Los capítulos del libro: Capítulo 1 Introducción y definición 1. La seguridad informática, ¿ para qué ? , ¿ para quién ? . . . . . . . . . . . . . . 15 1.1 Hacking, piratería, seguridad informática ¿ Qué hay detrás de estas palabras ? . . . . . . . . . . . . . . . . . . . . . . . 15 1.2 La importancia de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.2.1 Para particulares. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.2.2 Para empresas y centros académicos. . . . . . . . . . . . . . . . . 19 1.2.3 Para un país o una nación . . . . . . . . . . . . . . . . . . . . . . . . 20 2. El hacking que pretende ser ético . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.1 Trabajo en cooperación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.2 Un espíritu habilidoso y apasionado por encima de todo. . . . . . . 22 2.3 El hacker se está convirtiendo en un experto muy buscado . . . . . 23 2.4 En la piel del atacante. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2.5 Asesoramiento y apoyo para la seguridad . . . . . . . . . . . . . . . . . . 25 3. Conocer al enemigo para defenderse. . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.1 A cada atacante su sombrero . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.1.1 Los hackers "black hat". . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.1.2 Los hackers "grey hat" . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.1.3 Los hackers "white hat" . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.1.4 Los "script kiddies" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.1.5 Los hackers universitarios . . . . . . . . . . . . . . . . . . . . . . . . 29 3.2 Y a cada auditoría su caja de secretos . . . . . . . . . . . . . . . . . . . . . 30 3.2.1 Los test "black box" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3.2.2 Los test "grey box" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 3.2.3 Los test "white box". . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Contenido 1 Capítulo 2 Metodología de un ataque 1. Preámbulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 1.1 Ante todo discreción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 2. Seleccionar a la víctima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 2.1 Utilizar buenas herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 2.2 Identificar los dominios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2.3 Google, ese amigo tan curioso. . . . . . . . . . . . . . . . . . . . . . . . . . . 38 2.4 Descubrir la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 3. El ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 3.1 Aprovecharse del fallo humano . . . . . . . . . . . . . . . . . . . . . . . . . . 46 3.2 Abrir las puertas de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 3.3 El ataque por la Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3.4 La fuerza al servicio del ataque . . . . . . . . . . . . . . . . . . . . . . . . . . 50 4. Introducción al sistema y garantizar el acceso . . . . . . . . . . . . . . . . . . 51 4.1 Permanecer discreto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 4.2 Garantizar el acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.3 Ampliar su alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 5. Revisión de la intrusión y la protección . . . . . . . . . . . . . . . . . . . . . . . 55 5.1 Una política de seguridad exigente . . . . . . . . . . . . . . . . . . . . . . . 56 5.1.1 Contraseñas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 5.1.2 Formación del personal . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.1.3 A cada empleado su perfil . . . . . . . . . . . . . . . . . . . . . . . . 58 5.2 Encriptar la información esencial . . . . . . . . . . . . . . . . . . . . . . . . 58 5.3 Asegurar los servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 5.3.1 Realizar actualizaciones de seguridad . . . . . . . . . . . . . . . . 59 5.3.2 Enjaular servicios (chroot, jail) . . . . . . . . . . . . . . . . . . . . . 60 5.3.3 Seguridad del núcleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 5.3.4 Evitar escaneos y ataques. . . . . . . . . . . . . . . . . . . . . . . . . 61 5.3.5 Sólo guardar lo esencial . . . . . . . . . . . . . . . . . . . . . . . . . . 62 5.3.6 Vigilancia de actividades . . . . . . . . . . . . . . . . . . . . . . . . . 63 5.4 Los tests de intrusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Seguridad informática Conocer el ataque para una mejor defensa 2 Capítulo 3 Social Engineering 1. Breve historia de una técnica tan antigua como el mundo . . . . . . . . . 65 1.1 Historia y generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 1.2 El ser humano: la pieza frágil . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 1.3 La manipulación es una herramienta. . . . . . . . . . . . . . . . . . . . . . 67 1.4 Criterios de un ataque por social engineering . . . . . . . . . . . . . . . 68 2. Ingeniería social: ¿ por qué ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 2.1 Las razones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 2.2 El perfil del atacante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 2.3 El perfil de la víctima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 2.4 La información, un bien codiciado . . . . . . . . . . . . . . . . . . . . . . . 73 2.4.1 Importancia de la información . . . . . . . . . . . . . . . . . . . . . 73 2.4.2 La información y su transmisión . . . . . . . . . . . . . . . . . . . 74 2.5 Formas de ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 2.5.1 Aclaraciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 2.5.2 El más fácil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 2.5.3 El más frontal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 2.5.4 El más indirecto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 2.5.5 El más complejo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 2.6 La tecnología como herramienta básica . . . . . . . . . . . . . . . . . . . . 77 2.6.1 Los medios utilizados. . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 2.6.2 La investigación preliminar . . . . . . . . . . . . . . . . . . . . . . . 80 2.6.3 El papel, el bolígrafo y el carisma . . . . . . . . . . . . . . . . . . . 80 2.6.4 Carisma y faroles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 2.6.5 Medios externos puestos en práctica . . . . . . . . . . . . . . . . 83 2.6.6 Anonimato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 2.7 La psicología como punta de lanza . . . . . . . . . . . . . . . . . . . . . . . 85 2.7.1 Aclaraciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 2.7.2 Ausencia de desconfianza. . . . . . . . . . . . . . . . . . . . . . . . . 86 2.7.3 Ignorancia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 2.7.4 Credulidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 2.7.5 Confianza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Contenido 3 2.7.6 Altruismo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 2.7.7 Necesidad de ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 2.7.8 Intimidación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 2.8 Otros ejemplos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 3. Solución de protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 3.1 Hacia una clasificación funcional . . . . . . . . . . . . . . . . . . . . . . . 103 3.2 Detección al alcance de todos . . . . . . . . . . . . . . . . . . . . . . . . . . 104 3.3 Buenas prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 4. Para ir más lejos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Capítulo 4 Los fallos físicos 1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 2. Acceso físico directo al ordenador. . . . . . . . . . . . . . . . . . . . . . . . . . . 108 2.1 Acceso a un ordenador apagado cuya BIOS está protegida . . . . 108 2.2 Acceso a un ordenador apagado cuya BIOS no está protegida . . 111 2.2.1 Utilización de Offline NT Password & Registry Editor v100627 [1] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 2.2.2 Utilización de Trinity Rescue Kit. . . . . . . . . . . . . . . . . . 117 2.2.3 Volcar la base de datos SAM con Backtrack . . . . . . . . . . 120 2.2.4 Los distintos tipos de algoritmos de encriptación [4] . . . 126 2.2.5 Los hash de tipo LM y NTLM . . . . . . . . . . . . . . . . . . . . 127 2.2.6 Utilizar John the Ripper para encontrar las contraseñas . 128 2.2.7 Utilización de tablas rainbow. . . . . . . . . . . . . . . . . . . . . 132 2.2.8 Generar sus propias tablas rainbow . . . . . . . . . . . . . . . . 134 2.2.9 Utilizar OPHCRACK . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 2.2.10 Utilización del programa Cain&Abel . . . . . . . . . . . . . . . 140 2.2.11 Bypass de la autentificación de Windows y Linux . . . . . 146 2.2.12 Bypass de la autentificación de Windows. . . . . . . . . . . . 149 2.2.13 Ejemplos de elevación de privilegios vía exploits en Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 2.2.14 Fallo de Windows Seven-Vista . . . . . . . . . . . . . . . . . . . . 156 Seguridad informática Conocer el ataque para una mejor defensa 4 2.3 Acceso a un ordenador encendido en modo usuario normal. . . . 158 2.3.1 Recopilar información . . . . . . . . . . . . . . . . . . . . . . . . . . 158 2.3.2 Recogida de información automatizada . . . . . . . . . . . . . 161 2.3.3 La memoria USB Microsoft COFEE . . . . . . . . . . . . . . . . 164 2.3.4 Las memorias USB U3 . . . . . . . . . . . . . . . . . . . . . . . . . . 169 2.3.5 El programa Gonzor-SwitchBlade. . . . . . . . . . . . . . . . . . 171 2.3.6 Medidas contra memorias U3 trucadas. . . . . . . . . . . . . . 175 2.3.7 Keyloggers hardware y software. . . . . . . . . . . . . . . . . . . 177 2.3.8 Contramedidas para los keyloggers. . . . . . . . . . . . . . . . . 182 2.3.9 Los flujos ADS [21] . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 2.3.10 Contramedidas a los flujos ADS. . . . . . . . . . . . . . . . . . . 192 2.3.11 Volcados (dump) de memoria. . . . . . . . . . . . . . . . . . . . . 194 2.3.12 Métodos de recuperación de la memoria RAM. . . . . . . . 196 2.3.13 Crear una memoria USB de arranque para volcar la memoria. . . . . . . . . . . . . . . . . . . . . . . . . . 203 2.3.14 Volcado de memoria usando la conexión Firewire . . . . . 210 2.3.15 Análisis de las imágenes de memoria . . . . . . . . . . . . . . . 211 2.4 Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 2.5 Índice de sitios Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Capítulo 5 Toma de huellas 1. El hacking ético . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 1.1 Definición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 1.2 Perfiles de hacker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 1.3 Tipos de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 1.4 Estrategias de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 1.5 Metodología de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Contenido 5 2. Recopilación de información. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 2.1 Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 2.1.1 Recolección de información mediante redes sociales. . . . 222 2.1.2 Herramientas Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 2.1.3 Herramientas de listado . . . . . . . . . . . . . . . . . . . . . . . . . 231 2.2 Fingerprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 2.3 Descubrimiento de fallos potenciales (escáneres de vulnerabilidades) . . . . . . . . . . . . . . . . . . . . . . . . . 259 2.3.1 Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 2.3.2 Openvas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 2.3.3 AutoScan Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 2.3.4 Encontrar exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 2.4 Informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 2.5 Páginas web en Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Capítulo 6 Los fallos de red 1. Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 2. Recordatorio de redes TCP/IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 2.1 Direccionamiento IP . . . . .
Introducción y definición – Metodología de un ataque – Social Engineering – Los fallos físicos – Toma de huellas – Los fallos de red – Los fallos Web – Los fallos de sistema operativo – Los fallos de aplicación
Estampas Malignas
Marvel Zombies: las Portadas (marvel Graphic Novels)
Truebo Color: Nuevas Aventuras 07
Super Calvin y Hobbes 01. en Todas Partes Hay Tesoros
Hacker. Edición 2012
Avances En Criptología y Seguridad de la Información
Por Una Economía del bien Común
Hacker. Edición 2012