Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
19 de Abril, 2015    General

Libros: Ethical Hacking vs. Ethical Hacking





Muchas veces, lectores o asistentes a algún congreso, me preguntan por dónde empezar “en esto de la seguridad”. Es normal que en pleno 2015, cuando estamos inundados de tecnología por todas partes, no sepamos qué rama seguir, o qué hacer. Hace un par de meses leí un post en el blog de Chema, en el que lidiaba con esta misma temática, que me pareció bastante bien orientado en esta línea. 

En general, y por lo que veo en las diferentes formaciones en las que participo, si hay que elegir entre análisis forense, securización o hacking puro, la preferencia de la gente es clara y se suele decantar por la tercera: Romper cosas, mola!

En esta línea hoy quiero hablar de dos libros que pueden servir de ayuda para todos aquellos que estéis empezando en esto de la seguridad, y que queráis ver desde un punto de vista abierto, la metodología a seguir en un proyecto de Hacking Ético.

Ambos libros, se han escrito en épocas muy diferentes, por personas con perfiles muy diferentes (aunque el destino los haya hecho trabajar en la misma empresa, Eleven Paths) enfocan de manera muy diferente el mismo cometido: una metodología para llevar a cabo un proyecto de Hacking Ético. De hecho, lo único que tienen igual es el nombre: 

Ethical Hacking: Un enfoque metodológico para profesionales (de Claudio Caracciolo), Ezequiel Sallis y Marcelo Rodríguez


Sin duda un libro escrito por tres profesionales como la copa de un pino. Explica desde un prisma de muy alto nivel, los diferentes tipos de auditoría que hay (caja negra, caja blanca, caja gris, etc,…), las etapas del análisis, qué técnicas y algunos recursos utilizar a la hora de hacer reconocimiento pasivo y activo, fuentes abiertas, Google hacking, etc. Hace especial énfasis en el uso de ingeniería social (algo en lo que Claudio podría escribir varios libros por sí solo). Se muestra con muy poco grado de detalle la ejecución de herramientas. Se centra más en que el lector comprenda el concepto de lo que se pretende, de lo que se busca en cada fase. Nombra herramientas, evidentemente, pero está pensado a otro nivel. A menudo plantea diferentes puntos de vista y/o formas de llevar a cabo una fase, dando opciones al lector, explicando las diferencias que hay entre ellas para que según la ocasión se pueda elegir correctamente.

Para mí, uno de los capítulos de más valor de esta obra, es el del informe de resultados. A lo largo de mi vida profesional he tenido que hacer unos cuantos, y leerme los de otros. Está claro que se puede haber hecho el mejor trabajo del mundo, pero si no se plasma correctamente, de una forma estructurada, enfocando cada parte al público que se lo va a leer, lograremos que unos se aburran y otros no entiendan lo que están leyendo. En este libro se dan grandes recomendaciones a este respecto, por lo que debería estar como una referencia en tu biblioteca y ser uno de los libros de introducción quizá no para ejecutar una auditoría, pero sí para entender cuáles son los objetivos y el por qué han de hacerse de determinada manera; sobre todo será un gran valor para aplicar el siguiente libro


Ethical Hacking: Teoría y práctica para la realización de un pentesting de Pablo González




Parto desde el punto que no dispongo físicamente de una copia de este libro, pero sí que he tenido la oportunidad de ojearlo con bastante detalle en el punto de venta de libros en diferentes congresos en los que he participado, por lo que me puedo hacer una idea bastante buena de lo que en él se ofrece. Esta obra, escrita muchos años después que la anterior, muestra a lo largo de toda su extensión, la utilización de diversas herramientas adecuadas para cada fase de auditoría. Basándose en herramientas integradas en la distribución Kali, el libro detalla la ejecución de maltego para análisis pasivo, nmap para la fingerprinting del objetivo, hace referencias a la metodología OWISAM para el análisis de redes inalámbricas y por supuesto utiliza metasploit, algo en lo que el autor está más que versado, en varias fases de la auditoría, tanto para explotación de objetivos vulnerables como para la post-explotación.

Tiene pinta de ir en la línea de "Hacking Ético 2.0" de Héctor Jara y Federico Pacheco, del cuál puedes leer su crítica aquí.

Supongo que tendría que leérmelo de principio a fin para dar una opinión más profunda, pero a priori me pareció interesante y recomendable igualmente.


Como digo, ambos libros se llaman igual, afrontan el mismo problema desde diferentes ópticas y plasman la ejecución de diferente manera, uno de forma mucho más conceptual, como para calentar el músculo, y luego el de Pablo con una naturaleza más práctica con técnicas y herramientas acordes a los tiempos actuales.


En definitiva, ambos libros recomendables, leídos en este mismo orden: primero el de mis colegas argentinos y después con un PC con máquinas virtuales delante, el de Pablo González.

Autor: Lorenzo Martínez
Palabras claves , , ,
publicado por alonsoclaudio a las 01:31 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Agosto 2017 Ver mes siguiente
DOLUMAMIJUVISA
12345
6789101112
13141516171819
20212223242526
2728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
15 Comentarios: lucia, wilson, spider hackers, [...] ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
» Cómo liberar software – guía para principiantes :)
1 Comentario: seo plugin
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad