Lo esencial del hackeo

Por Adidas Wilson

Originalmente, el término "hacker" se refería a un programador experto en sistemas operativos de computadoras y código de máquina. Hoy, se refiere a cualquiera que realice actividades de piratería o piratería. La piratería es el acto de cambiar las características de un sistema para lograr un objetivo que no está dentro del propósito original del creador. La palabra "piratería" generalmente se percibe negativamente, especialmente por personas que no entienden el trabajo de un pirata informático ético. En el mundo de la piratería, los hackers éticos son buenos. ¿Cual es tu papel? Utilizan su vasto conocimiento de las computadoras para bien y no por razones maliciosas. Buscan vulnerabilidades en la seguridad informática de organizaciones y empresas para evitar que los malos las aprovechen. Para alguien que ama el mundo de la tecnología y las computadoras, sería apropiado considerar una carrera como hacker ético. Pagan (una buena cantidad) para ingresar a los sistemas. Comenzar no será fácil, como en cualquier otra carrera. Sin embargo, si se decide, puede comenzar una carrera lucrativa. Cuando decidas comenzar este viaje, tendrás que cultivar la paciencia. El primer paso para muchas personas suele ser obtener un título en informática. 
También puede obtener una certificación A + (CompTIA): debe tomar y aprobar dos exámenes diferentes. Para tomar el examen de calificación, debe tener no menos de 500 horas de experiencia práctica en informática. Se requiere experiencia y una calificación CCNA o Network + para avanzar en su carrera. Este libro debería servir como su comienzo en el mundo de la piratería ética. Sería apropiado considerar una carrera como hacker ético. Pagan (una buena cantidad) para ingresar a los sistemas. Comenzar no será fácil, como en cualquier otra carrera. Sin embargo, si se decide, puede comenzar una carrera lucrativa. Cuando decidas comenzar este viaje, tendrás que cultivar la paciencia. El primer paso para muchas personas suele ser obtener un título en informática. También puede obtener una certificación A + (CompTIA): debe tomar y aprobar dos exámenes diferentes. Para tomar el examen de calificación, debe tener no menos de 500 horas de experiencia práctica en informática. Se requiere experiencia y una calificación CCNA o Network + para avanzar en su carrera. Este libro debería servir como su comienzo en el mundo de la piratería ética. Sería apropiado considerar una carrera como hacker ético. Pagan (una buena cantidad) para ingresar a los sistemas. Comenzar no será fácil, como en cualquier otra carrera. Sin embargo, si se decide, puede comenzar una carrera lucrativa. Cuando decidas comenzar este viaje, tendrás que cultivar la paciencia. 
El primer paso para muchas personas suele ser obtener un título en informática. También puede obtener una certificación A + (CompTIA): debe tomar y aprobar dos exámenes diferentes. Para tomar el examen de calificación, debe tener no menos de 500 horas de experiencia práctica en informática. Se requiere experiencia y una calificación CCNA o Network + para avanzar en su carrera. Este libro debería servir como su comienzo en el mundo de la piratería ética. Comenzar no será fácil, como en cualquier otra carrera. Sin embargo, si se decide, puede comenzar una carrera lucrativa. Cuando decidas comenzar este viaje, tendrás que cultivar la paciencia. El primer paso para muchas personas suele ser obtener un título en informática.

• Idioma: Español
• Editorial: Adidas Wilson
• Fecha de lanzamiento: 15 sept 2019
• ISBN: 9781071508701

Vista previa del libro

Exención de responsabilidad

El autor ha hecho todos los esfuerzos posibles para garantizar que al momento de publicación la precisión de la información contenida en este libro fuera correcta. Por medio del presente documento el autor no aceptará ninguna responsabilidad por pérdida, daño o interrupción causada por errores u omisiones, ya sea que dichos errores u omisiones se deban a accidentes, negligencias o cualquier otra causa.

Tabla de Contenidos

Introducción

Cap. 1 - Ataques de phishing

Cap. 2 - Amenaza Persistente Avanzada (APT)

Cap. 3 - Pruebas de penetración

Cap. 4 - Contra hacking: ¿Salvador o Vigilante?

Cap. 5 - Hacking ético

Cap. 6 - Pasos para un ataque cibernético exitoso

Cap. 7 - Respuesta a incidentes

Cap. 8 - DNSSEC

Cap. 9 - Ataques cross-site scripting (XSS) indirectos

Cap. 10 - Detección y prevención de intrusiones

Cap. 11 - Barrido de ping

Cap. 12 - Clickjacking

Cap. 13 - Ingeniería social

Cap. 14 - PCI DSS

Cap. 15 - Ataques de puerta trasera

Cap. 16 - ISO / IEC 27001

Cap. 17 - Tipos de malware

Cap. 18 - Seguridad de Internet de las cosas

Cap. 19 - Secuestro del servidor de nombres de dominio (DNS)

Cap. 20 - Ataque de solicitud de falsificación de sitios (CSRF)

Cap. 21 - Inyección de lenguaje de consulta estructurado (SQL)

Cap. 22 - DNS Spoofing

Cap. 23 - Herramientas de hacking ético

Cap. 24 - Web Scraping

Cap. 25 - Ataque de intermediario (MITM)

Cap. 26 - Spear Phishing

Cap. 27 - Rootkit

Cap. 28 - Inclusión remota de archivos (RFI)

Cap. 29 - Malvertising

Cap. 30 - Evaluación de vulnerabilidades

Cap. 31 - Ataque de día cero

Cap. 32 - Gestión de vulnerabilidades

Cap. 33 - Seguridad de aplicaciones web

Conclusión

Introducción

Una forma efectiva de garantizar la seguridad de su infraestructura informática, servicios y aplicaciones es pedirle a un hacker independiente que lo piratee. Le guste o no, los hackers eventualmente penetrarán en su sistema, por lo que participar del proceso para atar cabos sueltos le será beneficioso. Desafortunadamente, muchas compañías no tienen suficientes recursos para hacer pruebas de intrusión. El crowdsourcing es una gran opción para las pequeñas empresas que necesitan este servicio a un precio más bajo. Puede contratar el talento que necesita en el momento adecuado y a un precio asequible. Cuando no conoce personalmente a los hackers, corre el riesgo de contratar a alguien que no tenga la experiencia que dice tener o que no haga bien el trabajo. El mayor riesgo es que conserven la información recopilada y que la utilicen más adelante. Afortunadamente, hay empresas de confianza que actúan como intermediarios entre usted y los hackers. Previo pago de una tarifa lo conectan con un hacker calificado y evaluado y ofrecen el marco y el programa. Entre las compañías de crowdsourcing más grandes y difundidas se encuentran HackerOne, Bugcrowd y Synack. Estas empresas, y otras similares, ofrecen tres servicios principales:

●  Programas de recompensas por detección de errores

●  Pruebas de intrusión

●  Divulgación de vulnerabilidades

La divulgación de vulnerabilidades implica que el cliente cree y publique su programa de divulgación de vulnerabilidades. Define cómo y dónde los hackers pueden contactarse con el intermediario o con el cliente con errores recientemente descubiertos. Se incluyen las expectativas y responsabilidades del pirata informático, del intermediario y del cliente. Hay hackers conocidos por divulgar de forma irresponsable sus hallazgos al público antes de darle al vendedor la oportunidad de corregir las vulnerabilidades. Sin embargo, sólo lo hicieron porque estaban frustrados por la respuesta irrazonable de la compañía. La prueba de intrusión es el servicio que genera la mayor cantidad de dinero para las empresas de crowdsourcing. Conectan a un cliente con un grupo de hackers altamente calificados a un precio determinado para un trabajo específico. La mayoría de los hackers trabajan con estas compañías a tiempo parcial, y no muchos de ellos lo hacen a tiempo completo. La cantidad de dinero que un pirata informático puede ganar en un solo trabajo depende del tipo de trabajo, de su experiencia y habilidades. Algunos hackers son voluntarios para asegurar los recursos gubernamentales de su país, mientras que otros donan sus ingresos a entidades benéficas. Las empresas que se dedican a detectar errores en los programas pueden ahorrarle mucho dinero y tiempo. Todos los errores informados por hackers no son fácilmente reproducibles o una amenaza para la seguridad. Los proveedores del servicio de detección de errores le informan sobre los errores que debe solucionar. Su trabajo es averiguar qué errores son reales. No importa qué tan bueno sea su equipo de seguridad informática, las empresas necesitan un programa de detección de errores. Dependiendo de la duración del proyecto, la experiencia laboral y el nivel de los hackers, esto puede costarle desde unos pocos miles hasta decenas de miles de dólares. Determine su presupuesto y el tipo de servicios que desea contratar. Si está convencido de la necesidad del crowdsourcing, contáctese con una empresa que administre el proceso por usted y eliminará gran parte del riesgo.

Capítulo 1

Ataques de phishing

El phishing es un ataque de ingeniería social. En la mayoría de los casos, se utiliza para acceder y robar datos de usuarios como números de tarjetas de crédito y credenciales de inicio de sesión. Este tipo de ataque ocurre cuando un intruso se hace pasar por una persona de confianza y engaña a la víctima para que abra un mensaje de texto, un mensaje instantáneo o un correo electrónico. A continuación, la víctima es engañada para que haga clic en un enlace que le permite al atacante congelar el sistema o instalar malware. Este tipo de ataque puede ser perjudicial y puede dar lugar a suplantación de identidad, robo de fondos y compras no autorizadas. En redes gubernamentales o corporativas el phishing permite al intruso el ingreso y abre la puerta a un ataque más grande como un APT (amenaza persistente avanzada). En una APT, la organización puede sufrir pérdidas financieras sustanciales, entre muchos otros daños. Un ejemplo de phishing pueden ser correos electrónicos que tienen como remitente myuniversity.edu y son enviados a miembros de la facultad. El correo electrónico le dice al destinatario que su contraseña de usuario caducará en poco tiempo e incluye instrucciones para que el usuario vaya a myuniversity.edu/renewal para renovar su contraseña. Cuando el destinatario hace clic en el vínculo, pueden suceder varias cosas: pueden redirigirlo a una página falsa, myuniversity.edurenewal.com , que es muy similar