View
263
Download
0
Category
Preview:
Citation preview
ETHICAL HACKINGOpen Source Tools
“La invencibilidad está enUno mismo, la vulnerabilidaden el adversario”
Tsun-TsuEl arte de la guerra
JUAN OLIVA
A que me dedico ?Consultor especializado en Ethical Hacking y Voz sobre IP.
Certificaciones- EC Council Certified | Ethical Hacker™ (C|EH)- Mile2 Certified ) Penetration Testing Engineer™ (CPTE)- Open-Sec Ethical Hacker (OSEH)- Digium Certified Asterisk Administrator (dCAA)- Elastix Certified Engineer (ECE)- Elastix Security Master (ESM)- Linux Professional Institute Certified (LPIC-1)- Novell Certified Linux Administrator (CLA)
Contenido
- Comprender el proceso de un Ethical Hacking
- Aprender que herramientas se utilizan en cada proceso
- Identificar los principales vectores de vulnerabilidades en la actualidad
Que es es un Hacking Ético ?y todo lo que esta a su alrededor
Hacking Ético
Conceptos Básicos
Objeto de evaluación
Un sistema de información/infraestructura que requiere
una evaluación de seguridad.
Ataque
Un ataque es la acción o el intento violación a la seguridad
Hacking Ético
Conceptos Básicos
Exploit
Se define como una brecha en la seguridad de un sistema de
información a través de una vulnerabilidad.
Un 0 day
Es una vulnerabilidad de una aplicación o programa que no
es conocida o pública y que sí es de conocimiento
solo por los programadores.
Hacking Ético
Elementos de la seguridad de la información
Confidencialidad, tiene que ver con la ocultación de información o recursos.
Autenticidad, Identificación y garantía del origen de la información
Integridad, se refiere a los cambios no autorizados en los datos
Disponibilidad , Posibilidad de hacer uso de la información cuando se desee
Quién es el Hacker ??
Hacking Ético
Quién es el Hacker ?
Un experto (mas menos) en varias o alguna rama técnica relacionada
con las tecnologías de la información.
Su intención puede ser simplemente adquirir conocimientos o para
echar un vistazo a los errores de los demás.
Para algunas personas el hacking puede ser un hobbie para poder
ver cuantas computadoras o sistemas pueden comprometer.
Hacking Ético
Quién es el Hacker ?
Tipos de Hacker
Black Hack
White Hack
Gray Hack
Qué es y como se realiza un ??
Hacking Ético
Qué es y como se realiza ??
Es un proyecto donde se realiza un análisis de seguridad solicitada
por una empresa para evaluar la seguridad de sus plataformas.
La evaluación se realiza en un ambiente controlado y bajo la supervisión
de la empresa solicitante.
Lo realiza un especialista denominado “ethical Hacker” el cual
utiliza diversas técnicas para desarrollar ataques e intentar vulnerar
los sistemas de información.
Hacking Ético
Clasificación de acuerdo al objetivo
Redes remotas , ejecución de ataques desde internet
Redes locales , ataques desde dentro de la empresa
Redes Wifi , ataques a nivel criptográfico sobre redes inalámbricas
Dispositivos Móviles , ataques hacia smartphones
Ingeniería Social, Pruebas donde se comprueba la sensibilidad
de los empleados con respecto a la información de la empresa
Hacking Ético
Clasificación de acuerdo al ambito
Black-Box
No se cuenta con conocimiento de la infraestructura
White-Box
Con un conocimiento completo de la infraestructura
Gray-Box
Conocimiento intermedio de la infraestructura
Hacking Ético
Clasificación de acuerdo al ambito
Black-Box
No se cuenta con conocimiento de la infraestructura
White-Box
Con un conocimiento completo de la infraestructura
Gray-Box
Conocimiento intermedio de la infraestructura
Etapas de un Ethical Hacking ??
Etapas del Ethical Hacking
Etapas delEthical Hacking
Footprint o reconocimiento
Pasivo, previo a cualquier ataque
Solo recopila la información del objetivo
Scannig y enumeracion
Activo, es una fase del pre-ataque
Se escanea la red pero con la información del reconocimiento
Etapas delEthical Hacking
Análisis de vulnerabilidades
Activo , detección de las vulnerabilidades y puntos de entrada
Obtención de acceso, escalamiento de privilegios
Activo, se refiere al ataque propiamente dicho
Por ejemplo hacer uso de un exploit o ingresar mediante un bug
simple o complejo.
Como aplicamos
Herramientas de software libre en cada Etapa
de un proyecto de Ethical Hacking
Footprint
- dig- traceroute- whois- google- Shodan
Ethical Hackingy Sofware Libre
Escaneo y Enumeración
- nmap- telnet- netcat- google- Shodan
Ethical Hackingy Sofware Libre
Análisis de vulnerabilidades y penetración
- Nessus- Openvas- Hydra, medusa- metasploit- Sqlmap- Webscarab- Zap proxy- Burp suite
Ethical Hackingy Sofware Libre
DISCLAIMERTodas los métodos y técnicas mostradas por el expositor
Son Mostrados solo para efectos educativos, cualquier uso Indebido De las mismas, queda excluido de la responsabilidad
del expositor.
ATAQUES
Hora de jugar un poco !!!!
Distribuciones y aplicaciones especializadas
- Kali Linux (Backtrack)
Aplicaciones para practicar- DVWA- Metasploitable- Badstore
Ethical Hackingy Sofware Libre
Herramientas de Protección
Links de Interes
- Blog Metasploit : https://community.rapid7.com/community/metasploit/blog
- Owasp Perú : https://www.owasp.org/index.php?title=Peru&setlang=es
- Hack Players: http://www.hackplayers.com/
- Exploit DB: http://www.exploit-db.com/
- Packet Strom : http://packetstormsecurity.com/
- Midmaps : http://www.amanhardikar.com/mindmaps/Practice.html
- Twitter ( https://twitter.com ) usando hashtag #hacking
Gracias !!!
Juan OlivaConsultor en Ethical Hacking y VoIPjoliva@silcom.com.pe
gtalk :jroliva@gmail.comTwiter : @jrolivaBlog : http://jroliva.wordpress.com/
Recommended