• Home

  • Documents

  • Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas...
14
Webinar Gratuito Desarrollar un Plan de Hacking Ético Alonso Eduardo Caballero Quezada Consultor e Instructor en Hacking Ético y Forense Digital e-mail: [email protected] Octubre 2018

Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

  • Upload
    others

  • View
    2

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Webinar GratuitoDesarrollar un Plan de

Hacking Ético

Alonso Eduardo Caballero Quezada

Consultor e Instructor en Hacking Ético y Forense Digital

e-mail: [email protected]

Octubre 2018

Page 2: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Sobre MILE-SEC

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

MILESEC E.I.R.L, es una empresa de capitales Peruanos fundada en el año 2017, la cual está netamente dedicada a brindar servicios de capacitación, relacionados con las áreas de seguridad de la información y tecnologías de la información, tales como; Pruebas de Penetracion (Penetration Testing), Hacking Ético (Ethical Hacking), Evaluación de Vulnerabilidades (Vulnerability Assessment), Forense de Computadoras (Computer Forensics) y Forense Digital (Digital Forensics). Brinda servicios de consultorías especializadas en todas las áreas mencionadas.

http://www.mile­sec.com/

informes@mile­sec.com / [email protected]

https://www.facebook.com/mileseceirl/

https://twitter.com/mileseceirl

https://www.linkedin.com/in/milesec/

http://www.mile-sec.com/
mailto:[email protected]
mailto:[email protected]
https://www.facebook.com/mileseceirl/
https://twitter.com/mileseceirl
https://www.linkedin.com/in/milesec/
Page 3: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Temario

● Establecer los Objetivos● Determinar cuales Sistemas Evaluar● Crear Estándares de Prueba● Tiempo● Ejecutar Pruebas Específicas● Evaluaciones con Conocimiento versus Ocultas● Exponer la Localización● Responder a las Vulnerabilidades Encontradas● Hacer Suposiciones Incorrectas● Seleccionar las Herramientas para la Evaluación de Seguridad

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 4: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Establecer los Objetivos

● ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad?

● ¿Cuales objetivos de la empresa se cumplen para realizar un Hacking Ético?

● ¿Cómo estas pruebas mejoran la seguridad, TI y la empresa como un todo?

● ¿Cual información se requiere proteger?

● ¿Cuanto dinero, tiempo y esfuerzo se invertirá en las evaluaciones de seguridad?

● ¿Cuales entregables existirán?

● ¿Cuales resultados específicos se requieren?Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 5: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Determinar cuales Sistemas Evaluar

● ¿Cuales son los sistemas más críticos?● ¿Cuales sistemas parecen ser más vulnerables a ataques?● ¿Cuales sistemas caen algunas veces?● ¿Cuales sistemas no están documentados?

● Routers y switches● Firewalls● Puntos de acceso inalámbrico● Aplicaciones web ● Servidor de Aplicaciones y bases de datos● Servidores de correo y archivos● Dispositivos móviles● Sistemas de control de acceso, y cámaras de seguridad física● Sistemas operativos de estaciones de trabajo y servidores

● Si la computadora o aplicación reside en la red o la nube● Cuales sistemas operativos y aplicaciones los sistemas ejecutan

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 6: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Crear Estándares de Prueba

Un error en la comunicación puede generar un bloqueo o caída de los sistemas durante las pruebas de Hacking Ético. Nadie quiere esto suceda. Para prevenir contratiempos, se debe desarrollar y documentar estándares para las pruebas. Estas deben cumplir lo siguiente:

● Cuando se realizarán las pruebas, junto con la cronología general

● Cuales pruebas se realizarán

● Cuanto conocimiento sobre los sistemas se adquiere por anticipado

● Como serán realizadas las pruebas y desde cuales direcciones IP

● Que se hará cuando se descubra una gran vulnerabilidad

Esta es una lista general de mejores prácticas; se pueden aplicar más estándares para la situación.

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 7: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Tiempo

Todo está en el tiempo. Esto es especialmente cierto cuando se realizan pruebas de seguridad. Se debe asegurar las pruebas realizadas minimicen las interrupción en los procesos de la empresa, sistemas de información, y personas. 

Se desea evitar situaciones dañinas como una inadecuada comunicación con el calendario de pruebas, y causar una ataque de negación de servicio (DoS) contra un sitio de comercio electrónico de alto tráfico, a mitad del día, o realizar pruebas para romper contraseñas a la media noche. Es sorprendente lo que una diferencia horaria de 12 horas (2 pm durante mayor producción versus 2 am durante un periodo más lento), puede hacer cuando se pruebas los sistemas. Incluso tener personas en diferentes zonas horarias puede crear inconvenientes. Tener un acuerdo entre todos los miembros del equipo, pone a todos en la misma ruta y establece las expectativas correctas.

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 8: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Ejecutar Pruebas Específicas

Se podría haber asignado realizar una prueba de penetración general o realizar pruebas específicas, como romper contraseñas o intentar ganar acceso hacia las aplicaciones web. O podrían realizarse pruebas de ingeniería social, o evaluar Windows en una red. Cualquiera sean las pruebas, se podría no desear revelar las especificaciones de las pruebas. Incluso cuando el gerente o el cliente no requiera registros detallados de las pruebas, documentar todo lo hecho al mas alto nivel. Documentar las pruebas puede ayudar a eliminar cualquier inadecuada comunicación potencial, y mantenerse alejado de problemas. O podría también ser necesaria como evidencia, en caso de descubrir algo inadecuado.

Habilitar el registro de sucesos en los sistemas desde donde se realizan las evaluaciones, además de las herramientas utilizadas, pueden proporcionar evidencia de cuando y cual prueba se realiza. Puede parecer una exageración, pero se puede utilizar software para grabar las acciones realizadas.

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 9: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Evaluaciones con Conocimiento versus Ciegas

Tener algún conocimiento de los sistemas en evaluación es generalmente la mejor perspectiva, pero no es un requerimiento. Tener un conocimiento básico de los sistemas a evaluar puede proteger a todos los implicados. Obtener este conocimiento no debería ser difícil si se están evaluando sistemas propios. Si se está evaluando sistemas de clientes, se deberá profundizar más en como funcionan estos sistemas, de tal manera se esté familiarizado con estos. Hacer eso siempre es una práctica común, pero existen clientes quienes solicitan una evaluación completamente ciega, porque muchas personas le temen. Esto no significa las evaluaciones ciegas no sean valiosas, pero el tipo de evaluación el cual se realice depende de necesidades específicas.

La mejor perspectiva es planear ataques sin límites, en donde cualquier prueba se realice, posiblemente incluyendo también pruebas de DoS. Los atacantes maliciosos no están realizando sus acciones dentro de un alcance limitado, entonces; ¿Porque debería hacerlo?.

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 10: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Exponer la Localización

Las pruebas a realizar determinan desde donde se están ejecutando. El objetivo es probar los sistemas desde ubicaciones factibles de ser accedidas por atacantes maliciosos o internos. Se puede predecir si se será atacado por alguien interno o externo a la red, de tal mancera se abarquen todas las bases posible. Se deben combinar pruebas externas (Internet publico) y pruebas internas (LAN privadas).

Se pueden realizar algunas pruebas, como romper contraseñas y evaluaciones a la infraestructura de la red desde una oficina. Para pruebas externas se requiere conectividad de red, se podría tener la necesidad de salir del sitio (una buena excusa para trabajar desde la casa), utilizar un servidor proxy externo, o simplemente utilizar una Wi­Fi. Algunos proveedores de escaners de seguridad pueden incluso ser ejecutados desde la nube, lo cual también funciona bien. Mejor aún, si se puede asignar una dirección IP pública disponible en la computadora, simplemente se debe conectarla hacia la red, en la parte exterior del firewall, para obtener la perspectiva del “Hacker”.

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 11: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Responder a las Vulnerabilidades Encontradas

Determinar con anticipación si se detendrá o continuará cuando se encuentre una falla de seguridad crítica. No es necesario seguir probando continuamente. Únicamente seguir la ruta en la cual se está hasta alcanzar los objetivos. En caso haya duda, la mejor es tener un objetivo específico en mente, y luego detenerse cuando se haya alcanzado el objetivo.

Si no se tienen objetivos; ¿Cómo se conocerá cuando se llega al destino de las pruebas de seguridad?

Si se descubre una gran falla, se sugiere contactarse con las personas adecuadas tan pronto sea posible, de tal manera se solucione el problema de inmediato. Las personas adecuadas pueden ser desarrolladores de software, gerentes de productos o proyectos, o inclusos CIOs. Si se espera algunos días o semanas, alguien podría explotar la vulnerabilidad y causar daño, el cual podría haber sido evitado.

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 12: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Hacer Suposiciones Incorrectas

Se debe tener cuidado con asumir cosas incorrectas. Aún así se hacen suposiciones cuando se prueban los sistemas. Algunos ejemplos de estas suposiciones son:

● Todas las computadoras, redes, aplicaciones, y personas están disponibles cuando se realizan las pruebas

● Se tienen todas las herramientas de prueba adecuadas● Las herramientas de prueba a utilizar minimizan las probabilidades de 

hacer caer los sistemas en evaluación● Se debe comprender las probabilidades de vulnerabilidades existentes no 

sean encontradas, o se hayan utilizado incorrectamente las herramientas de prueba.

● Conocer los riesgos de las pruebas.

Documentar todas las suposiciones. 

Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 13: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Seleccionar las Herramientas para la Evaluación de Seguridad

Cuales herramientas de seguridad se necesitan, depende de las pruebas a ejecutar. Se pueden realizar algunos pruebas de Hacking Ético de manera sencilla, pero pruebas completas e integrales, es más fácil de realizar con herramientas específicas y adecuadas.

Las herramientas e inclusos sus sitios web podrían ser marcados por ciertos programas antimalware y filtrado de sitios web, pero no deberían serlos. Las herramientas más populares son legítimas, muchas de las cuales pueden ser configuradas en el sistema, y ser ejecutadas de manera confiable. Se debe tener en consideración comprobar las herramientas con sus sumas de verificación (checksum), ya sea MD5 o SHA­1. Recordar también, un atacante malicioso puede inyectar código malicioso en las herramientas, por lo tanto no existe una garantía absoluta de seguridad.

* CheckSum Tool: http://checksumtool.sourceforge.net/Webinar -:- MILESEC EIRL -:- Sitio Web: www.mile-sec.com -:- e-mail: capacitacion@mile-sec-com

Page 14: Webinar Gratuito Desarrollar un Plan de Hacking Ético · Establecer los Objetivos ¿Cuales pruebas apoyan la misión de la empresa y sus departamentos de TI y seguridad? ¿Cuales

Webinar GratuitoDesarrollar un Plan de

Hacking Ético

Alonso Eduardo Caballero Quezada

Consultor e Instructor en Hacking Ético y Forense Digital

e-mail: [email protected]

Octubre 2018


PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE ... · dirección y control, los cuales apoyan a la administración de toda la organización. Chiavenato (1994) señala "según la

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR SEDE ... · dirección y control, los cuales apoyan a la administración de toda la organización. Chiavenato (1994) señala "según la

Documents
Dilema Ético

Dilema Ético

Documents
Alumnos de MVZ apoyan Exposición Ganadera

Alumnos de MVZ apoyan Exposición Ganadera

Documents
REVISTA 13 6.p… · quien el ácido 2.3 -dimercapto- 1 -propanosulfónico (DMPS), se han acumulado distintas evidencias experi- mentales, las cuales apoyan la hipótesis de que el

REVISTA 13 6.p… · quien el ácido 2.3 -dimercapto- 1 -propanosulfónico (DMPS), se han acumulado distintas evidencias experi- mentales, las cuales apoyan la hipótesis de que el

Documents
Análisis de casos nacionales sobre gobernabilidad y ......percepción de la delincuencia es una de las razones por las cuales casi la mitad (46%) de los latinoame-ricanos/as apoyan

Análisis de casos nacionales sobre gobernabilidad y ......percepción de la delincuencia es una de las razones por las cuales casi la mitad (46%) de los latinoame-ricanos/as apoyan

Documents
“contribuir, desde su compromiso ético, con apoyos y · nuestras acciones. El compromiso ético, plasmado en el Código Ético de Plena InclusiónCódigo Ético de Plena Inclusión

“contribuir, desde su compromiso ético, con apoyos y · nuestras acciones. El compromiso ético, plasmado en el Código Ético de Plena InclusiónCódigo Ético de Plena Inclusión

Documents
CÓDIGO ÉTICO

CÓDIGO ÉTICO

Documents
Pacto ético

Pacto ético

Documents
Estrategias Docentes Que Apoyan La Diversificación

Estrategias Docentes Que Apoyan La Diversificación

Documents
Programa Ético

Programa Ético

Documents
COMERCIO ÉTICO

COMERCIO ÉTICO

Documents
Compromiso ético

Compromiso ético

Documents
Webinar Gratuito Hacking Ético - ReYDeS · 2019-03-07 · Hacking Ético, Pruebas de Penetración, etc. Existen diversos términos o denominaciones, los cuales se utilizan de manera

Webinar Gratuito Hacking Ético - ReYDeS · 2019-03-07 · Hacking Ético, Pruebas de Penetración, etc. Existen diversos términos o denominaciones, los cuales se utilizan de manera

Documents
en diversas publicaciones, entre las cuales destaca ... · sentido ético, estético, filosófico y que como consecuencia tengamos el desarrollo integral del alumno de bachillerato

en diversas publicaciones, entre las cuales destaca ... · sentido ético, estético, filosófico y que como consecuencia tengamos el desarrollo integral del alumno de bachillerato

Documents
CRISTIANOS APOYAN VIEQUES

CRISTIANOS APOYAN VIEQUES

Documents
Consumo ético

Consumo ético

Education
Entidades que apoyan la niñez

Entidades que apoyan la niñez

Education
éTico expo

éTico expo

Documents
Organismos Apoyan a Las Pymes

Organismos Apoyan a Las Pymes

Documents
ENTORNOS QUE APOYAN EL Revista COMPORTAMIENTO …

ENTORNOS QUE APOYAN EL Revista COMPORTAMIENTO …

Documents
Utilitarismo ético

Utilitarismo ético

Documents
CONTENIDO ÉTICO

CONTENIDO ÉTICO

Documents
Modelos Gerenciales que Apoyan la Calidad

Modelos Gerenciales que Apoyan la Calidad

Documents
INSTITUCIÓN EDUCATIVA FEDERICO SIERRA ARANGO€¦ · ecuación química. En este taller se desarrolla el primero. Para iniciar, se muestran las leyes en las cuales se apoyan los

INSTITUCIÓN EDUCATIVA FEDERICO SIERRA ARANGO€¦ · ecuación química. En este taller se desarrolla el primero. Para iniciar, se muestran las leyes en las cuales se apoyan los

Documents
CÓDIGO ÉTICO: VALORES Y PRINCIPIOS ÉTICO CORPORATIVOS

CÓDIGO ÉTICO: VALORES Y PRINCIPIOS ÉTICO CORPORATIVOS

Documents
HACKING ÉTICO

HACKING ÉTICO

Documents
aprendizaje ético

aprendizaje ético

Documents
Dominicanos apoyan Tanda Extendida

Dominicanos apoyan Tanda Extendida

Documents
Apoyan - High Logistics

Apoyan - High Logistics

Documents
APOYAN DIÁLOGO CON EL SME

APOYAN DIÁLOGO CON EL SME

Documents