabilidad y estabilidad, recompilar comandos para jugar con los procesos y ficheros (ps, ls, etc.), mejorar mis conocimientos en el lenguaje C y ensamblador, y que me sirvió para, más adelante, desensamblar y realizar ingeniería inversa de virus como NATAS, de Jame Gentile, o investigar sobre diversos juegos y programas de laboratorio cuyas protecciones eran bastante buenas.

Y qué decir del sistema láser de diskettes, «¡ese lo inventamos mi amigo Ivan y yo!», agujereando físicamente el disco que queríamos que fuera el original para luego usar el formateo de esos sectores y comprobar si nuestro programa se había copiado. Vale, cierto que no lo inventamos nosotros porque ya habíamos oído algo de dañar físicamente partes de los discos para realizar las verificaciones, pero nos sirvió para investigar la BIOS y los servicios del MS-DOS a fondo 😉

Han sido unos años en los que para trabajar no podías decir que eras hacker, porque en primer lugar no se entendía y en segundo porque si alguien conocía la palabra directamente no te contrataba y te echaba a patadas. No había todavía esa acepción de «ético» que ahora está tan de moda aunque sí empezaban a dividirse entre hackers y crackers sin que tampoco quedase bien descrito que un hacker es una persona curiosa a la que le gusta investigar y, quizás, salirse algo de la norma establecida, pero que como con todo, puedes ser más tímido con tus conocimientos o más «osado» y simplemente aprender cómo puedes crear una escalada de privilegios por un problema en el kernel o usarlo para fines no lícitos.

Pero ahora todo es distinto, ahora si tienes estudios de ciberseguridad y, sobre todo, alguna certificación tienes hasta posibilidades de trabajar en esto. Eso si, el abanico de posibilidades de formación es inmenso y de hecho es un negocio: cursos, hackatons, laboratorios, boot camps y, como no, certificaciones.

En mi caso, creo que las OSCP y OSCE son las que más me atraen, claro, es evidente que me gusta la parte más práctica pese a mi edad, pero existen multitud de certificacciones desde las más teóricas hasta estas más prácticas con precios diversos, si bien, como con todo, esto ahora es un negocio y depende de la dificultad y prestigio de la empresa que expide estas certificaciones para que sean tomadas más o menos en cuenta a la hora de servir, como reclamo, para un puesto de trabajo desde analista de nivel 1 hasta CISO.

Desde los 80 y 90 hasta nuestros días se han producido muchos cambios, cambios en el significado de la palabra hacker o jáquer, cambios en la concienciación por la ciberseguridad, cambios en los sistemas de detección de malware, amenazas e incidentes y hasta cambios estéticos y de imagen, como es crear logos con aspecto militar (puñales, escudos, águilas, etc.) para proporcionar un impacto más directo de seguridad «ofensiva» a los clientes. La vida cambia y los conceptos y sensibilidades también

miércoles, 7 de octubre de 2020

El hombre del IBM


Sería el año 84 o quizás el 85 y estaba en unos grandes almacenes por la tarde. Serían las 20:30 o las 21:00 horas y estaba cerrado, solo la sala de exposiciones de arte, por la que se entraba desde otro lado, estaba abierta.

Centro Hogar Sánchez era un referente en Granada en cuanto a localización y prestigio en una época de Galerías Preciados y sastrerías. Tenía una galería de arte donde mi padre solía exponer sus obras durante una o incluso dos veces al año.

Estaba "gamberreando" por las distintas plantas de las que constaba el edificio y donde los guardias jurados hacían la "vista gorda" porque me conocían de sobra tanto de estar por allí "danzando" en la zona de micro-informática como de mis escapadas durante el tiempo de apertura de la galería de arte. Y allí, paseando de arriba para abajo fue cuando lo vi. Era una habitación del tipo "pecera" en la que había un gran cristal en el que se podía ver dentro de esta una mesa con su silla de despacho y un ordenador, un flamante IBM de los de pantalla verde. Un hombre estaba mirando la pantalla fijamente y tecleaba de vez en cuando. Como amante de los pequeños cacharros digitales de la época y en particular del ZX Spectrum y del Laser 200, este segundo solo porque se veían muy pocos, no podía dejar de mirar ese ordenador de "gente mayor", de personas que sabían programar en lenguajes que no eran el popular BASIC, aunque, seguramente era en lo que estaría programando...

En poco tiempo tendría mi primer ordenador, un Hit-Bit de Sony, el HB-75P de la norma MSX, la norma que quería la compatibilidad entre sistemas hardware pero que, como se vería en poco tiempo, era muy difícil de mantener.

No sé si el ordenador era un IBM PC 5110 como yo lo recuerdo o fuese una edición posterior, pero aquello me dejó perplejo. Supongo que en una época donde películas como “Juegos de guerra” o “Tron” que nos ofrecían un mundo donde los “hackers” podían hacer casi cualquier cosa, el ver una máquina tan imponente a los ojos de un preadolescente era como un sueño hecho realidad. Con mis parcos conocimientos de BASIC todavía y que ponía en práctica en casa de algún amigo con Spectrum o algún Spectravideo SVI-318 sin embargo me sentía importante. Ningún niño de mi clase sabía programar y yo… bueno, yo más o menos, ponía un bucle FOR…NEXT o un IF y poco más, pero ya sabía que una variable guardaba valores numéricos o cadenas de texto con las que podía jugar.

Quizás, ese conocimiento era lo que hacía volar mi imaginación más de lo que, seguramente, podía hacer ese aparato, pero sin duda alguna fue una tarde para recordar durante tantos años.

Esa misma sensación la tendría años más tarde con varias experiencias y etapas, como cuando instalé por primera vez Xenix y Minix o cuando me metí de lleno a estudiar y “cacharrear” el sistema GNU/Linux en épocas donde en el primer caso era MS-DOS y en el segundo Windows los sistemas que usaba la gente común, la gente que usaba el ordenador para jugar o como usuario básico, pero no como un gurú o como una persona curiosa. Donde más tarde recompilaba el kernel para modificar comandos de listado de procesos o de ficheros con la intención de gastar bromas. Siempre, como no, llevado más por la curiosidad de aprender que de hacer algo productivo al final pero que reportaba una gran sensación de placer como cuando uno no puede dejar de ir un día al gimnasio o de salir a correr.

Ese ordenador con su fósforo verde y sus unidades de disco flexible de 5 ¼ apareció allí, en ese momento, seguramente para enseñarme que los sueños, en algunos casos se cumplen y que las sensaciones y recuerdos, a veces, cuando te vienen, te hacen esbozar una sonrisa picarona y nostálgica.

Señor del IBM, gracias por ese/este momento.



Ciberseguridad, hacking y certificaciones

La primera vez que oí hablar de hacking sería en los albores de los 90, cuando un amigo me habló de un libro sobre esto que se titulaba «El ...