Ethical Hacking

Introduccion Proceso de Ethical Hacking Estandares y certificaciones Beneficios del Ethical Hacking Referencias

Ethical Hacking

Axel Rodrıguez EspinozaNicolas Oyarzun Hernandez

Pedro Salas Vergara

Diciembre 2013

Axel Rodrıguez Espinoza Nicolas Oyarzun Hernandez Pedro Salas Vergara — Ethical Hacking 1/48


IndiceContenido de la presentacion

1 Introduccion

2 Proceso de Ethical Hacking

3 Estandares y certificaciones

4 Beneficios del Ethical Hacking

5 Referencias




1 Introduccion




5 Referencias




1 Introduccion¿Que es el Ethical Hacking?¿Por que etico?La necesidad de Ethical HackingEl Hacker Etico



Introduccion¿Que es el Ethical Hacking?

Hacking aplicado a resguardar la seguridad de sistemas. Seexplotan las vulnerabilidades existentes en un sistemamediante test de intrusion, que verifican y evaluan la seguridadfısica y logica de estos sistemas (de informacion, redes,aplicaciones web, DB, entre otros).Simular posibles escenarios donde se reproducen ataques demanera controlada.



Introduccion¿Que es el Ethical Hacking?

Para atrapar a un intruso, primero debes pensarcomo intruso.

- EthicalHacking







Introduccion¿Por que etico?

En la practica de hacking se tienen dos puntos de vista:

White Hat: Hacker que practica el hacking etico

Black Hat: Hacker que practica hacking para vulnerarsistemas y obtener, borrar, modificar -entre otros-informacion sin autorizacion

Actuar en el marco de lo etico.



Introduccion¿Por que etico?

Ethical hacking es una metodologıa utilizada parasimular un ataque malicioso sin causar dano.

- E-council - CEH v5.0







IntroduccionLa necesidad de Ethical Hacking

Las organizaciones requieren de Ethical Hacking, con el fin de:

1 Realizar un analisis de los sistemas humanos einformaticos

2 Evidenciar vulnerabilidades del sistema

3 Prevenir ataques de hackers malintencionados

4 Resguardar informacion sencible o crıtica

5 Otros...







IntroduccionEl Hacker Etico

Existen un conjunto de elementos que hacen del hacker eticoapto para realizar dicha labor. Algunos de estos son:

Inteligencia

Conocimientos

Deduccion y analisis

Razonamiento

Otros...

Y obviamente etico



IntroduccionEl Hacker Etico

Necesitamos gente tecnica, necesitamos gente quemire todo el escenario, necesitamos gente conhabilidades sociales, necesitamos gente sinhabilidades sociales, pero con mucha logica.

- Clement Dupuis




1 Introduccion




5 Referencias




2 Proceso de Ethical HackingSituacion contractualTest de penetracionFases del Ethical HackingRecopilacion de informacionExploracion de los sistemasExtraccion de informacionElaboracion de informesPosibles errores al realizar Ethical Hacking



Proceso de Ethical HackingSituacion contractual

Se definen contratos de confidencialidad, donde se autorizaal hacker etico a acceder a la plataforma segun losrequerimientos de la organizacion.Es necesario ademas una buena coordinacion y evaluacion delos procesos que se llevan a cabo.







Proceso de Ethical HackingTest de penetracion

Evaluar vulnerabilidades a traves de la identificacion dedebilidades provocadas por una mala configuracion de lasaplicaciones.

Analizar y categorizar las debilidades explotables, encuanto a la posibilidad de que la amenaza se convierta enrealidad.

Proveer recomendaciones en base a las prioridades dela organizacion para mitigar y eliminar las vulnerabilidadesy ası reducir el riesgo de ocurrencia de un eventodesfavorable.




Tipos de Ethical HackingLas pruebas de penetracion se enfocan segun las siguientesperspectivas:

Pruebas de penetracion con objetivo

Pruebas de penetracion sin objetivo

Pruebas de penetracion a ciegas

Pruebas de penetracion informadas

Pruebas de penetracion externas

Pruebas de penetracion internas




En cuanto al conocimiento del personal informatico de laorganizacion, se puede clasificar como:

Red Teaming: Prueba encubierta, solo un grupo selectotiene conocimiento del servicio. Uso de herramientas deIngenierıa Social”.

Blue Teaming: El personal de la organizacion conoce delas pruebas que se relizaran.







Proceso de Ethical HackingFases del Ethical Hacking

La realizacion de las pruebas de penetracion esta basada en lassiguientes fases:

Figura : Fases del Ethical Hacking







Proceso de Ethical HackingRecopilacion de informacion

Tecnicas usuales que se utilizan para la recoleccion de datosantes de la emulacion de un ataque.

¿Que datos?

La recoleccion de datos acerca del objetivo o de alguncomponente relacionado a este o a parte de el.




Para esto se plantean preguntas como:

¿Que sabemos de nuestro objetivo?

¿Donde estan sus redes, sitios o por donde fluye suinformacion (Redes sociales, web corporativas, etc.)?

¿Quienes son los integrantes de la organizacion?

¿Se puede tener acceso a ex – empleados de la empresa,informacion relevante?

entre otras...




Obtencion de datos a traves de plataformas o tecnicas.Recopilar informacion extraida de diferentes medios:

Consultas a bases de datos (en la web o internas)

Buscadores (google hacking)

Correos electronicos

Ingenierıa social

Ingenierıa inversa

Buscando en la basura

entre otros...







Proceso de Ethical HackingExploracion de los sistemas

Uso de la informacion recopilada para realizar pruebas alsistema (herramientas de penetracion, entre otras) para teneracceso a lugares privados, identificando donde es correctorealizar el ataque.

Backdoors o puertas traseras

Binarios troyanizados: reemplazo de archivos

Sniffers: capturadores de logins o de paquetes

Escaneo (puertos abiertos, descuidos administrtivos, etc)

SQL Inyection

Analisis de cookies

Fuerza bruta

Exploits







Proceso de Ethical HackingExtraccion de informacion

Se obtiene informacion de la intrusion al sistema de laorganizacion. Esta se clasifica y relaciona segun lo pedido.







Proceso de Ethical HackingElaboracion de informes

Se elaboran dos tipos de informes:

Tecnico

Ejecutivo

En este se detallan los procedimientos realizados, lasvulnerabilidades y soluciones que permitan resistir ataques.Luego se hace entrega del informe a las entidadescorrespondientes.







Proceso de Ethical HackingPosibles errores al realizar Ethical Hacking

Vulnerabilidades comunes:

Ligadas a las aplicaciones web. Principalmente, aquellasque nacen debido a una deficiente programacion,implementacion, administracion del(los) servidor(es), etc.

Directorios o archivos ocultos (dentro de la empresa o enla web).

Cookies



Proceso de Ethical HackingPosibles errores al realizar Ethical Hacking

Errores Comunes de aspirantes a profesionales deseguridad:

Abordar el trabajo con escaso conocimiento tecnico, conpoca logica o sin creatividad.

Abordar el trabajo sin previa definicion de la metodologıapor emplear ni el alcance por etapa.

Abordar parte del trabajo antes de pautar la autorizacion.

Redactar informes con procedimientos de seguridadinutiles.

Focalizar sobre un solo aspecto de la seguridad.




1 Introduccion




5 Referencias




3 Estandares y certificacionesOWASPOSSTMMOTROS



Estandares y certificacionesOWASP

OWASPEs un proyecto de la comunidad Open Source para eldesarrollo de herramientas de software y documentacion deayuda para el desarrollo de aplicaciones web seguras.

Proyecto abierto de seguridad de aplicaciones Web

Fundacion OWASP

Proyectos de documentacion

Guıa OWASPOWASP Top 10

Proyectos de desarrollo

WebScarabWebGoat







Estandares y certificacionesOSSTMM

OSSTMM

Manual abierto de metodologıas para la comprobacion deseguridad.

Mapa de seguridad

Seguridad fısicaSeguridad en las comunicacionesSeguridad inalambricaSeguridad en las tecnologıas de InternetSeguridad del resguardo de informacionSeguridad de los procesos



Estandares y certificacionesOSSTMM

Figura : Modelo de mapa de seguridad







Estandares y certificacionesOTROS

PCI (Industria de Tarjetas de Pago)

ISACA (Asociacion de Auditorıa y Control de Sistemas deInformacion)

CREST (Consejo de Auditores de Seguridad RegistradosEticos)




1 Introduccion




5 Referencias



Beneficios del Ethical Hacking

Principales Beneficios

Vulnerabilidad en los sistemas

Configuracion de las aplicaciones instaladas

Falta de actualizaciones

Disminucion de tiempo y esfuerzo

Imagen publica




1 Introduccion




5 Referencias



Referencias

http://www.seguridad.unam.mx, Web de seguridadinformatica, Universidad Nacional de Mexico (UNAM)

Hacking Etico, Carlos Tori , 1ra. Edicion.



Gracias por su atencion

Axel Rodrıguez EspinozaNicolas Oyarzun Hernandez

Pedro Salas VergaraPresentacion compuesta con LATEX a partir de una plantilla de www.godtic.com


Documents

Ethical Hacking