1. Héctor López
Fundador de la OMHE, Miembro de IAPP, ISACA, ACFE,
OPSEC, ACM, Antiphishing Working Group, ISSA
hl@omhe.org
2. Disclaimer
• La presentación se brinda con fines de
aprendizaje para desarrollar la cultura en
seguridad informática y ayudar a prevenir los
delitos informáticos en el País.
• La OMHE no se hace responsable del mal
uso que se los asistentes puedan darle a la
información.
3. Definir Riesgo
Informático
• Riesgo es la capacidad de que una vulnerabilidad
informática pueda ser explotada con éxito y esto
cause pérdida, robo ó alteración de los activos de la
empresa u organización.
• Riesgo es la probabilidad de que un incidente
ocurra y esto pueda transformarse en un ataque al
hardware , software ó humanware.
4. Activos a proteger
Servidores Email
Computadoras escritorio Integridad de información
Laptops y PDAs Todos los archivos en el
Switches y Routers servidor
Application software Información del cliente
Development Tools Nodos de red
Source Code
DHCP
VPN Access
Disponibilidad del sitio web
Reputación
Backup Tapes
Moral de los empleados
5. Antecedentes
• Economía del hacking - El que sea más difícil de
hackear se salva.
Analogía: Si te encuentras un oso en el bosque no
necesitas correr más fuerte que el oso, solo correr
más que tus compañeros.
• Stuxnet: Malware dirigido a atacar sistemas
industriales, PLC, SCADA. Ej: Plantas de energía
nuclear, sistemas de luz eléctrica.
• La economía actual se basa más en un sistema
númerico que en una moneda física.
• Aplicaciones Bancarias 10 Millones lineas de código
según Web Application Security Consurtum
6. Activos a proteger
Attempts to Ataque Desastre Natural Sabotaje
access private Malicioso
information Amenaza Error de
Fraude Delitos Usuario
LAN Y WAN
Pérdida de activos Publicación de información sensible Reportes alterados
Daños Potenciales
Pérdida de la Operación crítica Falla al cumplir con la calidad Servicio
confidencialidad detenida. de servicio del contrato Interrumpido
7. Un ataque siempre necesita
de una víctima.
Los ataques se dan por
diferentes motivos
generalmente buscando un
beneficio económico.
8. Las empresas guardan su información
en ambientes mixtos lo cual facilita al
atacante la posibilidad de abusar de
múltiples vulnerabilidades en:
1.- IP’s
2.- Servicios: HTTP, DNS, DHCP, FTP.
3.- Bases de datos.
4.- Sistemas Operativos.
5.- Hardware.
9. Para ganar acceso a un sistema ya
sea este local ó remoto el proceso
existe en encontrar un EXPLOIT ó
desarrollarlo para explotar una
vulnerabilidad en un servicio ó
software existente.
10. Una vez que se obtiene un acceso
lo que necesitamos es mantenerlo
y escalar los privilegios en caso de
no tener permisos de r00t.
Podemos desactivar las defensas
de la víctima con el fin de penetrar
con más poder: AV’s, Firewalls,
IDS, IPS, verificadores de integridad
de archivos, etc...
11. Al realizar un ataque con éxito debemos de borrar
los logs en caso de que nuestro objetivo sea realizar
un ataque invisible.
Cuando se realiza un
sabotaje muchas Algunas veces el
veces solo les objetivo de los
bastará con destruir atacantes es utilizar
toda la información nuestros recursos para
del servidor. una botnet controlada
por IRC ó la instalación
de malware.
14. Manejo de riesgos:
Leyes, Regulaciones, Requerimientos,
Metas y Objetivos
Políticas de la
Organización
Políticas funcionales
Procedimientos Estandares Lineamientos Reglamento
20. • Quién es más culpable? El que crea el arma, el que la usa ó
el que la vende ? Es difícil llegar a una conclusión.
• Las herramientas de hacking pueden ser consideradas
como armas literalmente.
• Las herramientas de seguridad informática necesitan ser
reguladas de la manera correcta.
• Debemos de prohibir los recursos a este tipo de personas
que no tienen conciencia sobre el daño que pueden causar.
• LEYES: Hacking Law 202c implementada en Alemania.
25. Conclusiones
• La seguridad NO es un producto - Es un PROCESO
e involucra personas.
• Hay que ser preventivos en lugar de ser correctivos
• Liberar nuestras mentes e impulsar el Software Libre
es la única solución en México para salir de la
esclavitud.
RIP - Steve Jobs :(