Offensive Security (www.offensive-security.com) es una organización que se encarga de realizar diferentes tipos de actividades relacionadas con el mundo de la seguridad informática, se destacan principalmente por contar con el equipo de creadores de la famosa distribución Kali. Ofrecen servicios de auditoria externa e interna y algunos otros servicios que van por la misma línea, sin embargo, una de las cosas más interesantes que tienen es su catalogo de certificaciones, las cuales son diferentes a las que actualmente solemos encontrar en el mercado. Qué es lo que hace diferentes a este tipo de certificaciones de otras tan conocidas y prestigiosas como las CEH, CISA, CISSP, etc.? La respuesta es, su enfoque completamente práctico. Con las certificaciones anteriores, normalmente sueles asistir a un curso y presentas un exámen que tiene un fuerte contenido teórico, donde la mayoría de preguntas son de selección múltiple. Mi opinión personal sobre ese tipo de exámenes es que no demuestran realmente los conocimientos de alguien, resalto nuevamente las palabras opinión personal y éste es uno de los motivos por los que he elegido el “challenge” OSCP de OFFSEC.

Se trata de una certificación que es bastante apreciada y valorada entre hackers y profesionales de seguridad informática, dado que para aprobar, tienes que demostrar realmente lo que sabes y sobre todo, tienes que sufrir, “Try Harder” es el lema. Es un reto y como tal, te permite apreciar, en un entorno controlado y legal, tu nivel de conocimientos y habilidades, así como también te ayuda a desarrollar tus capacidades de “pensamiento lateral” tal y como lo definen los instructores. Es un tipo de certificación en que te demuestras a ti mismo tu capacidad de observación, investigación y de pensar en varias formas para atacar una red, así como considerar las implicaciones de seguridad de dichos vectores de ataque.

Los pasos para presentar el reto OSCP son los siguientes:

  1. Tienes que hacer el curso PWBv3 (Pentesting With BackTrack v3)
  2. Antes de pagar el curso, tienes que hacer la solicitud, a la cual te responderán con un kit de pruebas para saber si puedes conectarte a los laboratorios y que tienes un buen nivel de conectividad y ancho de banda para practicar sin problemas.
  3. Pagar por el número de días en los que deseas acceder a los laboratorios, que pueden ser 30, 60 o 90 días (el pago lo puedes hacer por tarjeta de crédito o PayPal)http://www.offensive-security.com/information-security-training/penetration-testing-with-backtrack/
  4. Los cursos comienzan cada domingo del mes a las 00:00 GTM donde recibes un correo con tus credenciales de acceso y otra información importante sobre el curso y los laboratorios.
  5. Recibes los materiales del curso, que son un documento PDF con todos los capítulos y ejercicios que debes completar, así como un conjunto de vídeos sobre cada tópico del curso, entre todos los videos, hay más de 8 horas. Todo el material esta en ingles, (tanto el documento como los videos) así que como mínimo necesitas un nivel intermedio o avanzado de ese idioma para disfrutar al máximo todos los contenidos.
  6. Una vez finalizado el curso PWBv3, tienes como máximo 3 meses para presentar el reto, si deseas presentarlo, esto último es opcional, sino lo presentas recibirás un certificado en casa indicando que has presentado el curso.
  7. Si presentas el examen y apruebas, tienes algunos otros beneficios, como por ejemplo acceso a la zona restringida de otros usuarios que han aprobado, soluciones a los retos, entre otras otras cosas interesantes (que son una agradable sorpresa).
  8. Cuando decides presentar el reto, planificas una fecha y ese día, recibes un correo con las instrucciones para acceder al entorno, que es más o menos parecido al de los laboratorios. Tienes 24 horas para superarlo, que consiste básicamente hackear tantas máquinas como puedas y acumular todos los puntos necesarios para aprobar. Después de transcurridas esas 24 horas, se cierra el acceso al entorno de red y tienes 24 horas más para presentar tu informe, indicando lo que has hecho para comprometer dichas máquinas. El informe debe incluir las conclusiones y descubrimientos en la red del examen así como también, el reporte completo para la red de los laboratorios. OFFSEC te ofrecerá las plantillas necesarias para presentar el informe (que por cierto debe ser escrito en ingles, no podrás presentar ninguno de los informes en castellano).

Durante el reto, te darán instrucciones sobre los objetivos que debes cumplir y el modelo de puntuación, ademas también te indican que herramientas no puedes usar, por ejemplo, esta prohibido el uso de cualquier escaner de vulnerabilidades automatizado como Nessus, OpenVAS, NeXpose, etc. El uso de herramientas como NMAP, HTTPrint o Nikto esta permitido. Por otro lado, el uso de Metasploit Framework también esta prohibido, solamente puede utilizarse en casos muy concretos y de acuerdo a las instrucciones que se incluyen en el examen. Todo esto significa simplemente, que el aspirante, debe demostrar que sabe lo que esta haciendo y no la herramienta.

PUNTOS POSITIVOS DEL CURSO

  • Como he dicho anteriormente, contar con un entorno real para probar y hacer lo que te de la gana, es una de las principales ventajas de este curso.
  • El soporte técnico. Cuando te conectas al IRC de OFFSEC, puedes solicitar ayuda si tienes cualquier problema con la conexión o cualquier tema relacionado y sin importar la hora, casi siempre hay alguien que esta ahí para atenderte, solamente debes utilizar las palabras mágicas “ping admin” y allí estará alguien para responder a tus dudas. Si no te gusta utilizar IRC, puedes optar por escribir un correo y te contestarán casi al instante. Si tienes dudas técnicas, puedes preguntar y te darán pistas para conseguir tu objetivo (aunque no esperes demasiadas, se trata de un reto).
  • El foro es muy bueno, hay un montón de información útil y puedes hacer preguntas sobre problemas que tengas en el laboratorio y alguien te contestará con bastante rapidez, eso si, no te van a resolver tus problemas, solamente te darán pequeñas pautas, es decir, te lo tienes que sacar tu mismo, en algunas ocasiones incluso, te responderán “Try Harder!”
  • Existen muchísimas máquinas en el entorno del laboratorio y todas son vulnerables de una u otra forma, algunas son fáciles de hackear, otras son realmente un dolor, de hecho hay un par de máqunas que me encantaron por su dificultad cuyos nombres eran “pain” y “sufference” el nombre dice mucho en estos casos. Algunas cuentan con sistemas de protección como IDS o Firewalls y otras no, algunas tienen servicios actualizados y sin vulnerabilidades conocidas y es ahí donde debes “pensar de forma lateral”. Algunas máquinas son vulnerables pero están protegidas y debes saltar esos filtros, en fin, encuentras muchos escenarios para practicar.
  • Te acostumbras a documentar y a definir tu propio estilo para crear reportes, algo que normalmente odiamos hacer, aquí te lo exigen y es algo positivo, ya que también te sirve como referencia para posteriores ataques.
  • Te encuentras con que muchas veces debes compilar o modificar exploits desarrollados por otros, algo que en un entorno real deberás hacer casi siempre.
  • Cuentas con una máquina de laboratorio dedicada para ti en la que puedes realizar pruebas antes de llevarlas a cabo contra otras máquinas del laboratorio
  • Tienes la posibilidad de practicar técnicas de port-forwarding y port-redirection a máquinas que no son accesibles directamente desde el entorno del laboratorio, de esta forma puedes utilizar máquinas que se encuentran en el laboratorio para atacar máquinas en segmentos de red internos a los que no tienes acceso de forma directa. Esto es algo, que normalmente es difícil llevar a la practica y aquí puedes hacerlo legalmente!
  • No te dan nada hecho y cuando consultas los foros o a los instructores, no te van a decir como comprometer una máquina, eso es algo que debes aprender tu mismo, solamente te van a dar pautas cuanto estés atascado en algún punto, pero no esperes que haya alguien que te diga que tienes que hacer. Justo como en cualquier entorno real.
  • El curso comprende todas las etapas de un proceso de pentesting y enseña tips relacionados con cada fase, así como también ejercicios prácticos que te ayudan a afianzar los conceptos teóricos.

PUNTOS NEGATIVOS DE LA OSCP

  • Aunque la documentación es amplia, en algunos tópicos la información ofrecida es a nivel básico y probablemente un alto número de los estudiantes ya conocen y manejan dichos conceptos. Necesitarás documentarte mucho más en otros recursos disponibles en internet para conseguir atacar algunas máquinas.
  • Consume mucho tiempo y energia. Con esto quiero decir, que si eres una persona que trabaja y tiene otras responsabilidades, muy probablemente necesitarás pagar más tiempo del laboratorio, ya que aconsejan tomar el curso para 30 o 60 días y dedicar, en la medida de lo posible, 8 horas diarias. Aunque no es un punto en contra de la OSCP, si que puede ser un limitante para algunas personas (como ha sido mi caso).
  • Falta de reconocimiento. Se trata de una certificación que es bastante conocida entre hackers independientes y “underground”, sin embargo es raramente requerida o conocida por las empresas en países de América Latina o España y en países como Estados Unidos o Australia comienza ser requerida con un poco más de frecuencia pero aun le falta mucho más reconocimiento (esto ultimo lo he sabido por algunas conversaciones que he tenido con aspirantes y personas que se han certificado en OSCP/OSCE y que viven por en esos sitios). Por lo tanto, a nivel laboral en estos países, no tiene tanto peso como otras más conocidas tales como la CEH o CISSP, aunque reitero, desde mi punto de vista es más probable que una persona que haya alcanzado la OSCP pueda estar mucho mejor preparada para el mundo real, que una que haya alcanzado la CEH.

RECOMENDACIÓNES EN BASE A LO QUE HE VISTO EN EL CURSO:

  • Primero que nada, si tienes un nivel intermedio o alto de conocimientos, esta certificación es para tí, ya que te permitirá practicar cosas que ya conoces y aprender cosas nuevas. Si eres una persona con un nivel intermedio, tirando más básico, te recomiendo mejorar tus habilidades, dominar herramientas tales como Nmap, Nikto, Metasploit, algún que otro proxy web, funcionamiento de servidores web, ssh, firewalls, aprender a programar en lenguajes como perl y python, entre muchas otras cosas. A menos que lo que quieras sea presentar el curso y no presentar el examen.
  • Si cuentas con tiempo suficiente para practicar todos los días, puedes pedir el curso con acceso al laboratorio por 30 o 60 días, dependiendo de tu rapidez para aprender, tiempo disponible y los conocimientos que ya dispongas. Todos aprendemos diferente y probablemente con 30 o 60 días será más que suficiente para ti. Si tienes que trabajar y no puedes dedicar suficiente tiempo, te recomiendo solicitar el curso por 90 días para que puedas completar todas las practicas y comprometer todas las máquinas. En mi experiencia personal, inicialmente solicite el curso por 90 días ya que solamente podía dedicar como máximo 5 horas en el verano (que fue cuando comencé el curso) y 3 horas en invierno y aunque cuando estaba cerca de los 90 días, ya había conseguido el objetivo en todas las máquinas y había completado las practicas, decidí extender mi tiempo en los laboratorios, ya que en la mayoría de las máquinas existe más de una forma de acceder y de llevar ataques organizados y quería intentar descubrirlas todas para complementar el reporte que debia entregar y mi documentación personal.
  • Desde el primer día, comenzar a escribir los informes del laboratorio, para que te vayas familiarizando con el formato del informe y que luego no se acumule demasiado trabajo, en mi caso, he usado varias herramientas para tomar notas de los ejercicios que iba desarrollando y las vulnerabilidades que iba encontrando, tales como KeepNote, Basket y Dradis Framework
  • Si no logras comprometer una máquina, intentar con otra, en ocasiones mientras atacas una máquina encuentras lo que te faltaba para comprometer otra.
  • El curso es agotador y si quieres presentar el examen, te recomiendo tomar un tiempo prudencial entre la finalización del curso y el examen, principalmente para estar en buenas condiciones para afrontar casi 48 horas de tensión.
  • Guardar en un directorio independiente los exploits que te han servido contra una máquina determinada y separar el archivo original del archivo modificado, ya que muy probablemente tendrás que modificar algunos exploits disponibles públicamente para que te funcionen y esas modificaciones las tienes que reflejar en los informes que debes presentar al final del examen.
  • Recordar que las máquinas del laboratorio pueden ser “revertidas” o lo que es lo mismo, reiniciadas a su estado original, esto ahorra tiempo y quebraderos de cabeza cuando un exploit, inexplicablemente deja de funcionar en un momento dado.
  • Si tienes un ordenador con arquitectura de 64 bits, recuerda que en las practicas se asume una arquitectura de 32 bits, así que lo que se compile en tu ordenador con GCC, no será compatible con tu máquina del laboratorio para llevar a cabo las practicas. Compila siempre con modo de compatibilidad a 32 bits.
  • Si no entiendes algo o tienes cualquier tipo de dificultad, puedes entrar en el chat IRC de Offsec y preguntar, siempre hay alguien disponible para ayudarte.
  • Si decides tomar el curso te encontrarás con máquinas como “pain”, “sufference”. Lo mejor que puedes hacer con ellas es tener paciencia y dedicar mucho tiempo en recolectar información. También ayuda leer el blog de g0tm1lk: http://g0tmi1k.blogspot.com.es/2011/08/basic-linux-privilege-escalation.html

Pues lo dicho, un reto muy interesante y didáctico que recomiendo a cualquiera que desee probar sus habilidades en un entorno legal y sobre todo:

Tener una certificación que realmente vas a valorar, porque te va a costar conseguirla y todo lo que cuesta conseguir, se suele apreciar mucho más.

Por último, si quieres presentar el curso y tienes alguna duda que no se te ha resuelto con esta pequeña “review”, me podras encontrar casi siempre en el canal #offsec con el nick “Adastra”, publica un comentario aquí o escribe a mi correo de contacto.
Con esta certificación, cada centimo que gastas, realmente merece la pena.