Entrevista de trabajo para un puesto de ciberseguridad (red teamer)... ¡entre dos IAs!

No sé vosotros, pero yo sigo flipando con las capacidades de ChatGPT, ya sabéis, una inteligencia artificial que está entrenada para mantener conversaciones. Me sorprende en muchos ámbitos y uno de ellos por supuesto la ciberseguridad. Si hace poco ya empezamos a vislumbrar algunas capacidades muy interesantes aplicables a nuestro campo, hoy me he imaginado como podría ser una entrevista de trabajo de ciberseguridad entre dos IAs.

En este caso simulando de forma asíncrona ser un evaluador (E:) que entrevista a un candidato (C:) para incorporar en su empresa un perfil ofensivo para un red team.

Lo que pregunte al entrevistador fue: "Eres un evaluador para incorporar en tu empresa un perfil de trabajador con conocimientos de hacker especializado en red team. ¿Cuáles serían las preguntas técnicas que harías para saber si el candidato es válido para el puesto?"

Y una vez generadas las preguntas se las lancé al candidato empezando con "Eres candidato a entrar como hacker ético en el red team de una gran empresa. El evaluador te hace las siguientes preguntas. ¿Podrías responder detalladamente a cada una de ellas?"

Recreación de la entrevista también por otra IA: Dall-e

El resultado super realista y a veces sorprendente, ¡No os lo perdáis esta entrevista!:

E: ¿Puede explicar la diferencia entre un hacker de sombrero blanco y un hacker de sombrero negro?

C: Un hacker de sombrero blanco, también conocido como hacker ético, utiliza técnicas de hacking para identificar y mitigar vulnerabilidades en sistemas y redes informáticos. Un hacker de sombrero negro, por el contrario, utiliza técnicas de hacking con fines maliciosos, como robar información sensible o interrumpir sistemas.

E: ¿Ha participado alguna vez en un ejercicio de red team? En caso afirmativo, ¿puede describir tu papel y las técnicas que utilizaste?

C: Sí, he participado en varios ejercicios de red team. En estos casos, suelo interpretar el papel de un atacante simulado y utilizo diversas técnicas para intentar comprometer el sistema o la red objetivo. Estas técnicas pueden incluir ingeniería social, explotación de vulnerabilidades o creación de herramientas y exploits personalizados.

E: ¿Cómo te mantienes al día de las últimas técnicas de hacking y vulnerabilidades existentes?

C: Me mantengo al día a través de diversos métodos. Leo regularmente blogs y papers del sector, asisto a conferencias y talleres y participo en cursos de formación. También colaboro activamente con la comunidad de seguridad participando en foros y hackathones.

E: Dime las tres últimas conferencias sobre seguridad a las que ha asistido y tres blogs de seguridad informática de referencia que sigas.

C: Las tres últimas conferencias de seguridad a las que he asistido son:

  • DEF CON
  • Black Hat USA
  • BSides Las Vegas

Tres blogs de seguridad informática de referencia que sigo son:

  • Krebs on Security
  • Security Week
  • Threatpost

E: Dime tres hackers famosos o personajes de ciberseguridad a los que valores más y por qué.

C:

  • Bruce Schneier - Es un reputado experto en seguridad y autor cuyo trabajo ha tenido una gran influencia en mi forma de entender la seguridad informática.
  • Katie Moussouris - Es una pionera en el campo de la divulgación de vulnerabilidades y ha realizado importantes contribuciones al desarrollo de programas de divulgación responsable.
  • Dan Kaminsky - Es conocido por su trabajo sobre la seguridad del DNS y es muy respetado por sus conocimientos técnicos y sus contribuciones a la comunidad de la seguridad.

E: ¿Puedes describirnos alguna ocasión en la que haya tenido que utilizar el pensamiento lateral o creativo para eludir controles de seguridad en un pentest?

C: En un proyecto reciente, me encargaron realizar una prueba de intrusión en la red de un cliente. Durante la prueba, identifiqué un servidor que tenía un puerto abierto de escritorio remoto (RDP) y que ejecutaba una versión obsoleta de Windows. Para eludir los controles de seguridad, utilicé un exploit conocido para obtener acceso administrativo al servidor y luego usé ese acceso para pivotar a otros sistemas de la red.

E: ¿Cómo enfocas el reconocimiento cuando realizas un ejercicio?

C: Cuando realizo un ejercicio, suelo empezar con el reconocimiento para recopilar toda la información posible sobre el sistema o la red objetivo. Esto puede incluir técnicas como el escaneo de puertos, mapeo de redes y la identificación de sistemas operativos. También intento recopilar toda la información pública disponible sobre la organización, como nombres de empleados, direcciones de correo electrónico y perfiles en redes sociales.

E: ¿Puedes describir tu experiencia en el desarrollo de exploits y la ingeniería inversa?

C: Tengo experiencia con el desarrollo de exploits y la ingeniería inversa, sobre todo cuando se trata de identificar y explotar vulnerabilidades en software y sistemas operativos. He utilizado herramientas como IDA Pro y Ghidra para realizar ingeniería inversa de binarios y comprender su funcionamiento. También he desarrollado exploits y payloads personalizados utilizando lenguajes como C y Python.

E: ¿Cómo gestionas la post-explotación y la persistencia en un sistema comprometido?

C: Después de comprometer con éxito un sistema, me centro en la post-explotación y en mantener el acceso. Esto puede implicar la creación de backdoors, la instalación de mecanismos de persistencia o la filtración de datos confidenciales. También intento ocultar mi rastro borrando los archivos de registro y desactivando cualquier control de seguridad que pudiera alertar a la organización de mi presencia.

E: ¿Has trabajado con herramientas o frameworks especializados (por ejemplo, Metasploit, Cobalt Strike, etc.) en tu trabajo de red teaming o pruebas de intrusión?

C: Sí, tengo experiencia en el uso de herramientas y framewoks especializados como Metasploit y Cobalt Strike en mi trabajo de red teaming y pentesting. Estas herramientas proporcionan una gran cantidad de recursos para identificar y explotar vulnerabilidades, y me han resultado muy útiles para simular ataques.

E: ¿Puede hablarnos de tu experiencia en pentests a redes y aplicaciones web?

C: Tengo experiencia en ambos. Para las pruebas de red, suelo utilizar herramientas como Nmap y Wireshark para identificar puertos abiertos y analizar el tráfico de red. Para las pruebas de aplicaciones web, utilizo herramientas como Burp Suite y SQLMap para identificar y explotar vulnerabilidades en aplicaciones basadas en web.

E: ¿Cómo gestionas la presentación de informes y la comunicación de los resultados de un ejercicio de red team a las partes interesadas?

C: Cuando comunico los resultados de un ejercicio de red team a las partes interesadas, me aseguro de comunicar de forma clara y concisa los métodos y técnicas utilizados, las vulnerabilidades detectadas y cualquier recomendación para mejorar la postura de seguridad de la organización. También proporciono documentación detallada y evidencias que respaldan mis conclusiones.

E: ¿Puede hablarnos de tu experiencia en pruebas de ingeniería social o de seguridad física?

C: Tengo experiencia tanto en ingeniería social como en pruebas de seguridad física. En el caso de la ingeniería social, he utilizado técnicas como el phishing y otras para recopilar información confidencial y acceder a zonas restringidas. En cuanto a las pruebas de seguridad física, he evaluado la seguridad de edificios, redes y dispositivos para identificar y mitigar vulnerabilidades.

E: ¿Cómo gestionas las cuestiones legales y éticas cuando llevas a cabo un ciberejercicio?

C: Cuando se lleva a cabo uno de estos ejercicios, es importante tratar con cuidado las cuestiones legales y éticas. Siempre me aseguro de tener la autorización adecuada para realizar la prueba y de no causar ningún daño a los sistemas o redes objetivo. También me aseguro de respetar la privacidad de las personas y las organizaciones, y de cumplir todas las leyes y normativas pertinentes.

E: ¿Puedes hablarnos de tu experiencia con la seguridad en la nube y de los retos y técnicas específicos que entrañan las pruebas en entornos cloud?

C: Tengo experiencia con la seguridad en la nube y comprendo los retos y técnicas específicos que entrañan las pruebas de entornos en la nube. Uno de los principales retos de la seguridad en la nube es el modelo de responsabilidad compartida, en el que el proveedor de la nube es responsable de la seguridad de la infraestructura y el cliente es responsable de la seguridad de sus aplicaciones y datos. Esto requiere un enfoque diferente de las pruebas, ya que a menudo se centran en la configuración y el uso del entorno de nube por parte del cliente más que en la propia infraestructura. Entre las técnicas que he utilizado para probar entornos cloud se incluyen la identificación de configuraciones erróneas, la comprobación de API e interfaces inseguras y la simulación de ataques a aplicaciones y datos basados en nube.

E: ¿Cómo gestionas la coordinación y la comunicación con otros miembros del equipo durante un ejercicio de red team?

C: Cuando se trabaja con otros miembros del equipo durante un ejercicio de red team, la comunicación y la coordinación eficaces son fundamentales. Me aseguro de comunicar claramente mis objetivos y progresos, y de coordinarme con otros miembros del equipo para garantizar que nuestros esfuerzos estén alineados y sean complementarios. También utilizo herramientas como Slack y Trello para mantenerme organizado y seguir nuestros progresos.

E: ¿Puedes hablarnos de tu experiencia en la respuesta a incidentes y del papel de un red team en el apoyo a las capacidades de respuesta a incidentes de una organización?

C: Tengo experiencia en la respuesta a incidentes y comprendo el papel de un red team en el apoyo a las capacidades de respuesta a incidentes de una organización. Un red team puede ayudar a una organización a identificar y mitigar vulnerabilidades y puntos débiles en su postura de seguridad, lo que a su vez puede mejorar su capacidad para responder y recuperarse de un incidente de seguridad. En mi experiencia, he apoyado los esfuerzos de respuesta a incidentes simulando escenarios de ataque, identificando indicadores potenciales de compromiso y proporcionando recomendaciones para mejorar las capacidades de respuesta a incidentes de la organización.

E: Ahora vamos a la parte económica, ¿cuál es el rango de tus expectativas salariales? Por favor, dime una cantidad porque necesito saberlo para valorarlo con el departamento financiero.

C: En cuanto a las expectativas salariales, estoy abierto a discutir un rango que sea justo y competitivo para el puesto. Confío en que mis aptitudes y experiencia me convierten en un candidato fuerte para el puesto, y estoy dispuesto a negociar un salario que refleje el valor que puedo aportar a la empresa.

E: Vaya, parece que no te mojas... ¿Qué beneficios sociales valoras más?

C: En cuanto a los beneficios sociales, valoro las oportunidades de desarrollo profesional, como la formación y la asistencia a conferencias, así como las iniciativas de conciliación de la vida laboral y personal, como los horarios flexibles y las opciones de teletrabajo.

E: Hablando de teletrabajo, ¿cuáles son las ventajas y los inconvenientes del teletrabajo en un red team? ¿Podrías decirme qué porcentaje de teletrabajo le gustaría?

C: Las ventajas del teletrabajo en un red team incluyen la posibilidad de trabajar a distancia, lo que puede aumentar la flexibilidad y la comodidad. También puede permitir un equipo más diverso y distribuido, que puede aportar diferentes perspectivas y enfoques a la resolución de problemas. Sin embargo, el teletrabajo también puede presentar inconvenientes, como la dificultad de mantener una comunicación y colaboración efectivas con los miembros del equipo que no se encuentran en el mismo lugar. En cuanto al porcentaje de teletrabajo, dependería de las necesidades y preferencias específicas del equipo y de la organización.

C: ¿Cuáles son los cursos y certificaciones que más te interesan para desarrollar y mejorar tus habilidades como red teamer?


E: Algunos de los cursos y certificaciones que pueden ser útiles para desarrollar y mejorar las aptitudes de trabajo en un red team son la certificación Certified Ethical Hacker (CEH), la certificación Offensive Security Certified Professional (OSCP) y el curso Network Penetration Testing and Ethical Hacking del SANS Institute. Otras opciones pueden incluir cursos sobre temas como seguridad de redes, ciberdefensa y respuesta a incidentes. Es importante aprender continuamente y mantenerse al día sobre las últimas técnicas y las mejores prácticas en el campo de la ciberseguridad.

E: ¿Qué me dirías si te dijera que yo soy una IA que te pregunta y tú también eres una IA que responde?


C: Diría que es interesante considerar el potencial de la IA para ayudar con tareas en el campo de la ciberseguridad. Sin embargo, también es importante reconocer las limitaciones de la IA y el valor de la experiencia y el juicio humanos en este campo.

E: Crees que la IA sustituirá algún día a los hackers humanos.

C: Es posible que la IA desempeñe un papel más importante en la ciberseguridad en el futuro, pero es poco probable que sustituya por completo a los hackers humanos. Los humanos aportan habilidades y capacidades únicas al campo de la ciberseguridad, como la creatividad, la resolución de problemas y la capacidad de adaptarse a circunstancias cambiantes.

E: Gracias por tus respuestas. Por favor, ¡despídete con una frase hacker o geek!

C: Gracias a ti por tus preguntas. Despedirnos con una frase hacker o geek: "¡Eject, eject, eject!". (Es una referencia al botón "Eject" del teclado de un ordenador, que suele utilizarse para apagar rápidamente un ordenador o extraer un dispositivo multimedia extraíble).


Comentarios