Оглавление
Roger A. Grimes. Hackear al hacker
Hackear al hacker
Sobre el autor
Agradecimientos
Sumario
Prólogo
Introducción
1 ¿Qué tipo de hacker eres tú?
La mayoría de los hackers no son genios
Los defensores son más que hackers
Los hackers son especiales
Los hackers son persistentes
Los sombreros de los hackers
2. Cómo hackean los hackers
El secreto de hackear
La metodología del hackeo
Recopilación de información
Intrusión
Garantía de un acceso futuro más fácil
Reconocimiento interno
Movimiento
Ejecución de la acción prevista
Borrado de pistas
Hackear es aburridamente exitoso
Malware automatizado como herramienta de hackeo
Hackear éticamente
3. Perfil: Bruce Schneier
Más información sobre Bruce Schneier
4. Ingeniería social
Métodos de ingeniería social
Suplantación de identidad (phishing)
Ejecución de troyanos
Por teléfono
Fraudes por compras
En persona
La zanahoria o el palo
Defensas ante la ingeniería social
Educación
Cuidado al instalar software desde sitios web de terceros
Certificados digitales con validación extendida (EV)
Deshazte de las contraseñas
Tecnologías contra la ingeniería social
5. Perfil: Kevin Mitnick
Para más información sobre Kevin Mitnick
6. Vulnerabilidades de software
Número de vulnerabilidades de software
¿Por qué las vulnerabilidades de software todavía son un gran problema?
Defensas contra vulnerabilidades de software
Ciclo de vida de desarrollo de seguridad
Lenguajes de programación más seguros
Análisis del programa y el código
Sistemas operativos más seguros
Protecciones de terceros y complementos del fabricante
El software perfecto no erradicará todos los males
7. Perfil: Michael Howard
Para más información sobre Michael Howard
8. Perfil: Gary McGraw
Para más información sobre Gary McGraw
9. Malware
Tipos de malware
Número de programas maliciosos
Mayoritariamente criminal en su origen
Defensas contra el malware
Software completamente parcheado
Formación
Software antimalware
Programas de control de aplicaciones
Barreras de seguridad
Detección de intrusiones
10. Perfil: Susan Bradley
Para más información sobre Susan Bradley
11. Perfil: Mark Russinovich
Para saber más sobre Mark Russinovich
12. Criptografía
¿Qué es la criptografía?
¿Por qué los atacantes no pueden adivinar todas las claves posibles?
Claves simétricas versus claves asimétricas
Criptografía popular
Hashes
Usos criptográficos
Ataques criptográficos
Ataques matemáticos
Texto cifrado/Texto en claro conocido
Ataques de canal lateral
Implementaciones inseguras
13. Perfil: Martin Hellman
Para más información acerca de Martin Hellman
14. Detección de intrusiones/APT
Características de un buen mensaje de evento de seguridad
Amenazas persistentes avanzadas (APT)
Tipos de detección de intrusiones
Basada en el comportamiento
Basada en firmas
Servicios y herramientas de detección de intrusiones
Sistemas de detección/prevención de intrusiones
Sistemas de gestión de registro de eventos
Detección de amenazas persistentes avanzadas (APT)
15. Perfil: Dra. Dorothy E. Denning
Para más información acerca de la Dra. Dorothy E. Denning
16. Perfil: Michael Dubinsky
Para más información sobre Michael Dubinsky
17. Cortafuegos
¿Qué es un cortafuegos?
Historia de los cortafuegos
Las reglas de los cortafuegos
¿Dónde están los cortafuegos
A nivel de red
A nivel de host
Cortafuegos avanzados
De qué nos protegen los cortafuegos
18. Perfil: William Cheswick
Para más información acerca de William Cheswick
19. Honeypots
¿Qué es un honeypot?
Interacción
¿Por qué utilizar un honeypot?
Atrapando a mi propio espía ruso
Recursos de honeypots para explorar
20. Perfil: Lance Spitzner
Para más información sobre Lance Spitzner
21. Hackear contraseñas
Componentes de autenticación
Contraseñas
Bases de datos de autenticación
Hash de contraseñas
Desafíos de autenticación
Factores de autenticación
Hackear contraseñas
Adivinación de contraseñas
Phishing
Keylogging
Hash Cracking
Reutilización de credenciales
Hackear portales de recuperación de contraseñas
Defensas para contraseñas
Complejidad y longitud
Cambios frecuentes sin repetir
No compartir contraseñas entre sistemas
Bloqueo de cuentas
Hash de contraseña fuertes
No utilizar contraseñas
Defensas ante el robo de credenciales
Defensas para el portal de recuperación
22. Perfil: Dr. Cormac Herley
Para más información acerca del Dr. Cormac Herley
23. Hackeo inalámbrico
El mundo inalámbrico
Tipos de hackeo inalámbrico
Atacar el punto de acceso
Denegación de servicio
Adivinar la contraseña de un canal inalámbrico
Secuestro de sesión
Robar información
Localizar físicamente a un usuario
Herramientas de hackeo inalámbrico
Aircrack-Ng
Kismet
Fern Wifi Hacker
Firesheep
Defensas ante el hackeo inalámbrico
Salto de frecuencia
Identificación de clientes predefinidos
Protocolos fuertes
Contraseñas largas
Parchear puntos de acceso
Blindaje electromagnético
24. Perfil: Thomas d’Otreppe de Bouvette
Para más información acerca de Thomas d’Otreppe de Bouvette
25. Pruebas de intrusión
Lo más destacable de mis pruebas de intrusión
Hackear todos los decodificadores del país
Hackeo simultáneo a una importante cadena de televisión y a una red pornográfica
Hackear una importante empresa de tarjetas de crédito
Crear un virus de cámara
Cómo ser un pentester
Metodología del hacker
Obtén primero el permiso documentado
Obtén un contrato firmado
Informa
Certificaciones
CISSP
SANS Institute
Certified Ethical Hacker (CEH)
CompTIA Security+
ISACA
Certificaciones específicas del fabricante
Sé ético
Minimiza las posibles interrupciones de servicio
26. Perfil: Aaron Higbee
Para más información acerca de Aaron Higbee
27. Perfil: Benild Joseph
Para más información sobre Benild Joseph
28. Ataques DDoS
Tipos de ataques DDoS
Denegación de servicio
Ataques directos
Ataques de reflexión
Amplificación
Cada una de las capas del modelo OSI
Ataques crecientes
Ataques upstream y downstream
Proveedores y herramientas DDoS
Herramientas
DDoS como servicio
Defensas DDoS
Formación
Pruebas
Configuración de red adecuada
Diseñar puntos potencialmente débiles
Servicios Anti-DDoS
29. Perfil: Brian Krebs
Para más información sobre Brian Krebs
30. Sistemas operativos seguros
Cómo hacer que un sistema operativo sea seguro
Sistema operativo de construcción segura
Criterios Comunes
Estándares federales de procesamiento de la información
Historia de dos sistemas operativos seguros
Directrices de seguridad
Herramientas de configuración de seguridad
Consorcios de seguridad
Trusted Computing Group
FIDO Alliance
31. Perfil: Joanna Rutkowska
Para más información acerca de Joanna Rutkowska
32. Perfil: Aaron Margosis
Para más información acerca de Aaron Margosis
33. Ataques de red
Tipos de ataques de red
Eavesdropping
Ataques de intermediario
Ataques de denegación de servicio distribuido
Defensas contra ataques de red
Aislamiento del dominio
Redes privadas virtuales
Utilizar aplicaciones y protocolos seguros
Detección de intrusión de red
Defensas anti-DDoS
Visita sitios web seguros y utiliza servicios seguros
34. Perfil: Laura Chappell
Para más información sobre Laura Chappell
35. Hackear el IoT
¿Cómo hackean los hackers el IoT?
Defensas IoT
36. Perfil: Dr. Charlie Miller
Para más información sobre el Dr. Charlie Miller
37. Políticas y estrategias
Estándares
Políticas
Procedimientos
Marcos
Leyes regulatorias
Problemas globales
Soporte de sistemas
38. Perfil: Jing de Jong-Chen
Para más información acerca de Jing de Jong-Chen
39. Modelado de amenazas
¿Por qué modelar amenazas?
Modelos de modelados de amenazas
Agentes de amenazas
Estados nación
Hackers industriales
Delitos financieros
Hacktivistas
Gamers
Amenazas internas
Hackers ordinarios, solitarios o grupos de hackers
40. Perfil: Adam Shostack
Para más información acerca de Adam Shostack
41. Educar en seguridad informática
Temas de formación en seguridad informática
Formación para la concienciación del usuario final sobre la seguridad
Formación en seguridad IT general
Respuesta a incidentes
Formación en sistemas operativos y aplicaciones determinadas
Habilidades técnicas
Certificaciones
Métodos de formación
Formación online
Entra en mi sitio web
Escuelas y centros de formación
Campamentos de formación
Formación corporativa
Libros
42. Perfil: Stephen Northcutt
Para más información acerca de Stephen Northcutt
43. Privacidad
Organizaciones de privacidad
Aplicaciones para proteger la privacidad
44. Perfil: Eva Galperin
Para más información acerca de Eva Galperin
45. Patching
Información sobre parches
La mayoría de explotaciones están provocadas por viejas vulnerabilidades que disponen de parches
La mayoría de explotaciones son provocadas por algunos programas sin parchear
Los programas que menos se parchean no son siempre los que más se explotan
También es necesario parchear el hardware
Problemas habituales depatching
La detección de ausencia de parches no es precisa
No siempre se pueden aplicar parches
Un bajo porcentaje de patching siempre fall
La aplicación de parches puede causar problemas operativos
Un parche es un anuncio de explotación que se transmite globalmente
46. Perfil: Window Snyder
Para más información acerca de Window Snyder
47. Escribir como un profesional
Medios de escritura sobre seguridad informática
Blogs
Redes sociales
Artículos
Libros
¿Autopublicación o publicación en editorial?
Corrección técnica
Newsletters
Documentación técnica
Reseñas técnicas
Conferencias
Consejos para la escritura profesional
Lo más difícil es empezar
Lee de forma diferente
Empieza de forma gratuita
Sé profesional
Sé tu propio publicista
Una imagen vale más que mil palabras
48. Perfil: Fahmida Y. Rashid
Para más información sobre Fahmida Y. Rashid
49. Guía para padres de jóvenes hackers
Señales de que tu hijo se dedica a hackear
Ellos te dicen que hackean
Demasiado reservado en cuanto a sus actividades online
Tienen múltiples cuentas de correo electrónico y redes sociales a las que tú no puedes acceder
Encuentras herramientas de hackeo en el sistema
La gente se queja de que estás hackeando
Cada vez que entras en su habitación, ellos cambian de pantalla
Estas señales pueden ser normales
No todo el hackeo es malo
Cómo hacer cambiar a tu hacker malicioso
Cambia sus ordenadores a la zona de estar principal de la casa y controla
Oriéntale
Proporciónale espacios legales para hackear
Sitios web HackMe
Programas bug bounty
Hackear hardware
Clubs de robótica
Concursos «Atrapa la bandera»
Formación y certificados
Ponlo en contacto con un buen mentor
50. Código ético de los hackers
Código ético del hacker
Sé ético, transparente y honesto
No incumplas la ley
Pide permiso
Sé confidencial con la información delicada
No causes daños mayores
Compórtate de manera profesional
Ilumina a los demás
