Hackear para dummies

Profesionales de la seguridad de información deben saber las debilidades comunes de seguridad que los hackers y usuarios maliciosos primer cheque para cuando la intrusión en los sistemas informáticos. Fallas de seguridad, tales como los siguientes, debe estar en su lista de verificación al realizar sus pruebas de seguridad:

• Usuarios crédulos y excesivamente confiados

• Construcción sin garantía y de la computadora entradas de las habitaciones

• Documentos desechados que no han sido triturados y discos de computadora que no han sido destruidos

• Perímetros de red con poca o ninguna protección de cortafuegos

• Pobres, inapropiados o que faltan archivos y compartir los controles de acceso

• Sistemas sin parches

• Aplicaciones Web con mecanismos de autenticación débiles

• Las redes inalámbricas funcionando sin WPA o WPA2 habilitado

• Los ordenadores portátiles sin cifrado de unidad

• Los dispositivos móviles que no tienen, o fácil de roer, contraseñas

• Débil o no hay aplicaciones, contraseñas de base de datos y del sistema operativo

• Los firewalls, routers y switches con predeterminado o contraseñas fáciles de adivinar

Puertos comunes, tales como el puerto TCP 80 (HTTP), pueden ser bloqueados - pero otros puertos pueden pasarse por alto y ser vulnerable a los piratas informáticos. En sus pruebas de seguridad, asegúrate de revisar estos TCP comúnmente hackeado y UDP:

• El puerto TCP 21 - FTP (File Transfer Protocol)

• El puerto TCP 22 - SSH (Secure Shell)

• El puerto TCP 23 - telnet

• El puerto TCP 25 - SMTP (Simple Mail Transfer Protocol)

• TCP y UDP puerto 53 - DNS (Domain Name System)

• El puerto TCP 443 - HTTP (Protocolo de Transferencia de Hipertexto) y HTTPS (HTTP sobre SSL)

• El puerto TCP 110 - POP3 (Post Office Protocol versión 3)

• TCP y UDP puerto 135 - Windows RPC

• TCP y UDP puertos 137-139 - Ventanas NetBIOS sobre TCP / IP

• El puerto 1433 y UDP puerto TCP 1434 - Microsoft SQL Server

Ya sea que esté realizando hacking ético contra los sistemas de un cliente o de su cuenta, usted debe ser prudente y pragmático para tener éxito. Estos consejos para hacking ético pueden ayudarle a tener éxito como un profesional de la seguridad de la información:

• Establezca metas y desarrollar un plan antes de empezar.

• Obtener permiso para realizar sus pruebas.

• Tener acceso a las herramientas adecuadas para las tareas a mano.

• Prueba en un momento en que es mejor para el negocio.

• Mantenga los actores clave en el bucle durante las pruebas.

• Entender que no es posible detectar cada vulnerabilidad de seguridad en todos los sistemas.

• Estudia hacker malicioso y comportamientos internos canallas y tácticas. Cuanto más se sabe acerca de cómo funcionan los chicos malos, mejor estarás en probar sus sistemas de vulnerabilidades de seguridad.

• No pase por alto la seguridad no técnica issues- que están a menudo explotados primero.

• Asegúrese de que todas sus pruebas es todo legal.

• Tratar a la información confidencial de otras personas al menos tan bien como lo haría con el suyo propio.

• Traiga vulnerabilidades que encuentre a la atención de la administración y la aplicación de las medidas de prevención adecuadas tan pronto como sea posible.

• No trate a todas las vulnerabilidades descubiertas en la misma manera. No todas las debilidades son malos. Evaluar el contexto de los problemas encontrados antes de declarar que el cielo se está cayendo.

• Mostrar la gestión y los clientes que las pruebas de seguridad es un buen negocio y usted es el profesional adecuado para el trabajo. Hacking ético es una inversión para cumplir con los objetivos de negocio, encontrar lo que realmente importa, y cumplir con las diversas leyes y reglamentos. Hacking ético es no acerca de los juegos de piratas informáticos tontas.