DokuWiki

Buenas

Soy Eduardo Fiat, seré vuestro monitor durante este curso de introducción al “pentesting”, trata de ser una continuación al curso “Introducción a la seguridad informática”, en el que tratamos de amenazas a nivel de usuario tanto para nuestros datos como para nuestra privacidad, esta vez sin perder de vista la experiencia del usuario nos centraremos más en el punto de vista del proveedor de servicios web. Aprenderemos a conocer las amenazas más comunes. y mediante una serie de prácticas veremos como descubrir y explotar los agujeros de seguridad más comunes. No hay mejor forma de aprender a defenderse que conocer de primera mano los ataques.

Este curso es muy breve, aún así trato de adaptarlo al perfil de los alumnos, para ello es importante saber que nivel técnico y que uso le dais a los sistemas informáticos para tratar de incluir los problemas que os puedan resultar más relevantes.

Un saludo y espero que disfrutéis.

Hola! Empezamos suave con unas preguntas para conocer el nivel y las necesidades del grupo, En que empecéis a participar iré activando más contenidos.

Este curso desarrollará la mayor parte de la actividad a través de foros, si tenéis alguna dificultad en la realización de las practicas podéis contactar conmigo para resolver las dudas, si es necesario habilitaré un chat para comunicaciones más interactivas o una salas de videoconferencia.

Respecto al software:

Durante este curso voy a tratar de usar herramientas libres o de código abierto, esto es muy importante en el ámbito de la seguridad, el software libre nos ofrece libertades fundamentales, una de ellas es poder estudiar el código de las aplicaciones. Cuando no usamos software de fuentes abiertas la seguridad pasa a ser un acto de fe, nos tenemos que creer lo que dice el proveedor del software, no podemos revisar el código o contratar a alguien para revisarlo.

Supongo que la mayor parte usáis sistemas propietarios Microsoft y Apple, tampoco nos va a dar excesivos problemas la mayor parte de las aplicaciones que vamos a usar son multiplataforma. Si estáis interesados en usar sistema libre antes de entrar en materia os puedo dar instrucciones para crear una maquina virtual o una unidad usb arrancable con un sistema seguro.

De todas formas una practica tratará de crear una memoria usb autoarrancable con los datos y las comunicaciones cifradas, para poder transportar información sensible, o poder hacer operaciones de banca electrónica o compras por internet tanto en equipos como redes no confiables. Respecto a la bibliografía:

  el libro de criptografía salvo para personal técnico que se sienta cómodo con las matemáticas es de un nivel muy superior a lo necesario en una introducción, pero tiene capítulos muy interesantes y accesibles  como los conceptos básicos y la criptografía clásica.
  el segundo libro "x1red+segura" es un libro muy accesible y bastante completo, 100% recomendable  para iniciarse en al seguridad.
  Finalmente en la introducción hay un par de link con un documental para que pasemos un poco de miedo y tomemos un poco más en serio la privacidad y un vídeo muy breve donde se ve la ingeniería social funcionando. Mucho ojo con la información que desvelamos por teléfono a personas con la identidad sin verificar al 100%. Las cartas que tiramos a la basura o cuando alguien nos pide una factura de electricidad o teléfono para hacernos ofertas. Podemos estar liberando información muy sensible.

Cualquier duda me decís, si puede ser de interés general mejor usar el foro que el correo privado.

Un saludo!

• https://www.owasp.org

• http://sqlmap.org/
• https://wpscan.org/
• http://www.openvas.org/
• https://nmap.org/
• http://www.openwall.com/john/
• https://cirt.net/nikto2-docs/usage.html#id2780332

• http://vulnweb.com/
• https://www.vulnhub.com/

• https://www.cvedetails.com

curso seguridad

• nmap -p22 -sV 155.210.13.0/24