domingo, 12 de junio de 2011

Lección 1 - Ser Un Hacker - Parte 2

Magazines y Periódicos 


La utilización de magazines y periódicos es altamente recomendable para tener información 
concisa y actualizada. No obstante, los magazines a menudo no proporcionan demasiados 
detalles y se centran demasiado en la comunidad. Esto puede causar información poco 
precisa creada por la prensa sensacionalista. Obviamente esto se hace para vender más 
subscripciones. Incluso los magazines gratuitos necesitan subscritores para vender más 
publicidad. 
Otro inconveniente que se debería considerar es el tema que trata el magazine. Un 
magazine sober Linux intentará desprestigiar a Microsoft Windows porque existe un conflicto 
entre ellos y es lo que los lectores de Linux esperan leer. Es importante leer entre líneas y no 
dejarse influenciar por un punto de vista hasta haber consultado las dos versiones. 


Ejercicios 


a. Busca en la Web 3 magazines relacionados con Seguridad. 
b. ¿Cómo los has encontrado? 
c. ¿Los tres magazines están relacionados con la seguridad informática? 
1.2.3 Zines y Blogs 
Los Zines son magazines pequeños, a menudo gratuítos, y que tienen muy poca distribución 
(casi siempre menos de 10.000 lectores). A menudo están producidos por aficionados y 
periodistas amateur. Algunos Zines, como el famoso 2600 o el Phrack están escritos por 
voluntarios que no editan el contenido por errores no técnicos. Esto significa que el lenguaje 
puede ser rudo para aquellos que esperan esa lectura. Los Zines tratan temas muy fuertes y 
son muy opinados. De todos modos, casi siempre intentan mostrar y discutir las ideas desde 
varios puntos de vista ya que no les acostumbra a preocupar el problema de los anuncios y 
los subscritores. 
Los Blogs son la modernización de los Zines. Los Blogs se actualizan más a menudo y son 
utilizados por las comunidades para discutir temas fuertes. Del mismo modo que los zines, de 
todos modos, cualquiera puede criticar una historia y mostrar una opinión opuesta. En el 
caso de los Blogs es tan importante leer los comentarios como la propia historia. 
1.2.3.1. Ejercicios 
a. Busca en la Web 3 zines relacionados con la seguridad informática. 
b. ¿Cómo has encontrado esos zines? 
c. ¿Por qué los clasificas como zines? Recuerda, sólo porque se etiqueten 
como "zine” no necesariamente significa que lo sean. 
1.2.4 Forums y Listas de Correo 
Los Forums y las Listas de Correo son comunidades de desarrollo que se centran en muchos 
temas, a menudo conflictivos. Estos medios contienen información que la gente puede 
enviar anónimamente y a veces puede no contener "toda la verdad”. Como los Blogs, es importante leer todas las respuestas y los comentarios, y no quedarse únicamente con el primero para conseguir la mejor información. 
Puedes encontrar forums que traten prácticamente todos los temas, y muchos magazines y 
periódicos online ofrecen forums a sus lectores para tener un feedback de los artículos. Para 
este caso, los forums son inestimables para conseguir más de una opinión sobre un artículo, 
sin que tenga importancia si te ha gustado el artículo o no. 
Muchas listas de correo que tratan temas muy específicos son difíciles de encontrar. A 
menudo, debes buscar en profundidad sobre una idea hasta encontrar alguna comunidad 
que ofrezca una lista de correo que trate sobre esa temática. 
Lo más imporante es ser consciente que existen muchos forums y listas de correo que no 
pueden encontrarse mediante los grandes motores de búsqueda de Internet. Puedes 
encontrar información sobre una lista de correo a través de una búsqueda en un buscador 
de Internet, pero difícilmente encontrarás información sobre posts individuales. Esta 
información se llama "la web invisible”, ya que contiene información y datos que no son 
visibles a la mayoria de gente ya que es necesario realizar búsquedas muy específicas, a 
menudo mediante buscadores de meta información o directamente a traves de las páginas 
web apropiadas. 


Ejercicios 


a. Busca 3 forums de seguridad informática. 
b. ¿Cómo has encontrado esos forums? 
c. ¿Puedes determinar el tema principal que trata el sitio web? 
d. ¿Los tópicos que has encontrado reflejan la temática que muestra el sitio 
web que los alberga? 
e. Busca 3 listas de correo de seguridad informática. 
f. ¿Quién es el "propietario” de las listas? 
g. ¿En qué lista esperarías encontrar información más objetiva y menos 
subjetiva? ¿Por qué? 
1.2.5 Grupos de Notícias 
Los grupos de notícias llevan mucho tiempo funcionando. Existían grupos de notícias antes 
de que existiera la Web. Google compró un archivo entero de noticias y lo puso en la web 
http://groups.google.com. Puedes encontrar información enviada desde principios de los ’90. 
Este archivo es muy importante para encontrar quien es el propietario real de una idea o 
producto. También es importante para encontrar información oscura que tal vez alguien 
puso en alguna web en algun momento. 
Los grupos de notícias no se usan menos ahora de lo que se hacía hace años, antes de que 
la web se convirtiera en el primer mecanismo para compartir información. Aun así, los grupos 
de notícias no han crecido demasiado, ya que su popularidad ha sido reemplazada por 
otros nuevos servicios web como los blogs y los forums. 


Ejercicios 

LECCIÓN 1 – SER UN HACKER 
a. Usando el Google Groups, encuentra el grupo de notícias más 
antiguo que envió notícias sobre seguridad. 
b. Busca otras formas de utilizar los grupos de notícias. ¿Existe alguna 
aplicación que se pueda utilizar para leer grupos de notícias? 
c. ¿Cuántos grupos de notícias puedes encontrar que hablen sobre 
hacking? 


Páginas Web 


El estándar de facto para compartir información actualmente es a través de un navegador 
web. Mientras esto se clasifica como "la web”, el termino real debería ser "servicios web” ya 
que no todo lo que hay en la web son sitios web. Si tú compruebas tu e-mail utilizando un 
servidor web, estás utilizando un servicio web. A menudo, los servicios web requieren 
privilegios. Esto significa que necesitas un login y un password para tener acceso. Tener 
acceso y el derecho legal a acceder se conoce como tener privilegios. Acceder a un sitio 
web que te permita cambiar una página web puede darte acceso, pero como no tienes 
derecho legal para hacerlo, eso no sería un acceso privilegiado. A menudo nos preocupa el 
hecho de tener acceso o no a un recurso web, pero hay que tener en cuenta que es posible 
que accidentalmente algunos sitios web permitan acceso a areas privilegiadas. Si 
encuentras uno de estos sitios, deberías tener el hábito de escribir al propietario del sitio web 
y hacérselo saber. 
Los sitios web pueden ser escudriñados con un gran número de buscadores de Internet. 
Incluso es posible hacer tu propio motor de búsqueda, si tienes suficiente tiempo y espacio 
de disco. A veces, los propios buscadores consiguen acceso a sitios privilegiados y buscan la 
información por tí. A veces es en forma de caché. Muchos motores de búsqueda tienen un 
link a la caché para buscar las páginas web en la memoria local de la compañía para 
acelerar el proceso de búsqueda. Es posible encontrar resultados de búsqueda en la caché 
de los buscadores que ya no sean válidos. 
Una de las caches públicas más útiles es http://www.archive.org. Allí podrás encontrar versiones 
guardadas de sitios web enteros de hace años. 
Una nota final sobre los sitios web: no supongas que puedes confiar en las páginas web que 
visites tan sólo porque aparezcan en un buscador. Muchos ataques hacker y virus se 
esparcen tan sólo por el hecho de visitar una página web o descargar un programa y 
ejecutarlo. Puedes protegerte a tí mismo no descargando nunca programas de fuentes que 
no ofrezcan confianza y asegurándote de que tu navegador está actualizado por lo que 
respecta a parches de seguridad. 


Ejercicios 

a. Utilizando un buscador, encuentra sitios que hayan proporcionado 
acceso a todo el mundo accidentalmente. Para hacerlo, 
buscaremos listados de directorios accesibles cuando no te 
conectas a una página correcta. Por ejemplo escribiendo lo 
siguiente en el diálogo de búsqueda del buscador: 
allintitle: "index of" .pdf 
b. De los resultados obtenidos, visita alguna de las direcciones listadas y 
deberías acceder al contenido de todo el directorio. Este tipo de 
búsqueda se llama Google Hacking. 



SER UN HACKER

c. ¿Puedes encontrar tipos de documentos de este modo utilizando 
Google? Busca 3 listados de directorios que contengan archivos del 
tipo .xls y .avi. 
d. Existen muchos buscadores a parte de google. Un buen hacker sabe 
cómo y cuando utilizarlos todos. Algunos sitios web se especializan en 
monitorizar motores de búsqueda como www.searchengine.com. Incluso 
existe un buscador para "la web invisible”. Busca 10 buscadores que 
no sean buscadores de meta información. 
e. Busca "security testing and ethical hacking” y lista las 3 primeras 
respuestas. 
f. Busca exactamente lo mismo pero sin las comillas. ¿Son diferentes los 
resultados? 
g. Es muy diferente buscar una palabra clave que toda una frase. En el 
ejercicio D, se ha buscado una frase entera. Ahora, buscamos una o 
varias palablras clave. Para esto es necesario saber exactamente 
qué estamos buscando y cómo buscarlo. Cuando se busca una 
canción, por ejemplo, es más probable encontrar lo que se busca 
cuando se indica el nombre de la canción y tambien el grupo. Una 
buena combinación podria ser: 
"I am the walrus” +the beatles 
De todos modos, ¿Qué pasa si sabes como es la canción, pero no sabes exactamente el 
título o el grupo que la canta? Ahora, tu búsqueda es similar a la búsqueda por un concepto 
o idea. Si puedes cantar un trocito de la canción, o tararearla, tal vez encuentres algún 
patrón que te sirva para volver a intentar la búsqueda. 
Se me queda pegada una canción en la cabeza que se repite una y otra vez, "you take my 
self you take my self control”. Para buscar esto, si no utilizo las comillas, el buscador 
encontrará las palabras aunque no esten en el mismo orden. Utilizando las comillas y 
buscando "self control”, en cambio, la búsqueda sería mucho más exacta. 
Ahora yo tengo una idea en mi cabeza. Quiero recopilar recursos de magazines sobre 
hacking ético. Si escribo "online resource of magazines for ethical hacking” sin las comillas en 
un buscador, encontraré resultados que contengan algunas de éstas palabras, lo cual no es 
tan útil como lo que estoy buscando. Así que, en lugar de eso, necesito pensar, si yo tuviese 
que hacer ese recurso, qué información contendría, de modo que pueda comenzar por ahí 
mi búsqueda. Busca lo siguiente en tu buscador y determina cuáles proporcionan mejores 
resultados para esta búsqueda: 
„« my favorite list of magazines on ethical hacking 
„« list of ethical hacking magazines 
„« resources for ethical hackers 
„« ethical hacking magazine 
„« magazines ethical hacking security list resource 
h. Busca el sitio web más antiguo del navegador Mozilla en el Internet 
Archive. Deberás buscar www.mozilla.org en http://www.archive.org
Intenta localizar cómo bajarte la versión 1 (pero no la instales). 

Chat 


El Chat tambien se conoce como Internet Relay Chat (IRC) y es un sistema de mensajería 
instantánea (IM) muy popular y que ofrece una forma muy rápida de establecer 
comunicación en tiempo real, para preguntar y encontrar información. Como fuente de 
información, el Chat es una opción que implica preguntar a la gente, y no siempre es fácil 
encontrar gente dispuesta a colaborar. De todos modos, una vez uno se siente confortable 
con un cierto grupo de usuarios y canales, puedes ser aceptado en una comunidad y se te 
permitirá preguntar mas cosas. Eventualmente, tendrás la oportunidad de compartir 
información de seguridad muy reciente (conocida como zero day o dia cero, lo que significa 
que acaba de ser descubierta), lo que te permitirá ampliar tu conocimiento. Hay que tener 
en cuenta que a veces se obtiene información falsa. Es necesario adquirir suficiente 
experiencia para distinguir información cierta de la que no lo es. 



Ejercicios 

a. Busca 3 programas de Chat. ¿Qué los hace diferentes? ¿Se pueden usar 
entre ellos para hablar? 
b. Busca qué es IRC y como puedes conectarte. Una vez seas capaz, entra en 
el Chat Room de ISECOM que encontrarás en http://www.isecom.org
c. ¿Cómo puedes saber qué canales existen en un IRC? Busca tres canales de 
seguridad informática y 3 canales hacker. ¿Puedes entrar en estos 
canales?¿Hay gente hablando, o son "bots”? 
1.2.8 P2P 
Las redes Peer to Peer, también conocidas como P2P, son redes que están dentro de 
Internet. Existe una gran variedad de clientes P2P que permiten descargar música en mp3. 
De forma más amplia, estos programas permiten compartir todo tipo de información de 
forma distribuida. Puedes encontrar más información en http://www.infoanarchy.org. Aquí 
podrás encontrar un listado de redes P2P y clientes. 
Las redes P2P son de vital importancia para encontrar información. Es posible que parte de la 
información que encuentres mediante este método sea robada. Debes ir con cuidado 
cuando utilices las redes P2P, pero no debe darte miedo utilizarlas. 

Más lecciones

 
Ahora deberías practicar para adquirir práctica con las técnicas de búsqueda de 
información. Cuanto mejor lo hagas, más información encontrarás, y de forma más rápida. 
Algunos temas relacionados que te pueden ayudar a adquirir más experiencia para el 
programa Hacker Highschool son: 
„« Meta Search 
„« The Invisible Web 
„« Google Hacking 
„« How Search Engines Work 
„« The Open Source Search Engine 

No hay comentarios:

Publicar un comentario