De Hacker a C-Level

770 views

Published on

MBA, Universidad Anahuac ’10, México DF.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
770
On SlideShare
0
From Embeds
0
Number of Embeds
45
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

De Hacker a C-Level

  1. 1. TÓPICOS SELECTOS De Hacker a C-Level México, D.F. 24 de Febrero de 2010 Master in Business Administration Alejandro Hernández [email_address] http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs
  2. 2. AGENDA <ul><li>Hacker mindset </li></ul><ul><ul><li>Vulnerabilidades / Investigación </li></ul></ul><ul><ul><li>Pentesting / Evaluación de vulnerabilidades / Espionaje Industrial </li></ul></ul><ul><ul><li>CVSS </li></ul></ul><ul><ul><li>Amenazas </li></ul></ul><ul><ul><li>Certificaciones </li></ul></ul><ul><li>C-Level mindset </li></ul><ul><ul><li>CIA Triad </li></ul></ul><ul><ul><li>Administración de Riesgos </li></ul></ul><ul><ul><li>Gobierno de TI </li></ul></ul><ul><ul><li>Estrategia de “Defensa en Profundidad” </li></ul></ul><ul><ul><li>Regulaciones, estándares y mejores prácticas </li></ul></ul><ul><ul><li>Certificaciones </li></ul></ul><ul><li>Comparación de enfoques (Hacker | C-Level) </li></ul>
  3. 3. Punto de partida – Hacker
  4. 4. Punto de partida – C-Level - CEO (Chief Executive Officer) - CISO (Chief Information Security officer) - CSO (Chief Security Officer)
  5. 5. HACKER MINDSET
  6. 6. <ul><li>Vulnerabilidades </li></ul><ul><ul><li>Stack/Brain/Heap overflows </li></ul></ul><ul><ul><li>blah blah SQL Injections, blah blah, XSS, blah!... </li></ul></ul><ul><ul><li>CVSS </li></ul></ul><ul><li>Investigación </li></ul><ul><ul><li>R + D </li></ul></ul><ul><ul><li>¿En México? </li></ul></ul><ul><ul><ul><li>De repente todos hacen “ research ” en (in)seguridad pero lo que no saben… Es que enviar “A”x1000000 a una aplicación, o poner <script>alert(‘h4ck3r’);</script> en cualquier formulario Web, </li></ul></ul></ul><ul><ul><ul><li>NO ES HACER INVESTIGACIÓN !!! </li></ul></ul></ul>Vulnerabilidades / Investigación
  7. 7. <ul><li>Penetration Testing </li></ul><ul><ul><li>Tiger Teaming </li></ul></ul><ul><ul><li>Black/Gray/White Box </li></ul></ul><ul><ul><li>Explotación táctica </li></ul></ul><ul><li>Evaluación de Vulnerabilidades </li></ul><ul><li>Espionaje </li></ul><ul><ul><li>Corporativo </li></ul></ul><ul><ul><li>Industrial </li></ul></ul><ul><ul><li>Político </li></ul></ul>
  8. 8. CVSS (Common Vulnerability Scoring System) Fuente: A Complete Guide to the CVSS v2.0
  9. 9. <ul><li>Malware </li></ul><ul><li>Ciber-crimen </li></ul><ul><li>Spam </li></ul><ul><li>Ciber-terrorismo </li></ul><ul><li>Botnets </li></ul><ul><li>Script-kiddies </li></ul><ul><li>Phishing </li></ul><ul><li>Servicios de Inteligencia? </li></ul><ul><li>Narcotráfico? </li></ul><ul><li>Y la lista sigue.. Sigue y .. Sigue !!! </li></ul>Amenazas
  10. 10. <ul><li>Algunos ejemplos: </li></ul><ul><li>CEH (Certified Ethical Hacker) </li></ul><ul><li>OPST (OSSTMM Professional Security Tester) </li></ul><ul><li>GPEN (GIAC Certified Penetration Tester) </li></ul><ul><li>LPT (Licensed Penetration Tester) </li></ul><ul><li>CPTS (Certified Penetration Testing Specialist) </li></ul><ul><li>CEPT (Certified Expert Penetration Tester) </li></ul>Certificaciones
  11. 11. C-LEVEL MINDSET
  12. 12. CIA Triad
  13. 13. Administración de Riesgos <ul><li>Riesgos </li></ul><ul><li>The CISA Review Manual provides the following definition of risk management : &quot;Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives , and deciding what countermeasures , if any, to take in reducing risk to an acceptable level , based on the value of the information resource to the organization.&quot; </li></ul><ul><ul><li>Operacionales </li></ul></ul><ul><ul><li>Reputacionales </li></ul></ul><ul><ul><li>Internos/Externos </li></ul></ul><ul><ul><li>Naturales </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Amenazas </li></ul><ul><li>Probabilidad </li></ul><ul><li>Impacto </li></ul><ul><li>Contramedidas (Controles) </li></ul>
  14. 14. Gobierno de TI <ul><li>The primary goals for Information Technology governance are to assure that the investments in IT generate business value , and mitigate the risks that are associated with IT. This can be done by implementing an organizational structure with well-defined roles for the responsibility of information, business processes, applications, infrastructure, etc. </li></ul><ul><li>Gobierno Corporativo </li></ul><ul><li>Cumplimiento </li></ul><ul><ul><li>P.e. Sarbanes Oxley </li></ul></ul>
  15. 15. Defensa en Profundidad <ul><li>Origen militar </li></ul><ul><li>En vez de una sola línea de defensa, varias líneas consecutivas </li></ul><ul><li>Principio / Estrategia </li></ul>
  16. 16. Regulaciones, estándares y mejores prácticas <ul><li>ISO 27001 / 27002 </li></ul><ul><li>PCI – DSS </li></ul><ul><li>Sarbanes Oxley </li></ul><ul><li>CobiT </li></ul><ul><li>ITIL </li></ul><ul><li>NIST-800 </li></ul><ul><li>CNBV (CUB) </li></ul>
  17. 17. Certificaciones <ul><li>Algunos ejemplos: </li></ul><ul><li>CISA (Certified Information Systems Auditor) </li></ul><ul><li>CISM (Certified Information Security Manager) </li></ul><ul><li>Lead Auditor ISO 27001 </li></ul><ul><li>CGEIT (Certified in the Governance of Enterprise IT) </li></ul><ul><li>CISSP (Certified Information Systems Security Professional) </li></ul><ul><li>CBCP (Certified Business Continuity Professional) </li></ul>
  18. 18. Finalmente… Una (divertida) COMPARACIÓN DE ENFOQUES (Hacker | C-level)
  19. 19. Riesgo <ul><li>¿Mi sniffer será detectado en modo promiscuo por la flag PROMISC en mi NIC ? </li></ul><ul><li>¿Y si no completo la ejecución remota de código, y %EIP queda apuntando a una dirección de memoria inválida y el proceso me manda SIGSEGV ? </li></ul><ul><li>¿ Y si el BOFH (Baster Operator From Hell = Sysadmin ) está conectado en el momento que ingreso y ve mi $export HISTFILE=/dev/null ? </li></ul><ul><li>¿ Y si troyanizo el servidor Web Apache con mod_rootme y al reiniciar el módulo no es compatible con la versión y es imposible iniciar el demonio httpd nuevamente? </li></ul><ul><li>¿Y si al hacer back-connect el Firewall detiene mi conexión y a la ves el NIDS reporta la intrusión? </li></ul>Hacker C-Level
  20. 20. Disponibilidad Hacker C-Level
  21. 21. Herramientas de trabajo Hacker C-Level
  22. 22. Lugar de trabajo Hacker C-Level
  23. 23. Lecturas Hacker C-Level
  24. 24. Eventos / Reuniones Hacker C-Level C-levels, en la sala de juntas del piso 25, discutiendo la estrategia de seguridad de la información a seguir en el próximo periodo, la cual debe estar alienada a los objetivos de la Compañía. Mexicanos saliendo de DefCon17, haciendo wardriving desde una limosina en Las Vegas, discutiendo si los algoritmos de encripción de la redes WiFi de Casinos/Hoteles son inseguros y si la antena tiene suficiente alcance para romper las contraseñas. hkm nitr0us sirdarckcat scp lightos
  25. 25. GRACIAS México, D.F. 24 de Febrero de 2010 Alejandro Hernández [email_address] http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs

×