Anubis<br />Herramienta para automatizar los procesos de footprinting y fingerprinting durante las auditorías de seguridad...
Índice <br />El estado de la informática en la actualidad<br />Auditorías de seguridad<br />Demo<br />Conclusiones y traba...
Índice <br />El estado de la informática en la actualidad<br />Auditorías de seguridad<br />Demo<br />Conclusiones y traba...
El Estado de la informática en la actualidad<br />Estudio DigiWorld<br />Analiza los beneficios producidos en el mercado e...
¿Estos beneficios están seguros?<br />NO.<br />Los beneficios producidos por las empresas del sector de las TIC están cons...
Cualquiera puede recibir un ataque…<br />6<br />
¿Quién puede ayudar a proteger los beneficios?<br />Las empresas especializadas en seguridad.<br />Estas empresas generaro...
Soluciones<br />Auditorías de seguridad anuales.<br />Seguimiento de guías de buenas prácticas OWASP y OSSTMM<br />Certifi...
Los 10 mandamientos de la seguridad<br />Cuidaras la seguridad del sistema operativo<br />Aplicaras regularmente las actua...
Índice <br />El estado de la informática en la actualidad<br />Auditorías de seguridad<br />Demo<br />Conclusiones y traba...
Tipos de auditoría<br />Auditoría de aplicaciones web<br />Auditoría Interna:<br />Auditoría de caja negra<br />Auditoría ...
Auditoría de aplicaciones web<br />Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulner...
Auditoría interna<br />13<br />
Test de intrusión<br />Auditoría de Caja Negra en la que solo interesa «obtener un premio»<br />Se realiza para comprobar ...
Análisis forense<br />Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa<b...
Aplicación de la LOPD<br />La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditorí...
En este proyecto nos centramos en:<br />Test de intrusión <br />Auditoría de caja negra<br />17<br />
Fases de un test de intrusión y de una auditoría de caja negra<br />Fases:<br />Obtención de información.<br />Enumeración...
Búsqueda de información<br />Footprinting<br />Dominios y subdominios<br />Zonas de administración ocultas en un sitio web...
Anubis<br />C#+.Net<br />Interface gráfica<br />Distribución de herramientas en pestañas<br />Funcionamiento:<br />Herrami...
Telnet<br />Google Hacking<br />Zone Transfer<br />Scanwith Google<br />Fuzzing DNS<br />Scan IP withBing<br />Scan IP aga...
Scan IP against DNS<br />Google Sets<br />Google Sets<br />Scan IP with Bing<br />Nmap<br />Scan IP with Bing<br />Final A...
Demo<br />23<br />
Índice <br />El estado de la informática en la actualidad<br />Auditorías de seguridad<br />Demo<br />Conclusiones y traba...
Conclusiones<br />Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001<br />Cola...
Trabajos futuros<br />Convertir Anubis de herramienta de escritorio a servicio web<br />Ampliar su importancia en auditori...
Actual: uso en auditoría de caja negra y test de intrusión<br />27<br />
Futuro: uso en auditoría de caja negra, test de intrusión y caja blanca<br />28<br />
Continuará…<br />29<br />
Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que n...
¡gracias!<br />¿PREGuNTAS?<br />31<br />
Upcoming SlideShare
Loading in …5
×

Presentación de anubis

2,678 views

Published on

Presentación oficial del proyecto Anubis desarrollado por Juan Antonio Calles Garcia para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,678
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
87
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Presentación de anubis

  1. 1. Anubis<br />Herramienta para automatizar los procesos de footprinting y fingerprinting durante las auditorías de seguridad informática<br />Autor: juan antonio calles garcía<br />Dirige: javiergarzás parra<br />
  2. 2. Índice <br />El estado de la informática en la actualidad<br />Auditorías de seguridad<br />Demo<br />Conclusiones y trabajos futuros<br />2<br />
  3. 3. Índice <br />El estado de la informática en la actualidad<br />Auditorías de seguridad<br />Demo<br />Conclusiones y trabajos futuros<br />3<br />
  4. 4. El Estado de la informática en la actualidad<br />Estudio DigiWorld<br />Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa <br />En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. <br />Subida frente a 2008 de casi un 6%<br />4<br />
  5. 5. ¿Estos beneficios están seguros?<br />NO.<br />Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben.<br />5<br />
  6. 6. Cualquiera puede recibir un ataque…<br />6<br />
  7. 7. ¿Quién puede ayudar a proteger los beneficios?<br />Las empresas especializadas en seguridad.<br />Estas empresas generaron solo en España 640.000.000€ en 2008 <br />7<br />
  8. 8. Soluciones<br />Auditorías de seguridad anuales.<br />Seguimiento de guías de buenas prácticas OWASP y OSSTMM<br />Certificación ISO/IEC 27001 (SGSI)<br />Concienciación de los miembros de la organización.<br />Seguir los 10 mandamientos de la seguridad informática.<br />8<br />
  9. 9. Los 10 mandamientos de la seguridad<br />Cuidaras la seguridad del sistema operativo<br />Aplicaras regularmente las actualizaciones de seguridad<br />Emplearas chequeadores de integridad, antivirus y antispyware<br />Encriptarás la información sensible<br />Usarás sólo modos seguros de acceder al e-mail<br />Utilizarás únicamente navegadores seguros para acceder a la web<br />No abrirás enlaces ni archivos sospechosos<br />Ingresarás datos críticos, sólo en sitios seguros<br />Si debes correr riesgos, usarás sandboxing<br />Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad<br />9<br />
  10. 10. Índice <br />El estado de la informática en la actualidad<br />Auditorías de seguridad<br />Demo<br />Conclusiones y trabajos futuros<br />10<br />
  11. 11. Tipos de auditoría<br />Auditoría de aplicaciones web<br />Auditoría Interna:<br />Auditoría de caja negra<br />Auditoría de caja gris<br />Auditoría de caja blanca<br />Test de intrusión<br />Análisis forense<br />Aplicación de la LOPD(con matices)<br />11<br />
  12. 12. Auditoría de aplicaciones web<br />Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes:<br />sqlinjection (PHP+MySQL, JAVA,C#+SQL Server). <br />ldapinjection. <br />xpathinjection. <br />cssp (connectionstringparameterpollution). <br />local file inclusión. <br />remote file inclusion (PHP). <br />pathdisclosure. <br />pathtraversal<br />12<br />
  13. 13. Auditoría interna<br />13<br />
  14. 14. Test de intrusión<br />Auditoría de Caja Negra en la que solo interesa «obtener un premio»<br />Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa.<br />14<br />
  15. 15. Análisis forense<br />Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa<br />Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía<br />Copia de seguridad. <br />Forense sin alterar pruebas. <br />Prueba en caso de juicio.<br />15<br />
  16. 16. Aplicación de la LOPD<br />La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización<br />16<br />
  17. 17. En este proyecto nos centramos en:<br />Test de intrusión <br />Auditoría de caja negra<br />17<br />
  18. 18. Fases de un test de intrusión y de una auditoría de caja negra<br />Fases:<br />Obtención de información.<br />Enumeración.<br />Footpringting.<br />Fingerprinting.<br />Análisis de datos.<br />Identificación de arquitectura.<br />Identificación de servicios.<br />Identificación de vulnerabilidades.<br />Explotación.<br />Expedientes de seguridad.<br />Exploits.<br />MetaExploit.<br />Documentación final de un test<br />Informe técnico.<br />Informe ejecutivo.<br />18<br />
  19. 19. Búsqueda de información<br />Footprinting<br />Dominios y subdominios<br />Zonas de administración ocultas en un sitio web<br />Cuentas de usuario y de correo<br />Ficheros con contraseñas<br />Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc.<br />Fingerprinting<br />Sistema operativo de los servidores y máquinas<br />19<br />
  20. 20. Anubis<br />C#+.Net<br />Interface gráfica<br />Distribución de herramientas en pestañas<br />Funcionamiento:<br />Herramientas:<br />20<br />
  21. 21. Telnet<br />Google Hacking<br />Zone Transfer<br />Scanwith Google<br />Fuzzing DNS<br />Scan IP withBing<br />Scan IP against DNS<br />404 attack<br />Fuzzing HTTP<br />Nmap<br />Whois<br />Tracert<br />21<br />
  22. 22. Scan IP against DNS<br />Google Sets<br />Google Sets<br />Scan IP with Bing<br />Nmap<br />Scan IP with Bing<br />Final Audit Report<br />22<br />
  23. 23. Demo<br />23<br />
  24. 24. Índice <br />El estado de la informática en la actualidad<br />Auditorías de seguridad<br />Demo<br />Conclusiones y trabajos futuros<br />24<br />
  25. 25. Conclusiones<br />Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001<br />Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad<br />Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión<br />Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos<br />25<br />
  26. 26. Trabajos futuros<br />Convertir Anubis de herramienta de escritorio a servicio web<br />Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades<br />SQL Injection<br />XSS<br />etc.<br />Ampliar las Auditorías cubiertas a caja blanca:<br />26<br />
  27. 27. Actual: uso en auditoría de caja negra y test de intrusión<br />27<br />
  28. 28. Futuro: uso en auditoría de caja negra, test de intrusión y caja blanca<br />28<br />
  29. 29. Continuará…<br />29<br />
  30. 30. Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. <br />30<br />
  31. 31. ¡gracias!<br />¿PREGuNTAS?<br />31<br />

×