aquí está el documento
https://docs.google.com/document/d/1PFzHSF5iof9BBSNH-KBe8xirLGQ6ICZ41CJdsN2tErg/edit?usp=sharing
Bienvenida y panorama general
Lo que aprenderás sobre el hacking ético
Conceptos básicos sobre hacking ético
Vulnerabilidades
Amenazas y ataques comunes
Instalación del entorno de pruebas Kali Linux
Instalación del entorno de pruebas Mutillidae
Instalación del entorno de pruebas Metaesplotaible 3
Práctica: Cross-Site-Scripting, command injection y directorio transversal
Introducción al Hacking Ético
Fases del hacking
¿Qué es hacking y hacker? Tipos de hacker
Práctica: Obteniendo información de fuentes abiertas con OSINT Framework y Google hacking
Práctica: Analizar un sitio web con Nikto y Spiderfoot
¿Es necesario un hacking ético? Hacking ético como profesión
Pentesting
Conceptos. ¿Qué es y qué no es una pentesting?
Tipos de pentesting. Fase Pre-ataque
Práctica: Buscando secretos en repositorios GIT
Introducción al escaneo de redes
Práctica: Escaneo de redes con Nmap
Fase de Ataque. Testing de aplicaciones web con Burp suite
Práctica: Explotando vulnerabilidades en metasploitable
Fase Post-ataque. Metodologías
Estándares y aspectos legales
PCI DSS. HIPAA. DMCA.ISO/IEC 27001
Contratos, Reglas de compromisos, Cláusula de no competencia y Acuerdo de confidencialidad
Convenio de Budapest. ¿Cómo vamos en América latina? Salvaguarda de evidencias digitales
Casos típicos de ataques
Malware y Análisis estático de malware
Malware y Análisis dinámico de malware
Sniffing y Cómo realizar un ataque Man in the middle automatico
Sniffing y Cómo realizar un ataque Man in the middle manual
Denegación de servicio. Ataque DOS con LOIC y HOIC
Ingeniería social
Controles y mecanismos de seguridad
Políticas de seguridad. Seguridad física y Controles de acceso
Práctica: Bypass autenticación QR (Reto 6 SANS Holiday hack)
Copias de seguridad. Defensa en lo profundo
Práctica: instalación del IDS snort
Gestión de riesgos y modelado de amenazas
Lectura
Definición 1:
Los convenios que producen o transfieren las obligaciones y derechos, toman el nombre de contratos, el cual para su existencia se requiere de:
Definición 2:
Hay que recordar que un contrato establece las bases de trabajo, disponibilidad y entregas que tenemos entre las organizaciones y los proveedores de servicios.
¿Qué son los contratos informáticos?
Permiten transmitir derechos de propiedad o de uso sobre bienes como equipos (hardware) o programas (software) y sobre todo los referentes a la prestación de servicios sobre este tipo de bienes.
Los contratos informáticos pueden dividirse en múltiples categorías, como:
-Contratos relativos al hardware: Se establecen los elementos físicos de un equipo electrónico y la modalidad en las cuales se van a adquirir (compra/venta o arrendamiento).
Contratos para realizar un Pentesting
Es aquel que tiene como objeto permitir a un agente externo especializado realizar una serie de análisis durante un periodo cierto con el propósito de evaluar el cumplimiento de los derechos y obligaciones contraídos al haber comprado o arrendado algún software y/o hardware.
Este tipo de contratos deben incluir todas las cláusulas necesarias, así como establecer los derechos y responsabilidades de las partes involucradas en el proceso.
Una recomendación es que el contrato sea redactado por un abogado, pero debe estar firmado por la persona que realizar la prueba pertinente y sobre todo la organización. Por lo general un contrato bien elaborado debe considerar estos puntos:
Reglas de compromiso:
Las reglas de compromiso por sus siglas en ingles ROE (Rules of engagement) es el permiso formal para realizar un Pentesting. Proporcionan ciertos derechos y restricciones al equipo de pentesting para realizar la prueba, y ayudan a los evaluadores a superar las restricciones legales, federales y relacionadas con las políticas para utilizar diferentes herramientas y técnicas de pruebas de penetración.
¿Qué debe contener un ROE?
Acuerdo de confidencialidad y de no divulgación:
Estos documentos son importantes contar con ellos antes de comenzar un Pentesting, en el acuerdo de confidencialidad se establece que la información que proporciona la organización es confidencial y propietaria. Este acuerdo también cubre aspectos clave en caso de negligencia y responsabilidad para muchos problemas potenciales, es importante conocer si la empresa cuenta un seguro por daños.
Un acuerdo de confidencialidad (NDA, por sus siglas en inglés) protege la información confidencial de una organización, recomienda que se realice escrita ya que es una herramienta legal poderosa, que establece que ninguna parte divulgará secretos comerciales, patentes u otra información propietaria a nadie fuera de la compañía. Cualquiera de las partes puede iniciar una acción legal si se incumple este acuerdo documentado.
Por aspectos ética ambas partes tienen la responsabilidad de proteger las herramientas, técnicas, vulnerabilidades e información de la divulgación más allá de los términos especificados en un acuerdo por escrito.
Algunos de los puntos a considerar son:
Cláusula de no competencia:*
Si la compañía que nos contrata solicita que no se brinde el mismo servicio a su competencia, se hará uso de esta cláusula, en la cual debe quedar claramente quienes son los competidores directos y el tiempo que se aplicarán estas restricciones.
Más información: https://drive.google.com/open?id=18WYgv-R3zM_r5eeq_9NBo1wMYPe5MjwK
Aportes 8
Preguntas 1
Según esto, es necesario contar con un abogado dentro del grupo de trabajo de la empresa que presta el servicio de pentesting ?? o con los abogados del cliente podría ser suficiente??
Está interesante la parte en la que se nos dice acerca de la Cláusula de no Competencia
Muchas gracias
El documento en drive solicita permiso
Excelente documento
Muy claro! Por eso me encanta platzi!
Pero no funcional el link: https://drive.google.com/open?id=18WYgv-R3zM_r5eeq_9NBo1wMYPe5MjwK
Muy, muy interesante. Me imaginé que esto de la cláusula de no divulgación sería algo indispensable en los pentesting.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.