Detalle del libro
Ver Índice
Introducción
Capítulo 1. Recopilar información: Mirar a través de las ventanas de la organización
Ingeniería de seguridad física
Rebuscar en la basura
Frecuentar las instalaciones de la empresa
Google Earth
Central de llamadas de la ingeniería social
Hacking desde buscadores
Google Hacking
Automatizar Google Hacking
Extraer metadatos de documentos de Internet
Buscar código fuente
Utilizar las redes sociales
Facebook y MySpace
Twitter
Seguimiento de los empleados
Conseguir correos electrónicos mediante theHarvester
Currículum vítae
Anuncios de empleo
Google Calendar
¿Cuál es la información importante?
Resumen
Capítulo 2. Ataques desde dentro: El atacante es una persona de confianza
El enemigo en casa
Cross Site Scripting (XSS)
Robar sesiones de usuario
Inyectar contenido
Robar nombres de usuario y contraseñas
Ataques avanzados y automatizados
Cross-Site Request Forgery (CSRF)
Ataques desde dentro
Propiedad del contenido
Aprovecharse del archivo crossdomain.xml de Adobe Flash
Aprovecharse de Java
Utilizar GIFAR para la propiedad de contenido avanzado
Robar información de los almacenes de documentos de Internet
Robar archivos del Filesystem
Robar archivos desde el navegador Web Safari
Resumen
Capítulo 3. Así es como funciona: No hay parches
Aprovechar las vulnerabilidades de los protocolos Telnet y FTP
Sniffing de credenciales
Utilizar la fuerza bruta
Secuestro de sesiones
Aprovecharse del protocolo SMTP
Snooping de correos electrónicos
Fisgonear correos electrónicos para realizar un ataque de ingeniería social
Aprovecharse del protocolo ARP
Envenenar la red
Cain & Abel
Sniffing de SSH en una red conmutada
Utilizar el sistema DNS para el reconocimiento remoto
DNS cache snooping
Resumen
Capítulo 4. Amenazas combinadas: Cuando las aplicaciones se aprovechan unas de otras
Controladores de protocolo de las aplicaciones
Localizar controladores de protocolo en Windows
Localizar controladores de protocolo en Mac OS X
Localizar controladores de protocolo en Linux
Ataques combinados
El clásico ataque combinado: el ataque Carpet Bomb en el navegador Safari
El controlador de protocolo de aplicaciones FireFoxUrl
El controlador de protocolo mailto:// y la vulnerabilidad en la API de Windows ShellExecute
El exploit de cadena de formato iPhoto
Gusanos informáticos combinados: Conficker/Downadup
Localizar amenazas combinadas
Resumen
Capítulo 5. Inseguridad en la nube: Compartir la nube con el enemigo
Qué cambia en la nube
Elastic Compute Cloud de Amazon
App Engine de Google
Otros productos en la nube
Ataques contra la nube
Máquinas virtuales envenenadas
Ataques contra las consolas de administración
Seguridad predeterminada
Aprovecharse de los modelos de facturación en la nube y del phishing en la nube
Utilizar Google para buscar información confidencial en la nube
Resumen
Capítulo 6. Abusar de los dispositivos móviles: La movilidad de los empleados
Selección de los trabajadores móviles
Vuestros empleados están en mi red
Conectarse a la Red
Ataques directos contra empleados y socios
Organización del ataque: Ataques contra el usuario de un hotspot
Aprovecharse del buzón de voz
Explotar el acceso físico a los dispositivos móviles
Resumen
Capítulo 7. Infiltrarse en el submundo del phishing: ¿Aprender de los delincuentes de Internet?
Sitios Web de phishing activos
Examinar a los phisher
No hay tiempo para parches
Gracias por firmar en mi libro de visitas
¡Saluda a Pedro!
¿No es irónico?
El botín
Revelar los kits de phishing
Phisher contra phisher
Infiltrase en el submundo del phishing
Buscar la cadena ReZulT con Google
¡Se vende Fullz!
Conocer a Cha0
Resumen
Capítulo 8. Influir en las víctimas: Por favor, hacednos caso
El calendario es una mina de oro
Información en los calendarios
¿Quién se acaba de incorporar?
La personalidad en los calendarios
Identidades sociales
Aprovecharse de los perfiles sociales
Robar identidades sociales
Romper la autenticación
Aprovecharse de las emociones
Resumen
Capítulo 9. Hacking a los directivos: ¿Puede tu director ejecutivo descubrir un ataque?
Ataques completamente definidos frente a ataques oportunistas
Motivos
Fines lucrativos
Venganza
Riesgos y beneficios
Recopilar información
Identificar a los ejecutivos
El círculo de confianza
Twitter
Otras aplicaciones Web sociales
Escenarios de ataque
Ataque de correo electrónico
Objetivo: el ayudante
Memorias USB
Resumen
Capítulo 10. Casos prácticos: Perspectivas diferentes
El empleado descontento
La evaluación del rendimiento
Spoofing en las conferencias telefónicas
La victoria
La solución milagrosa
El regalo
El servidor SSH
Poner la red patas arriba
Un tonto con una herramienta sigue siendo un tonto
Resumen
Apéndice A. Ejemplos de código fuente del capítulo 2
Apéndice B. Cache_Snoop.pl
Índice alfabético
El uso generalizado de las aplicaciones en red, unido al imparable crecimiento de los medios sociales y al empleo de potentes tecnologías en Internet, ha dado lugar a una nueva generación de hackers capaz de hacer tambalear la seguridad de cualquier plataforma con técnicas cada vez más sofisticadas y habilidades cada vez más sorprendentes.
Si le preocupa la seguridad tanto de aplicaciones como de redes de sistemas, este libro le acerca las estrategias de ataque más recientes así como las medidas más efectivas para prevenirlas. En Generación Hacker no sólo encontrará información útil acerca de las deficiencias técnicas que facilitan la actividad hacking, sino que, además, descubrirá los puntos débiles que ofrecen las redes sociales, los sistemas inalámbricos y las infraestructuras en la nube.
Escrito por profesionales expertos en seguridad de Internet, este manual le ayudará a comprender la motivación y psicología de los hackers que se esconden detrás de los ataques, y a enfrentarse a ellos con la mejor de las armas: la prevención.
