CIBERTEC
Direccin de Extensin Profesional
Divisin de Alta Tecnologa
Curso : Ethical Hacking
Duracin : 45 horas
SYLLABUS
I. DESCRIPCIN
Con el crecimiento exponencial de la Internet y su infraestructura, cada vez son
ms las organizaciones que apuestan por Internet como un medio, para brindar
servicios a sus clientes y guardar su informacin. En estos tiempos, la
informacin es un activo primordial para la organizacin y su modelo de
negocio.
El Ethical Hacking es el proceso por el cual, se utilizan las mismas tcnicas y
herramientas de un atacante malicioso para atacar a una organizacin de una
manera controlada; esta filosofa resulta de la prctica probada: "para atrapar
a un ladrn debes pensar como un ladrn". El objetivo del Ethical Hacking es
brindar ayuda a las organizaciones para que tomen todas las medidas
preventivas en contra de agresiones maliciosas, valindose para ello, de los
tests de intrusin, los cuales evalan la seguridad tcnica de los sistemas de
informacin, redes de datos, aplicaciones web, servidores expuestos, etc.
Pre-requisitos:
Conocimientos intermedios de redes
Conocimientos bsicos de programacin
II. OBJETIVO GENERAL
Al finalizar el curso, el alumno podr:
Identificar y describir cmo operan los hackers cuando atacan servidores
y clientes, a travs de Internet.
Realizar una prueba de penetracin.
Utilizar en forma prctica, las herramientas que se utilizan en un proceso
de Ethical Hacking.
Explicar la metodologa OSSTMM desarrollada por ISECOM, para realizar
tests de seguridad.
Describir cmo funcionan los ataques ms comunes que ocurren en
Internet y por consiguiente, cmo protegerse de ellos.
Explicar las ventajas del uso de la tecnologa y los peligros que se pueden
generar si no se tiene implementada una cultura de seguridad.
2
III. METODOLOGA
La metodologa ser expositiva y prctica; apoyada con laboratorios que han
sido diseados para complementar y afianzar el aprendizaje del curso. Los
manuales y diapositivas han sido desarrollados a la medida, y se utilizarn
mediante los medios multimedia, implementados en las aulas. A cada alumno
se le asignar una computadora con el software necesario.
Recursos:
Una computadora personal
Syllabus del curso
Material Educativo del curso
IV. EVALUACIN
Se rendir durante el curso, laboratorios calificados y se implementar un
proyecto cuya especificacin tcnica ser definida por el instructor del curso.
El promedio final ser obtenido mediante la siguiente frmula:
PF = 0.5*Promedio Laboratorios + 0.5*Examen Final
La nota mnima aprobatoria para el curso ser 14. (Calificacin vigesimal)
3
V. CONTENIDO ANALITICO
CAPTULO No. 1: Introduccin al Ethical
Hacking
Duracin: 4 hrs.
Objetivo: Reconocer y explicar el proceso del Ethical Hacking
Temas
Conceptos Bsicos
Historia de los Hackers
Tipos de Ethical Hacking
Etapas del Ethical Hacking
Metodologas de Evaluacin
Laboratorio No. 1:
Cuestionario de Preguntas
Discusin en clase
CAPTULO No. 2: Introduccin a Linux Duracin: 4 hrs.
Objetivo: Desenvolverse en una lnea de comandos del sistema operativo.
Temas
Introduccin
Consola de Linux
Sistema de Archivos
Instalacin de Software
Laboratorio No. 2:
Instalacin de software utilizando consola
Compilando cdigo C
Interpretando scripts perl, python, bash
CAPTULO No. 3: Seguridad en Protocolos TCP/IP Duracin: 9 hrs.
Objetivo: Entender el funcionamiento de los protocolos y sus deficiencias. Conocer el
funcionamiento del malware
Temas
Protocolos de la pila TCP/IP
Sniffing
Envenenamiento ARP
Denegacin de Servicio
Malware (Virus, Troyanos, Gusanos, Bombas Lgicas, Botnets, etc)
Laboratorio No. 3:
Capturando paquetes en la red con Wireshark
Envenenamiento ARP con Etterpcap y arpspoof
4
CAPTULO No. 4: Reconocimiento del Objetivo Duracin: 4 hrs.
Objetivo: Conocer el proceso de la etapa de reconocimiento del objetivo.
Temas
Introduccin
Google Hacking
Interrogacin DNS
Herramientas
Laboratorio No. 4:
Buscando informacin sensible con Google.
Herramientas host, dig, whois, SamSpade
CAPTULO No. 5: Scanning y Enumeracin Duracin: 9 hrs.
Objetivo: Comprender y realizar un escaneo de puertos.
Temas
Introduccin
Escaneo de Puertos y Enumeracin de Servicios
Nmap
Laboratorio No. 5:
Uso de herramientas de scanning.
RETO: Elevando privilegios en un servidor local.
CAPTULO No. 6: Anlisis de Vulnerabilidades Duracin: 5 hrs.
Objetivo: Comprender y realizar un anlisis de Vulnerabilidades
Temas
Introduccin
Analizadores a Nivel Plataforma
Analizadores a Nivel Aplicacin
Laboratorio No. 6:
Reconociendo vulnerabilidades a nivel plataforma con Nessus,NeXpose
Anlisis de Vulnerabilidades a nivel aplicacin.
CAPTULO No. 7: Inseguridad en Aplicaciones Web Duracin: 6 hrs.
Objetivo: Explotar vulnerabilidades en sistemas y aplicaciones.
Temas
Introduccin
Vulnerabiliaddes Web
Frameworks de Aprendizaje
Laboratorio No. 7:
Explotando vulnerabilidades Web (RFI, SQLi, LFI)
Atacame (Reto)
5
CAPTULO No. 8: Explotacin de Vulnerabilidades Duracin: 4 hrs.
Objetivo: Conocer las vulnerabilidades Web y cmo son explotadas.
Temas
Trabajando con Exploits
Metasploit Framework
La Navaja Suiza del Hacker
Password Cracking
Laboratorio No. 8:
Explotando vulnerabilidades con Metasploit
Consiguiendo una shell con Netcat
EVALUACIN FINAL Duracin: 1 hr.
VI. REFERENCIAS BIBLIOGRAFICAS Y VIRTUALES
Libros:
Penetration Testing And Network Defense. (2005). Cisco Press. United
States of America
Penetration Tester's Open Source Toolkit. (2007). Syngress. United States
of America
The Web Application Hackers Handbook (2009). Wiley Publishing. United
States of America
Hacking Exposed 6th Edition. (2009). McGraw-Hill. United States of
America
Google Hacking For Penetration Testers. (2005). Syngress. United States of
America
Material Tcnico de Open-Sec.(2009) Per