MOOC de seguridad informática y Hacking Ético: Unidad 1

Llevamos un par de semanas, JavierGD y yo mismo, liados con el MOOC de Seguridad infomática y hacking Ético de la MONDRAGON UNIBERTSITATEA.
Empezamos en el primer tema aprendiendo lo que son los comandos: ping, whois y Nmap. Ya conocía las herramientas Ping y Whois pero el joven padawan quería saber y hubo que repasarlos.
Ping es uno de los primeros comandos que aprendes cuando necesitas saber si hay alguien ahí fuera o simplemente ver si la red te funciona, aunque sabemos que se pueden hacer que los paquetes ICMP se eviten responder o que solo se responda una vez.
Como resultado, nos ofrece la velocidad de respuesta del servidor remoto, por lo que podemos saber cómo de ágil está la conexión hasta la máquina que estamos saludando.
Whois nos permite saber quien está detrás de los dominios de internet. Podemos preguntar quien es quien y, aunque en algunos casos, la información está oculta, en general se puede saber el nombre y los apellidos de la persona que gestiona el dominio de internet de la persona o institución. Nos llamó la atención la historia de Kevin Mitnick, que se dedicaba a acceder a los sistemas por medio de ingeniería social. Recogía información (por ejemplo por medio de Whois),  y se presentaba allí, convenientemente vestido, y con gran aplomo preguntaba por la persona adecuada. En general es más fácil engañar a una persona que a una máquina.
Nmap nos ofrece buenos datos sobre una conexión. Saber la versión del sistema operativo y los puertos que tiene abiertos una información muy valiosa para saber si una máquina está bien protegida.  Los puertos nos indican los servicios o programas que el servidor ejecuta y el sistema operativo nos vale para poder investigar sobre las vulnerabilidades de los sistemas, accediendo por ejemplo a consultarlas en la Base de Datos de Vulnerabilidades Nacional de Estados Unidos.
Seguimos con la segunda tarea, que nos insta a buscar recursos valiosos sobre hacking en Internet. Desde hace tiempo sigo a Chema Alonso en Un informático en el lado del mal, un tipo realmente divertido y acertado en sus investigaciones y artículos.
Finalmente, estuvimos probando el cifrado con PGP. Para comprender el cifrado simétrico vimos el siguiente vídeo de la UPM.

Generamos un par de claves, una pública y otra privada con GPG Tools y probé a enviar a JavierGD un texto cifrado con su clave pública.  Al recibirlo pudo descifrarlo usando su clave privada para ello.



Comentarios

Entradas populares de este blog

Migrar a la nube

Desplegando apps Windows en Chromebooks desde consola

#GoogleEI: la academia de innovación de Google for Edu es mucho más que un hastag