Categorías
Hacking

Aprende los fundamentos de la ciberseguridad

En la plataforma de THW hay un nuevo curso online que se encuentra disponible en preventa con un descuento especial durante el mes de Julio y Agosto. El curso del que os hablo es sobre los fundamentos de la ciberseguridad y surge debido a que sois muchas las personas que queréis aprender sobre estos temas pero no sabéis cómo ni por dónde empezar. La ciberseguridad es muy compleja y se compone de múltiples especializaciones, por lo tanto es normal que una persona que está empezando en esto se sienta perdida. La visión de todas las formaciones y actividades desempeñadas en The Hacker Way, tanto por mi como las personas con las que colaboro, se basa en la misma premisa: Ayudar a cumplir objetivos y aportar conocimiento. Esto es así tanto para los servicios a empresas como la formación online disponible para profesionales y por este motivo, este curso esta pensado para empezar desde cero, aportando las bases necesarias y suficientes para avanzar en el mundo de la ciberseguridad y que no te sientas tan perdido cuando intentes asimilar conceptos que requieren unos conocimientos previos o afrontar otras formaciones más avanzadas como las que impartimos en Securízame sobre Hacking ético.

Ahora bien, puede que ya tengas afianzados estos conocimientos, pero es posible que alguna persona especial para ti como un familiar (como por ejemplo tu hijo) o algún amigo pueda beneficiarse de este curso y descubrir que su vocación es la ciberseguridad, puedes regalarle este curso y te aseguro que será un gran aporte para la formación de esa persona.

Para que te hagas una idea más completa de cómo está estructurada esta formación, explicaré a continuación los temas que se ven en cada volumen, además puedes descargar el temario para ver de forma más detallada lo que se enseña en ambos volúmenes.

Descarga el temario del curso Fundamentos de la Ciberseguridad – Volumen 1

Descarga el temario del curso Fundamentos de la Ciberseguridad – Volumen 2

Fundamentos de la ciberseguridad volumen 1.

Se trata de la primera parte de la formación, en donde se empieza explicando el funcionamiento básico de cualquier sistema operativo. A continuación, aprenderás a  crear y configurar máquinas virtuales con diferentes tipos de sistemas operativos, esto servirá para que puedas montar un entorno de pruebas básico. Partiendo de este punto, seguimos con los fundamentos y el uso básico/intermedio de los sistemas basados en Linux, especialmente el uso de la terminal y los comandos más importantes que cualquier persona que se dedique a la ciberseguridad debería conocer. Dado que no solamente trabajamos con sistemas de este tipo, también se explican los fundamentos de sistemas Windows, de tal forma que podrás aprender cómo ejecutar instrucciones desde el CMD para la gestión y/o administración del sistema.
El siguiente punto a tratar en éste curso está orientado al tema de las redes de ordenadores. En él aprenderás los modelos OSI y TCP/IP que desde luego, representan la base fundamental de las redes. A continuación, se explican los protocolos TCP, UDP y otros que se basan en estos dos. En este punto verás cómo capturar paquetes de datos y  aprender todos los conceptos fundamentales de las redes desde una perspectiva completamente práctica, de tal manera que asimilarás los conocimientos mucho mejor.
Teniendo las bases de sistemas operativos y redes, pasamos a los fundamentos de la programación y algoritmia. Se explica qué es un algoritmo y para qué sirven los lenguajes de programación así como sus correspondientes clasificaciones. Una vez aprendidos estos conceptos, se procede a explicar la sintaxis básica de Bash y Python, de tal manera que podrás crear programas sencillos en estos dos lenguajes de scripting. Aprenderás cosas tan importantes como la definición de variables y funciones, flujo de control, instrucciones condicionales y repetitivas (bucles), estructuras de datos, etc.
Finalmente, el último módulo de la formación está orientado a los conceptos básicos de la criptografía. Se explican los fundamentos y terminología básica, tipos de algoritmos, criptografía de clave simétrica y asimétrica, funciones one-way y hashes, así como una introducción al funcionamiento de PKI, certificados y firmas digitales.
¿Te ha gustado lo que has visto hasta ahora? espera que hay más.

Descarga el temario del curso Fundamentos de la Ciberseguridad Volumen 1

Fundamentos de la ciberseguridad volumen 2.

Si bien con el volumen 1 ya se han explorado las bases de la informática en general y se explican los conocimientos comunes a prácticamente cualquier rama de IT, en éste segundo volumen seguimos con fundamentos de ciberseguridad y las bases necesarias sobre seguridad defensiva y ofensiva.
En este curso empezamos hablando de los conceptos básicos de la seguridad informática y la ciberseguridad, términos fundamentales utilizados en entornos empresariales, conceptos básicos sobre las políticas de seguridad y bastionado de sistemas.
A continuación se habla sobre los fundamentos del Hacking ético, en donde se exploran las diferentes metodologías existentes y las técnicas básicas orientadas a la seguridad ofensiva. A continuación, se habla sobre cómo se ejecutan auditorías internas y externas así como la detección básica de posibles defectos o vulnerabilidades. En el siguiente módulo aprenderás las bases del mundo web, explicando las diferentes tecnologías y lenguajes de programación disponibles en estos entornos con el objetivo de que entiendas cómo se construyen las aplicaciones web que consultas diariamente. En este módulo también se enseñan los conceptos básicos de las aplicaciones para móviles y cómo se realizan procedimientos de auditoría sobre ellas, en este caso orientado específicamente a Android.
Finalmente, en el último módulo de la formación aprenderás sobre la instalación y configuración de algunas de las aplicaciones de seguridad perimetral más habituales, entre las que se incluyen cosas como configuración de firewalls, IDS/IPS, HoneyPots, SIEMs, etc. En este módulo aprenderás de qué va la seguridad defensiva y cómo poner en práctica las políticas de seguridad definidas por una organización.

Descarga el temario del curso Fundamentos de la Ciberseguridad – Volumen 2

 

Espero que sea de tu interés y si tienes alguna pregunta o comentario, no dudes en ponerte en contacto.

Un saludo y Happy Hack!
Adastra.

Categorías
automatizacion devsecops Hacking

10 plugins para Jenkins que pueden ayudar a definir tu DevOps y DevSecOps – Parte 2 de 2

Demostración en vídeo del post

En la primera parte de esta serie se han mencionado 5 plugins interesantes que pueden ser útiles a la hora de definir tu DevOps/DevSecOps y en esta ocasiones, se mencionarán 5 más.

Snyk Security Scanner

Snyk es una herramienta del tipo SAST que se encarga de analizar proyectos y detectar defectos relacionados con dependencias vulnerables, imágenes de contenedores y el código fuente propiamente dicho. Es una herramienta que soporta los lenguajes de programación más comunes, entre los que destacan Node.js, Golang, Java, Python, Ruby, entre otros.
Este plugin para Jenkins se encarga de utilizar la API Rest disponible en una cuenta de Snyk y ejecutar pruebas del tipo SAST desde un pipeline, algo que como se ha mencionado en otros posts, es deseable a la hora de automatizar procesos en el DevSecOps.

Anchore Container Image Scanner

Anchore Engine es una herramienta que permite analizar imágenes de contenedores Docker con el objetivo de detectar vulnerabilidades. Este plugin permite que desde un job en Jenkins se pueda automatizar la ejecución de estas pruebas utilizando la API disponible en Anchore Engine. El plugin permite realizar la integración con esta herramienta desde un pipeline o un paso de construcción en un job del tipo «free-style», lo único que hay que tener en cuenta es que la herramienta se debe encontrar en ejecución, con la API habilitada y accesible a los workers de Jenkins.

Audit Trail

Es un complemento que permite generar logs sobre las acciones más interesantes para el administrador, como por ejemplo quién ha ejecutado jobs, cuándo se han llevado a cabo procesos de autenticación o qué cambios de configuración se han llevado a cabo en alguno de los workers de Jenkins. Además de permitir la generación de los logs en ficheros de texto concretos, también se puede conectar con un servicio de SYSLOG remoto para enviar los eventos producidos, algo que puede ser especialmente útil a la hora de centralizar las trazas de aquellas actividades criticas que se ejecutan en el servidor.

OWASP Dependency-Check

Dependency-Check es uno de los proyectos insignia de la comunidad OWASP y este plugin permite la ejecución de la herramienta desde cualquier job, ya sea del tipo «free-style» o pipeline. Esta herramienta permite realizar comprobaciones sobre las librerías y cualquier dependencia que se esté utilizando en el proyecto para determinar si existen vulnerabilidades conocidas.

Active Directory

Se trata de un complemento que permite delegar el proceso de autenticación a un directorio activo. Jenkins reconoce todos los grupos a los que pertenece el usuario en el Active Directory y con esto, se puede configurar Jenkins para tomar decisiones de autorización, por ejemplo se podría establecer la seguridad basada en matriz como la estrategia de autorización y permitir que uno o varios grupos concretos puedan administrar Jenkins o ejecutar jobs. En otras palabras, la gestión de la seguridad, junto con los permisos y grupos viene dada por la información del Active Directory.

Se trata de una serie muy corta, en la que de forma resumida se explican los plugins que en mi opinión, son útiles en a la hora de definir tu DevOps o DevSecOps. Si te ha interesado o conoces algún otro plugin que merezca estar en la lista, deja un comentario.

Un saludo y Happy Hack!
Adastra.

Categorías
automatizacion devsecops Hacking Programacion

10 plugins para Jenkins que pueden ayudar a definir tu DevOps y DevSecOps – Parte 1 de 2

Demostración en vídeo del post

Jenkins es una de las herramientas más utilizadas en el mundo del CI/CD y por supuesto, del DevSecOps. Sus características le han permitido ganar una cuota de mercado amplia, a la fecha de redactar este post es posiblemente la solución más extendida en equipos de DevOps en las empresas españolas. Por este motivo, merece la pena conocer sus funcionalidades y en esta ocasión, os traigo 10 complementos para Jenkins que soportan las actividades del SDLC, DevOps y DevSecOps. Además, te recuerdo que tienes disponible el curso Técnicas y herramientas aplicadas a DevSecOps en el que aprenderás a realizar procesos de CI/CD con Jenkins y la integración de un amplio conjunto de herramientas del tipo SAST y DAST.

1. Kubernetes

Se trata de un complemento interesante que permite ejecutar múltiples agentes de Jenkins dentro de un cluster de Kubernetes. Su funcionamiento consiste en la creación de un POD en Kubernetes para cada agente que se quiera desplegar en el enjambre y se encarga de detenerlo después de cada construcción.
Los agentes se lanzan como «inbound agents», por lo que el contenedor se conectará automáticamente al servidor central de Jenkins cuando sea necesario ejecutar una job de estilo libre o pipeline. Cuando dicho job finaliza, el contenedor se destruye automáticamente.

2. Monitoring

JavaMelody es una aplicación muy conocida entre desarrolladores de J2EE y sirve para monitorizar las aplicaciones que se despliegan en un servidor web para detectar picos de carga y posibles problemas de rendimiento, así como ejecutar algunas otras operaciones de gestión del desempeño básicas. Jenkins está desarrollado en Java, por lo que resulta natural que este plugin se encuentre disponible en la plataforma para medir el rendimiento y generar métricas sobre su uso.

3. Nuclei

Entrando en el terreno del DevSecOps, existe un complemento que permite integrar Jenkins con Nuclei. Si bien es algo que se puede hacer utilizando un pipeline de Jenkins, tal como se enseña en el curso de Técnicas y herramientas aplicadas a DevSecOps, este complemento puede ser una alternativa. Su funcionamiento es simple, descarga el binario de nuclei desde el repositorio oficial y a continuación, hace lo mismo con las plantillas incluidas en el repositorio de nuclei-templates. Finalmente, le permite al usuario crear un job de estilo libre en el que uno de los pasos de ejecución puede ser un escaneo con nuclei, en donde solo hace falta indicar la URL de la aplicación web que se debe escanear.

4. Probely Security

Probely es otra herramienta que permite el análisis de vulnerabilidades en aplicaciones web en ejecución, es decir, una herramienta del tipo DAST en un pipeline de DevSecOps. A diferencia de Nuclei que se ejecuta localmente, Probely se ejecuta en un servicio online que ejecuta el proceso de escaneo de forma automática cuando recibe una orden de ejecución. Para integrar Jenkins con esta herramienta, es necesario dirigirse a la sección de «integraciones» disponible en  dicho servicio y a continuación, generar un token que deberá ser incluido en la sección de credenciales de Jenkins. Este plugin permite la ejecución de Probely sobre una aplicación concreta desde un job de estilo libre o un pipeline.

5. Uleska

Por otro lado nos encontramos con Uleska. Un servicio interesante que ejecuta múltiples herramientas del tipo DAST y SAST sobre una aplicación web, a continuación hace un «merge» de los descubrimientos de cada una de ellas y finalmente enseña un informe. Se puede integrar en Jenkins y otras soluciones de CI/CD, por lo que representa una plataforma interesante y que llama poderosamente la atención cuando nos fijamos en la cantidad de herramientas que integra. La versión gratuita permite un máximo de 100 peticiones al mes, lo cual suele ser suficiente para hacer algunas pruebas y hacerse con una idea sobre cómo funciona y a partir de ese punto, es posible que resulte interesante adquirir un plan de pago en el que no se tengan tantas restricciones de uso.

Hemos visto 5 plugins para Jenkins que vienen muy bien cuando se trabaja siguiendo la cultura de DevOps/DevSecOps y el próximo articulo te enseñaré 5 más, no obstante, en tu opinión ¿qué otro plugin para Jenkins podríamos incluir en esta lista?

Un saludo y Happy Hack!
Adastra.