Hacking para principiantes: 5 de 5 herramientas para comenzar (parte III)

Kali Linux (Backtrack)

Kali-Linux

Finalmente vamos a explicar la 5 herramienta , hay una distribución de Linux diseñada exclusivamente para Penetration Testing, es Kali Linux. Esta distribución muy extensa por lo que en este post vamos a explicar como empezar a utilizar las herramientas y luego se creará una categoría exclusiva en M4sterr00t para esta distribución y estudiarla a fondo.

Las herramientas antes descritas (Nmap, Nessus, Metasploit) están disponibles y, no solo eso, también hay muchas más herramientas para continuar practicando.

Por ejemplo, Kali (antes conocida como Backtrack) es una distribución que posee todo tipo de herramientas preinstaladas que sirven para realizar Penetration Testing.

El orden en que se presentaron las herramientas no es aleatorio, es lo recomendable para comenzar a experimentar. Primero hay que probarlas de forma aislada y luego, abocarse completamente a Kali Linux.

Kali Linux puede ser descargada como imagen ISO o directamente para VMWare. Una vez que inicias un sistema Kali Linux, verás un menú muy extenso con más de 300 herramientas para pentesters. Nmap y Metasploit Framework están incluidos en esta lista, entre otros.

Clic para descargar la ultima versión de Kali Linux  

Kali Linux

Sitio web: http://www.kali.org/

Las categorías de las herramientas dentro de esta distribución vienen presentadas de la siguiente manera:

  • Information gathering: Herramientas de recolección de datos que ofrecen información sobre los objetivos de los análisis, especialmente herramientas de DNS, dominios y direcciones IP. Nmap está en esta categoría.
  • Aplicaciones web: Herramientas diseñadas para realizar análisis en sitios web a nivel de servidores. Recomendaciones para esta sección: Nikto y w3af para encontrar vulnerabilidades en los sitios.
  • Ataques a contraseñas: Herramientas para hacer cracking de contraseñas, de forma tal, que se prueban ataques de fuerza bruta o diccionario para encontrar las contraseñas de acceso correctas a un formulario o sistema.
  • Ataques inalámbricos: Cuando un atacante está conectado a una red wireless puede ejecutar algunos ataques, especialmente cuando intenta interceptar información que está siendo transmitida mediante esa red inalámbrica. Estas herramientas permiten analizar la red y diagnosticar su seguridad.
  • Herramientas de explotación: Metasploit Framework es la clave de esta sección, entre otras herramientas que permiten explotar vulnerabilidades.
  • Sniffing/Spoofing: Wireshark y Ettercap son las herramientas más recomendables. Con ellas, es posible ver el tráfico de red que podría permitir el acceso a información confidencial, entre otros ataques.
  • Ingeniería inversa: Ollydbg es uno de los mejores debuggers que podrían ayudar a comprender qué acciones realiza un archivo en el sistema por medio de un proceso de ingeniería inversa.
  • Forense: También hay una serie de herramientas para realizar análisis forenses sobre un sistema, es decir, se puede analizar el estado de un sistema justo en el momento que ocurrió determinado incidente; además se identifican acciones pasadas o archivos ocultos en el mismo, entre otros.

Para comenzar primero debemos probar las herramientas antes listadas pero desde dentro de Kali Linux y luego, adentrarse en su menú, donde las herramientas están categorizadas, lo que permitirá mayor comprensión.

Hay una falsa idea de que una prueba de penetración es la ejecución de una serie de herramientas en un orden determinado. Esto no es así, la elección de las herramientas, la ejecución de tareas manuales y la utilización de una metodología, son tan solo algunas de las variables para convertirse en un profesional de Penetration Testing. Sin embargo, un factor común en todo el proceso, es que tenemos que pensar.

Hay dos tipos de ethical hacker, aquel que solo lee y utiliza lo que dicen las herramientas y aquel que interpreta y pone su inteligencia para ofrecer un informe que realmente brinde valor a su cliente, aquella empresa u organización que necesita conocer cómo mejorar la protección de la información y su infraestructura.

Los atacantes no solo ejecutan herramientas, sino que piensan cómo atacar. Al momento de realizar un Pentest es fundamental no perder de vista nuestra herramienta principal: pensar. Independientemente de las herramientas de software que utilicemos, pensar constantemente como un atacante  es la clave principal para realizar un Penetration Testing de forma exitosa.

 ¿Qué debes hacer ahora? Solo toma esta guía, descarga las herramientas e intenta utilizarlas. Probablemente en una primera instancia tengas más preguntas que respuestas y si así fuera, esa es la mejor manera de comenzar.

La utilización de herramientas y habilidades similares a los atacantes con el ánimo de hacer un aporte a la seguridad y hacer el bien, la utilización en carácter fuera de la ley vigente el uso de dichas herramientas no es responsabilidad del administrador del sitio.

Quiero mostrarles un video del cual me emocione mucho como fan de la seguridad informática y donde podemos escuchar, también ver un video clip de esta distribución, nombrando gran parte de las herramientas y categorías que posee Kali Linux.

No se lo pierdan y disfruten el video!!

You can follow any responses to this entry through the RSS 2.0 feed.You can skip to the end and leave a response. Pinging is currently not allowed.

Leave a Reply

--------