Upload
utem-cl
View
6
Download
0
Embed Size (px)
Citation preview
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Ethical Hacking
Axel Rodrıguez EspinozaNicolas Oyarzun Hernandez
Pedro Salas Vergara
Diciembre 2013
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 1/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion
2 Proceso de Ethical Hacking
3 Estandares y certificaciones
4 Beneficios del Ethical Hacking
5 Referencias
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 2/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion
2 Proceso de Ethical Hacking
3 Estandares y certificaciones
4 Beneficios del Ethical Hacking
5 Referencias
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 3/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion¿Que es el Ethical Hacking?¿Por que etico?La necesidad de Ethical HackingEl Hacker Etico
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 4/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Introduccion¿Que es el Ethical Hacking?
Hacking aplicado a resguardar la seguridad de sistemas. Seexplotan las vulnerabilidades existentes en un sistemamediante test de intrusion, que verifican y evaluan la seguridadfısica y logica de estos sistemas (de informacion, redes,aplicaciones web, DB, entre otros).Simular posibles escenarios donde se reproducen ataques demanera controlada.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 5/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Introduccion¿Que es el Ethical Hacking?
Para atrapar a un intruso, primero debes pensarcomo intruso.
- EthicalHacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 6/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion¿Que es el Ethical Hacking?¿Por que etico?La necesidad de Ethical HackingEl Hacker Etico
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 7/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Introduccion¿Por que etico?
En la practica de hacking se tienen dos puntos de vista:
White Hat: Hacker que practica el hacking etico
Black Hat: Hacker que practica hacking para vulnerarsistemas y obtener, borrar, modificar -entre otros-informacion sin autorizacion
Actuar en el marco de lo etico.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 8/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Introduccion¿Por que etico?
Ethical hacking es una metodologıa utilizada parasimular un ataque malicioso sin causar dano.
- E-council - CEH v5.0
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 9/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion¿Que es el Ethical Hacking?¿Por que etico?La necesidad de Ethical HackingEl Hacker Etico
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 10/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IntroduccionLa necesidad de Ethical Hacking
Las organizaciones requieren de Ethical Hacking, con el fin de:
1 Realizar un analisis de los sistemas humanos einformaticos
2 Evidenciar vulnerabilidades del sistema
3 Prevenir ataques de hackers malintencionados
4 Resguardar informacion sencible o crıtica
5 Otros...
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 11/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion¿Que es el Ethical Hacking?¿Por que etico?La necesidad de Ethical HackingEl Hacker Etico
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 12/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IntroduccionEl Hacker Etico
Existen un conjunto de elementos que hacen del hacker eticoapto para realizar dicha labor. Algunos de estos son:
Inteligencia
Conocimientos
Deduccion y analisis
Razonamiento
Otros...
Y obviamente etico
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 13/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IntroduccionEl Hacker Etico
Necesitamos gente tecnica, necesitamos gente quemire todo el escenario, necesitamos gente conhabilidades sociales, necesitamos gente sinhabilidades sociales, pero con mucha logica.
- Clement Dupuis
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 14/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion
2 Proceso de Ethical Hacking
3 Estandares y certificaciones
4 Beneficios del Ethical Hacking
5 Referencias
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 15/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 16/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingSituacion contractual
Se definen contratos de confidencialidad, donde se autorizaal hacker etico a acceder a la plataforma segun losrequerimientos de la organizacion.Es necesario ademas una buena coordinacion y evaluacion delos procesos que se llevan a cabo.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 17/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 18/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingTest de penetracion
Evaluar vulnerabilidades a traves de la identificacion dedebilidades provocadas por una mala configuracion de lasaplicaciones.
Analizar y categorizar las debilidades explotables, encuanto a la posibilidad de que la amenaza se convierta enrealidad.
Proveer recomendaciones en base a las prioridades dela organizacion para mitigar y eliminar las vulnerabilidadesy ası reducir el riesgo de ocurrencia de un eventodesfavorable.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 19/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingTest de penetracion
Tipos de Ethical HackingLas pruebas de penetracion se enfocan segun las siguientesperspectivas:
Pruebas de penetracion con objetivo
Pruebas de penetracion sin objetivo
Pruebas de penetracion a ciegas
Pruebas de penetracion informadas
Pruebas de penetracion externas
Pruebas de penetracion internas
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 20/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingTest de penetracion
En cuanto al conocimiento del personal informatico de laorganizacion, se puede clasificar como:
Red Teaming: Prueba encubierta, solo un grupo selectotiene conocimiento del servicio. Uso de herramientas deIngenierıa Social”.
Blue Teaming: El personal de la organizacion conoce delas pruebas que se relizaran.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 21/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 22/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingFases del Ethical Hacking
La realizacion de las pruebas de penetracion esta basada en lassiguientes fases:
Figura : Fases del Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 23/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 24/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingRecopilacion de informacion
Tecnicas usuales que se utilizan para la recoleccion de datosantes de la emulacion de un ataque.
¿Que datos?
La recoleccion de datos acerca del objetivo o de alguncomponente relacionado a este o a parte de el.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 25/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingRecopilacion de informacion
Para esto se plantean preguntas como:
¿Que sabemos de nuestro objetivo?
¿Donde estan sus redes, sitios o por donde fluye suinformacion (Redes sociales, web corporativas, etc.)?
¿Quienes son los integrantes de la organizacion?
¿Se puede tener acceso a ex – empleados de la empresa,informacion relevante?
entre otras...
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 26/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingRecopilacion de informacion
Obtencion de datos a traves de plataformas o tecnicas.Recopilar informacion extraida de diferentes medios:
Consultas a bases de datos (en la web o internas)
Buscadores (google hacking)
Correos electronicos
Ingenierıa social
Ingenierıa inversa
Buscando en la basura
entre otros...
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 27/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 28/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingExploracion de los sistemas
Uso de la informacion recopilada para realizar pruebas alsistema (herramientas de penetracion, entre otras) para teneracceso a lugares privados, identificando donde es correctorealizar el ataque.
Backdoors o puertas traseras
Binarios troyanizados: reemplazo de archivos
Sniffers: capturadores de logins o de paquetes
Escaneo (puertos abiertos, descuidos administrtivos, etc)
SQL Inyection
Analisis de cookies
Fuerza bruta
Exploits
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 29/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 30/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingExtraccion de informacion
Se obtiene informacion de la intrusion al sistema de laorganizacion. Esta se clasifica y relaciona segun lo pedido.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 31/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 32/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingElaboracion de informes
Se elaboran dos tipos de informes:
Tecnico
Ejecutivo
En este se detallan los procedimientos realizados, lasvulnerabilidades y soluciones que permitan resistir ataques.Luego se hace entrega del informe a las entidadescorrespondientes.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 33/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 34/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingPosibles errores al realizar Ethical Hacking
Vulnerabilidades comunes:
Ligadas a las aplicaciones web. Principalmente, aquellasque nacen debido a una deficiente programacion,implementacion, administracion del(los) servidor(es), etc.
Directorios o archivos ocultos (dentro de la empresa o enla web).
Cookies
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 35/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Proceso de Ethical HackingPosibles errores al realizar Ethical Hacking
Errores Comunes de aspirantes a profesionales deseguridad:
Abordar el trabajo con escaso conocimiento tecnico, conpoca logica o sin creatividad.
Abordar el trabajo sin previa definicion de la metodologıapor emplear ni el alcance por etapa.
Abordar parte del trabajo antes de pautar la autorizacion.
Redactar informes con procedimientos de seguridadinutiles.
Focalizar sobre un solo aspecto de la seguridad.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 36/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion
2 Proceso de Ethical Hacking
3 Estandares y certificaciones
4 Beneficios del Ethical Hacking
5 Referencias
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 37/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
3 Estandares y certificacionesOWASPOSSTMMOTROS
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 38/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Estandares y certificacionesOWASP
OWASPEs un proyecto de la comunidad Open Source para eldesarrollo de herramientas de software y documentacion deayuda para el desarrollo de aplicaciones web seguras.
Proyecto abierto de seguridad de aplicaciones Web
Fundacion OWASP
Proyectos de documentacion
Guıa OWASPOWASP Top 10
Proyectos de desarrollo
WebScarabWebGoat
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 39/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
3 Estandares y certificacionesOWASPOSSTMMOTROS
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 40/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Estandares y certificacionesOSSTMM
OSSTMM
Manual abierto de metodologıas para la comprobacion deseguridad.
Mapa de seguridad
Seguridad fısicaSeguridad en las comunicacionesSeguridad inalambricaSeguridad en las tecnologıas de InternetSeguridad del resguardo de informacionSeguridad de los procesos
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 41/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Estandares y certificacionesOSSTMM
Figura : Modelo de mapa de seguridad
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 42/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
3 Estandares y certificacionesOWASPOSSTMMOTROS
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 43/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Estandares y certificacionesOTROS
PCI (Industria de Tarjetas de Pago)
ISACA (Asociacion de Auditorıa y Control de Sistemas deInformacion)
CREST (Consejo de Auditores de Seguridad RegistradosEticos)
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 44/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion
2 Proceso de Ethical Hacking
3 Estandares y certificaciones
4 Beneficios del Ethical Hacking
5 Referencias
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 45/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Beneficios del Ethical Hacking
Principales Beneficios
Vulnerabilidad en los sistemas
Configuracion de las aplicaciones instaladas
Falta de actualizaciones
Disminucion de tiempo y esfuerzo
Imagen publica
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 46/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
IndiceContenido de la presentacion
1 Introduccion
2 Proceso de Ethical Hacking
3 Estandares y certificaciones
4 Beneficios del Ethical Hacking
5 Referencias
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 47/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Referencias
http://www.seguridad.unam.mx, Web de seguridadinformatica, Universidad Nacional de Mexico (UNAM)
Hacking Etico, Carlos Tori , 1ra. Edicion.
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 48/48
Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias
Gracias por su atencion
Axel Rodrıguez EspinozaNicolas Oyarzun Hernandez
Pedro Salas VergaraPresentacion compuesta con LATEX a partir de una plantilla de www.godtic.com
Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 49/48