GRAY HAT HACKING. THE ETHICAL HACKER’S HANDBOOK

La cuarta edición de esta obra entra de lleno en nuevas técnicas vanguardistas destinadas a encontrar brechas críticas en la seguridad, confirmando así su vigencia como manual para el llamado hacking ético.

En sus páginas, los múltiples autores ofrecen tácticas para hacer frente a ciberamenazas, casos de estudio y laboratorios de pruebas, al tiempo que arrojan luz sobre los modos en los que los ciberdelincuentes acceden y superan los dispositivos de red, inyectan código malicioso o saquean los navegadores y aplicaciones web. Es más, en la actual edición tienen una especial relevancia los ataques basados en plataforma Android, las técnicas de ingeniería inversa y la ciberlegislación.

Como su título indica, el libro enfoca los doce capítulos que lo conforman desde el punto de vista del “hacking de sombrero gris”, ese híbrido entre el hacking más pernicioso y peligroso y el de guante blanco. La temática de cada uno de ellos es la siguiente: Construir y lanzar ataques spoofing con Ettercap y Evilgrade; Inducir condiciones de error y crash software usando fuzzers; Hackear routers, switches y hardware de red de Cisco; Uso avanzado de la ingeniería inversa para explotar el software de Windows y Linux; Esquemas de protección de memoria y del Bypass Windows Access Control; Análisis de fallos en aplicaciones Web usando Fiddler y el plugin x5; Aprender la técnica use-after-free utilizada en ataques de Día Cero recientes; Autenticación de Bypass Web mediante conversión MySQL y ataques de inyección de MD5; Inyectar shellcode en la memoria de un navegador utilizando las últimas técnicas de Heap Spray; Secuestro de navegadores con Metasploit y el BeEF Injection Framework; Neutralizar ransomware antes de que tome control del escritorio; Diseccionar malware para Android con JEB y descompiladotes DAD, y Encontrar las “vulnerabilidades de un día” con diffing binario.

CÓMO IMPLANTAR UN SGSI SEGÚN UNE-ISO/IEC 27.001:2014 Y SU APLICACIÓN EN EL ESQUEMA NACIONAL DE SEGURIDAD

En esta publicación de AENOR, sus autores Luis Gómez y Pedro Pablo Fernández tratan de facilitar la comprensión de todos los conceptos desarrollados en la norma UNE-ISO/IEC 27001:2014, para la implantación efectiva de un Sistema de Gestión de Seguridad de la Información (SGSI).

En sus páginas se recoge un capítulo descriptivo de otra herramienta importante para la implantación de los requisitos de la Norma UNE-ISO/IEC 27001: la Norma ISO/IEC 27002, que ofrece un conjunto de recomendaciones y buenas prácticas para la implantación de las medidas de seguridad seleccionadas.

Otros contenidos en los que se centra el título de AENOR son cómo dar cumplimiento al Esquema Nacional de Seguridad (ENS), reglamento de obligado cumplimiento en el ámbito de la Administración Electrónica, mediante un SGSI; el proceso de certificación del SGSI; la relación entre los apartados de la norma y la documentación del sistema; y la correspondencia entre las Normas UNE-ISO/IEC 27001:2007 y UNEISO/ IEC 27001:2014.

Sobre los autores cabe señalar que ambos son expertos en seguridad de la información y se marcaron el objetivo de ayudar a los responsables de implantar y mantener un SGSI, a comprender los requisitos de las citadas normas y llevarlos a la práctica a través de ejemplos.

BLINDSIDED: A MANAGER’S GUIDE TO CRISIS LEADERSHIP

Como dueño y máximo responsable de tres compañías y experto en gestión de crisis, Bruce T. Blythe aborda en este libro cómo las empresas han de responder ante las crisis “que atacan de la nada, en el lugar y el momento menos esperados”. Por lo tanto, en las páginas de Blindsided, ofrece las claves para que los líderes que han de afrontar una de esas crisis lo hagan de un modo eficaz y humano (incidiendo especialmente en la importancia de las personas), de modo que lleguen a inspirar lealtad y confianza en su equipo de trabajo.

Para lograr su objetivo, el autor echa mano de ejemplos reales recabados en sus más de 30 años de experiencia. Además, divide el libro en dos secciones. La primera de ellas está dedicada a la Respuesta ante la Crisis y ahí Blythe sitúa al lector en un escenario realista y dramático en el que es un gerente no preparado ante una situación complicada: un tirador está suelto en el edificio y la vida de los empleados está en peligro. Ante este hecho, queda claro que siempre es necesario un proyecto que pueda responder a cuestiones como cuál será el siguiente movimiento, cómo mantener a todo el mundo a salvo o incluso cómo recuperar la cohesión y la productividad una vez que pase la crisis.

La segunda parte del libro está dedicada a la Preparación frente a la Crisis. En ella el lector se embarca en la elaboración de un plan. El autor, en este caso, propone el análisis de los riesgos previsibles, la evaluación de los controles existentes y la opción de añadir otros nuevos.

En las 400 páginas del volumen, también se incluyen guías de respuesta rápida al final de cada capítulo, listas de incidentes para las nueve crisis principales más 20 para otros riesgos previsibles y una guía de 20 páginas para afrontar el trato con familias de los heridos.

Documento en PDF