Los sistemas informáticos de tu empresa al descubierto

388 views

Published on

Ponencia realizada por Eduardo Arriols y Roberto López en las jornadas de seguridad organizadas por Quantika14 en Sevilla.
La charla expone como de forma realmente sencilla es posible atacar los sistemas informáticos de una empresa normal para poder sacar toda la información confidencial que tenga.
En cada prueba se realizaban demos que podéis ver en el vídeo de la jornada: http://www.youtube.com/watch?v=7MZkIsrLTX8

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
388
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Los sistemas informáticos de tu empresa al descubierto

  1. 1. Jornadas de Seguridad Informática, Delitos Informáticos y Protección de Datos. Sevilla 2013 Los sistemas informáticos de tu empresa al descubierto www.quantika14.com Jornadas de Seguridad Informática 2013 1 Eduardo Arriols y Roberto López
  2. 2. Quienes somos www.quantika14.com Jornadas de Seguridad Informática 2013 2 Estudiantes de Ing. Informática en la Escuela Politécnica Superior de la Universidad Autónoma de Madrid. Apasionados del mundo de la seguridad informática y el hacking. Fundadores del proyecto HighSec dedicado a enseñar y promover la educación en seguridad ofensiva de forma practica. Eduardo Arriols @_Hykeos Roberto López @leurian
  3. 3. Ciberseguridad www.quantika14.com Jornadas de Seguridad Informática 2013 3 “Procedimientos aplicados para la gestión y protección del uso, procesamiento, almacenamiento y transmisión de datos e información a través de las Tecnologías de Información y Comunicación (TIC)”
  4. 4. Tipos de Seguridad www.quantika14.com Jornadas de Seguridad Informática 2013 4
  5. 5. Investigadores de seguridad www.quantika14.com Jornadas de Seguridad Informática 2013 5
  6. 6. Cibercrimen www.quantika14.com Jornadas de Seguridad Informática 2013 6 Actividades delincuentes realizadas con la ayuda de herramientas informáticas
  7. 7. Cibercrimen www.quantika14.com Jornadas de Seguridad Informática 2013 7
  8. 8. Ciberespionaje www.quantika14.com Jornadas de Seguridad Informática 2013 8 Espionaje tradicional obteniendo la información de los sistemas informáticos
  9. 9. ¿Qué es un bug? www.quantika14.com Jornadas de Seguridad Informática 2013 9 El primer bug de ordenador fue un insecto real descubierto en 1945 en Harvard, una polilla atrapada en la calculadora ‘Mark II’ que hizo que la maquina se apagara.
  10. 10. Agujero de Seguridad Exploit www.quantika14.com Jornadas de Seguridad Informática 2013 10 Agujero de Seguridad (Vulnerabilidad) Fallo que permite mediante su explotación violar la seguridad de un sistema informático Exploit Programa que utiliza una vulnerabilidad para tomar el control de un sistema
  11. 11. Exploits www.quantika14.com Jornadas de Seguridad Informática 2013 11
  12. 12. Objetivo www.quantika14.com Jornadas de Seguridad Informática 2013 12 Tomar el control de la maquina de la victima
  13. 13. Test de Intrusión www.quantika14.com Jornadas de Seguridad Informática 2013 13 Método para evaluar la seguridad de un sistema o red de sistemas de información simulando el ataque por un intruso
  14. 14. Demo Time www.quantika14.com Jornadas de Seguridad Informática 2013 14
  15. 15. Cambiamos de bando www.quantika14.com Jornadas de Seguridad Informática 2013 15 TEXTO
  16. 16. Anónimo por la red www.quantika14.com Jornadas de Seguridad Informática 2013 16
  17. 17. SQL Injection www.quantika14.com Jornadas de Seguridad Informática 2013 17
  18. 18. SQL Injection www.quantika14.com Jornadas de Seguridad Informática 2013 18 Efectos  Obtención de la base de datos  Posibilidad de tomar el control del servidor  Modificar la pagina web Victimas  Base de datos de la página web
  19. 19. SQL Injection www.quantika14.com Jornadas de Seguridad Informática 2013 19
  20. 20. DDoS Distributed Denial of Service www.quantika14.com Jornadas de Seguridad Informática 2013 20
  21. 21. DDoS Distributed Denial of Service www.quantika14.com Jornadas de Seguridad Informática 2013 21 Efectos  Caída de servicio  Mala Imagen  Perdida de reputación  Sensación de Inseguridad  Perdida de dinero (En algunos casos) Victimas  Paginas Web  Tienda Online  Banco  Otros servicios Online
  22. 22. DDoS Distributed Denial of Service www.quantika14.com Jornadas de Seguridad Informática 2013 22
  23. 23. Exploiting Acceso a Sistemas www.quantika14.com Jornadas de Seguridad Informática 2013 23
  24. 24. Exploiting Acceso a Sistemas www.quantika14.com Jornadas de Seguridad Informática 2013 24 Efectos  Acceso al sistema  Acceso a la red interna  Mantener acceso  Elevación de privilegios  … Victimas  Servidores  Ordenadores personales  Routers  …
  25. 25. Exploiting Acceso a Sistemas www.quantika14.com Jornadas de Seguridad Informática 2013 25
  26. 26. Configuraciones por defecto www.quantika14.com Jornadas de Seguridad Informática 2013 26
  27. 27. Configuraciones por defecto www.quantika14.com Jornadas de Seguridad Informática 2013 27 Efectos  Acceso sin contraseña  Acceso no autorizado (Clave por defecto)  Acceder a las imágenes de las cámaras IP  Cometer delitos contra la integridad de las personas (SCADA)  … Victimas  Servidores  Routers  Cámaras IP  Sistemas SCADA  …
  28. 28. Configuraciones por defecto www.quantika14.com Jornadas de Seguridad Informática 2013 28
  29. 29. Ingeniería Social www.quantika14.com Jornadas de Seguridad Informática 2013 29
  30. 30. Ingeniería Social www.quantika14.com Jornadas de Seguridad Informática 2013 30 Efectos  Robo de credenciales  Ejecución de malware  Obtención de información confidencial Victimas  Seres Humanos
  31. 31. Ingeniería Social www.quantika14.com Jornadas de Seguridad Informática 2013 31
  32. 32. www.quantika14.com Jornadas de Seguridad Informática 2013 32 Fake AP + DNS Spoof + Phishing Obteniendo credenciales de empleados
  33. 33. www.quantika14.com Jornadas de Seguridad Informática 2013 33 Fake AP + DNS Spoof + Phishing Obteniendo credenciales de empleados Efectos  Interceptación de las comunicaciones  Obtención de credenciales  Infectarte de malware  Ser victima de un exploit  … Victimas  PCs personales  Dispositivos móviles
  34. 34. Man In The Middle Interceptando Comunicaciones www.quantika14.com Jornadas de Seguridad Informática 2013 34
  35. 35. Man In The Middle Interceptando Comunicaciones www.quantika14.com Jornadas de Seguridad Informática 2013 35 Efectos  Tus comunicaciones en la red son interceptadas  Alterar el trafico de la victima  Evitar el cifrado SSL/TLS  Robo de sesión Victimas  Servidores PCs personales  Dispositivos móviles
  36. 36. Man In The Middle Interceptando Comunicaciones www.quantika14.com Jornadas de Seguridad Informática 2013 36
  37. 37. Fuerza Bruta www.quantika14.com Jornadas de Seguridad Informática 2013 37
  38. 38. Fuerza Bruta www.quantika14.com Jornadas de Seguridad Informática 2013 38 Efectos  Acceso a cuentas Victimas  Paneles de autenticación
  39. 39. Fuerza Bruta www.quantika14.com Jornadas de Seguridad Informática 2013 39
  40. 40. Conclusiones www.quantika14.com Jornadas de Seguridad Informática 2013 40 TEXTO
  41. 41. Cibercrimen www.quantika14.com Jornadas de Seguridad Informática 2013 41
  42. 42. Ciberespionaje www.quantika14.com Jornadas de Seguridad Informática 2013 42
  43. 43. Ciberguerra www.quantika14.com Jornadas de Seguridad Informática 2013 43 1999 – Guerra de Kosovo 2003 – Taiwán 2007 – Estonia 2008 – Georgia 2010 – Irán 2011 – Canadá atacada desde China 2012 – Medio Oriente
  44. 44. Recomendaciones www.quantika14.com Jornadas de Seguridad Informática 2013 44  Software Actualizado  Software de Seguridad  Antivirus Actualizado  IDS / IPS  Firewalls  Sentido Común  Auditoria para las empresas  Políticas de Seguridad  Pentest by Design
  45. 45. Momento SPAM www.quantika14.com Jornadas de Seguridad Informática 2013 45 HighSec es una comunidad y punto de reunión para todas las personas interesadas en el mundo de la seguridad. Su principal función es enseñar de forma practica las principales técnicas en seguridad ofensiva realizadas en un test de intrusión y auditorias mediante retos y documentación propia. @highsec0 www.highsec.es
  46. 46. www.quantika14.com Jornadas de Seguridad Informática 2013 46 @quantika14 GRACIAS A TODOS POR VUESTRO TIEMPO Y ESCUCHARNOS https://www.facebook.com/quantika14

×