MIGUEL ANGEL GONZALES JIMENEZIng. Especialista Ethical hacking Linux/unix/windows
Agenda•Los problemas que afectan la seguridad de la Información• Soluciones desde dos puntos de vista Diferentes:      Hac...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad.Excusas: Muchos Lideres y Gerentes de empr...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la SeguridadLa Seguridad de la Información es una Inver...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad Falta de Ética Profesional: Muchos profesi...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“Falsa Sensación de estar asegurado”       ...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“Recurso Humano” “La cadena de seguridad se...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“ Con el implemento de controles de segurid...
Hacking Ético “VS” Defensa en Profundidad      Top Servicios TCP
Hacking Ético “VS” Defensa en Profundidad  Top Sistemas Operativos
Hacking Ético “VS” Defensa en ProfundidadEnlaces que no tiene protección Perimetral
Hacking Ético “VS” Defensa en ProfundidadServidores Windows         Enlace NAT                        Internet            ...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad                                           ...
Hacking Ético “VS” Defensa en Profundidad             “El Conocimiento es un Derecho, no un Privilegio?”Los Problemas que ...
Hacking Ético “VS” Defensa en Profundidad            “El Conocimiento es un Derecho, no un Privilegio?”Los Problemas que a...
Hacking Ético “VS” Defensa en Profundidad                 “El Conocimiento es un Derecho, no un Privilegio?”Informaciónenc...
Hacking Ético “VS” Defensa en Profundidad                “El Conocimiento es un Derecho, no un Privilegio?”Información enc...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“Con el avance de las tecnologías, ha surgi...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“El Crimen Organizado ha visto en las nueva...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad   Exposición de Vulnerabilidad Especificas...
Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad Exposición de Vulnerabilidad Especificas y...
Hacking Ético “VS” Defensa en Profundidad¿¿¿Cuáles serian posibles soluciones que minimicenlos Riesgos en todos estos prob...
Hacking Ético “VS” Defensa en Profundidad        Hacking ÉticoEs la una de la Madrugada…. ¿Sabe quienpuede estar entrando ...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Definición-               Desde el Punto de vistaDesde el Punto de...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Evolución del Hacking –                                           ...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Perfil de Profesional “Hacking Ético”     “Primero Gurú, Luego Hac...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Tipos de Análisis –: Se puedenIdentificar (3) tres tipos:         ...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Tipos de Análisis – Características:       Análisis de            ...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Tipos de Análisis –: Variables deImpacto en un Análisis de Segurid...
Hacking Ético “VS” Defensa en Profundidad               Variable Visibilidad : Según la visibilidad , el análisis puede se...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Tipos de Análisis –: Variables deImpacto en un Análisis de Segurid...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.                              1.Rec...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.1. RECONOCIMIENTO PASIVO:“Es la pri...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.RECONOCIMIENTO PASIVO “TOOLS”Alguna...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.2.RECONOCIMIENTO ACTIVO:“Es la segu...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.RECONOCIMIENTO ACTIVO “TOOLS”:Algun...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.3. ANALISIS DE VULNERABILIDADES:“Es...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES:Ejempl...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES:“Algun...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES:
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES:
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES: Clasi...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES “TOOLS...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.4. EXPLOTACION DE VULNERABILIDADES:...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES :De...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES:En ...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES:En ...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES:La ...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES:¿Y ...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES “TO...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.5. PRESENTACION DE NFORMES:“Es la q...
Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.MEJORAMIENTO CONTINUO: • Tomar deci...
Hacking Ético “VS” Defensa en ProfundidadDefensa en Profundidad –DefiniciónDefensa en profundidad: Es llevar el proceso de...
Hacking Ético “VS” Defensa en ProfundidadDefensa en Profundidad –DefiniciónArsenal Informático *DEFENSA* al Alcance de Tod...
Hacking Ético “VS” Defensa en ProfundidadDefensa en Profundidad – 3 (PPP)Modelo de las 3 P orientadas a la seguridad: Aun ...
Hacking Ético “VS” Defensa en Profundidad                  Defensa en ProfundidadEjemplo de aplicación de un entorno segur...
Hacking Ético “VS” Defensa en Profundidad                      Defensa en Profundidad  NAS-  Servidor Archivos         DMZ...
Hacking Ético “VS” Defensa en Profundidad       Defensa en Profundidad • Planear                                      • Ha...
Hacking Ético “VS” Defensa en ProfundidadConclusiones:   El Software Libre permite Implementar, mantener y mejorar lossist...
Hacking Ético “VS” Defensa en Profundidad          --Conclusiones:--Defensa                             Ataque            ...
GRACIAS
Upcoming SlideShare
Loading in …5
×

Conferencia Seguridad y Contraseguridad Informática

2,167 views

Published on

Conferencia Tecnológica denominada Seguridad y Contra seguridad Informática "NINJAHACK" -- Realizado por Cietsi el 22 de junio del 2012, dictado por el Especialista en Seguridad Informática Miguel Gonzales.

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,167
On SlideShare
0
From Embeds
0
Number of Embeds
1,025
Actions
Shares
0
Downloads
89
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Conferencia Seguridad y Contraseguridad Informática

  1. 1. MIGUEL ANGEL GONZALES JIMENEZIng. Especialista Ethical hacking Linux/unix/windows
  2. 2. Agenda•Los problemas que afectan la seguridad de la Información• Soluciones desde dos puntos de vista Diferentes: Hacking Ético (Metodología y Práctica) Defensa en Profundidad (Metodología y Práctica)•Arquitecturas de Defensa y Ataque, usando Software Libre•Preguntas?
  3. 3. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad.Excusas: Muchos Lideres y Gerentes de empresas manifiestan un nivelrepresentativo de disculpas al momento de hacer tangible la necesidadde implementar o aumentar los niveles de control sobre la Seguridad dela Información. No tengo secretos que ocultar…. La seguridad es un gasto, y no una inversión La seguridad no me permite mantener un rendimiento adecuado de mis sistemas DESCONOCIMIENTO= “Falta de cultura y consciencia de asegurar la información
  4. 4. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la SeguridadLa Seguridad de la Información es una Inversión, no un Gasto: Entérminos financiero una Inversión es algo tangible o intangible enla que el capital permanece intacto, y genera un valor agregado. Confianza a Clientes Posicionamiento, respeto y buen nombre Organización Competitiva Mejoramiento Continuo $Firewall$ $IDS$ $Criptografía$
  5. 5. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad Falta de Ética Profesional: Muchos profesionales Informáticos, carecen de una ética profesional, lo que los convierte en una amenaza para los sistemas Informáticos Corporativos.DESCONOCIMIENTO "Los Novatos y ScriptKiddie ensayan y aprenden a atacar sistemas, enlas redes de las pequeñas de las empresas
  6. 6. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“Falsa Sensación de estar asegurado” Con Un Firewall y un Antivirus ya estoy Protegido¡¡¡¡¡¡¡¡¡¡¡¡
  7. 7. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“Recurso Humano” “La cadena de seguridad se rompe por el Eslabón mas Débil” -El usuario-La seguridad debe de tratarse de modo Integral, para disminuir el riesgode tener problemas relacionados con la seguridad de la Información.
  8. 8. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“ Con el implemento de controles de seguridad, tales como Firewalls,IDS, IPS, entre otros, los ataques han evolucionado… Ataques como XSS “Cross Site Scripting y SQL Inyección se basan en capas superiores del modelo de referencia OSI, como la capa de Aplicación
  9. 9. Hacking Ético “VS” Defensa en Profundidad Top Servicios TCP
  10. 10. Hacking Ético “VS” Defensa en Profundidad Top Sistemas Operativos
  11. 11. Hacking Ético “VS” Defensa en ProfundidadEnlaces que no tiene protección Perimetral
  12. 12. Hacking Ético “VS” Defensa en ProfundidadServidores Windows Enlace NAT Internet Resultados Análisis: Analis Sistema Operativo : “Integrado” ta Puertos: 80,21 OPEN Servicio: http Red interna
  13. 13. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad = http://1337db.com/
  14. 14. Hacking Ético “VS” Defensa en Profundidad “El Conocimiento es un Derecho, no un Privilegio?”Los Problemas que afectan la SeguridadSoftware ilegal, Piratería Informatica, redes P2P de NuevaGeneración: Pasaron a la Historia Emule, Bit Torrent, Kazza, conlas “Descargas Directas”? Quien es el “Pirata", Las Redes y Servicios, o los usuarios que suben los Pero cual es el verdadero problema archivos? para de estas redes para la Seguridad de la Información???
  15. 15. Hacking Ético “VS” Defensa en Profundidad “El Conocimiento es un Derecho, no un Privilegio?”Los Problemas que afectan la SeguridadApoyo de paginas buscadoras de enlaces: Desde el punto de vista de laformación de un Atacante Informático, el verdadero problema de estasredes, es la información tan valiosa que se puede encontrar. http://filespump.com/index.html
  16. 16. Hacking Ético “VS” Defensa en Profundidad “El Conocimiento es un Derecho, no un Privilegio?”Informaciónencontrada Redes P2P: Todas las Diapositivas de la ultima versión de las siguientes certificaciones:
  17. 17. Hacking Ético “VS” Defensa en Profundidad “El Conocimiento es un Derecho, no un Privilegio?”Información encontradaRedes P2P: “El acceso a este tipo de Información, dejo de ser un factor económico o un privilegio”
  18. 18. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“Con el avance de las tecnologías, ha surgido excelentes herramientasde evaluación del estado de la seguridad ¿Pero y la Llamada EvaluaciónArtesanal donde quedó? Herramientas del tipo “Point and Click” Apunte y Tire
  19. 19. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad“El Crimen Organizado ha visto en las nuevas Tecnologías ( T.I) ,una nueva forma de fortalecerse.
  20. 20. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad Exposición de Vulnerabilidad Especificas y Corporativas. Servicios de “Hacking” por Internet.Fuente: http://colombia.yaclasificados.com
  21. 21. Hacking Ético “VS” Defensa en ProfundidadLos Problemas que afectan la Seguridad Exposición de Vulnerabilidad Especificas y Corporativas. Servicios de “Hacking” por Internet.
  22. 22. Hacking Ético “VS” Defensa en Profundidad¿¿¿Cuáles serian posibles soluciones que minimicenlos Riesgos en todos estos problemas???? Fuente: http://blogs.eset-la.com Hacking Ético Defensa en Profundidad
  23. 23. Hacking Ético “VS” Defensa en Profundidad Hacking ÉticoEs la una de la Madrugada…. ¿Sabe quienpuede estar entrando en su Red?
  24. 24. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Definición- Desde el Punto de vistaDesde el Punto de vista de Un Comercial, el Hacking Ético esindividuo, un Hacker Ético es un un servicio de Auditoria de T.I,profesional que tiene las habilidades que ofrecen empresaspara evaluar la seguridad de un especializadas, con el fin de especializadas, con el fin desistema informático de forma integral, evaluar la seguridad de unllevando a la practica una serie de sistema informático de formapasos secuenciales y teniendo como integral.un criterio trasversal una “ÉticaProfesional”.
  25. 25. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Evolución del Hacking – Pioneros Del Hacking: Retos, Innovación Mitnick Drapper Wozniak Goldstein Intereses Económicos, Notoriedad, Vandalismo V. Levin Poulsen Smith Jaschan Consultores, Pen Tester, Mckinnon Hacking “Obsesivos” Ético McClure Scambray Sallis Borghello
  26. 26. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Perfil de Profesional “Hacking Ético” “Primero Gurú, Luego Hacker Ético o Pen Tester” Técnico (Indispensable) Personal Administrativo (Consultor) Infraestructura y Redes Entusiasta (Pasión) Lenguaje no Técnico Investigador (Habilidades de Comunicación) Actualizado Certificaciones Sistemas Operativos Idioma Ingles Experiencia Autónomo Hoja de Vida Trabajo en Equipo Desarrollo de Ética Profesional Software y B.D Al momento de un Test de Seguridad, todas las partes Interactúan entre si
  27. 27. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Tipos de Análisis –: Se puedenIdentificar (3) tres tipos: Test deAnálisis de Vulnerabilidades Penetración(Vulnerability Assessment) (Penetration Test) (Penetration Test) Hacking Ético (Ethical Hacking)
  28. 28. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Tipos de Análisis – Características: Análisis de Test de Penetración Hacking Ético Vulnerabilidades Identificación de Puertos Tiene un Objetivo definido Todo es un Objetivo en el Abiertos y Servicios Entorno Vulnerabilidades Conocidas Se tiene en cuenta el Ataques de ingeniería (Aplicación y S.O) Entorno (IDS, Firewall, IPS) Social y DDoS Clasificación de los Busca comprometer el Mas complejidad y Vulnerabilidades sistema objetivo Profundidad en el Análisis No hay explotación de Hay explotación de Hay explotación de vulnerabilidades , ni vulnerabilidades e Intrusión vulnerabilidades Ataque Intrusión en el Sistema. en el sistema objetivo Puro
  29. 29. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Tipos de Análisis –: Variables deImpacto en un Análisis de Seguridad. Posicionamiento: Visibilidad: Definir desde donde se Cuál será la información llevara a la practica el suministrada al Análisis de Seguridad. Evaluador (Pen Tester) Posicionamiento Externo Blind/BlackBox Posicionamiento Interno Double Blind/ BlackBox Desde una VLAN Diferente GrayBox Desde VLAN Servidores Double GrayBox Desde la VPN WhiteBox Reversal
  30. 30. Hacking Ético “VS” Defensa en Profundidad Variable Visibilidad : Según la visibilidad , el análisis puede ser: Tipo de Análisis DescripciónBlind/BlackBox El Analista de seguridad no tiene conocimiento del Objetivo, pero el cliente si tiene conocimiento del análisis, además de saber cuando se ejecutará.Double Blind/ BlackBox El Analista de seguridad no tiene conocimiento del Objetivo, el cliente no sabe que tareas se ejecutaran en el análisis, ni tampoco cuando se ejecutará.GrayBox El Analista de seguridad conoce muy poco del objetivo, pero el cliente tiene conocimiento del tipo de test y cuando se ejecutará.Double GrayBox Similar al anterior, la única diferencia es que el cliente no sabara cuando se ejecutará el análisis.WhiteBox Ambas Partes (Cliente-Analista) sabrán cuando se hacen los test, el tipo de test, además de saber cuando se ejecutaráReversal Similar al anterior, la diferencia radica en que el cliente no sabrá que tareas de análisis se ejecutaran como tampoco cuando.
  31. 31. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Tipos de Análisis –: Variables deImpacto en un Análisis de Seguridad. (Arquitectura) Servidores B.D Firewall/IPS/Router InternetDMZ- 1 Ethical Hacker Red LAN Ethical Hacker Ethical Hacker Ethical Hacker
  32. 32. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad. 1.Reconocimiento Pasivo 5.Recolección de Evidencias y 2.Reconocimiento Presentación Activo Informes 4. Explotación de 3. Análisis de Vulnerabilidades Vulnerabilidades (Ataque)
  33. 33. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.1. RECONOCIMIENTO PASIVO:“Es la primera y mas importante fase del análisis. Elanalista tratar de recopilar de forma metodológica todala información que mas pueda al respecto del objetivo”. No se realiza ningún tipo de escaneo o contacto con la maquina objetivo. Permite Construir un mapa del Objetivo, sin interactuar con él. Existen menos herramientas informáticas que -El Éxito del Ataque en las otras fases. Futuro, dependerá en gran medida del Recolección de Información Pública ( Ingeniería desarrollo de esta Social y Google Hacking) primera fase-
  34. 34. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.RECONOCIMIENTO PASIVO “TOOLS”Algunas de las herramientas importantes en esta faseson las siguientes: http://www.informatica64.com/foca/default.aspx Google Hacking Database http://www.robotex.com/
  35. 35. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.2.RECONOCIMIENTO ACTIVO:“Es la segunda fase, y consiste en la identificaciónactiva de objetivos, mediante en Escaneo de puertos yla identificaciones de servicios y sistemas operativos”. Identificación y Estado de Puertos. Identificar Servicios Identificar Sistemas operativos. Hay contacto directo con el Objetivo Enumeración del Objetivo Captura de Banners
  36. 36. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.RECONOCIMIENTO ACTIVO “TOOLS”:Algunas de las herramientas importantes en estafase son las siguientes: http://nmap.org/ http://xprobe.sourceforge.net/ http://www.mcafee.com/us/downloads/free-tools/superscan3.aspx
  37. 37. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.3. ANALISIS DE VULNERABILIDADES:“Es la tercera fase del análisis, y tiene como objetivo elidentificar si un sistema es débil o susceptible de serafectado o atacado de alguna manera (Hardware,Software, Telecomunicaciones, Humanos)” Identificación vulnerabilidades en Versiones de Aplicación y Sistemas Operativos Gestión de Parches (Patch Management) El éxito de un Análisis Identificar Vulnerabilidades Tecnológicas y de Vulnerabilidades, Humanas. depende de la gestión Configuraciones por Defecto. que se les haga. Vulnerabilidades Técnicas y Funcionales
  38. 38. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES:Ejemplo de Vulnerabilidades: Funcional Técnica
  39. 39. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES:“Algunos aspectos importantes que deben de tenerse encuenta en el análisis de Vulnerabilidades, es el siguiente: Las herramientas de análisis de vulnerabilidades se basan en Plugins, por lo tanto es importante mantenerlos actualizados. Configurar de forma adecuada el perfil del análisis de vulnerabilidades, según la información recolectada en fases pasadas. Experiencia un factor “Relevante”
  40. 40. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES:
  41. 41. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES:
  42. 42. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES: Clasificación yDescubrimiento de Vulnerabilidades.Si una vulnerabilidad es descubierta, que Las vulnerabilidades encontradas en uncaminos se pueden tomar? Análisis de seguridad, se clasifican con respecto a bases de datos del Conocimiento. Comunicarlos al proveedor de formadirecta. Comunicarlo a las Listas de “FullDisclosure”. http://cve.mitre.org Comunicarlo en un evento de seguridad(Black Hat, DEFCON, Etc) Venderlo a empresas que o compranExploit. Conservar el descubrimiento en http://www.first.org/cvsssecreto.
  43. 43. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.ANALISIS DE VULNERABILIDADES “TOOLS”:“Algunos de las herramientas que se pueden identificaren esta fase son: http://www.openvas.org/ http://www.gfi.com/lannetscan http://www.acunetix.com/ http://www.nessus.org/nessus/intro.php www.qualys.com
  44. 44. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.4. EXPLOTACION DE VULNERABILIDADES:“Es la cuarta fase del análisis, y una de las mas complejas,ya que el evaluador debe de buscar aprovecharse dealguna de las vulnerabilidades identificadas, para lograr elingreso (Intrusión) en el sistema objetivo. Escalar Privilegios Explotación de Vulnerabilidades Denegación de Servicios Mantener el Acceso
  45. 45. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES :Definición y componentes de un Exploit: Un Exploit es un mecanismo quese aprovecha de una debilidad o una brecha de seguridad. PAYLOAD CODIGO
  46. 46. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES:En lo que respecta a la ejecución de Código deforma arbitraria, se tienen dos modalidades deExploit. Exploit Local: Es ejecutado de forma local, y uno de sus principales objetivos, es escalar privilegios, cuando un Exploit remoto ha tenido éxito en el equipo objetivo Exploit Remoto: Es ejecutado desde un equipo atacante, hacia el equipo victima, muy comúnmente ejecutado vía Internet. De forma remota el atacante se posiciona del equipo objetivo y posiblemente de los equipos que tenga visibilidad desde este.
  47. 47. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES:En lo que respecta al lugar donde el impacto del ataque , se puedentener dos modalidades: Server Side: Es el tipo de explotación mas utilizado, y consiste en aprovecharse de una debilidad de una aplicación servicio, es accesible de forma directa y no requiere de la intervención de un tercero. Cliente Side: Tiene como objetivo explotar la vulnerabilidad en el lado del cliente, aprovechándose de las debilidades de uno de los eslabones mas débil en la cadena de la seguridad de la información, como lo es “El usuario Final”
  48. 48. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES:La explotación de vulnerabilidades, no necesariamenteesta ligada a la programación y ejecución de códigosdel tipo “Exploit. Ingeniería Social Claves débiles Configuraciones por defecto
  49. 49. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES:¿Y que pasa cuando el sistema ha sido comprometido?• Mantener el Acceso “Muchos Exploit Luego de ejecutados, causanalgún tipo de negación de servicios al analista.• Línea de Visión de otros Objetivos: Una vez comprometido unsistema, se busca comprometer otros que estén al alcance.• Aumentar el Nivel de Privilegios, Una vez comprometido el sistema,el analista de seguridad buscara aumentar privilegios en el sistemaobjetivo.• Elimina Rastros, Dependiendo del análisis pactado entre una analistay un cliente, se procede a la eliminación de los rastros de la intrusión.• Técnicas de Ocultamiento: dado que muchas herramientas puedenmonitorear determinados procesos, se hace necesario para en analistaocultarse en otro proceso menos ruidoso.
  50. 50. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.EXPLOTACION DE VULNERABILIDADES “TOOLS”: Algunas de las herramientas importantes en esta fase son las siguientes: http://www.metasploit.com/ http://www.coresecurity.com/content/c http://www.immunitysec.com/products- ore-impact-overview canvas.shtml
  51. 51. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.5. PRESENTACION DE NFORMES:“Es la quinta fase, y en la que se ve reflejado elanálisis del evaluador de seguridad, aquí se plasmantodos los hallazgos, las no conformidades, lasopciones para mejorar, y las conclusiones yrecomendaciones. Un buen reporte, un buen análisis “Un informe que no sea Diversidad en reportes (Técnicos, entendidos por la Dirección o Ejecutivos) Gerencia de una organización, No generar Alarmas¡¡¡¡¡¡¡ hace que se pierde todo el Impactos de Afectación esfuerzo y trabajo realzado en las etapas anteriores
  52. 52. Hacking Ético “VS” Defensa en ProfundidadHacking Ético –Fases de Análisis de Seguridad.MEJORAMIENTO CONTINUO: • Tomar decisiones • Evaluaciones posteriores (Auditorias) • Orientación hacia el cumplimiento • Toma de consciencia • Cultura de seguridad de la información.
  53. 53. Hacking Ético “VS” Defensa en ProfundidadDefensa en Profundidad –DefiniciónDefensa en profundidad: Es llevar el proceso de la seguridad dela información de forma segmentada, teniendo varias líneas dedefensa. Fuente: http://blogs.eset-la.com
  54. 54. Hacking Ético “VS” Defensa en ProfundidadDefensa en Profundidad –DefiniciónArsenal Informático *DEFENSA* al Alcance de Todos: Así como existeun arsenal de ataque, también hay proyectos y documentaciónrelacionada con la defensa en profundidad de la información.
  55. 55. Hacking Ético “VS” Defensa en ProfundidadDefensa en Profundidad – 3 (PPP)Modelo de las 3 P orientadas a la seguridad: Aun teniendo al alcancetodos estos proyectos de seguridad de alta calidad y exitosos, faltacomplementarlos con dos factores importante, que sumandos al Softwarey a los Appliance de seguridad, nos complementa de forma integral laseguridad de la información. Estos son Procesos y Personas PPP Productos Procesos Personas
  56. 56. Hacking Ético “VS” Defensa en Profundidad Defensa en ProfundidadEjemplo de aplicación de un entorno seguridad de la informacióncorporativa (Ejemplo con Software Libre)“ El Gerente de la empresa XYZ, le ha indicado al encargado del área deinformática, implementar soluciones de seguridad, y que la solución seaefectiva y de fácil gestión”. Entre algunas de las condiciones técnicaspara solución debe de estar: Control de servicios de Internet (Pornografía, Warez, Etc) Sistema de Filtrado de Paquetes (Firewall) Envió seguro de correo electrónico confidencial Sistema NAS para replicación del servidor FILESYSTEM Interconexión de sedes con VPN Tolerancia fallos enlaces VPN (Internet) Segmentar servidor Web (DMZ)
  57. 57. Hacking Ético “VS” Defensa en Profundidad Defensa en Profundidad NAS- Servidor Archivos DMZ ServidorSTORAGE Web UTM- INTERNET-VPN UTM- Appliance Appliance Rsync Sede Central Sede remota
  58. 58. Hacking Ético “VS” Defensa en Profundidad Defensa en Profundidad • Planear • Hacer Plan de Implementar seguridad, Firewall, UTM, Análisis de NAS, VPN, Etc. Riesgos Actualización Mejoramiento Parches, Continuo de la Antivirus, reglas Seguridad de FW, Firmas IDS, Pen-test • Actuar • Verificar
  59. 59. Hacking Ético “VS” Defensa en ProfundidadConclusiones: El Software Libre permite Implementar, mantener y mejorar lossistemas de seguridad de la información, a un costo bajo y a unaalta calidad. La seguridad de la información se logra mediante CULTURA,EDUCACION , CONCIENTIZACION. El Software libre, permite a los profesionales de la seguridad,poder aprender de forma representativa la configuración yaplicación de sistemas de seguridad en entorno de “noproducción”.
  60. 60. Hacking Ético “VS” Defensa en Profundidad --Conclusiones:--Defensa Ataque http://1337db.com/ VS
  61. 61. GRACIAS

×