Curso On-Line de Hacking Ético y Técnicas de Hacking Avanzadas sobre Windows
(5ª Edición)
INICIO:
DURACIÓN: 7 Semanas.
Diploma de acreditación y documentación: Todos los alumnos asistentes tendrán un diploma acreditativo de asistencia al curso (Acreditadas 70 horas)
Internet nos brinda nuevas capacidades de comunicación, que también pueden llevar asociadas nuevos peligros, dado que también los delincuentes aprovechan estas nuevas tecnologías y el desconocimiento de sus medidas de seguridad en su propio beneficio.
La principal arma o herramienta de la que disponen los usuarios, ya sean particulares o empresas y puedan defenderse de los ciberataques, es sin duda conocer a tu propio enemigo “ciberdelincuente”. Conocer qué herramientas, qué procedimientos utiliza y lo que es más importante, sus conocimientos para descubrir puntos débiles y como aprovecharlos para conseguir acceso a los sistemas u obtener la información necesaria para alcanzar sus objetivos.
Con el presente curso se pretende introducir a los alumnos en las distintas técnicas que existen para realizar ataques a los diferentes sistemas informáticos, pasando por todas las fases de un test de intrusión. El alumno conocerá las técnicas de exploiting, a buscar fallos en las aplicaciones y finalmente adquirirá las últimas y más avanzadas técnicas de ataque a sistemas operativos Windows.
EMPLEABILIDAD
El presente curso online comprende las técnicas y conceptos de las diferentes técnicas de Ciberataques, que existen para comprometer la seguridad de los diferentes sistemas informáticos, para orientar el futuro aprendizaje y carrera profesional de los alumnos que los realicen. En concreto, serán capaces de desempañar todas las fases de un test de intrusión: recoger información, identificar servicios y sistemas operativos, proceder a realizar el ataque, escalada de privilegios, mantener acceso en el futuro y extensión de influencia. Utilizando las últimas y más modernas herramientas, para así poder defenderse de los mismos en su entorno personal o laboral.
OBJETIVOS
El objetivo del presente curso es proporcionar una descripción de los diferentes tipos de técnicas y ataques informáticos que existen, incluyendo el origen o antecedentes, modo de aplicación o ejecución del ataque, resultados esperados, y eliminación de huellas o pruebas de la realización del ataque. En concreto se pretender conseguir los siguientes objetivos:
• Definir y explicar las diferentes fases de ataque a un sistema
• Conocer las herramientas para recolectar información antes de realizar cualquier ataque.
• Identificar que sistemas Operativos y que software instalado para proceder a buscar vulnerabilidades que puedan comprometer la seguridad de los sistemas.
• Introducir al alumno en el mundo del exploiting, para que pueda desarrollar sus propios exploits.
• Conocer y aprender a utilizar las herramientas sobre las últimas técnicas de ataque sobre sistemas operativos Windows.
COMPETENCIAS
• Comprender los ataques que afectan a la seguridad de la red de una organización o de uso personal.
• Capacidad para realizar los diferentes pasos que comprende una metodología auditoría de seguridad (hacking ético) y sus herramientas asociadas, obtención de información, escaneo, enumeración y proceso de ataque.
• Conocimiento de los aspectos más importantes que conllevan los ataques DDoS y sus herramientas.
• Discernir cual puede ser el mejor ataque que se puede proyectar sobre un sistema concreto.
• Capacidad para elaborar e implementar un mecanismo de protección frente a las vulnerabilidades encontradas.
• Iniciar al alumno en la utilización de herramientas generalmente más usadas en un proyecto de Hacking Ético
• Capacidad para securizar los diferentes sistemas operativos.
• Capacidad de desarrollo de malware indetectable para los antivirus.
• Capacidad de análisis del software en busca de fallos de seguridad.
• Utilizar los medios para seguir formándose en seguridad en el futuro.
A QUIÉN VA DIRIGIDO
Cualquier persona -estudiantes, profesores y profesionales- relacionada con el mundo de las tecnologías de la información, y en especial con su relación con las redes de computadores y su seguridad.
Resulta especialmente interesante para aquellas personas cuya formación sea técnica (ingenierías o graduados), y para aquellas que desarrollen su ejercicio profesional en la administración de sistemas o redes, y en el desarrollo de aplicaciones.
REQUISITOS DE LOS PARTICIPANTES
Es imprescindible que el alumno tenga conocimientos de informática e Internet a nivel de usuario, así como disponer de conexión a Internet (desde su domicilio, centro de trabajo o alguna institución) para seguir la parte on-line del curso.
Es deseable que el alumno tenga ciertos conocimientos de redes de computadores, utilización de sistemas operativos y nociones de programación. Cualquier estudiante de una ingeniería o ingeniería técnica estará en disposición de dichos requisitos.
METODOLOGÍA
Se trata de un curso on-line.
Es un curso, en el que, mediante una dinámica de asesoramiento continuo, se forma una comunidad de aprendizaje e intercambio de conocimiento y se vive la experiencia de un proceso docente de alta calidad.
Aprender haciendo: Se sitúa al participante ante casos, situaciones y toma de decisiones que se encontrarán en el qué hacer se su vida profesional, proponiendo la realización de actividades cercanas y prácticas para maximizar la transferencia, aplicabilidad y significación del aprendizaje.
La práctica como punto de partida: El aprendizaje se plantea mediante la realización de actividades reales por parte de los alumnos y, a partir de ellas, se induce a la construcción de conocimiento en común de los principios teóricos y detección de buenas prácticas. Contenidos de consulta y material de apoyo están disponibles para cada unidad didáctica.
Los errores y la reflexión sobre los mismos: Los participantes se ven obligados a descubrir los conocimientos a partir de la práctica. Desde el primer momento se les permite experimentar y cometer errores en un entorno simulado y aprender de los demás, extrayendo conclusiones útiles.
Un aprendizaje basado en la proactividad: Para conseguir que el aprendizaje realmente se produzca, el alumno deberá ser proactivo, es decir que se procurará activamente que se anticipe, consulte, pregunte y demande mayor conocimiento e información en función de las necesidades que el crear su empresa le presente.
El curso se impartirá mediante la plataforma on-line del Colegio Oficial de Ingenieros de Telecomunicación por lo que los alumnos deberán disponer de una conexión a Internet con disponibilidad para descargar la documentación de cada módulo, participar en los debates, contestar a las pruebas que se realicen y realizar los casos prácticos en grupo.
Además de los docentes existirá un dinamizador que seguirá la actividad de cada alumno en la plataforma asegurando su rendimiento.
NOTA IMPORTANTE
Para seguir este curso, no es necesario respetar un horario concreto, es decir, no es necesario respetar las mismas franjas horarias para trabajar, sino por el contrario, disponer de los ratos libres o más desocupados para realizar el curso. Habrá días que podrá conectarse a unas horas, y otros días a otras. Habrá días en los que le dedique al curso más tiempo, y otros que apenas entre 5 minutos. Aunque no es necesario u obligatorio entrar a la plataforma todos los días, sí es recomendable, ya que el nivel de actividad que se suele generar en los cursos (propiciado por los propios alumnos además de por los docentes y el dinamizador) establece una dinámica natural de ritmo que es asumido sin problema por cada participante.
PROFESORADO
D. Javier Bermejo Higuera. Responsable de la Unidad de Inspecciones de Seguridad del CESTIC del Ministerio de Defensa, es Doctor Ingeniero realizando la tesis doctoral en el área de análisis de malware, Ingeniero en Electrónica, Armamento y Técnico de Telecomunicación, Licenciado en Físicas y posee un máster en Sistemas de Comunicación e Información para la Seguridad y Defensa. En el área de seguridad es especialista criptólogo por el Centro Criptológico Nacional (CCN) y posee la certificación internacional CSFI-DCOE (Defensive Cyberspace Operations Enginier), el curso de Seguridad de las Tecnologías de la Información y Comunicaciones del CCN y varios otros cursos de seguridad TIC del CCN y escuelas de la OTAN. Ha sido oficial responsable de seguridad TIC de la Unidad Militar de Emergencias (UME), director Técnico de los Programas CIS de la UME y Guerra Electrónica Táctica del Ejército. A nivel internacional es el representante español en el grupo de trabajo "lA/Cyber Defence Research Framework" de la STO de OTAN. Ha participado como investigador experto del Equipo Multidisciplinar de Investigación (EMIN) del proyecto de investigación “CIBERSEGURIDAD Y CIBERDEFENSA” del Centro Mixto de la Universidad de Granada y Mando Adiestramiento y Doctrina del Ejército y en el proyecto de investigación 12.R&T. RP:279 Cyber Defence Research Agenda (CDRA) para la Agencia de Defensa Europea (EDA), a través de la empresa S21sec. Tiene cinco publicaciones en revistas y libros del sector de seguridad y defensa. Ha realizado labores de enseñanza como profesor asociado en la UAH en el departamento de Teoría de la Señal.
D. Juan Ramón Bermejo Higuera. Jefe de la Unidad de Ciberseguridad del Instituto Nacional de Técnica Aeroespacial. Es Doctor en Ingeniería Eléctrica, Electrónica y Control Industrial (UNED). Máster en Comunicación, Redes y Gestión de Contenidos (UNED). Ingeniero en Informática (UNED). Ingeniero Técnico en Informática de Sistemas (UNED); Especialista Criptólogo por el Centro Criptológico Nacional CNI-CCN y en posesión de los cursos de Seguridad del las Tic, Gestión de la Seguridad de las TIC y de Análisis y Gestión de Riesgos impartidos también por el Centro Criptológico Nacional CNI-CCN. Anteriormente, Jefe de la Unidad de Comunicaciones e Informática del Grupo Central de Mando y Control del E.A, responsable de la explotación del Sistema de Defensa Aérea y colaborador en los distintos proyectos de implantación del fututo Sistema de Mando y Control de la OTAN en el Ejército del Aire. Durante nueve años, trabajó en el proyecto de migración de los sistemas Mainframe de IBM a nivel corporativo del Ministerio de Defensa. Las Líneas de investigación en las que principalmente trabaja están relacionadas con el Análisis de la seguridad de las aplicaciones, Ciclo de vida seguro de desarrollo de software, seguridad en el software y hacking ético de aplicaciones. Relacionado con la seguridad en el software, es autor de la publicación (journal: information and software technology. Elsevier) “Static analysis of source code security: assessment of tools against SAMATE tests”.
D. Valentín Martín Manzanero. Trabaja en Indra como administrador de sistemas y asesorando y participando en los procesos de certificación de los Sistemas de Información de la seguridad. Es Ingeniero Técnico en Informática de Gestión, posee un Máster Universitario en Ingeniería del Software para la Web. Profesor durante más de 10 años en diversos cursos de Seguridad en la Universidad de Alcalá, Profesor en Máster Universitario de Seguridad Informática de la UNIR, Profesor en Máster Universitario de Seguridad Informática de la UNIR, profesor en Título Propio de Especialista en Seguridad Informática y de la Información de la UCLM. Formador de la Guardia Civil en el 2013. Ponente del congreso X1REDMASEGURA en el 2015 y Coordinador de Hack & Beer de Madrid.
PROGRAMA
Unidad Didáctica 1: Introducción
1. Introducción
2. Motivación perspectiva y tipos de atacantes.
3. Metodología de ataque.
4. The Project Management body of Knowledge (PMBOK).
5. The Information System Security Assessment Framework (ISSAF).
6. The Open Source Security Testing Methodology Manual (OSSTMM).
7. Ejercicio. Realización de un plan de pruebas para un proyecto de Hacking Ético
Unidad Didáctica 2: Fases de prueba de Penetración
1. Introducción
2. Reconocimiento (Footprinting).
3. Mapeo de Red (Escaneo).
4. Enumeración.
5. Obtención de acceso.
6. Escalada de privilegios.
7. Eliminación del rastro y creación de puertas traseras.
8. Ejercicio.
Unidad Didáctica 3: Vulnerabilidades Web
1. Obtener información
2. Upload File
3. Ejecución de código
4. Local File Inclusion
5. Remote File Inclusion
6. SQL injection
7. XSS
8. Gestión insegura de sesiones
9. Fuerza bruta
Unidad Didáctica 4: Exploiting
1. Introducción a los desbordamientos de buffer
2. ¿Qué es el Heap?
3. Técnicas de Fuzzing
4. Generar payloads
5. Ejemplos
Unidad Didáctica 5: Hacking avanzado sobre Windows
1. Ataques con acceso físico
2. Ataques a Kerberos
3. Ataques a Active Directory
4. Elevación de Privilegios
5. Ataques Client-Side
CASO FINAL INTEGRADOR
PRECIO DEL CURSO COLEGIADOS: 292,55 €, MÁS IVA (21%) (Precio SIN IVA sólo aplicable para Colegiados residentes en Canarias, Ceuta y Melilla).
PRECIO DEL CURSO NO COLEGIADOS: 385,55 €, MÁS IVA (21%) (Precio SIN IVA sólo aplicable para residentes en Canarias, Ceuta y Melilla).
INSCRIPCIONES
Se establecerán las siguientes pautas en la adjudicación de plazas, con el siguiente orden:
1. Se dará prioridad en la inscripción al curso a los Colegiados.
2. Se dará prioridad al orden de llegada de los formularios web de inscripción.
3. No se entenderá como formalizada ninguna inscripción de la que no se reciba justificante de pago hasta CINCO días antes de comienzo del curso.
Mecanismos de Pago:
- Ingreso/Transferecia al número de cuenta: IBAN ES84 0081 5281 4700 0101 5003 de Banco de Sabadell, indicando COIT como beneficiario, nombre y apellidos del interesado y curso o cursos a los que corresponde la transferencia.
- A través de Pasarela de Pago Virtual (tarjeta de crédito).
4. En el caso en el cual, por aplicación de esta norma haya que excluir a alguno de los inscritos que hayan pagado, se les informará de dicha circunstancia y se les devolverá el importe del curso.
5. Tendrán prioridad para inscripción en el mismo si se repite y resulta de su conveniencia.
6. Las inscripciones se deberán formular, a más tardar, SIETE días antes de la fecha del curso, mediante la cumplimentación del formulario de inscripción adjunto hasta un total por curso de 25 plazas.
7. El número máximo de alumnos del curso es de 25. La celebración del curso está condicionada a la inscripción de, al menos, 20 alumnos.
8. En el caso de que algún inscrito no asista al curso y no cancele su inscripción, al menos CINCO días antes de la fecha del curso, salvo casos de fuerza mayor, no se le devolverá la cuota de inscripción abonada.
9. Se estudiará, en función del número de interesados, la posibilidad de repetir esta jornada.
IMPORTANTE: Una vez llegado al número mínimo de alumnos establecido para poder realizar el curso, se confirmará la plaza por correo electrónico. Posteriormente tendrás que enviarnos el comprobante de pago a la siguiente dirección de mail: formacion@coit.es o en el nº de fax 91 447 23 18, indicando en la cabecera del mismo: "a la atención del Sr. Javier Moreno". Una vez recibido el comprobante de pago recibirás un correo electrónico confirmándote que definitivamente te incluímos en el curso, cuando se haya alcanzado el número mínimo de alumnos establecido. Si tienes alguna duda en relación al procedimiento de inscripción, ponte en contacto con el Sr. Javier Moreno en el mail formacion@coit.es o en el teléfono 91 4479730.