La nueva Generacion Hacker

Nitesh Dhanjani (Autor/a), Billy Rios (Autor/a), Brett Hardin (Autor/a)

Colección: ANAYA MULTIMEDIA/O´REILLY

Índice Introducción. . Capítulo 1. Recopilar información: Mirar a través de las ventanas de la organización. Ingeniería de seguridad física. Rebuscar en la basura. Frecuentar las instalaciones de la empresa . Google Earth. Central de llamadas de la ingeniería social. Hacking desde buscadores. Google Hacking. Automatizar Google Hacking. Extraer metadatos de documentos de Internet . Buscar código fuente . Utilizar las redes sociales . Facebook y MySpace. Twitter. Seguimiento de los empleados. Conseguir correos electrónicos mediante theHarvester. Currículum vítae. Anuncios de empleo. Google Calendar. ¿Cuál es la información importante?. Resumen. . Capítulo 2. Ataques desde dentro: El atacante es una persona de confianza. El enemigo en casa. Cross Site Scripting (XSS). Robar sesiones de usuario. Inyectar contenido. Robar nombres de usuario y contraseñas. Ataques avanzados y automatizados. Cross-Site Request Forgery (CSRF). Ataques desde dentro . Propiedad del contenido. Aprovecharse del archivo crossdomain.xml de Adobe Flash. Aprovecharse de Java. Utilizar GIFAR para la propiedad de contenido avanzado. Robar información de los almacenes de documentos de Internet. Robar archivos del Filesystem. Robar archivos desde el navegador Web Safari. Resumen. . Capítulo 3. Así es como funciona: No hay parches. Aprovechar las vulnerabilidades de los protocolos Telnet y FTP. Sniffing de credenciales. Utilizar la fuerza bruta. Secuestro de sesiones . Aprovecharse del protocolo SMTP. Snooping de correos electrónicos. (continúa...) Fisgonear correos electrónicos para realizar un ataque de ingeniería social. Aprovecharse del protocolo ARP. Envenenar la red. Cain & Abel. Sniffing de SSH en una red conmutada . Utilizar el sistema DNS para el reconocimiento remoto. DNS cache snooping. Resumen. . Capítulo 4. Amenazas combinadas: Cuando las aplicaciones se aprovechan unas de otras. Controladores de protocolo de las aplicaciones. Localizar controladores de protocolo en Windows. Localizar controladores de protocolo en Mac OS X. Localizar controladores de protocolo en Linux. Ataques combinados. El clásico ataque combinado: el ataque Carpet Bomb en el navegador Safari. El controlador de protocolo de aplicaciones FireFoxUrl. El controlador de protocolo mailto:// y la vulnerabilidad en la API de Windows ShellExecute. El exploit de cadena de formato iPhoto. Gusanos informáticos combinados: Conficker/Downadup. Localizar amenazas combinadas. Resumen. . Capítulo 5. Inseguridad en la nube: Compartir la nube con el enemigo. Qué cambia en la nube. Elastic Compute Cloud de Amazon. App Engine de Google. Otros productos en la nube. Ataques contra la nube. Máquinas virtuales envenenadas. Ataques contra las consolas de administración. Seguridad predeterminada. Aprovecharse de los modelos de facturación en la nube y del phishing en la nube. Utilizar Google para buscar información confidencial en la nube. Resumen. . Capítulo 6. Abusar de los dispositivos móviles: La movilidad de los empleados. Selección de los trabajadores móviles. Vuestros empleados están en mi red. Conectarse a la Red. Ataques directos contra empleados y socios. Organización del ataque: Ataques contra el usuario de un hotspot. Aprovecharse del buzón de voz. Explotar el acceso físico a los dispositivos móviles. Resumen. . Capítulo 7. Infiltrarse en el submundo del phishing: ¿Aprender de los delincuentes de Internet?. Sitios Web de phishing activos. Examinar a los phisher. No hay tiempo para parches. Gracias por firmar en mi libro de visitas. ¡Saluda a Pedro!. ¿No es irónico?. El botín. Revelar los kits de phishing. Phisher contra phisher. Infiltrase en el submundo del phishing. Buscar la cadena ReZulT con Google. ¡Se vende Fullz!. Conocer a Cha0. Resumen. . Capítulo 8. Influir en las víctimas: Por favor, hacednos caso. El calendario es una mina de oro. Información en los calendarios. ¿Quién se acaba de incorporar?. La personalidad en los calendarios. Identidades sociales. Aprovecharse de los perfiles sociales. Robar identidades sociales. Romper la autenticación. Aprovecharse de las emociones. Resumen. . Capítulo 9. Hacking a los directivos: ¿Puede tu director ejecutivo descubrir un ataque?. Ataques completamente definidos frente a ataques oportunistas. Motivos. Fines lucrativos. Venganza. Riesgos y beneficios. Recopilar información. Identificar a los ejecutivos. El círculo de confianza. Twitter. Otras aplicaciones Web sociales. Escenarios de ataque . Ataque de correo electrónico. Objetivo: el ayudante. Memorias USB. Resumen. . Capítulo 10. Casos prácticos: Perspectivas diferentes. El empleado descontento. La evaluación del rendimiento. Spoofing en las conferencias telefónicas. La victoria. La solución milagrosa. El regalo. El servidor SSH. Poner la red patas arriba. Un tonto con una herramienta sigue siendo un tonto. Resumen. . Apéndice A. Ejemplos de código fuente del capítulo 2. . Apéndice B. Cache_Snoop.pl. . Índice alfabético.

Contenido El uso generalizado de las aplicaciones en red, unido al imparable crecimiento de los medios sociales y al empleo de potentes tecnologías en Internet, ha dado lugar a una nueva generación de hackers capaz de hacer tambalear la seguridad de cualquier plataforma con técnicas cada vez más sofisticadas y habilidades cada vez más sorprendentes. Si le preocupa la seguridad tanto de aplicaciones como de redes de sistemas, este libro le acerca las estrategias de ataque más recientes así como las medidas más efectivas para prevenirlas. En Generación Hacker no sólo encontrará información útil acerca de las deficiencias técnicas que facilitan la actividad hacking, sino que, además, descubrirá los puntos débiles que ofrecen las redes sociales, los sistemas inalámbricos y las infraestructuras en la nube. Escrito por profesionales expertos en seguridad de Internet, este manual le ayudará a comprender la motivación y psicología de los hackers que se esconden detrás de los ataques, y a enfrentarse a ellos con la mejor de las armas: la prevención.