Vulnerabilidades web

2,964 views
2,916 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,964
On SlideShare
0
From Embeds
0
Number of Embeds
99
Actions
Shares
0
Downloads
84
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Vulnerabilidades web

  1. 1. Hack-IT Information Technology Vulnerabilidades Web: Irrumpiendo por la puerta de entrada Luciano Laporta Podazza CEO Hack-IT www.Hack-IT.com.ar
  2. 2. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Qué es la seguridad? ¿Quienes componen a la misma? Hackers, crackers, lamers... la farándula del internet. Amenazas Protegiendonos Conclusión EOF(End Of File) Lanzamiento de elementos contundentes hacia el disertante
  3. 3. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Para que un sistema se pueda definir como seguro debe tener estas cuatro características: * Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada. * Confidencialidad: La información sólo debe ser legible para los autorizados. * Disponibilidad: Debe estar disponible cuando se necesita. * Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
  4. 4. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Seguridad... ¿Quienes la componen?
  5. 5. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Hackers.
  6. 6. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  7. 7. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  8. 8. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  9. 9. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  10. 10. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  11. 11. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  12. 12. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  13. 13. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Entonces... ¿Quienes son los “Hackers” realmente?
  14. 14. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Richard M. Stallman (Creador del concepto de Software Libre y GNU)
  15. 15. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Linus Torvalds (Kernel Linux)
  16. 16. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology John Von Neumann (Teoría de Juegos, Álgebra de von Neumann, Arq. De Von Neumann, Autómata Celular)
  17. 17. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Ada Byron (Primera programadora, lenguaje ADA)
  18. 18. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Vinton Gray "Vint" Cerf (Arquitecto del Internet)
  19. 19. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Guglielmo Marconi (Radio)
  20. 20. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Wolfgang Amadeus Mozart (Músico)
  21. 21. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Albert Einstein (Teoría de la relatividad, movimiento browniano, efecto fotoeléctrico)
  22. 22. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Dan Kaminsky DNS Cache Poisoning, Rootkit Sony
  23. 23. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Entonces... Si ellos son los Hackers, ¿Quienes son los otros?
  24. 24. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Crackers Violan la seguridad de software(cracks, keygens, etc). Ingresan a sistemas con fines destructivos Phreakers Violan los sistemas telefónicos con diversos fines(fraude, anonimato, llamadas gratis, etc) Carders Roban información de tarjetas de crédito para cometer actos ilícitos. Defacers Ingresan a sitios web para cambiar la pagina principal por algún mensaje personalizado. Script Kiddies Usan scripts, exploits, etc; para atacar sistemas, sin tener conocimiento de cómo funcionan realmente. Lamers Lo más repudiable de Internet, persona falta de habilidades técnicas, sociabilidad o madurez considerada un incompetente en una materia.
  25. 25. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Gary McKinonn 6 años contra la extradición a los Estados unidos. 70 años de cárcel 2 millones de dólares NASA, ejército estadounidense, marina estadounidense, departamento de defensa estadounidense, fuerzas aéreas estadounidenses, Pentágono.
  26. 26. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ● Los Hackers CONSTRUYEN y NUNCA DESTRUYEN. ● Para ser “Hacker” hay que dar el ejemplo y lograr el reconocimiento. ● Aplican sus descubrimientos e investigaciones para el BIEN y no para el MAL. ● Son personas que por sobre todas las cosas tiene mucha moral y ética. ● No son conformistas, siempre van más allá. ● Aman lo heróico y lo difícil. Y un largo etc...
  27. 27. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Amenazas
  28. 28. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Y un largo etc...
  29. 29. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Amenazas ●XSS (Cross Site Scripting) ●SQL Injection ●CSRF (Cross Site Request Forgery) ●RFI (Remote File Inclusion) ●LFI (Local File Inclusion) ●Insecure Direct Object Reference(directory enumeration) ●Cifrados propios e inseguros ●Falta de Cifrado en lugares sensibles de la aplicación ●LDAP Injection ●XML Injection ●Debugging ON ●Buffer Over Flow ●HTTP Parameter Pollution ●DNS enumeration ●Y un extremadamente LARGUÍSIMO etcétera...
  30. 30. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Protegiendonos
  31. 31. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Herramientas y métodos de protección ●Antivirus ●WAF(Web Application Firewall) ●Auditorías(penetration testing) ●Cifrado. ●Filtrado de datos (user input) ●Sentido Común ●Familia ISO 27000 ●Etc...
  32. 32. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Web Application Firewall
  33. 33. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Auditorías
  34. 34. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  35. 35. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  36. 36. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  37. 37. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  38. 38. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  39. 39. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Cifrado Simétrico y Asimétrico
  40. 40. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  41. 41. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology A clever person solves a problem. A wise person avoids it. Albert Einstein.
  42. 42. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ●Filtrado HTML/Javascript/CSS(XSS). ●White lists en vez de Black lists. ●Filtrado en variables de consulta(SQL). ●Fuerte tipado de variables(caractér, número, etc) ●+Diseño / - Parches. ●Esperar lo inesperado(desconfiar del comportamiento del usuario). ●Ingeniería Social. ●Directory enumeration(admin path finding). ●En lo posible, verificar contenidos de los archivos que suben los usuarios en busqueda de anomalías(código malicioso). ●Roles/Privilegios(Base de datos, Sistema Web, etc). ●ReCAPTCHA!(o Akismet en su defecto...) ●Cifrado de passwords!(MD5 no!) ●Bloqueo de sesiones por IP ●Tokens(CSRF) ●No usar cifrados propios! ●Otro largo etc...
  43. 43. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Conclusiones
  44. 44. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Estoy seguro?
  45. 45. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Porqué?
  46. 46. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Existe alguna solución a esto?
  47. 47. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Hack-IT “Internet Security Server” (...CHIVO...)
  48. 48. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Internet Conexión Cifrada Router/Firewall Firewall Servidor Seguro Solución Antivirus
  49. 49. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Black List Filtro de Spam Conexión Cifrada Servidor de Actualizaciones
  50. 50. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology IDS/IPS Servidor de Logs Negros quemandose las pestañas leyendo logs y analizándolos Servidor de Backup
  51. 51. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Y Finalmente.... El usuario final!!!
  52. 52. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Porqué la sorpresa?
  53. 53. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology <---- Soy Brad Pitt si haces click aquí me saco la estrellita!!!
  54. 54. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology
  55. 55. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Conclusiones ● La seguridad es una utopía. ● No hay sistema 100% seguro(y el que diga lo contrario es un chanta). La seguridad es como una cadena: “Será tan fuerte como su eslabón ● más débil”(en este caso el usuario sin consciencia). ● Es más fácil destruir que construir. ● Los Hackers CONSTRUYEN y todos los demás DESTRUYEN. ● La seguridad no empieza y termina en una computadora... ●Celulares, satélites, cerraduras, sistemas políticos,económicos,sociales, etc...
  56. 56. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology En resumen la solución definitiva contra la inseguridad es la EDUCACIÓN
  57. 57. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Preguntas frecuentes por Eric Raymond
  58. 58. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Me enseñas a hackear?
  59. 59. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Aun si pudiera hacerlo, el hackeo es una actitud y habilidad que debes aprender por ti mismo. Te darás cuenta de que los hackers de verdad quieren ayudarte, pero no te respetarán si comienzas a rogarles que te alimenten en la boca con todo lo que saben.
  60. 60. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Donde puedo aprender a hackear?
  61. 61. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Leyendo en internet sobre Unix/Linux/BSD, aprendiendo (redes, programación, todo sobre lo que tengas curiosidad). Sumandote a un grupo de usuarios de Linux o software libre (LUG), ayudando a tu prójimo, etc.
  62. 62. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Como le robo la contraseña a otra persona?
  63. 63. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Eso es cracking. Desaparece, idiota.
  64. 64. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology ¿Cómo puedo acceder/leer/monitorear el correo de otra persona?
  65. 65. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Eso es cracking. Piérdete, imbécil.
  66. 66. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology EOF (End Of File) ¡Muchas gracias por su atención! ¡Arroje ahora elementos contundentes al disertante!
  67. 67. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology Happy Hacking!!! :) Luciano Laporta Podazza CEO Hack-IT Luciano@Hack-IT.com.ar www.Hack-IT.com.ar blog.Hack-IT.com.ar Licencia: lista.Hack-IT.com.ar
  68. 68. Conceptos Amenazas Protegiendonos Conclusión EOF Hack-IT Information Technology

×