Comprender y poder definir la terminología es una parte importante de la responsabilidad de un CEH. Esta terminología es la forma en que los profesionales de seguridad como hackers éticos se comunican.

Este “lenguaje” del hacking es necesario como base de los conceptos de capítulos posteriores. A continuación presentaremos una serie de términos con los cuales requiere estar familiarizado para presentar el examen de certificación CEH:

Amenaza (Threat) Un entorno o situación que puede dar lugar a una posible brecha de seguridad. Los hackers éticos buscan y dan prioridad a las amenazas cuando se realiza un análisis de seguridad. Los hackers maliciosos y el uso que dan al software y las técnicas de hacking son en sí mismas amenazas de seguridad y para la información de una organización.

Exploit Es una pieza de software o tecnología que se aprovecha de algún fallo o vulnerabilidad, dando lugar a un acceso no autorizado, a la escalada de privilegios, o de denegación de servicio en un sistema informático. Los hackers maliciosos buscan vulnerabilidades en los sistemas informáticos para abrir la puerta a un ataque inicial.

Vulnerabilidad Es la existencia de un defecto de software, un error en el diseño de la lógica, o un error en una aplicación que puede conducir a un evento inesperado e indeseable al ejecutar instrucciones malintencionadas o perjudiciales para el sistema.

Objeto de Evaluación (Target of Evaluation, TOE) Es un sistema, programa o red que es objeto de un Análisis de seguridad o ataque. Los hackers éticos se encuentran involucrados a un alto nivel con los sistemas TOE que contienen información confidencial, números de cuenta, contraseñas, números de seguridad social, u otros datos confidenciales.

Ataque. Un ataque se produce cuando un sistema es comprometido en base a una vulnerabilidad. Muchos ataques se efectúan a través de un exploit. Los hackers éticos utilizan herramientas para encontrar los sistemas que pueden estar comprometidos por un determinado Exploit debido al sistema operativo, la configuración de red, o aplicaciones instaladas en los sistemas, y para evitar un ataque.

Hay dos métodos principales para entregar Exploits en un sistema informático:

Remoto El exploit se envía a través de una red y explota las vulnerabilidades de seguridad sin haber tenido acceso previo al sistema vulnerable. Los ataques de hacking contra las computadoras de una empresa, sistemas o redes, iniciadas desde el mundo exterior se consideran remotos.

Local El Exploit se entrega directamente en el sistema informático o en la red, que requiere acceso previo al sistema vulnerado para aumentar privilegios. Las políticas de seguridad de la información deben ser creadas de tal manera que sólo aquellos que necesitan tener acceso a la información les debe ser permitido el acceso y deben tener el nivel más bajo de acceso para llevar a cabo su trabajo.

Para que alguien de forma interna lance un ataque, debe tener más altos privilegios de los necesarios de acuerdo al concepto de “necesidad de saber”. Esto se puede lograr mediante la elevación de privilegios o por medidas de seguridad débiles.

*** eof ***

 


Te invitamos a suscribirte a nuestro material de auto-estudio para que prepares el examen para la certificación CEH de EC-Council

Paquete de material de autoestudio para la certificación CEH

Obtendrás lecciones detalladas, material adicional, recursos y asesoría vía Correo y Foro, visita https://ehack.mx/ceh para más información o ecríbenos a campus@ehack.mx

Ethical Hack
Ethical hack

 Fuente Imágenes:

Créditos:


Licencia de Creative Commons
Terminología del Ethical Hacking by Roberto C. González is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.

Deja un comentario