Review de “Gray hat hacking”

Título: Gray hat hacking: The ethical hacker’s handbook (3rd edition).

Número de páginas: 720.

Editorial: McGraw-Hill.

Autor(es): Allen Harper, Shon Harris, Jonathan Ness, Chris Eagle, Gideon Lenkey, Terron Williams.

Idioma: Inglés.

Fecha de publicación: 06 de Enero del 2011.

ISBN-10: 0071742557.

ISBN-13: 978-0071742559.

Portada:

gray-hat-hacking-cover

 

    El “White hat hacking” son las prácticas primordialmente defensivas y éticas de la seguridad informática, y generalmente se le conoce a un White hat hacker como un experto en seguridad que ha sido contratado por una empresa para defenderse de ataques cibernéticos. Lo que nos lleva al Black hat hacking, que son las prácticas ofensivas y generalmente hechas con alevosía, intentando ganar provecho de exploits y vulnerabilidades para el beneficio propio. Los practicantes del Black hat hacking obviamente prefieren permanecer anónimos y, en esencia, hacen cosas que no van muy de acuerdo con la ley. Este libro hace un intento de combinar las técnicas del White hat hacking con el Black hat hacking.

    Es muy cierto el hecho que un buen White hat hacker necesita conocer las técnicas con las cuales será atacado. También es cierto que muchas empresas tratan de tomar ventaja de hackers curiosos y aburridos que descubren vulnerabilidades en los sistemas de dichas compañías. Por ejemplo, Google y Facebook tienen programas públicos de recompensas que pagan bastante bien por encontrar bugs, vulnerabilidades y exploits que puedan poner en peligro a la compañía o a los usuarios. A estos hackers, que no son empleados oficiales de la compañía pero de cierta manera trabajan para ella se les conoce como Gray hats. Para este tipo de hackers fue que se escribió este libro.

    “Gray hat hacking” fue escrito por un grupo de autores, y mientras uno lee los diversos capítulos esto es muy notorio. Es muy fácil darse cuenta de cuándo el cambio de autores sucede a lo largo del libro debido a cambios muy notables en el estilo de escritura, la temática, etc. Mientras unos autores te llevan de la mano muy claramente, otros asumen que hay un previo y basto conocimiento del tema a tratar, lo cual crea una variación entre la accesibilidad del libro, pero a la vez crea cierto balance, tal vez inesperadamente.

    El libro incluye secciones muy variadas, desde capítulos enteros dedicados a Metasploit hasta una muy básica pero igualmente bienvenida sección de locksmithing, pasando por cuestiones meramente legales, shellcode, ingeniería social, inyección SQL, ingeniería inversa, entre muchas otras. En general, cada capítulo toca un tema diferente de la seguridad, cada uno de los cuales podría extenderse hasta comprender un libro por si mismo. Esta es la fortaleza y la debilidad del libro, pues sirve como una introducción general al hacking, pero si uno necesita centrarse en un tema en específico, tendrá que buscar en otro lado.

    Al final de cada sección, los autores incluyeron una lista de referencias lo cual es sumamente útil para los lectores que quieran profundizar en alguno de los temas. Desgraciadamente la naturaleza de los libros impresos no permite actualizar las referencias, y ya hay algunas que no están disponibles. Esto no le resta puntos al libro, ya que esto está totalmente fuera del control de los autores y es inevitable en cualquier publicación.

    Definitivamente recomiendo este libro a cualquiera que esté interesado en la seguridad informática. Sin embargo, la variedad de temas harán que los novatos no entiendan muchas secciones. Desgraciada y afortunadamente la seguridad informática es un campo demasiado extenso y profundo que se actualiza, literalmente, día con día. Por esto es que uno necesita bastante experiencia en ciertos temas para entender totalmente el contenido del libro.