Detalle del libro
Ver Índice
El libro del Hacker
Agradecimientos
Autores
María Ángeles Caballero Velasco
Diego Cilleros Serrano
Abtin Shamsaifar
Colaboradores directos
Odín Rodríguez Lago
Carlos Míguez Pérez
Introducción
Surcando el ciberespacio
Objetivos del libro
Organización del libro
1. Introducción a la (In)Seguridad de la Información
Introducción
Identificando amenazas en la red
Advanced Persistent Threats
Botnets o Redes Zombies
Distributed Denial of Service o Denegación de Servicio Distribuido
Malware
Ataques Web
Robos de sesión o Session Hijacking
Envenenamiento DNS o DNS Poisoning
Terminología básica y filosofía Hacker
Filosofía Hacker y Argot
Conceptos y Enfoques
Conceptos básicos de seguridad: CIA
Triángulo Seguridad, Funcionalidad y Facilidad de Uso
Enfoque de Perímetro de Seguridad
Defensa en profundidad o enfoque de seguridad por capas
La cadena de ataque: Pasos y Etapas
Footprinting o reconocimiento
Fingerprinting o "escaneo y enumeración"
Intrusión y toma de control
Mantener el acceso y robo de información
Cubrir el ataque
Tipos de ataque
Ataques a sistemas operativos
Ataques a nivel de aplicación
Ataques a nivel de red
Ataques por configuraciones erróneas o malas configuraciones
Ataques de Ingeniería Social
Recursos de Seguridad Online
2. La red y su seguridad al descubierto
Introducción
Conceptos de red y comunicaciones
Modelo OSI vs Modelo TCP/IP
IPv4
IPv6
TCP
Consideraciones de seguridad sobre protocolos
Hardware de red
Arquitecturas de red
La seguridad en la red de datos
Firewalls
Arquitecturas de seguridad
Otros elementos de seguridad
Zero Trust
3. Criptografía
Introducción
Definición y tipos de sistemas criptográficos
Criptografía de clave simétrica
Sistemas clásicos
Sistemas modernos
Criptografía de clave pública
RSA
ElGamal
Algoritmos de Hash
MD5
SHA-1
SHA-2
SHA-3
Herramientas de análisis.
Firma digital y certificados
La firma digital
Certificados digitales
Ámbitos de aplicación
Algunas aplicaciones y protocolos
SSL/TLS
IPSec
SSH
Bitcoin
Ataques y programas de análisis
Fuerza Bruta Distribuida
Tablas Rainbow
Cryptool
Aircrack-ng
John the Ripper
Cain & Abel
mitmproxy
sslstrip
4. Footprinting y fingerprinting
Introducción
Búsqueda de información
Conceptos de DNS
Google Hacking
Bing y Shodan
Otras fuentes de datos
Herramientas útiles
Fingerprinting
Enumeración de activos mediante DNS
Uso de ICMP
Escaneo de objetivos
Técnicas de enumeración
Navegando por Internet - Navegador Mantra
5. Tests de Intrusión
Introducción
Hacking Ético
Tipos de tests de intrusión
Metodología
OWASP
OSSTMM
NIST SP800-115
Metodología de pruebas de intrusión
Análisis de vulnerabilidades
Clasificación y fuentes
Fabricantes
Herramientas
Captura de tráfico en la red
Wireshark
Ataques a credenciales
Credenciales comprometidas
Ataques
Gestión de las credenciales en Linux
Robando credenciales en Linux
Gestión de credenciales en Windows
Robando credenciales en Windows
Credenciales en equipos de red
Finalizando una intrusión
Eliminar las evidencias de un ataque
6. Exploiting
Introducción
Metasploit
Componentes de Metasploit
Exploits
Uso de Metasploit
Ataques Web
OWASP
Inyección
Cross-Site Scripting o Secuencia de Comandos en Sitios Cruzados (XSS)
Referencia insegura y directa a objetos
Cross-Site Request Forgery o Falsificación de Peticiones en Sitios Cruzados (CSRF)
Pérdida de Autenticación y Gestión de Sesiones o Broken Authentication and Session Management
WebGoat
Instalación
Ejemplos de ataque
Instalación
Ejemplos de ataque
Navegador Mantra
Ejemplos de ataque
DirBuster
XAMPP
Ejecución de DirBuster
Servicios Web
SOAP
REST
Principios de Seguridad
Utilidades y protocolos de seguridad
Arquitectura SOA
Riesgos
Metodología
Framework: SoapUI
7. Hacking Wireless y VoIP
Introducción
Wireless: Wi-Fi
Conceptos
Seguridad en entornos Wi-Fi
Ataques sobre redes Wi-Fi
VoIP
Protocolos y codecs
Elementos de una red VoIP
Seguridad en redes VoIP
Ataques sobre redes VoIP
8. Gestión de identidades y control de accesos
Introducción
Identidades y control de acceso
Identidad, cuenta y usuario
Confianza, autoridad y riesgo
Provisión, desprovisión, permisos y directorios (repositorios)
Modelos de control de accesos
ACL (Access Control List o Listas de Control de acceso) RBAC (Role Based Access Control o Control de Acceso Basado en Roles)
ABAC (Attribute Based Access Control o Control de Accesos Basado en Atributos)
PBAC (Policy Based Access Control o Control de Accesos Basado en Políticas)
RAdAC (Risk Adaptative Access Control o Control de Accesos Adaptado al Riesgo)
Gestión de Identidades (GdI) y Gestión de Identidades y Accesos (GIA)
Gestor de Accesos o Access Manager
Gestor de Identidades o Identity Manager
Fortalezas y Debilidades
Gestión de accesos centralizada (Autenticación y Autorización)
SSO (Single Sign-On)
Workflows y automatización
Delegación y autoservicio
Aplicación de Políticas o Policy Enforcement
Master Password o Clave Maestra
Ataques comunes
Cross-Site Scripting o XSS
Cross-site Request Forgery o CSRF
Directory Transversal
Gain Privilege o Escala de Privilegios
9. Hacking en Dispositivos Móviles
Introducción
Principales Sistemas Operativos
Android
iOS
Windows Phone
Modelo de Seguridad
iOS
Windows Phone 8
Control Central: Tiendas de Aplicaciones, Store o Markets
Google Play Store
iTunes Store
Windows Store
Rompiendo la jaula
Android Root
Jailbreaking
Investigando el código
Reversing en Android
Obtener el APK
Interceptando el tráfico
Fiddler
Atacando el dispositivo
Vectores de entrada
Tipos de ataques
Herramientas
Analizar backups
Botnet para móviles 364
Ataques sin conexión
10. Análisis Forense
Introducción
Ciencia e informática forense
Principios de la informática forense
Principio de transferencia de Locard
Borrado parcial de información en los dispositivos de almacenamiento electrónico
Memoria virtual y archivos temporales
Guías y definiciones
La evidencia digital
Ciclo de vida para la administración de la evidencia digital
Tipos de análisis forense y dispositivos
Discos duros
Motivos de un análisis forense
Uso particular o negocio
Legal y cibercrimen
Etapas de una investigación forense
Estudio
Adquisición
Análisis
Presentación
CSIRT
Incidente
Análisis forense en un CSIRT
CSIRTs españoles
Herramientas forenses
Clasificación de herramientas
Herramientas de análisis
Caso práctico en Windows 8
Motivo del análisis
Información del sistema operativo
Información de red
Información de tareas, aplicaciones, componentes, servicios y otros
Información sobre malware
Información acerca de la actividad del usuario
Información acerca de los ficheros temporales
Información acerca del historial de navegación
11. Seguridad en Redes Sociales
Introducción
Facebook
Google+
Tuenti
LinkedIn
Twitter
YouTube
Pinterest
Instagram
Tumblr
DeviantArt
Behance
Badoo
Meetic
Tinder
Grindr
SoundCloud
Foursquare
WhatsApp
Line
Telegram
Snapchat
Ataques a las redes sociales
Amenazas a la privacidad
Ingeniería social
Fuga de contenidos
Suplantación de identidad
Spam, Phishing y Malware
Peligros de la Geolocalización
Sexting
Riesgos a la reputación virtual
Ciberacoso
Buenas prácticas en el uso de las redes sociales
Reglas de Oro
Ejemplos de configuración de algunas redes
Caso de uso - Herramienta SET (Social Engineering Toolkit)
Configuración de SET
Accediendo a la aplicación SET
El ataque
12. Ciberseguridad, ciberamenazas y ciberguerra
Introducción
Leyes y Normativas
Organismo [...]
La revolución en las herramientas y plataformas tecnológicas, la nube, los dispositivos móviles, las redes sociales y todos sus recursos han cambiado la forma de comunicarse y compartir información en Internet. En este entorno complejo y en constante evolución, seguridad y privacidad son dos conceptos unívocos. La opción más acertada pasa por conocer sus peligros y debilidades.
El libro del Hacker recoge las últimas técnicas de seguridad y hacking, que nos ayudarán a poner barreras en los sistemas, ya sean domésticos o empresariales. El objetivo del libro es mostrar las carencias o agujeros de seguridad de las nuevas tecnologías para que el lector sea capaz de utilizarlas, sin comprometer por ello la privacidad y seguridad de sus datos.
La obra está dirigida tanto a profesionales técnicos como a personas con conocimientos medios en informática que estén interesados en conocer los métodos de incursión empleados por hackers. Por otro lado, aporta una visión clara y precisa de los últimos avances en el campo de la seguridad informática, el hacking y la configuración de sistemas.