Karina Astudillo B. - Hacking Ético 101--Cómo hackear profesionalmente en 21 días o menos! 2da Edición

HACKING ÉTICO 101

¡Cómo hackear profesionalmente en 21 días o menos!

Comprendiendo la mente del hacker, realizando reconocimientos, escaneos y enumeración, ejecución de exploits, cómo escribir un informe profesional y ¡mucho más!

Por:

Karina Astudillo B.

http://www.SeguridadInformaticaFacil.com

HACKING ÉTICO 101

¡Cómo hackear profesionalmente en 21 días o menos!

Comprendiendo la mente del hacker, realizando reconocimientos, escaneos y enumeración, ejecución de exploits, cómo escribir un informe profesional y ¡mucho más!

Karina Astudillo B.

http://www.SeguridadInformaticaFacil.com

Todos los Derechos Reservados © Karina Astudillo B., 2016

Edición Revisada y Actualizada de la 1ra Edición - Registro IEPI, certificado No. GYE-004179

Nota: Todos los derechos reservados. Esta publicación no puede ser reproducida total ni parcialmente, ni registrada o transmitida por un sistema de recuperación de información o cualquier otro medio, sea este electrónico, mecánico, fotoquímico, magn ético , electrónico, por fotocopia o cualquier otro, sin permiso por escrito previo de la editorial y el titular de los derechos, excepto en el caso de citas breves incorporadas en artículos críticos o revisiones.

Todas las marcas registradas son propiedad de sus respectivos propietarios. En lugar de poner un símbolo de marca después de cada ocurrencia de un nombre de marca registrada, usamos nombres en forma editorial únicamente, y al beneficio del propietario de la marca, sin intención de infracción de la marca registrada. Cuando estas designaciones aparecen en este libro, se imprimen con mayúsculas iniciales y/o con letra cursiva.

La información publicada en este libro está basada en artículos y libros publicados y en la experiencia de su autora. Su único propósito es educar a los lectores en la ejecución de pruebas de intrusión o hacking ético s profesionales. No nos responsabilizamos por efectos, resultados o acciones que otras personas obtengan de lo que aquí se ha comentado o de los resultados e información que se proveen en este libro o sus enlaces.

Se ha realizado un esfuerzo en la preparación de este libro para garantizar la exactitud de la información presentada. Sin embargo, la información contenida en este libro se vende sin garantía, ya sea expresa o implícita. Ni la autora, ni la editorial, sus concesionarios o distribuidores serán responsables de los daños causados o presuntamente causados directa o indirectamente por el uso de la información provista en este libro.

Dedicatoria

A Dios y al Universo por conspirar para que se cumplan mis metas.

A mi buena amiga y asociada de negocios, Cecibel Andrée, por apoyar siempre mis sueños locos y saber el momento apropiado para traerme de vuelta a la Tierra.

Tabla de Contenido

Prefacio

L a seguridad informática ha ganado popularidad en los últimos años y ha pasado de ser considerada un gasto, a ser vista como una inversión por parte de los directivos de las empresas y organizaciones a nivel mundial.

En algunos países esto ha sucedido de forma acelerada, en otros el paso ha sido más lento; pero en última instancia hemos convergido todos en un mundo digital en el que la información es el activo intangible más valioso con el que contamos.

Y al ser un activo, debemos protegerlo de posibles pérdidas, robos, mal uso, etc. Es aquí en donde juega un papel preponderante un actor antes desconocido: el hacker ético .

El rol del hacker ético es efectuar - desde el punto de vista de un cracker - un ataque controlado hacia la infraestructura informática de un cliente, detectando vulnerabilidades potenciales y explotando aquellas que le permitan penetrar las defensas de la red objetivo, pero sin poner en riesgo los servicios y sistemas auditados. Y todo esto con el solo propósito de alertar a la organización contratante de los riesgos de seguridad informática presentes y cómo remediarlos.

Este individuo debe tener la capacidad de saber cuándo es mejor no explotar un hueco de seguridad y solamente reportarlo al cliente Vs cuándo es preciso ejecutar un exploit para demostrar la gravedad de la vulnerabilidad. Es una mezcla entre la mente criminal de Hannibal , las acciones de la Madre Teresa y el background profesional de un verdadero nerd.

¿Pero dónde encontramos a estos héroes? La respuesta a esta pregunta se torna cada vez más difícil si creemos en los estudios realizados por importantes empresas consultoras, que indican que año a año se ensancha la brecha entre la oferta y la demanda de profesionales certificados en seguridad informática.

Y es por este motivo que se vuelve esencial contar con profesionales de tecnología entusiastas, pero sobre todo con altos valores éticos y morales, que estén dispuestos a aceptar el desafío de convertirse en pentesters .

Este libro es para ellos.

Así que, si el estimado lector encaja en este perfil, entonces este libro es para usted.

No se requieren conocimientos previos de hacking ético, el nivel del libro es introductorio y por ende parte de cero en dicha área; no obstante, es imprescindible tener una formación base en sistemas computacionales o tecnologías de la información.

¿Cuáles son los requisitos?

• Conocer el modelo OSI y sus diferentes capas.
• Poseer nociones sobre la arquitectura TCP/IP (direccionamiento IP, subnetting, enrutamiento, funcionamiento de protocolos como ARP, DNS, HTTP, SMTP, DHCP, etc.).
• Saber usar y administrar sistemas Windows y Linux.

¿Cómo está dividido el libro?

El libro se desarrolla en 7 capítulos y hemos calculado que el estudiante deberá invertir alrededor de 21 días para completarlos, con un tiempo de dedicación mínimo de 2 horas diarias. Sin embargo, el lector es libre de avanzar a su propio paso y tomarse mayor o menor tiempo.

Mi única sugerencia es que deben realizarse todos los laboratorios propuestos, inclusive con diferentes sistemas operativos víctimas a los referidos por esta servidora. Es en la variación de escenarios y en la práctica continua que se gana experiencia.

El Capítulo 1 – Introducción al Hacking Ético cubre conceptos básicos acerca de esta profesión y describe los diferentes tipos de pruebas de intrusión posibles. En él se incluyen asimismo consejos acerca de cómo conducir la fase inicial de levantamiento de información para elaborar una propuesta ajustada a las necesidades de nuestro cliente.

En el Capítulo 2 – Reconocimiento o Footprinting se revisan metodologías que ayudarán al hacker ético a descubrir el entorno de la red objetivo y los elementos en ella contenidos, así como herramientas de software útiles y comandos para ayudarlo durante la ejecución de la auditoría. Se hace énfasis en el uso de Maltego y técnicas de Google Hacking para conducir con éxito esta fase.