Seguridad de la informacion mitos y tecnologias
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Seguridad de la informacion mitos y tecnologias

  • 3,555 views
Uploaded on

Seguridad de la informacion dada en la Universidad Señor de Sipan en Chiclayo durante el IT Security Day 2011 Ing. Maurice Frayssinet Delgado

Seguridad de la informacion dada en la Universidad Señor de Sipan en Chiclayo durante el IT Security Day 2011 Ing. Maurice Frayssinet Delgado

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,555
On Slideshare
2,442
From Embeds
1,113
Number of Embeds
10

Actions

Shares
Downloads
161
Comments
0
Likes
1

Embeds 1,113

http://mfrayssinet.blogspot.com 1,043
http://mfrayssinet.blogspot.com.es 32
http://webcache.googleusercontent.com 17
http://mfrayssinet.blogspot.mx 8
http://mfrayssinet.blogspot.com.br 5
http://mfrayssinet.blogspot.ru 3
http://mfrayssinet.blogspot.com.ar 2
http://mfrayssinet.blogspot.ca 1
http://mfrayssinet.blogspot.fr 1
http://www.slideshare.net 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Chiclayo IT Security Day 2011Seguridad de la Información Mitos y Tecnologías Ing. Maurice Frayssinet Delgado http://mfrayssinet.blogspot.com/
  • 2. AgendaIntroducción a la Seguridad de la InformaciónLegislación y Normas en el PerúEquipo de Respuesta a Incidentes de Seguridadde la InformaciónEthical HackingSeguridad con herramientas de software libreDiez Consejos Básicos de Seguridad para lasempresas según INTECODemostraciones en vivo
  • 3. Introducción a la Seguridad de la Información
  • 4. Siempre estamosexpuestos a riesgos
  • 5. SEGURIDAD INFORMATICASe refiere a la protección de la infraestructurade las Tecnologías de la Información ycomunicación que soportan el negocio SEGURIDAD DE LA INFORMACION Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización
  • 6. Sistema de Gestión de la Seguridad de la información
  • 7. EJEMPLOS DE INFORMACIÓN• Correos electrónicos• Bases de datos• Hojas de calculo• Pagina Web• Imágenes• Faxes• Contratos• Presentaciones• Etc.
  • 8. DiferentesSoportes Diferentes Fuentes ACTIVOSINFORMACION Ciclo de Vida
  • 9. Metodología SGSI
  • 10. Objetivo SGSI
  • 11. Gestión del riesgoADECUADA GESTION DEL RIESGO MEDIANTE UN SGSI
  • 12. Familia ISO 27000Con el fin de proporcionar un marco de Gestión de laSeguridad de la Información ISO/IEC utilizable por cualquier 27000organización se ha creado un conjuntos de estándares llamados ISO/IEC 27000
  • 13. Objetivo de las Normas ISO/IEC 27000 Estas normas nos van a permitir disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal.
  • 14. La seguridad y su justificación desde el punto de vista del negocio.
  • 15. • Desde tiempo inmemorables las organizaciones han puesto los medios necesarios para evitar el robo y manipulación de sus datos confidenciales• En la actualidad, el desarrollo de las nuevas tecnologías ha dado un giro radical a la forma de hacer negocios a la vez que ha aumentado los riesgos para las empresas que se exponen a nuevas amenazas
  • 16. Desafortunadamente esrelativamente fácil tener accesoa las herramientas que permitena personas no autorizadas llegarhasta la información protegidacon poco esfuerzo yconocimiento, causando gravesperjuicios para la empresa
  • 17. Riesgos• Riesgos Físicos• Riesgos Lógicos
  • 18. Beneficios para la empresa al instalar un SGSI
  • 19. Beneficios para la empresa al instalar un SGSI
  • 20. Beneficios para la empresa al instalar un SGSI
  • 21. Beneficios para la empresa al instalar un SGSI
  • 22. Beneficios para la empresa al instalar un SGSI
  • 23. Beneficios para la empresa al instalar un SGSI
  • 24. Estadísticas
  • 25. Estadísticas
  • 26. Estadísticas
  • 27. Estadística
  • 28. Estadística
  • 29. Hackers usan teléfono como teclado o ratón para atacar por USB• Un teléfono Android rooteado y conectado por USB actuar como teclado o ratón, permitiendo así atacar o controlar un ordenador víctima.• Este hack se aprovecha de que los USB no pueden autentificar los dispositivos conectados como HID (Human Interface Device), así como de que el sistema operativo no pueda filtrar los paquetes USB, detalles que podrían haber servido al usuario para esquivar la ofensiva.
  • 30. CASOS
  • 31. • Desafort
  • 32. Hackers PeruanosMartes, 13 de Noviembre de 2007Hackers peruanos fueron perdonados por Chile y ya tienen ofertas del extranjero Chile dio hoy por cerrado el incidente que involucró a dos adolescentes peruanos de 15 y 16 años que hace dos semanas hackearon la página web de la presidencia de ese país, informó César Vargas, presidente de la Sociedad Nacional de Informática, quien hoy recibió la visita de tres funcionarios de la embajada de ese país.
  • 33. Video Hacker AnonymousOperación Andes Libre Chile/Perúhttp://www.youtube.com/watch?v=ADPsiajhcvM
  • 34. Advanced PS/2 hardware keylogger• Keylogger para teclados ps/2 se coloca al cable del teclado
  • 35. Advanced USB hardware keylogger• Keylogger para teclados usb se coloca al cable del teclado
  • 36. KeyDemon modulo
  • 37. Wireless
  • 38. ¡Donde lo compran!http://www.onlinespyshop.co.uk
  • 39. Keylogger por conexión a tierra• Hackers han conseguido saber qué teclas estaban siendo pulsadas en un teclado conectado a un ordenador con tan sólo realizar unas mediciones en la red eléctrica.• Ello es debido a que los teclados emiten una señal eléctrica con cada pulsación, cada tecla emite una pulsación única y debido a que los cables de los teclados no están aislados, suelen emitir a través de la línea de tierra.
  • 40. http://www.qfxsoftware.com/
  • 41. http://www.qfxsoftware.com/
  • 42. Websensehttp://www.websense.com/content/h ome.aspx
  • 43. http://www.http-tunnel.com/html/
  • 44. Legislación y Normas en el Perú
  • 45. Constitución política del Perú• Artículo 2º: Toda persona tiene derecho:• 5. A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con le costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.• 6. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.
  • 46. Constitución política del Perú• Art. 200.- Son garantías constitucionales:• 3.- El habeas data, que procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o personal, que vulnera o amenaza los derechos a que se refiere el artículo 2º, incisos 5º y 6º de la Constitución.
  • 47. Normas• Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” en entidades del Sistema Nacional de Informática.• Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.
  • 48. Marco de las recomendacionesLa NTP-ISO 17799 es una compilación de recomendacionespara las prácticas exitosas de seguridad, que todaorganización puede aplicar independientemente de sutamaño o sector.La NTP fue redactada para que fuera flexible y no induce alas organizaciones que la cumplan al pie de la letra, se deja aestas dar una solución de seguridad de acuerdo a susnecesidades.Las recomendaciones de la NTP-ISO 17799 son neutrales encuanto a la tecnología. La norma discute la necesidad decontar con Firewalls, pero no profundiza sobre los tipos deFirewalls y cómo se utilizan.
  • 49. NTP ISO 17799• En este sentido La Norma Técnica Peruana ISO – 17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas.• La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.
  • 50. Equipo de Respuesta a Incidentes de Seguridad de la Información
  • 51. ¿Qué es CERT?• El término CERT proviene de las siglas en inglés Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio.• También es conocido por las siglas CSIRT (Computer Security and Incidente Response Team)
  • 52. ¿Qué es CERT?• El primer CERT se creó en 1988 en la Universidad Carnegie Mellon, en Estados Unidos (propietaria de esta marca registrada), y desde entonces han ido creándose este tipo de Equipos en todo el mundo y en distintos ámbitos de la sociedad (Administración, Universidad, investigación, empresa, etc).
  • 53. www.cert.org
  • 54. www.pecert.gob.pe
  • 55. Ethical Hacking
  • 56. Hacker Ético• Un hacker ético es el nombre adoptado para la realización de pruebas de penetración o intrusión a redes informáticas. Un hacker ético usualmente es un empleado o persona perteneciente a una organización, el cual intenta introducirse a una red informática o un sistema informático, utilizando métodos y técnicas hacker, pero su propósito principal es la búsqueda y resolución de vulnerabilidades de seguridad que permitieron la intrusión.
  • 57. Hackeo a nuestros sistemas• Las computadoras al rededor del mundo están siendo sistemáticamente victimizadas por un acechante hackeo.• Este no es solo un hackeo generalizado, esta siendo ejecutado tan fácilmente que los atacantes comprometen un sistema, roban todo lo valioso y borran completamente su información en 20 minutos.
  • 58. Objetivo del Ethical hacker• EI objetivo de Ethical Hacker es ayudar a la organización a tomar medidas preventivas en contra de ataques maliciosos atacando el sistema por si mismo, pero manteniéndose dentro de los limites legales permitidos.• Esta filosofía resulta de la practica probada: "Para atrapar a un ladrón debes pensar como un ladrón".
  • 59. Exploración• Reconocimiento Activo – Probar los sistemas en búsqueda de más información – Hosts accesibles – Ubicación de routers y firewalls – Sistemas Operacionales – Servicios en ejecución – Aplicaciones y sus versiones
  • 60. Exploración• Equivalente a “tocar puertas”• Verificar cuáles sistemas – Están activos – Son alcanzables desde Internet• Barrido de pings• Escaneo de puertos
  • 61. Exploración• Verificar en cada sistema – Qué servicios están corriendo – Qué puertos están escuchando• Escaneo de puertos – TCP connect – TCP SYN• Detección del sistema Operativo
  • 62. Exploración• Mapeo de Redes con Cheops – Funciona para Linux – Un atacante busca entender la topología de nuestra red • Conectividad Intranet – DMZ, redes perimetrales • Intranet – La distribución de enrutadores y hosts pueden mostrar vulnerabilidades
  • 63. Herramienta Cheops• Permite saber al atacante donde se encuentran las cosas• Fue escrito por Mark Spencer• Disponible en : http://cheops-ng.sourceforge.net/download.php• Proporciona un mapa de red generado por pings y traceroute.• Funciona como un network neighborhood para máquinas Unix.
  • 64. Herramienta Cheops• Herramienta de Gestión• Ofrece una interfaz gráfica agradable para descubrimiento de red – Muy ruidosa – No es conveniente si se busca mantener un perfil bajo – No es conveniente si no se quiere ser detectado.
  • 65. Herramienta Cheops• Esencialmente es usada para: – Mapeo / trazado – Acceso fácil a funciones de gestión (ping, traceroute, ftp , secure shell) – Escaneo de puertos – OS Fingerprinting
  • 66. Como funciona Cheops• Realiza ping a todos las estaciones para ver cuales responden• Traceroute para cada estación• Por medio de un análisis de por cuales pasa un paquete y por cuales no, se puede determinar la topología.• Escaneo de puertos para cada estación• OS fingerprinting para determinar el sistema operacional de las estaciones
  • 67. Pantalla de Cheops
  • 68. Características de Cheops• Páginas múltiples: Multiple Pages Permite Organizar la red dentro de páginas de forma conveniente y hacer grupos de acuerdo la función de cada una, de esa forma se especifican áreas o redes específicas
  • 69. Características de CheopsDetección de Sistemas Operativos: OSDetection :Permite detectar los sistemas operativos de loshosts y adiciona un icono correspondiente acada uno.
  • 70. Características de Cheops• Encontrar: Find Permite encontrar hosts sobre una gran red
  • 71. Características de Cheops• Mapear: Mapping:Permite mapear la red mostrando rutas de la red, esta característica es diseñada para grandes redes, con routers, subredes etc. También tiene funcionalidades para redes LAN simples.
  • 72. Características de Cheops• Servicios: Services Con un click derecho sobre cada host se pueden observar cada uno de los servicios disponibles y acceder a ellos facilmente
  • 73. Características de Cheops• Múltiples vistas: Multiple views:Para grandes redes, es posible ver iconos para redes completas o una lista simple de redes. Se pueden manejar dominios, hostname, IP address etc.
  • 74. Características de Cheops• Escaner de Puertos de propósito general: Generalized Port Scanner:Incluye un port scanner de TCP para ver que puertos están en uso sobre la red
  • 75. Características de CheopsProbador de versiones de servicios:Services Probing:Permite recuperar la versión de los servicioshabilitado para llevar un control deactualización sobre ellos
  • 76. Características de CheopsMonitoreo: Monitoring SupportPermite monitorear los servidores críticos ynotificar inmediatamente a través de event log,standard de correo, cuando sucede algoextraño.
  • 77. Herramienta Nmap para escaneo de puertos• Herramienta de escaneo muy útil con capacidades avanzadas• Altamente popular• Escrito por Fyodor y disponible en http://www.insecure.org/nmap• Posee un ambiente gráfico nmapfe en el mismo sitio• Existe versión para unix y para windows
  • 78. Herramienta Nmap para escaneo de puertos• Es una herramienta supremamente útil para los atacantes y también para los que hacen Ethical hacking, ya que permite auditar los sistemas por los puertos abiertos• NMAP habla con la tarjeta de red y se necesita un driver conocido como winpcap en windows o libpcap en linux – Ej: Linux: nmap –sS –PO –T Insane host
  • 79. Herramienta Nmap para escaneo de puertos• Maneja varios tipos de escaneos: – Connect TCP scans • Usa negociación completa – SYN scan (Half Open) • Solo el syn inicial • Más difícil de detectar y más rápido – ACK scan • Más imperceptible, puede pasar algunos filtros. – FIN scan • Más imperceptible, puede pasar algunos filtros. – SYN scan con fragmentos IP • Puede pasar algunos filtros de paquetes – UDP scan – FTP proxy “Bounce Attack” scan – RPC scan – Prueba de predicción de secuencia TCP
  • 80. Nmap ACK• Una configuración en la que se busca permitir conexiones salientes pero no entrantes• Si la configuración del router define que solo conexiones con el bit ACK activado podrán entrar.• Esto bloquea el inicio de sesiones desde el exterior• Pero aún es posible realizar escaneo y pasar los filtros.
  • 81. Nmap Bounce Scan• FTP permite que un usuario le haga forward de un archivo a otro sistema• Esto puede ser utilizado para realizar un bounce scan• Por medio de esta técnica la víctima no puede identificar realmente de donde viene el escaneo.
  • 82. Nessus• Nessus es un escáner de vulnerabilidades gratuito• Puede ser usado por hackers o por organizaciones• El proyecto fue iniciado por Renaud Deraison• Disponible en http://www.nessus.org• Consiste de un módulo cliente y un módulo servidor, con plug-ins modulares para pruebas individuales.
  • 83. Otras Herramientas• Herramientas de distribución libre: – SARA (http://www-arc.com/sara/) – SAINT (http://www.saintcorporation.com/products/saint _engine.html) – NESSUS (http://www.nessus.org)• Herramientas comerciales – Internet scanner (http://www.iss.net) – Cisco Secure Scanner (Antes NetSonar)
  • 84. Certificación CEH• El programa CEH certifica individuos en una disciplina especifica de seguridad de redes de Hackeo Etico" desde una perspectiva neutral.• Este certificado fortalecerá a Oficiales de Seguridad, Auditores, Profesionales de Seguridad, Administradores de Sitios y todo aquel interesado en la integridad de la infraestructura de sus redes.
  • 85. Módulos• Module 1: Introduction to Ethical Hacking Module 2: Hacking Laws Module 3: Footprinting Module 4: Scanning Module 5: Enumeration Module 6: System Hacking Module 7: Trojans and Backdoors Module 8: Viruses and Worms Module 9: Sniffers
  • 86. Módulos• Module 10: Social Engineering Module 11: Phishing Module 12: Hacking Email Accounts Module 13: Denial-of-Service Module 14: Session Hijacking Module 15: Hacking Web Servers Module 16: Web Application Vulnerabilities Module 17: Web-Based Password Cracking Techniques Module 18: SQL Injection
  • 87. Módulos• Module 19: Hacking Wireless Networks Module 20: Physical Security Module 21: Linux Hacking Module 22: Evading IDS, Firewalls and Detecting Honey Pots Module 23: Buffer Overflows Module 24: Cryptography Module 25: Penetration Testing Module 26: Covert Hacking Module 27: Windows Based Buffer Overflow. Exploit Writing Module 28: Reverse Engineering Module 29: Hacking Routers, cable Modems and Firewalls
  • 88. Seguridad con Herramientas de software Libre
  • 89. Herramientas de Seguridad• Firewall iptables• Proxy Squid• Detector Intrusos Snort• Monitoreo Trafico nmap iptraf
  • 90. iptables
  • 91. Squid
  • 92. Snort
  • 93. iptraf
  • 94. Diez Consejos Básicos de Seguridad para las empresas Según INTECO
  • 95. Laboratorio Implementación Firewall con Linux
  • 96. Ing. Maurice Frayssinet Delgado mfrayssinet@hotmail.com maurice.frayssinet www.facebook.com/maurice.frayssinet http://mfrayssinet.blogspot.com |