jueves, mayo 29, 2008

Libro recomendado sobre Hacking Etico

Hace un par de días recibí un correo de la antigua lista sobre seguridad informática que antes se llamaba Heineken Team, luego solo NNL (No Name List), la cual es mantenida por Carlos Tori, un argentino experto en seguridad de respeto.

Ya no se reciben correos en dicha lista tan seguidos, mas bien muy de vez en cuando, sin embargo siempre contiene muy buena información, así que para los que pedían enlaces de las cosas que normalmente leo sobre seguridad y que les he quedado mal... inscribanse en esta lista.... y no esperen correos cada semana :)

Bueno, en dicha lista, Carlos Tori comenta que ha escrito un libro sobre Hacking Etico que recién está publicando, así que acá posteo su correo para los interesados:

-------- Original Message --------
Subject: [nnl] Lanzamiento del libro "Hacking Etico" por Carlos Tori
From: NNL Newsletter
To: nnl@elistas.net
Date: Sun May 18 2008 03:17:12 GMT-0600 (Central America Standard Time)

Estimados, tengo la gran alegria de contarles que en dos
semanas sera el lanzamiento del libro que escribi en estos
ultimos 19 meses.

La obra se titula "Hacking Etico", lo edito por mi cuenta,
ademas tiene un temario muy interesante en 328 paginas de
contenido y el prologo es de Cesar Cerrudo.

"(extracto) ...Basandose en su experiencia y conocimiento del
tema, Carlos nos brinda esta obra, que ayudara a adentrarlos en
el mundo del hacking etico presentando los conceptos basicos mas
importantes en forma clara y eficiente, asi como tambien, los
orientara en como profundizar mas sus conocimientos.
Si estas interesado en aprender sobre seguridad informatica y
hacking etico, esta obra sera entonces un excelente punto de
partida en tu viaje a este apasionante mundo. Cesar Cerrudo"

Uds como lectores de NNL, tendran el privilegio de reservar un
ejemplar, de modo tal que apenas este se imprima, se los este
enviando a su casa.
Como lograr esto ? envien un mail a esta casilla con el subject
"reserva de libro" y su nombre completo, asi la gente que lo
comercializa les enviara un cupon para el pago y les solicitara
su dato postal para el envio oportuno.

Proximamente conoceran mas detalles, y liberare contenido del
mismo. De momento solo les queria comentar la noticia para que
no se queden afuera de esta primera edicion.

Un saludo cordial y tengan un excelente fin de semana.

p/d: Les agradeceria enormemente la difusion de la noticia.


Carlos Tori
PGP ID: 0x7F81D818

Temario

Capitulo 1: Hacking Etico

Introduccion
Formacion del profesional de seguridad
Organizaciones formales
Network Security Assessment

Capitulo 2: Recabar informacion

Introduccion a Information Gathering
Consultas a bases de datos legales e ilegales
Buscadores: Google hacking
Otros recursos online
Cabeceras de mails
Escaneo de puertos y Fingerprinting
Telneteo: busqueda a mano de banners y otra informacion
Peticiones http
Datos dentro de archivos
Information Gathering en la vida real
Modulo de IG de Backtrack 2.0
Analizando la informacion

Capitulo 3: Ingenieria Social

Introduccion a la Ingenieria Social
Aplicada a information gathering
Ejemplos
Medidas contra el enganio

Capitulo 4: Fuerza Bruta

Introduccion a Fuerza Bruta (FB)
Empleos y orientacion de la FB
Ejemplos didacticos
Factores que inciden en el tiempo
Rainbow Tables
Diccionario

Capitulo 5: Aplicaciones Web

Directorios y archivos ocultos
Ingenieria inversa sobre Flash
XSS o Cross Site Scripting
15 formas de comprometer una cuenta de correo
Ejecucion remota de comandos e inclusion de archivos
Programacion insegura = Exploits

Capitulo 6: Inyeccion de codigo SQL

Introduccion a la inyeccion de codigo SQL
Ejemplo de Bypass de acceso
Historia de SQL Injection
Metodologia
Evasion de reglas a nivel campo de datos
Herramientas automatizadas
Caso real de hacking etico con sql injection

Capitulo 7: Servidores Windows

Introduccion
Comprometiendo un servidor con 4 clicks
Null Session sobre Netbios
Comandos NET
Herramientas recomendadas (CORE IMPACT, CANVAS, METASPLOIT)
Acciones del intruso dentro del servidor
Elevacion de privilegios
Busqueda de informacion sensible y analisis
Captura e intercepcion de paquetes y contrasenias
Plantar backdoors o puertas traseras
Troyanos binarios y de kernel
Borrar rastros de la intrusion
Propagarse hacia la red interna

Capitulo 8: Servidores Linux

Introduccion.
Nessus en GNU/Linux Debian 4.0
Acciones del intruso sobre esta plataforma
Dentro de la shell
Dsniff
Troyanizar comandos y servicios
Instalando un backdoor
Manipulando logs
Hardening a nivel nucleo (kernel)
Hardening a nivel servicios
5 Preguntas a un desarrollador de exploits

Capitulo 9: Algunos conceptos finales

A- Acerca del Hacking local o fisico
B- Metodologias y Normativas existentes
C- Errores mas comunes cometidos por los
aspirantes a profesional de seguridad informatica
o de la informacion
D- Tecnicas mas avanzadas de Ethical Hacking

Bonus Track

Como instalar una plataforma de trabajo multisistema
Paso a paso: FreeBSD, Debian GNU/Linux y Windows XP
Profesional conviviendo en un mismo disco rigido

ISBN: 978-987-05-4364-0
Copyright © 2008 Carlos Tori


Un temario muy interesante.. y si todavía no te convence, para muestra, un botón...

-------- Original Message --------
Subject: [nnl] Algo de contenido del libro.
From: NNL Newsletter
To: nnl@elistas.net
Date: Sun May 25 2008 22:08:24 GMT-0600 (Central America Standard Time)

Estimado lector de NNL, descargue la 1er
muestra de contenido aqui:

http://www.hackingetico.com/sample.zip

Como descifrar paso a paso cuentas del sistema, de servidores
Windows -de passwords complejos- en minutos, a traves del empleo de
Rainbow Tables. (De: Acciones del intruso, Capitulo 7)

Como ve, hay mucha mas informacion de la que figura en el temario de
la obra "Hacking Etico".
Saludos cordiales.

Carlos Tori
PGP ID 0x7F81D818


Definitivamente un libro que no puede faltar si estas interesado en (In)Seguridad Informática, yo ya mandé a pedir mi ejemplar, vale la pena de la mano de un tipo de respeto!


Saludos desde la mina!
(Ya me atrasé un poco en la mina por escribir este post, pero era necesario compartirlo con ustedes!)


***Actualización 20-Sept-2011***
El autor ha decidido hacer libre la primera edición y puede descargarse desde su página:
http://www.4shared.com/file/yxDJ4VYZ/Hacking_Etico_-_Carlos_Tori.html

Salud!

miércoles, mayo 14, 2008

No estoy muerto... solo trabajo!

Saludos!

Parece mentira ya desde hace cuánto no posteo... asi que estoy por acá dando señales de vida. Lamentablemente el trabajo está duro, sigo sin jefe de Import Export lo que me ha llevado a asumir esa responsabilidad, ademas de las ya establecidas, la carga de trabajo está bastante bonita, pero ahi vamos... de retos se trata la vida!

Siempre leyendo de vez en cuando, me enteré de otra vulnerabilidad de Internet Explorer recién encontrada por un israelí que hizo de éste descubrimiento un pequeño juego en su web.

Para los interesados... el link!

Saludos... que viva el Open!