Guía De Hacking De Computadora Para Principiantes. Alan T. Norman
Чтение книги онлайн.
Читать онлайн книгу Guía De Hacking De Computadora Para Principiantes - Alan T. Norman страница 5
Vulnerabilidades Humanas
Una vulnerabilidad poco discutida es la del usuario humano. La mayoría de los usuarios de computadoras y sistemas de información no son expertos en informática o profesionales de ciberseguridad. La mayoría de los usuarios saben muy poco sobre lo que sucede entre sus puntos de interfaz y los datos o servicios a los que acceden. Es difícil lograr que las personas a gran escala cambien sus hábitos y usen las prácticas recomendadas para establecer contraseñas, examinar cuidadosamente los correos electrónicos, evitar sitios web maliciosos y mantener actualizado su software. Las empresas y las agencias gubernamentales dedican una gran cantidad de tiempo y recursos en capacitar a los empleados para que sigan los procedimientos de seguridad de la información adecuados, pero solo se necesita un eslabón débil en la cadena para dar a los piratas informáticos la ventana que están buscando para acceder a un sistema o red completa.
Los cortafuegos más sofisticados y costosos y la prevención de intrusiones en la red de los sistemas se vuelven inútiles cuando un solo usuario interno hace clic en un enlace malicioso, abre un virus en un archivo adjunto de correo electrónico, conecta una unidad flash comprometida o simplemente regala su contraseña de acceso a través del teléfono o correo electrónico. Incluso cuando se les recuerda repetidamente las mejores prácticas de seguridad, los usuarios comunes son la vulnerabilidad más fácil y más consistente de descubrir y explotar. A veces, las vulnerabilidades humanas son tan simples como practicar una seguridad de contraseña incorrecta al dejar las contraseñas escritas en notas en un sitio plano, a veces incluso conectado al hardware que se está utilizando. El uso de contraseñas fáciles de adivinar es otro error común del usuario. Un sistema corporativo particular se vio comprometido cuando un hacker inteligente dejó intencionalmente una unidad flash USB en el establecimiento de una empresa. Cuando un empleado desprevenido lo encontró, pusieron el disco en la computadora de su trabajo y posteriormente desataron un virus. La mayoría de las personas no toman en serio la seguridad informática hasta que ocurre un incidente, e incluso entonces, a menudo vuelven a adoptar los mismos hábitos. Los hackers lo saben y lo aprovechan con la mayor frecuencia posible.
Vulnerabilidades Del Software
Todas las computadoras dependen del software (o "firmware", en algunos dispositivos) para traducir la entrada o los comandos del usuario en acción. El software gestiona los inicios de sesión de los usuarios, realiza consultas a la base de datos, ejecuta envíos de formularios de sitios web, controla hardware y periféricos, y gestiona otros aspectos de la funcionalidad de la computadora y la red que podrían ser explotados por un hacker. Además del hecho de que los programadores cometen errores y descuidos, es imposible que los desarrolladores de software anticipen cada vulnerabilidad posible en su código. Lo máximo que pueden esperar los desarrolladores es parchear y modificar su software a medida que se descubren vulnerabilidades. Por eso es tan importante mantener actualizado el software.
Algunas vulnerabilidades de software se deben a errores en la programación, pero la mayoría simplemente se debe a fallos imprevistos en el diseño. El software a menudo es seguro cuando se usa según lo diseñado, pero las combinaciones imprevistas e involuntarias de entradas, comandos y condiciones a menudo resultan en consecuencias no deseadas. Sin controles estrictos sobre cómo los usuarios interactúan con el software, muchas vulnerabilidades de software se descubren por error o al azar. Los hackers se encargarán de descubrir estas anomalías lo más rápido posible.
Explotaciones
Encontrar y explotar vulnerabilidades para obtener acceso a los sistemas es tanto un arte como una ciencia. Debido a la naturaleza dinámica de la seguridad de la información, hay un juego constante de "gato y ratón" entre piratas informáticos y profesionales de la seguridad, e incluso entre adversarios de los estados naciones. Para mantenerse a la vanguardia (o al menos no quedarse demasiado atrás), uno no solo debe mantenerse informado de la última tecnología y vulnerabilidades, sino que también debe ser capaz de anticipar cómo reaccionarán los hackers y el personal de seguridad ante los cambios en el paisaje general.
Acceso
El objetivo más común de la explotación es obtener acceso y cierto nivel de control de un sistema objetivo. Dado que muchos sistemas tienen múltiples niveles de acceso con fines de seguridad, a menudo ocurre que cada nivel de acceso tiene su propia lista de vulnerabilidades y, por lo general, es más difícil de hackear a medida que hay más funciones vitales disponibles. El último golpe de acceso para un pirata informático es alcanzar el nivel de superusuario o raíz (un término UNIX), conocido como "obtener root" en la jerga de los piratas informáticos. Este nivel más alto permite al usuario controlar todos los sistemas, archivos, bases de datos y configuraciones en un sistema autónomo dado.
Puede ser bastante difícil romper el nivel raíz de un sistema informático seguro en una sola explotación. Con mayor frecuencia, los piratas informáticos explotarán vulnerabilidades más fáciles o aprovecharán a los usuarios menos experimentados para obtener primero un acceso de bajo nivel. A partir de ese momento, se pueden emplear otros métodos para alcanzar niveles más altos desde los administradores hasta la raíz. Con el acceso a la raíz, un hacker puede ver, descargar y sobrescribir información a voluntad, y en algunos casos eliminar cualquier rastro de que estuviera en el sistema. Por esta razón, obtener la raíz en un sistema de destino es un motivo de orgullo como el mayor logro entre los piratas informáticos de sombrero negro y sombrero blanco.
Denegando El Acceso
En muchos casos, obtener acceso a un sistema objetivo particular es imposible, extremadamente difícil o incluso no deseado por un hacker. En ocasiones, el objetivo de un hacker es simplemente evitar que los usuarios legítimos accedan a un sitio web o red. Este tipo de actividad se conoce como denegación de servicio (DoS). El propósito de realizar un ataque DoS puede variar. Dado que es relativamente simple de ejecutar, a menudo es un ejercicio para principiantes, para un pirata informático sin experiencia ("novato", "n00b" o "neófito" en el lenguaje) para ganar algunos derechos. Los hackers más experimentados pueden ejecutar ataques DoS sostenidos que interrumpen los servidores comerciales o gubernamentales durante un período prolongado de tiempo. Por lo tanto, los grupos organizados de piratas informáticos a menudo sostienen un sitio web como "rehén" y exigen un rescate de los propietarios a cambio de detener el ataque, todo sin tener que acceder.
Capítulo 3. Iniciándose
Los hackers tienen fama de ser individuos muy inteligentes y prodigiosos en muchos sentidos. Por lo tanto, puede parecer una tarea abrumadora y cuesta arriba comenzar desde cero y alcanzar cualquier nivel de competencia práctica. Hay que recordar que todos deben comenzar en algún lugar al aprender un tema o habilidad. Con dedicación y perseverancia, es posible llegar tan lejos en el mundo del pirateo como tu voluntad te pueda llevar. Una cosa que ayudará en el proceso de convertirse en un hacker es establecer algunos objetivos. Pregúntese por qué quiere aprender a hackear y qué piensa lograr. Algunos solo quieren aprender los conceptos básicos para que puedan entender cómo protegerse a sí mismos, a su familia o su negocio de ataques maliciosos. Otros buscan prepararse para una carrera en piratería de sombrero blanco o seguridad