Ethical hacking y contramedidas

1,198 views
1,122 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,198
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
75
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ethical hacking y contramedidas

  1. 1. ¡Para detener al Hacker hay que pensar como él! Conferencia en UNITEC, enero de 2005 Alejandro Domínguez (alexdfar@yahoo.com) Jaime Devereux (CEH) Santiago Monterrosa (CEH) Ethical Hacking & Contramedidas www.unitec.mx
  2. 2. Objetivos y temas a tratar en la plática  Objetivos  Mostrar qué se está haciendo para evaluar la seguridad de las redes corporativas utilizando los servicios de un Hacker Ético  Dar una perspectiva general sobre los riesgos actuales en la seguridad de TI  Proveer algunos lineamientos para mejorar la seguridad de TI  Demostrar lo sencillo y peligroso que puede ser el hackeo …  Temas  Parte 1: ¿Un Hacker Ético?  Parte 2: Hackear o no hackear ...  Parte 3: EC Council y Certified Ethical Hacker  Parte 4: Sesión de preguntas y ¿respuestas?
  3. 3. Parte 1: ¿ Un Hacker Ético ?
  4. 4. Introducción  Todos los días, penetran intrusos a las redes y servidores de todo el mundo  El nivel de sofisticación de estos ataques es muy variable  Se cree que la mayoría de los ataques se deben a passwords débiles  Aunque muchas de las intrusiones utilizan técnicas más avanzadas  Este último tipo de ataques, por su propia naturaleza, son difíciles de detectar
  5. 5. Algunas estadísticas  El 90% de las redes en empresas y los gobiernos tuvieron violaciones de seguridad informática en 2002  El número de ataques y las consecuentes pérdidas, son mucho mayores que lo que se reporta en los medios  La mayoría de los incidentes se ocultan para proteger la reputación de las empresas  Aun las empresas que contratan investigadores, no permiten que nadie externo a la organización sepa la cuantía de los daños causadosFuente: 2002 CSI/FBI Computer Crime and Security Survey
  6. 6. Más estadísticas  Empresas del Fortune 1,000 perdieron más de 45,000 MDD por robos de información en 2002  La mayoría de los ataques fueron a empresas de tecnología  67 ataques individuales promediaron 15 MDD en pérdidas  Se estima que el virus LoveLetter causó daños por 10,000 MDD  Los daños reportados del virus Melissa fueron de 385 MDD  El costo de los desastres por virus está entre US$100,000 y US$1 millón por empresa Fuente: ICSA.Net, 23 October 2000, http://www.securitystats.com/reports.asp , Computer Virus Prevalence Survey
  7. 7. Amenazas a los datos  Las amenazas provienen de:  Personal interno  El personal interno es el más peligroso pues conoce bien el ambiente  Hackers/Crackers  Los Hackers/Crackers pueden entrar a los sistemas sólo para explorar la infraestructura o pueden hackear por razones maliciosas  Espionaje industrial  El espionaje industrial comprende obtener información confidencial de corporaciones o entidades gubernamentales para el beneficio de terceros  Código malicioso
  8. 8. Tipos de ataque Ataques externos por Internet Ataques internos por la Intranet 59% de los ataques se hacen por Internet 38% de los ataques los hacen empleados internamente Compañía
  9. 9. Entablar amistad con alguien interno  Los hackers intentan trabajar con alguien interno o infiltrar a alguien en la organización  Un análisis del Departamento del Tesoro de USA indica que más del 60 por ciento de las intrusiones reportadas involucran a alguien dentro de la empresa  La función de la persona interna infiltrada es encontrar alguna debilidad desconocida para los administradores del sistema
  10. 10. Ataques externos más frecuentes  Existe un mayor uso de Internet  Las técnicas y herramientas que se crean día a día permiten de nuevas oportunidades de ataque Source: 2000 CSI/FBI Computer Crime and Security Survey Frequent Points of Attack 38 59 0 20 40 60 80 Internal systems Internet connection Percent of respondents
  11. 11. password guessing self-replicating code password cracking exploiting known vulnerabilities disabling audits back doors hijacking sessions sniffer / sweepers stealth diagnostics packet forging / spoofing GUI Herramientas de hackers Intruso promedio 1980 1985 1990 1995 Complejidadtécnicarelativa Fuente: GAO Report to Congress, 1996 Evolución de herramientas de ataque
  12. 12. La tendencia continua Windows Remote Control Stacheldraht Trinoo Melissa PrettyPark 1998 1999 2000 ? DDoS Insertion Tools Herramientas de hackers Kiddie Scripter 2001 Complejidadtécnicarelativa
  13. 13. Parte 2: Hackear o no hackear …
  14. 14. Habilidades de los hackers  Un hacker capaz tiene los siguientes conocimientos:  Ingeniería de Internet  TCP/IP, NFS, Redes inalámbricas, GPRS  Administración de sistemas  Windows 2000, Linux, Solaris, Palm OS etc.  Administración de redes  SNMP, Tivoli, HP OpenView, Switches, Routers etc.  Ingeniería en reversa  Decompilers, circuit breakers  Computación distribuida  J2EE, RPC, Corba, Web Services  Criptografía  SSL, PKI, Certificados digitales  Ingeniería Social  Convencimiento, seducción, simpatía, engaño, etc.  Programación  C++, Java, Perl, JavaScript, HTML, ASP  Bases de datos  SQL Server, Oracle, DB2, MySQL
  15. 15. Herramientas de Hacking  Hay herramientas disponibles en muchos sitios Web disfrazados  Las herramientas son cada día más sofisticadas y poderosas en cuanto a:  Eficiencia  Distribución  Furtividad  Automatización  Facilidad de uso
  16. 16. Sitio Hacker Underground www.cleo-and-nacho.com Hacer Clic aquí
  17. 17. Los sitios/portales  Su sitio/portal no necesita ser tan famoso como Yahoo o eBay para que sea atacado  Los hackers  Necesitan un lugar para ocultar su rastro  Necesitan tu máquina como trampolín para atacar otros sitios  Necesitan de diversos recursos para llevar a cabo sus actividades
  18. 18. En Google …  Se pueden bajar herramientas de hacker fácilmente de Internet  La funcionalidad de las herramientas se incrementa día a día  El conocimiento de los hackers disminuye  El número de hackers aumenta  Algún día hasta un niño de primaria podrá meterse a sus sistemas
  19. 19. Las amenazas  Las herramientas de hackeo son cada vez más sofisticadas y poderosas en términos de  Eficiencia  Formas de ataque  Camuflaje  Facilidad de manejo  Amigabilidad
  20. 20. The Threats
  21. 21. Las amenazas  Las debilidades en seguridad de tus equipos se pueden identificar con herramientas de escaneo  La seguridad de cualquier red en Internet depende de la seguridad de todas las demás redes  Ninguna red es realmente segura
  22. 22. Cómo se meten  Pasos generales  Localizan una víctima mediante un programa de escaneo  Identifican la vulnerabilidad del equipo de la victima  Atacan la máquina host de la victima por medio de las vulnerabilidades identificadas  Establecen una puerta trasera, para poder tener acceso en el futuro
  23. 23. Prevención General  Pruebe e instale service packs y hotfixes  Corra y mantenga el software antivirus  Instale un sistema de detección de intrusos en el perímetro de la red  No dejar pasar mensajes con extensión *.exe, *.vbs o *.dll en archivos adjuntos  Reinstale los sistemas infectados
  24. 24. ¿ Cómo se infectan los sistemas?  Caballos de Troya  Animaciones  Screen savers  Video juegos Política: Controlar el código maligno en el equipo de los usuarios  Inserción manual ● Compartiendo información ● Acceso físico
  25. 25. Todos estamos en esto juntos Usuarios Proveedores de Servicios Proveedores de Software y Equipos Seguridad de la Red
  26. 26. Parte 3 EC Council y Certified Ethical Hacker
  27. 27. ¿Qué es un Ethical Hacker?  Es un profesional de seguridad que busca constantemente enriquecer su conocimiento y experiencia  Se forma a partir de conocimientos y bases sólidas de seguridad  Queda respaldado por la industria no solo con base en su experiencia o el conocimiento teórico, sino por una certificación (Certified Ethical Hacker, EC Council)
  28. 28. ¿Qué no es un Ethical Hacker?  No es un hacker improvisado  No se dice experto para ser luego un adorno más en su vitrina de trofeos  No es un individuo que cambia de carrera para convertirse en EH de la noche a la mañana  No esta atado a una tecnología o herramienta específica
  29. 29. ¿Cómo ayuda un EH a la organización?  Un EH certificado reconoce el valor de su conocimiento  Constantemente aprende medidas preventivas para proteger tus activos de información  Aboga por las mejores prácticas y medidas de solución en seguridad de sistemas informáticos a partir de su conocimiento  Utiliza una metodología dinámica que se adapta a la realidad del mundo
  30. 30. Certificación de seguridad – CEH
  31. 31. ¿ Qué hacer ?  Identifique a la gente adecuada  Involúcrelos en las Políticas de Seguridad  Capacítelos y certifíquelos
  32. 32. Capacitación  Dónde obtener certificación  CISSP: Certification for Information Security Professional (http://www.isc2.org)  CEH: Certified Ethical Hacker (http://www.eccouncil.org)  CHFI: Certified Hacker Forensic Investigator (http://www.eccouncil.org)
  33. 33. Algunos nombres  Hacking  Es Romper Seguridad  Forensic  Es Descubrir las huellas  Recovery  Es Recuperar la información perdida  Penetration Test  Es Saber como realizar pruebas de penetración  Audit  Es Garantizar estrategia de seguridad adecuada basada en normas
  34. 34. ¿Estándares?  En 2005 EC-Council se establecerá como cuerpo de desarrollo de estándares de seguridad de TI a nivel mundial  Una organización podrá certificar su infraestructura de TI con base en estándares EC- Council  Podrá aplicar auditoria de seguridad a su infraestructura certificada
  35. 35. Parte 4 : ¿ Alguna pregunta ?
  36. 36. Gracias  Gracias por su tiempo

×