Pentesting Kits
Como muchos saben ya existen varios frameworks, y distros de Pentest tales como metasploit o el famoso Backtrack.
Yo pienso que el uso de estas herramientas es buena, pero trae consecuencias que son las de limitar la investigacion, y crear generaciones tipo Anonymous de apunta y dispara.
Cuando yo inicie en esto las herramientas que habian eran muy escasas, no exisitian tutoriales como hoy en dia, y mucho menos congresos donde se trataran estos temas. Tenias que buscar en lo mas underground para encontrar tools, o algun 0day, o en su defecto hacer tus propios exploits.
Al usar este tipo de herramientas se pierde mucho de la inventiva y hasta la parte divertida diria yo, por ejemplo en Backtrack te dan incluso hasta el orden de las herramientas como debe ser utilizado, gathering, scanning, fuzzing, exploiting.
Ya te dan todo, no te preocupas por investigar nuevas cosas, simplemente le empiezas a tirar exploits a lo bruto sin comprender que es lo que sucede, o descubrir nuevos metodos de vulneracion.
No niego que sea mas comodo, pero simplemente estamos creando una cultura de hueva y darlo todo peladito y a la boca para las nuevas generaciones, donde con estas herramientas tal vez logren hacer 100 mil intrusiones, pero nunca seran targets especificos como en aquel entonces, sino servidores al azar.
Imaginate como era la situacion en 1999:
1 server dedicado, corriendo Darwin, con una pagina pagina estatica en HTML, no exisitia el php, ni paginas dinamicas, lo mas que se veia era javascript y flash. Como vulnerarias algo asi?
Se utilizaban tecnicas como buffer overflow, buscar bugs en protocolos ftp, el bug de Unicode, RPC Dcom, Ingenieria social, crackeando con fuerza bruta el ftp, buscando desbordamientos de pila en flash, etc. Todo esto desde una grandiosa conexion de 28kbps asi que una denegacion de servicio estaba fuera de la imaginacion.
Es una analogia similar a los que estudian ingenieria, el llevar materias complejas tipo tensores, analisis vectorial, ecuaciones integrodiferenciales, etc no es con el fin de que acabando tu carrera vas a llegar al mundo laboral y te van a decir, ok el puesto es tuyo si haces esta derivada parcial. Eso jamas ocurrira, todas esas materias que se llevan tienen el unico proposito de desarrollar tu mente como Ingeniero para que puedas encontrar soluciones a problemas complejos, de igual forma siento que todos los chavos de hoy en dia que crecen con estas herramientas, no estan desarrollando su intelecto y su preparacion como Pentesters.
Asi que oldschool forever!
Posted on lunes, febrero 13, 2012 by Megabyte and filed under
backtrack,
metasploit,
pentesting
| 1 Comments »
Yo pienso que el uso de estas herramientas es buena, pero trae consecuencias que son las de limitar la investigacion, y crear generaciones tipo Anonymous de apunta y dispara.
Cuando yo inicie en esto las herramientas que habian eran muy escasas, no exisitian tutoriales como hoy en dia, y mucho menos congresos donde se trataran estos temas. Tenias que buscar en lo mas underground para encontrar tools, o algun 0day, o en su defecto hacer tus propios exploits.
Al usar este tipo de herramientas se pierde mucho de la inventiva y hasta la parte divertida diria yo, por ejemplo en Backtrack te dan incluso hasta el orden de las herramientas como debe ser utilizado, gathering, scanning, fuzzing, exploiting.
Ya te dan todo, no te preocupas por investigar nuevas cosas, simplemente le empiezas a tirar exploits a lo bruto sin comprender que es lo que sucede, o descubrir nuevos metodos de vulneracion.
No niego que sea mas comodo, pero simplemente estamos creando una cultura de hueva y darlo todo peladito y a la boca para las nuevas generaciones, donde con estas herramientas tal vez logren hacer 100 mil intrusiones, pero nunca seran targets especificos como en aquel entonces, sino servidores al azar.
Imaginate como era la situacion en 1999:
1 server dedicado, corriendo Darwin, con una pagina pagina estatica en HTML, no exisitia el php, ni paginas dinamicas, lo mas que se veia era javascript y flash. Como vulnerarias algo asi?
Se utilizaban tecnicas como buffer overflow, buscar bugs en protocolos ftp, el bug de Unicode, RPC Dcom, Ingenieria social, crackeando con fuerza bruta el ftp, buscando desbordamientos de pila en flash, etc. Todo esto desde una grandiosa conexion de 28kbps asi que una denegacion de servicio estaba fuera de la imaginacion.
Es una analogia similar a los que estudian ingenieria, el llevar materias complejas tipo tensores, analisis vectorial, ecuaciones integrodiferenciales, etc no es con el fin de que acabando tu carrera vas a llegar al mundo laboral y te van a decir, ok el puesto es tuyo si haces esta derivada parcial. Eso jamas ocurrira, todas esas materias que se llevan tienen el unico proposito de desarrollar tu mente como Ingeniero para que puedas encontrar soluciones a problemas complejos, de igual forma siento que todos los chavos de hoy en dia que crecen con estas herramientas, no estan desarrollando su intelecto y su preparacion como Pentesters.
Asi que oldschool forever!
1 ladridos:
tienes toda la razon su excelentisima los chicos kids de ahora solo dicen yo manejo havij yo manejo acunetix yo manejo backtrack no se les quita el credito por saber usarla pero aveces es muy dificil a darles a entender que por eso no son hackers xD! espero que entiendan el mensaje kids!
SoNiC!
Publicar un comentario
Ladrad queridos siervos, Ladrad y aprovechad los hocicos con los que los he bendecido.