X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna

19,667 views

Published on

Diapositivas de la conferencia impartida en el X Fórum AUSAPE 2014 en Zaragoza, durante el mes de Junio de 2014. El vídeo de la sesión está disponible en el siguiente enlace: https://www.youtube.com/watch?v=jTdmPC9Bpk0

Published in: Technology

X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna

  1. 1. Chema Alonso @chemaalonso chema@11paths.com http://www.elladodelmal.com Piensa como un hacker, Planifica como un CSO, Y haz magia como Harry Potter Piensa como un hacker, Planifica como un CSO, Y haz magia como Harry Potter
  2. 2. Hackers son buenos
  3. 3. El enemigo a las puertas
  4. 4. Por el facebook
  5. 5. Por el facebook
  6. 6. Por el facebook
  7. 7. “Hackers” en los media
  8. 8. “Hackers” en los media
  9. 9. “Hackers” en los media
  10. 10. “Hackers” en los media
  11. 11. Décalogo de Seguridad Maligna http://www.elladodelmal.com/2012/02/un-decalogo-de-seguridad-informatica.html
  12. 12. Regla número 1 ¿Crees que la gente tiende a hacer las cosas bien? No desprecies el poder de la estupidez humana. ¿Crees que la gente tiende a hacer las cosas bien? No desprecies el poder de la estupidez humana.
  13. 13. Not so anonymous
  14. 14. Regla número 2 Cuando piensas que a nadie se le ocurriría hacer algo así, siempre hay alguien que ha pensado que es una buena idea. Cuando piensas que a nadie se le ocurriría hacer algo así, siempre hay alguien que ha pensado que es una buena idea.
  15. 15. Las medidas de seguridad…
  16. 16. Nos olvidamos de Penny!
  17. 17. ¿Realmente son entendibles? • OTP • 2-Factor • VPN’s • WPS • Oauth • … Y un largo etc…
  18. 18. Regla número 3 En muchas empresas nunca hay tiempo para hacer las cosas bien, pero sí para hacerlas dos veces. ¡Genial! En muchas empresas nunca hay tiempo para hacer las cosas bien, pero sí para hacerlas dos veces. ¡Genial!
  19. 19. LifeLock
  20. 20. Regla número 4 Para entrar en un sistema la mayoría de las veces sólo se necesita la herramienta más poderosa jamás creada: El Bloc de Notas. Para entrar en un sistema la mayoría de las veces sólo se necesita la herramienta más poderosa jamás creada: El Bloc de Notas.
  21. 21. HeartBleed
  22. 22. Regla número 5 Si eres de los que piensa que no tienes nada que le interese a un atacante entonces ya tienes un troyano en tu equipo. Si eres de los que piensa que no tienes nada que le interese a un atacante entonces ya tienes un troyano en tu equipo.
  23. 23. Guerras de Bots
  24. 24. BlackSEO
  25. 25. Regla número 6 Cuando subas algo a Internet, tarde o temprano será público. Asúmelo y hazte la foto al estilo Scarlett Johansson ¡ya!. Cuando subas algo a Internet, tarde o temprano será público. Asúmelo y hazte la foto al estilo Scarlett Johansson ¡ya!.
  26. 26. CreepWare
  27. 27. Regla número 7 Dime cuál es tu web y te diré cuál es tu bug.Dime cuál es tu web y te diré cuál es tu bug.
  28. 28. Faast
  29. 29. Regla número 8 Entrar en un sistema requiere conocer un fallo de seguridad, defenderlo requiere cerrar todos… ¡Suerte! Entrar en un sistema requiere conocer un fallo de seguridad, defenderlo requiere cerrar todos… ¡Suerte!
  30. 30. Plan Director: Be a CSO/CISO
  31. 31. Regla número 9 Pagarás todo el dinero del mundo por securizar tus sistemas… una vez te hayan hackeado y expuesto públicamente. Pagarás todo el dinero del mundo por securizar tus sistemas… una vez te hayan hackeado y expuesto públicamente.
  32. 32. Bitly SMS
  33. 33. Have I been pwnd?
  34. 34. Latch
  35. 35. Regla número 10 Si no auditas la seguridad de tus sistemas, otro lo hará por ti… ¡y gratis! Si no auditas la seguridad de tus sistemas, otro lo hará por ti… ¡y gratis!
  36. 36. Bugs & 0days
  37. 37. Regla número 11 Si tus documentos no están protegidos acabarán en Pastebin. Si tus documentos no están protegidos acabarán en Pastebin.
  38. 38. Contabilidades…
  39. 39. Metadatos
  40. 40. Metadatos
  41. 41. Metadatos
  42. 42. http://blog.elevenpaths.com/2013/08/information-leakage-in-data-loss.html 100% With metadata leak Without metadata Leak Metadatos
  43. 43. Regla número 12 Las cosas funcionan de casualidad. Y lo peor es que casi todos lo sabemos. Las cosas funcionan de casualidad. Y lo peor es que casi todos lo sabemos.
  44. 44. Web Senado
  45. 45. Regla número 13 La ley de Owned: Cuanto más grande es la empresa más escandalosos son los fallos de seguridad. La ley de Owned: Cuanto más grande es la empresa más escandalosos son los fallos de seguridad.
  46. 46. Yahoo!! XSS, Apple SQLi, ¿y tú?
  47. 47. Regla número 14 Reconocerás una conferencia de hackers porque nadie usa una computadora o un smartphone en ella… por seguridad. Reconocerás una conferencia de hackers porque nadie usa una computadora o un smartphone en ella… por seguridad.
  48. 48. Verdad, verdadera
  49. 49. Regla número 15 Ley de Pwned: La suma de las cosas que sabes que están mal y las que no conoces da Pwned! Ley de Pwned: La suma de las cosas que sabes que están mal y las que no conoces da Pwned!
  50. 50. Tu CPD
  51. 51. Regla número 16: Corolario … Y ahora vas y lo twitteas…… Y ahora vas y lo twitteas…
  52. 52. Mi tarjeta de Crédito
  53. 53. En resumen: 1.- Piensa como un hacker - Búsca los límites de tu sistema 2.- Planifica como un CSO - Diferencia entre urgente e importante y haz un Plan Director de Seguridad robusto, flexible y adaptado 3.- Haz magia como Harry Potter - ¿Que no hay dinero? EurusAparezus!
  54. 54. ¿Preguntas? • Chema Alonso • @chemaalonso • chema@11paths.com • http://www.elladodelmal.com • http://www.elevenpaths.com • https://latch.elevenpahts.com

×