HACK ATTACKS DENIED
  
A complete guide to network lockdown for Unix, Windows and Linux

Second Edition
Autor: John Chirillo
Editorial: John Wiley & Sons
Año 2002- 689 páginas - ISBN: 0-471-23283-1
www.wiley.com / www.diazdesantos.es
El libro escrito por John Chirillo pertenece al género de volúmenes enfocados a compilar información y procedimientos, en su mayoría de carácter técnico, con el objetivo de diseccionar problemas de seguridad comunes, aparecidos en sistemas operativos y dispositivos como routers, cortafuegos y variantes, para a continuación ofrecer la solución a cada uno de ellos. Como si de un camino de iniciación se tratara, el autor propone una serie de fases, más concretamente cuatro, que conducen gradualmente –desde lo más sencillo a lo más complejo–, a la consecución del fin propuesto: la protección de los sistemas de información frente a posibles amenazas.
Sucintamente, Hack Attacks Denied, en esta su segunda edición, se encuentra dividido en cuatro partes, siete capítulos y tres anexos que responden a la siguiente estructura: Fase 1: Protección de puertos y servicios [Temas: 1) Puertos comunes y servicios, 2) Ocultación de puertos y servicios, 3) Implantando las contramedidas]; Fase 2: Mecanismos de defensa contra intrusos [Temas: 4) Protección contra intrusiones]; Fase 3: Secretos del equipo Tigre [Temas: 5) Cerrando el perímetro: demonios de servicio y hardware, 6) Compendio de los 75 ataques más críticos]; Fase 4: Ponerlo todo junto [Temas: 7) Políticas de seguridad]. También se incluye un glosario de términos generales y tres anexos, A) Autoprotección, B) Preparación de un plan de seguridad, C) Contenidos del CD-Rom.
Del conjunto de fases propuestas, las más representativas son la tercera, donde se examinan las vulnerabilidades más críticas (seleccionadas de las listas publicadas por organismos como el SANS y el CERT, entre otros), así como sus contramedidas –clasificadas por sistemas operativos y por dispositivos de distintos fabricantes–, y la cuarta, donde se analiza la parte organizativa de la seguridad TI, es decir, las políticas, los criterios y los controles necesarios en la gestión de riesgos de un sistema de información.
Por último, cabe destacar que el libro está plagado de notas, recomendaciones técnicas y referencias a sitios web que ayudan, en gran medida, a su correcta lectura. Eso sí, teniendo en cuenta la fecha de publicación –el año 2002– resulta chocante comprobar que tanto en el texto como en numerosas capturas de pantalla se sitúa al producto BlackIce Defender como perteneciente a la empresa Network ICE, cuando es conocido que el fabricante de soluciones de detección de intrusiones ISS adquirió esta compañía en junio de 2001.

THE ART OF DECEPTION
 Controlling the human element of security

Autores: Kevin D. Mitnick y William L.Simon
Editorial: John Wiley & Sons
Año 2002- 352 páginas - ISBN: 0-471-23712-4
www.wiley.com / www.diazdesantos.es
La temática que han abordado en conjunto Kevin D. Mitnick y William L. Simon en este su primer libro, como era de esperar, no se sale de la norma general y utiliza el mismo modelo que han seguido otros “compañeros de profesión”, como Kevin Poulsen, para encumbrarse en el mundo del pseudo-periodismo tecnológico barato. ¿De qué pueden hablar un exconvicto y un escritor de bestsellers para cine y televisión?. Obviamente, de algo que les resulta familiar, en este caso, teorizar sobre una de las técnicas utilizadas por Mitnick en sus intrusiones a los sistemas de información de compañías como Sun, Motorola y Nokia: la ingeniería social.
En Art of Deception, Mitnick hace gala de sus conocimientos en la materia glosada, y para demostrarlo tiene la osadía de mezclar su experiencia personal –dudosa y aún sin esclarecer–, con otros elementos del mundo de la seguridad TI, léase técnico-organizativos, todos incluidos en el mismo recipiente con el siguiente pretexto: “qué mejor que un ladrón para controlar y conocer a otro ladrón”. Dejando a un lado la parte lucrativa de este negocio (no hay que olvidar que estas dos personas han montado una empresa de consultoría, denominada Defense Thinking), Mitnick resume en este volumen –seguramente el primero de una larga serie–, un repertorio genérico y poco creíble de técnicas de ingeniería social utilizadas por intrusos en la realidad. Para darle un mayor realismo, reproduce textualmente las conversaciones telefónicas con un alto grado de imaginación, para posteriormente y como era de esperar, analizar cada caso y dar consejos al respecto.
Como conclusión, cabe destacar que no es de recibo que los intrusos más conocidos en la pléyade del submundo informático terminen arengando a las masas con sus teorías viciadas y sus conocimientos adquiridos a base de realizar intrusiones en los sistemas de información de compañías respetables, que realmente son las que conocen e invierten en seguridad. Para muestra, un botón: Mitnick fue condenado a un total de 80 meses de prisión por 25 delitos relacionados con el robo de información vital a multinacionales y organismos gubernamentales, que le ha supuesto, además, tres años de libertad vigilada y una multa de 4.100 euros de indemnización a las víctimas. La verdad, todo un curriculum para comenzar a abrirse camino en el oficio de escritor.

WIRELESS SECURITY ESSENTIALS
 Defending Mobile Systems from Data Piracy

Autor: Russel Dean Vines
Editorial: John Wiley & Sons
Año 2002- 345 páginas - ISBN: 0-471-20936-8
www.wiley.com
En la actualidad, uno de los temas que se encuentra en el candelero de la seguridad TIC es el relacionado con el despliegue de infraestructuras inalámbricas, y por ende, la aparición de problemas relacionados con la novedad de esta tecnología. Por esta razón, el libro escrito por Russel Dean Vines viene a compilar diverso material e información de fuentes varias con el objetivo de elaborar un marco de contextualización que pueda aplicarse, con relativa exactitud, al conocimiento de la evolución de la tecnología wireless y sus mecanismos de seguridad inherentes.
Concretamente, el índice de esta obra se ha vertebrado en dos partes y cuatro anexos con la siguiente distribución: Parte I: Nociones de tecnología básicas [Temas: 1) Introducción a la informática, 2) Teorías sobre redes inalámbricas, 3) Contexto actual]; Parte II: Seguridad imprescindible [Temas: 4) Metodología y conceptos, 5) Tecnología en seguridad, 6) Soluciones y amenazas]; Anexos: A) Glosario de términos, B) Guía de explotación WLAN, C) Usando los ataques Fluhrer, Mantin y Shamir para romper el protocolo WEP, D) Documentos de la NASA sobre cortafuegos en la pasarela de Internet inalámbrica.

SECURE XML
 The New Syntax for Signatures and Encryption

Autores: Donald E. Eastlake III y Kitty Niles
Editorial: Addison-Wesley
Año 2002- 532 páginas - ISBN: 0-201-75605-6
www.awprofessional.com/ www.pearsoned.es
El título del presente volumen, escrito por Donald E. Eastlake III y Kitty Niles, tiene como público objetivo todos aquellos profesionales que quieran conocer de una forma sencilla, clara y concisa todo lo relacionado con los distintos elementos de seguridad que confluyen en el metalenguaje XML (Extensible Markup Language). En sus distintos capítulos se analizan aspectos como los requerimientos especificados en el protocolo SOAP, las implementaciones de seguridad en XML (la autenticación y el cifrado) y los distintos documentos aportados al respecto por organismos como el W3C, el IETF o el NIST, entre otros.
Concretamente, el libro está dividido en seis partes y 19 capítulos estructurados del siguiente modo: Parte I: Introducción [Temas: 1) XML y la seguridad, 2) Criptografía digital básica]; Parte II: XML básico [Temas: 3) Aspectos Genéricos, 4) Documentos de definición tipo, 5) Definiciones en XML, 6) Xpath: pilares de construcción básicos, 7) URIs, xml:base y XPointer, 8) SOAP]; Parte III: Autenticación y descarte de información no esencial [Temas: 9) Eliminación de información no vital: la clave de la robustez, 10) Autenticación y Firma en XML, 11) Perfilando el estándar XMLDSIG para las aplicaciones, 12) Extensiones de firma electrónica del ETSI ]; Parte IV: Introduciendo datos [Temas: 13) Elementos KeyInfo, 14) XKMS]; Parte V: Cifrado [Temas: 15) Cifrado XML, 16) Combinación de firma digital y cifrado]; Parte VI: Algoritmos [Temas: 17) Resumen de Algoritmos, 18) Algoritmos criptográficos, 19) Algoritmos no criptográficos]. También se incluyen en el libro seis anexos [A) Implementaciones de seguridad en XML, B) W3C, C) IETF, D) NIST, E) “Documento” frente a “protocolo” y, por último, F) Especificaciones de cifrado en SOAP].


Documento en PDF
 

<volver