Introducción
Quienes desde hace varios años nos encontramos relacionados de algún modo con los diferentes aspectos de la Seguridad Informática, y especialmente aquellos quienes de pequeños, crecimos intercambiando información o divirtiéndonos con nuestros amigos del underground informático en eternas discusiones por IRC (muchas de las cuales en raras oportunidades acababan antes de que la luz de la mañana siguiente despierte sorprendidos a nuestros padres…), sabemos de lo anárquico o caótico en lo que puede llegar a convertirse nuestra vida, intentando aprovechar cada segundo de nuestro tiempo y cada rincón de nuestra memoria a fin de almacenar cada una de las lecciones aprendidas.
Lo cierto es que, en nuestro aprendizaje, tal como en la vida, existen diferentes etapas las cuales necesariamente deben ser atravesadas, a fin de forjar nuestra personalidad, carácter, valores y demás atributos que nos acompañaran por algún tiempo.
Aún puedo recordar mis primeras auditorias de seguridad o test de intrusión controlados, siendo yo “muy” joven, alguno de los cuales a menudo terminaban por demostrar con orgullo, la forma en la que un acceso privilegiado podía ser conseguido con mediana facilidad, por medio de un nuevo exploit conocido solo por algunos privilegiados. Generalmente, los administradores de sistemas y desarrolladores no se mostraban muy amigables con mi trabajo, por motivos que recién unos años después pude comprender enteramente.
Sucede que ese caos reinante en nuestro aprendizaje, propio de las tecnologías emergentes y su combinación con quienes día a día hacemos lo imposible por engañarnos intentando mantenernos un paso adelante, frecuentemente se involucra en nuestro trabajo y en la forma en la que las técnicas aprendidas a base de estudio e investigación son llevadas a la práctica.
Los testeos de seguridad no escapan a esta regla y hasta hace algunos años, éstos y quienes los ejecutábamos, no éramos bien vistos por la comunidad en general. Sucede que el primer acercamiento de las empresas o clientes, a los testeos de seguridad, se encontraba plagado de este caos reinante en las mentes de quienes inevitablemente nos esforzábamos por detectar la mayor cantidad de fallas en los esquemas implementados, a menudo en forma desordenada y como único objetivo de prueba.
Lo cierto es que, hoy en día, gracias en parte al esfuerzo de gran cantidad de individuos u organizaciones y a la madurez alcanzada por los especialistas en seguridad informática alrededor del mundo, las cosas han cambiado al punto tal que actualmente resulta imposible realizar una evaluación de seguridad objetiva, sin que la misma se encuentre basada en normas, procedimientos y métodos claramente establecidos.
Ahora bien, el presente artículo probablemente desanime en primera instancia, a quienes busquen en estas páginas tan solo otra nueva técnica de penetración, aunque sin lugar a duda cuando acaben de leer la información aquí vertida, muchos comprenderán su importancia y valorarán el modo en que las prácticas mencionadas colaborarán de una u otra forma, al desarrollo profesional de su próximo testeo de seguridad.
Descarga el artículo completo para continuar leyendo:
Comentarios recientes