Peces del DSC

Se peinaba a la Otto
el instructor ke kizo enseñarme a hackear
en el plan BSC.

Primavera de un congreso
amarillo y frugaz como el sol
del veranillo de CU.

Hay quien dice que fui yo
el primero en olvidar
cuando en un capture the flag
ejecute mi primer exploit.

En la fatua DGSCA
da más sombra que los arbolillos
"los Bigotes" del metro CU,
pero en las grandes "islas"
las sirenas pasadas de copas
no dejan reír ni volar
y, en el coro de PBSC,
desafina un mat.
No hay más ley que la fiebre fanatica
en la cantera de un gato montes.

Y desafiando el oleaje
sin timón ni timonel,
por mis sueños va, ligero de equipaje,
sobre un proyecto ke no es,
mi certificacion de viaje,
luciendo los tatuajes
de un pasado bucanero,
con merecido avionazo
a los lideres ke no saben ser.

Y cómo huir
cuando no quedan
islas para naufragar
al país
donde los becarios se retiran
del agravio de buscar
oportunidades que sacan de quicio,
contratos que destilan vicios
tan sumarios que envilecen
el cristal de los acuarios
de los peces del DSC

que mordieron el anzuelo,
que bucean a ras del suelo,
que no merecen nadar.

La inundacion d paqutes udp
era un desmadre d cajas,
el rootkid un niño sin gracia;
el pecado una pagina web.

En DGSCA comprendí
que al lugar donde has sido feliz
no debieras tratar de volver.

Cuando en vuelo regular
pisé el cielo de Universidad
me esperaba un tal JC
que no se acordaba de mí.

Y desafiando el oleaje
sin timón ni timonel,
por mis venas va, ligero de equipaje,
un proyecto ke no es,
y mi certificacion de viaje,
luciendo los tatuajes
de un pasado bucanero,
de un velero a las Vegas
en un rikon de DEFCON

Y cómo huir
cuando no quedan
islas para naufragar
al país
donde los becarios se retiran
del agravio de buscar
oportunidades que sacan de quicio,
contratos que destilan vicios
tan sumarios que envilecen
el cristal de los acuarios
de los peces del DSC

que perdieron las agallas
en comodidades baratas,
ke lloran por no investigar.

Tributo a Joaquin Sabina
Le descompuce su canción pero ni modo... es lo mismo, solo que no soy tan sutil komo el :(

Capturas de tráfico efectivas

Ya hace tiempo mientras navegaba por la red buscando información sobre detección de intrusos, encontré un artículos muy interesante.
Primeramente debo mencionar que lo que buscaba era información sobre cómo analizar el tráfico, como obtener muestras de capturas, etc, y me encontré con el hecho que según la infraestructura de la red, podría verse limitada la captura de muestras de tráfico cuando se trataba de redes switcheadas por ejemplo.
A pesar de que existen métodos que permiten capturar el tráfico en estos casos ya sea mediante software o mediante hardware (TAP), la primera parte de un análisis de tráfico es obtener muestras del mismo. Esta tarea no es tan trivial..

En mi experiencia, según la herramienta con la que se realice la captura se pueden tener resultados variables durante el análisis. Hago una cita que me parece muy cierta:
"Una de las desventajas de utilizar un sniffer es que puede ser detectado por otras máquinas. Existen varias formas de evitar la detección, como configurar el rastreador sin una dirección IP. Sin embargo, ninguna de ellas es tan efectiva como el uso de cables de sólo recepción (receive-only cables) o cables sniffing. Estos cables permiten a un sniffer monitorizar el tráfico de red sin ser detectado. Por ello, han demostrado ser especialmente útiles en entornos con Sistemas de Detección de Intrusiones (IDS), o tecnologías `honeypots' (como las `Honeynets' (Redes Trampa))."

En realidad la captura de tráfico a pesar de parecer una tarea sencilla puede convertirse en un gran dolor de cabeza para los analistas de tráfico si no está debidamente capturado. Dejo aquí una liga para aquellos interesados en aprender una manera muy efectiva de capturar tráfico sin ser detectado y que puede traer resultados positivos para un mejor análisis del mismo, me refiero a la creación de Cables de solo recepción.

http://www.dgonzalez.net/pub/roc_es/

El fondo marino es el próximo objetivo de Google Earth

La compañía se dispone ahora a explorar una nueva área. Según la publicación News.com, la compañía invitó recientemente a una serie de expertos en oceanografía a sus oficinas en diciembre pasado. En la oportunidad se discutió un servicio que por ahora es denominado Google Ocean, y que no está directamente relacionado con el proyecto francés del mismo nombre, aunque éste mismo está basado en Google Earth.

Según expertos, es poco probable que Google pueda cubrir todo el fondo marino a corto plazo. Hasta el momento, sólo porciones reducidas del océano han sido analizadas en detalle con ecosonda.

“Se necesitaría que 100 barcos analizan durante varios años los mares del mundo para poder crear mapas de alta resolución, declaró Dave Sandwell, catedrático de Geofísica del Instituto de Oceanografía Scripps. “Esperamos que los resultados de Google permitan entender cuánto resta aún por explorar. Sabemos más sobre la superficie de Marte después de algunas semanas de supervisión con radar desde satélites, que lo que sabemos del fondo del mar después de 2 siglos". Declaró el experto.

Linux atrofia la mente!!!!!

Quizá parezca aventurada la frase pero es verdad. Con ello no pretendo entrar en controversia sobre cual es el mejor Sistema Operativo que existe en la actualidad, pues la respuesta a polemica pregunta sera siempre algo como cualquier sistema bien administrado.

Entonces, a que viene la frase linux atrofia la mente; es sencillo: a poner en claro que no todo quien sepa "linuxear" ya sabe UNIX. A lo largo de mi corta vida en el ambito TI me he encontrado con gente que dice saber Unix cuando siempre han usado alguna distro GNU/Linux. Que quede claro en este punto, no estoy diciendo de alguna forma en que sea malas las distros, solo que siempre hay que saber bien que es lo que estamos haciendo, es decir, tener los pies en la tierra.

Imaginese entonces que quisieras hacer una Certificacion en Sistemas Operativos Unix y siempre has manejado Linux... los resultados serian predecibles. No hay que dormise en los laureles. Si quieres aprender Unix, administra un Unix, no hay de otra. Si quieres correr primero aprende a caminar... o a gatear en el peor de los casos. Comienza con una distro bondadosa pero no t quedes en ella... da el siguiente paso, salta a Unix, prueba con un BSD o con un SV.

¿En verdad seran tan diferentes uno y otro? El Sr Stallman lo dijo claramente con su acronimo recursivo GNU is not Unix. En cuanto a licencias quiza, pero aun asi GNU/Linux simplifica muchas cosas que para bien o para mal han servido para que quienes estan de este lado vean que todo es facil y no sepan en verdad lo que esta haciendo en si el Sistema Operativo, que en realidad si se hace transparente es porque el Administrador asi lo ve pues el SO hace lo que tiene que hacer.

¿Que hay cuando quieres hacer un hardening? Seguramente sabras en donde comenzar y que es lo que hay que hacer. En la medida que puedas haz todo a manita... existen herramientas que simplifican muchas cosas (levantar servicios, crear usuarios, matar demonios, administrar bitacoras, instalar aplicaciones) pero ya que tienes un GNU/Linux y puedes hacer lo que se te pegue la gana con el, comienza con saber como funcionan. Te sorprenderas quiza que cualquiera de estas herramientas las pudiste haber hecho tu pues solo son scripts en bash o perl, o sencillos programas en C... porque no haces tus propias herramientas?

Y tu, sabes Unix??
Sin piecitos no puedes correr... ya estas peinadito?

Negación de Servico en Sun Solaris en implementaciones TCP

Una vulnerabilidad sobre sistemas operativos Sun Solaris 8,9 y 10 fue reportada en el portal de vulnerabilidades de Secunia. Se considera poco crítica , el impacto recae principalmente en un DoS (Denial of Service), es remota y al parecer ya fue liberado un parche para su corrección.

Descripción

La vulnerabilidad es causada debido a un error dentro de la implementacion TCP y puede ser explotada, como por ejemplo, causa de time out en las conexiones de red o también puede causar gran consumo de recursos de CPU; por medio de una inundación SYN.

Para la exitosa explotacion se requiere que el ndd(1M) tunable "tcp_conn_req_max_q0" reciba una valor más alto que el valor por default de 1024 .

Como ya lo mencioné arriba, esta vulnerabilidad fue reportada para Solaris 8, 9, 10 y también para ambas arquitecturas la SPARC y x86.

Solución:
Actualizaciones.

-- SPARC --
Solaris 8:
Parche 116965-33 o posterior.

Solaris 9:
Parche 114344-35 o posterior.

Solaris 10:
Parche 119998-01 o posterior.

-- x86 --

Solaris 8:
Parche 116966-32 o posterior.

Solaris 9:
Parche 119435-23 o posterior.

Solaris 10:
Parche 119999-01 o posterior.


Saludos!

JCDL

Mitos sobre Segurida Informatica

Veamos cómo algunos de estos mitos de la seguridad informática pueden ser confrontados con argumentos claros.

1. “Mi antivirus está al día, así que no puede entrar ningún virus.”
Actualizar el antivirus es una de las condiciones para mantener la PC saludable, pero está lejos de ser suficiente. Aun al día, el antivirus puede no detectar ciertos invasores que todavía están en “estado salvaje”. Es decir, su código no ha llegado todavía a los laboratorios de las compañías antivirus. Por añadidura, los antivirus ni son infalibles ni sirven para detectar otras amenazas, como el Phishing (estafas por email) y el spyware (software espía).

2. “Tengo un firewall, así que no corro peligro.”
Falso. Aunque los cortafuegos son esenciales, no son perfectos. ¿Qué hace un firewall? Fiscaliza lo que entra y sale de la PC desde y hacia Internet. Así que es tan sólo un programa de computadora que, como tal, puede (y suele) contener errores. Estos errores pueden ser explotados por los piratas para burlar esta defensa. Ataques de esta clase son raros contra una PC individual, pero consignan que el cortafuegos puede ser desactivado por un virus. Para nuestra modesta computadora personal, el firewall es sólo un buen arquero, pero hay penales que nunca podrá atajar.

3. “Uso dos antivirus a la vez, ¿qué puede salir mal?”
Si un solo antivirus no es una receta mágica, tampoco lo serán dos. Y, además, pueden interferirse mutuamente.

4. “Mi PC no le interesa a nadie, no hay peligro.”
Esto era relativamente cierto hasta hace cinco o diez años. Pero ahora nuestra humilde PC hogareña vale oro. ¿Por qué? Porque hay muchas. Si el pirata consigue, por medio de un virus, arrear unos cuantos miles de PC para que intenten conectarse simultáneamente con un sitio Web, éste caerá bajo el peso de la demanda. Además, nuestra PC puede usarse para enviar spam, phishing y otros virus.

5. “Mi backup está al día, así que si pasa algo, puedo restaurar el sistema.”
Uno de los mitos más difundidos; no contempla que también los virus pueden guardarse en un backup. Como otras medidas que se tienen por mágicas, el backup sin una política racional detrás no nos sacará de una emergencia.

6. “Nunca dejo mi mail en ningún sitio ni estoy registrado en páginas Web, así que es imposible que me roben la dirección.”
Falso. Este dato está inscripto en varias partes de la computadora, y en las computadoras de las personas con las que intercambia mensajes. Los virus y sitios maliciosos están diseñados para extraer nuestra dirección de allí.

7. “Después de que entró un virus, reinstalé Windows y listo.”
Si se reinstala Windows sin dar formato al disco, el virus seguirá ahí. El problema de dar formato es que luego habrá que volver a instalar todas las aplicaciones y, previamente, hacer un backup de nuestros documentos, y esta medida no debe darle al virus la oportunidad de escapar al formato.

8. “Tengo todos los parches de Windows instalados, no puede pasar nada.”
Sin duda, mantener el sistema actualizado es una gran medida de seguridad, como el firewall y el antivirus, pero no alcanza. No todos los ataques se producen por medio de errores del sistema.

9. “No uso Outlook Express ni Internet Explorer, así que estoy a salvo.”
Es cierto que estos programas son atacados con mayor frecuencia que otros y que han exhibido docenas de vulnerabilidades. Pero la inmensa mayoría de los virus infectará la PC independientemente del software que usemos para recibir mail o bajar archivos de la Web.

10. “No abro ningún adjunto, los virus no pueden entrar.”
Falso. Hay virus, como el Blaster, que ingresan a la PC sólo por estar conectadas con Internet, si Windows no está debidamente actualizado.

¿Creías en alguno de estos mitos? ahí te va otro:

11. “Mi Equipo tiene GNU/Linux y no soy vulnerable”
Aunque bien es cierto que no hay muchos virus para este sistema operativo, podrías estar entre los desafortunados usuarios que caigan infectados ante una nueva prueba de concepto, también hay otras amenazas que no dependen del sistema operativo como el Phishing.

La solución para tener un equipo más seguro es usar una combinación de herramientas que aunque solas harían poco o nada, juntas pondrán una barrera entre tu equipo e internet:

1. Tener un Software Antivirus acompañado de un Firewall y un Anti Spyware

2. Instalar siempre los últimos parches de seguridad para tu sistema operativo (cualquiera que sea) y de tus aplicaciones (muchas personas piensan que con parchear el sistema operativo es suficiente y dejan de lado la actualización de las aplicaciones que utilizan).

3. Reemplazar el uso de software con un historial alto de vulnerabilidades en el pasado como lo es el Internet Explorer o el Outlook por alternativas más seguras (por ejemplo Mozilla Firefox y Thunderbird) (aunque esto no es garantía de nada es mejor tenerlo a no tenerlo)

Me gustaría conocer algunas de las creencias “mitos” que tiene cada uno , para que entre todos miremos que tan ciertos pueden ser.

Seguridad organizacional

El rápido desarrollo de avances tecnológicos, el rango de impacto en la sociedad, la facilidad de acceso a la internet, y la información que con relativa facilidad proporciona la red de redes ha obligado a muchas empresas y organizaciones mantener sus activos en su mayor parte apoyados en una infraestructura tecnológica, ya sea por facilidad, velocidad, mejora significativa del performance de la empresa o calidad de administración.

Internet es un claro reflejo de la sociedad en la que vivimos y por ello en más de una ocasión se ven reflejados comportamientos bastante específicos de la misma: uno de ellos es la delincuencia.

Hace varios años era muy difícil pensar en personas dedicadas en su vida diaria al crimen en internet, se pensaba en "hackers" como 'seres' muy escasos y casi como un mito. Hoy la realidad es más que obvia, no sólo existen hackers, sino toda una plétora de personajes que van desde el clásico joven que hace uso de herramientas escritas por hackers hasta circulos bien organizados que extorsionan empresas por "protección". El robo de información entre empresas como una forma de competencia es algo que a su jefe debería interesarle,


¿Y cómo puede enferntarse una empresa a este tipo de amenazas ?


Algo que hay que tener muy en cuenta es que la seguridad no implica solamente al departamento de Tecnologías de la Información y, que mucho menos, en el caso de seguridad en cómputo, se resuelve con un firewall, ids, antivirus, etc; seguridad es mucho más que eso, seguridad implica un proceso de mejora continua que inicia con una buena planeación.

Luego, una vez que he implementado "Seguridad" en la organización ¿cómo puedo saber que lo he hecho bien? ¿cómo puedo asegurarle a mis clientes que la organización en donde depositan su confianza es segura?

Las respuestas a estas preguntas varian pero en lo personal yo prefiero prefiero una en particular:


*** Estándares políticas y procedimientos ***


¿Qué son y para qué sirven?
simple: son documentos elaborados por organizaciones y personal con amplia experiencia en su campo que han sido aceptados por la comunidad pertinente y que permite establecer, planear, estructurar, adminsitrar, moritorear y mejorar la seguridad en una empresa basada en buenas prácticas. Esto podría parecer irrelevante, pero dígame usted: ¿Qué tanto vale la información contenida en el servidor de su empresa? ¿Podría continuar el funcionamiento de la misma si por ejemplo algún empleado clave borrara por error la base de datos?

Existen infinidad de estándares, de los que hablaré en mis siguientes entradas, por el día de hoy solo mencionaré algunos y poco a poco lo iré describiendo uno por uno:



* ISO 27001 un estándar propuesto por la ISO/IEC certificable que indica las medidas de seguridad mínimas para un Sistema de Gestión de Seguridad de la Información, lleva varios años en vigor y es uno de los estándares más socorridos en la jerga de seguridad informática.

* COBIT es un marco de trabajo mantenido por ISACA, enfocado a altos directivos e incrustado en el proceso adminsitrativo, está muy bien documentado y está pensado para compaginar bien con una certificación ISO 27001. Se divide en 34 procesos divididos en el proceso admisnitrativo y cuenta con una descripción para cumplir cada uno, mas no describe CÓMO lograrlo, tambien hace uso de un método de evaluación que permite conocer el estado actual de la organización con respecto al mercado.

* OCTAVE es mantenido por el CERT y es un enfoque de evaluación de riesgos para empresas y consta de tres estrategias: la evaluación de riesgos en la empresa con un enfoque organizacional; la evaluación de riesgos con un enfoque tecnológico; y finalmente la elaboración de un plan estratégico de protección y un plan de mitigación de riesgos. El ISO 27001 hace mención de un análisis de riesgos, mas no cómo hacerlo, es aquí en donde entra OCTAVE.


Aun faltan aspectos intersantes que poco a poco iremos desglosando, como los planes de continuidad de la organización, planes de recuperación de desastres y otros más.


Si usted hace uso de uan infraestructura de cómputo en su organización y depende de ella para la continuidad de la misma sería prudente pensar en aplicar alguna medida preventiva.



Y dígame:


Cuando baja de su auto, ¿le pone alarma?



rruiz

A computer virus!!!

En este mundo de la seguridad en el que nos encontramos inmersos, a diario nos enfrentamos con la noticia de que un nuevo virus apareció. Es importante saber qué tipo de virus existen hoy en día para poder combatirlos.

En la actualidad podemos distinguir diferentes virus como:

• VIRUS DE MACRO: Los primeros virus capaces de extenderse a gran velocidad, ya que infectan las plantillas de los archivos de datos y éstos se intercambian mucho más a menudo que los ejecutables. Infectan archivos de datos MS Office-Word, Excel, PowerPoint y Access y son fáciles de crear.

• VIRUS EN INTERNET: La difusión de Internet propicia entornos de trabajo abiertos para las empresas haciendo sus datos más vulnerables a las amenazas de virus. Éstos pueden llegar a través de archivos adjunto o bien bajando archivos infectados de páginas web (entre ellos, OCX).

• VIRUS EN E-MAILS: Se difunden también a gran velocidad al transmitir por correo electrónico archivos infectados. Utilizan técnicas de Ingeniería Social.

• Super Gusanos (Gusanos de 3ª Generación): Muy sofisticados, atacan vulnerabilidades sin participación del usuario, identifican nuevas víctimas automáticamente, incorporan troyanos y utilizan múltiples vectores de ataque.

Virus de última generación

• DoS (Denial of Service): Lanzan ataques de Denegación de Servicio. Las herramientas DoS permiten lanzar ataques a los sistemas para cortar los servicios ofrecidos por éstos. En Internet, el problema se traduce en bloqueo de los principales servicios o en consumo total de recursos limitados de servidores web.

• WAP: Los terminales móviles dotados del protocolo WAP (Wireless Application Protocol) pueden ser objetivo de numerosos virus.

• SYMBIAN: La mayoría de los teléfonos móviles ya incluyen este sistema operativo. En la actualidad ya existen muchos virus que atacan este sistema: Skulls, Cardblock, Pbstealer

• FINANCIEROS: Existen en la actualidad virus especializados en el robo de información financiera como el Troyano Bancos

• CRIPTOVIRUS o RAMSOMWARE: Son virus "extorsionadores". Codifican diversos archivos, como bases de datos, Excel, Word y luego solicitan el pago de un rescate a cambio de la contraseña para decodificar o "liberar" la información. El primero que apareció fue el PGP-Coder.

Virus de este siglo

Es importante saber qué hacen los virus de hoy ...

• Busca envíos masivos
• Motores propios de difusión
• Aprovechan vulnerabilidades del S.O., firewalls, programas de correo, navegadores, etc...
• Amenazan la privacidad
• "Secuestran" equipos (zombies)
• Organizan redes clandestinas de miles y miles de equipos comprometidos
• Lanzan ataques de Denegación de Servicio (DoS)
• Velocidad propagación infinitamente superior
• Utilizan técnicas de spoofing
• Introducen backdoors (puertas traseras)
• Anonimato = Impunidad
• Warspamming

No hay que olvidarnos del famoso virus de Día Cero ...

Es evidente que el avance de la tecnología va de la par con el desarrollo de virus más complejos y poderosos, el desarrollo de la naciente Inteligencia Artificial aplicada a los virus, la nanotecnología, la realidad virtual, etc., marcan un amplio panorama de lo que en un futuro nos espera, solo es cuestión de esperar.

Saludos

¿Por qué Debian?

Muchos de nosotros utilizamos Debian, se han preguntado por qué, investigando encontré información que es importante saber.

Debian ha estado disponible desde 1993, es la distribución de Linux más estable y popular, es mantenido por una comunidad global de más de 1200 desarrolladores dedicados a mejorar su funcionalidad. Como resultado, las nuevas versiones de Debian son liberadas hasta que ellos están listos, en cambio, sistemas operativos como Windows, liberan nuevas versiones estén listos o no.

Debian sobrepasa a todas las otras distribuciones en lo bien integrados que están sus paquetes e incluso, distribuciones comerciales de Linux como Red Hat, han implementado la tecnología de Debian.

Razones adicionales para seleccionar Debian:

• Actualizaciones fáciles (con sólo ejecutar apt-get update)
• Incluye una gran cantidad de software, más de 18733 elementos de software diferentes.
• Estabilidad, no es necesario reiniciar el sistema después de una actualización.
• Buena seguridad del sistema. La disponibilidad del código fuente permite que la seguridad en Debian se evalúe de forma abierta, lo que evita que se implementen modelos de seguridad pobres.
• El mejor sistema de empaquetamiento de software del mundo (recuerdan el dpkg)
• Soporte incomparable.
• Instalación sencilla
• Código fuente, ya que existen cientos de herramientas y lenguajes de desarrollo, además de millones de líneas de código.
• Sistema de seguimiento de errores.
• Rápido y ligero en memoria.

¿Aún queda alguna duda por la que debemos utilizar Debian?

Saludos

SOFISTICACIÓN VS CONOCIMIENTO

Estudios recientes han demostrado que en la actualidad se ha perdido de cierta forma el alto nivel de conocimiento general sobre los temas de seguridad. A diferencia de los primeros años en los que existían contados gurús que tenían la capacidad y los verdaderos conocimientos a fondo para hacer lo que quisieran con los sistemas, hoy en día es una realidad que con el desarrollo de la gran cantidad de herramientas, mecanismos, códigos, etc, practicamente cualquier persona con los conocimientos básicos puede realizar "hazañas" en terminos de hacking y seguridad.

Si bien es cierto que el desarrollo de herramientas, publicación de técnicas, etc ayudan a tener un mejor arsenal para la lucha diaría en la red, por otro lado se está perdiendo esa ambición que quizá en algún momento hubo de querer investigar y entender de fondo el funcionamiento de las cosas.

Ya se tiene suficiente con la gran cantidad de script kiddies, lammers, wannabes, etc, que practicamente con solo ejecutar herramientas se adjudican algo que ni siquiera saben cómo funciona. Realmente esto es un problema, ya que si lo vemos del otro lado, en el que un "profesional de seguridad" se haga llamar así solo porque sabe manejar gran cantidad de herramientas, se puede llegar a un punto en que se haga un trabajo a ciegas, porque en realidad sería como si activaramos un piloto automático y que si llega el momento en que falla o se desactiva, al no saber manejar simplemente todo estallará...

Ahora ¿entonces por dónde empezamos?. Es una pregunta que quizá si la respondiera un gurú te diría : "empieza de cero". No hay que irnos a los extremos. En mi opinión, si queremos ser expertos de seguridad que estén preparados para hacer frente a situaciones en las que el uso de herramientas quede fuera, podemos empezar por investigar ¿por qué estaba usando esa herramienta? ¿qué hacia la herramienta para poder lograr sus objetivos? .. y no me refiero precisamente a estudiar las miles de líneas de código, sino irnos un poco más a fondo, tener conocimientos sobre protocolos, conceptos de Sistemas Operativos, prácticas de seguridad, y algo muy importante.. ética profesional.

Al tenerse ciertos conocimientos bases, el uso de herramientas nos ayuda a optimizar su funcionamiento, es decir, no solo nos limitaremos a usarlas por default, podemos sacarle el mayor provecho posible gracias a que sabemos lo que en realidad están haciendo, por qué lo están haciendo, y que están usando para hacerlo. No soy un gurú, pero en mi experiencia puedo comentar que al hacer tus propios scripts, reglas, etc, que se basen en el funcionamiento de otras herramientas, ayuda a que entiendas como es que procesan toda la información. Además, no siempre lo que resulta de la ejecución de una herramienta será lo deseado, así que es un buen pretexto para pensar ¿y por qué no hago algo que funcione exactamente como yo quiero?, así que futuros expertos de seguridad, quienes realmente pretendan seguir por mucho tiempo en esto, creo que es como una necesidad que se metan mas por debajo de las herramientas y tengan una visión real de cómo se mueven los bits dentro de la maquina .. :)


Anexo una gráfica interesante sobre el tema.