• No se han encontrado resultados

Administración y Seguridad de Sistemas 2016 Ethical Hacking

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Administración y Seguridad de Sistemas 2016 Ethical Hacking"

Copied!
30
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 30 página )

Texto completo

(1)

Administración y Seguridad de

Sistemas 2016

Carina Indarte

Juan Ignacio Larrambebere Guillermo Leopold

Agustín Romano

(2)

Introducción Footprinting Doxing

Áreas de testeo y tipos de test Beneficios

Aspectos legales Cursos

Conclusiones

(3)

Introducción

Contexto

Transacciones vía internet

Información como activo de empresas Necesidad de “estar” en Internet

(4)

¿

Qué es el Ethical Hacking?

Casi cualquier dispositivo puede ser víctima de ataques Necesidad de conocer si estos sistemas y sus redes están protegidos

Objetivo: explotar vulnerabilidades de los sistemas de interés Verificacion y evaluacion de la seguridad fisica y logica

Simulación de posibles escenarios de ataque: “Para atrapar a

un intruso, primero debes pensar como el”

Se usan servicios de Ethical Hacking para garantizar la seguridad informática

(5)

¿

Quiénes son los Ethical Hackers?

Es un experto en computadoras y redes de datos

Su función es atacar los sistemas de seguridad por encargo de sus dueños

Posee autorización para realizar su trabajo

Debe ser de confianza, accede a información delicada Imitan a los hackers malintencionados

Conocidos como “hackers de sombrero blanco”

(6)

¿

Por qué hacer Ethical Hacking?

Necesario para obtener y mantener los estándares BS 7799 e ISO27001

Recomendado para instituciones que manejan tarjetas de pago o contacto gubernamental

Regularizado en muchas instituciones, especialmente financieras Necesario para detectar nivel de seguridad interno y externo de los SI en una organización

Los aspectos más vulnerables en una organización son: sitios web, redes inalámbricas y el personal.

(7)

Rules of Engagement

Son reglas que delimitan el alcance de los tests a realizar Pueden referirse a los siguientes parámetros:

Tiempo Fondos Restricciones legales Limitaciones impuestas Análisis de riesgos

Introducción

(8)

Footprinting

Footprinting

¿Qué es? Objetivos Obtener información: Información pública Enumeración de redes Reconocimiento de redes

(9)

¿

Qué es el Footprinting?

Es el primer paso del Ethical Hacking, y hace

referencia al proceso de reunir toda la información posible acerca de un objetivo. Para poder encontrar

varios caminos alternos y poder realizar una intrusión exitosa.

(10)

Objetivos

Recolectar información de una red en concreto:

Nombre de dominio

Direcciones IP, tablas de ruteo, etc

Recolectar información del sistema:

Nombres de usuarios y grupos

Sistema operativo, versión, parches, etc

Recolectar información de la organización:

Detalles de los empleados WebSite de la organización

(11)

Obtener información pública

Se utilizan herramientas como ping, whois lookup, nslookup y dig para obtener datos como tiempo de respuesta, nombre de dominio, consultas DNS

Buen primer paso: Recolectar información de la Web de la víctima

Muchas veces un hacker obtiene información de los comentarios del código html

A veces se obtiene información de otras empresas relacionadas que tienen menor nivel de seguridad

(12)

Enumeración de redes

Localizar el rango de red

Encontrar el rango de direcciones IP Determinar máscara de subred

Se utilizan herramientas como Traceroute, Tracert (Windows) para determinar una ruta hacia el destino Otra herramienta útil - Path Analizer PRO

(13)

Reconocimiento de redes

Detectar hosts, dirección IP, puertos abiertos Detectar protocolos TCP/UDP activos

Detectar vulnerabilidades conocidas: Versión del SO, Parches, etc. Es útil porque hay exploits

conocidos para determinadas versiones.

(14)

Pasivo

Interferir paquetes entrantes/salientes y analizarlos

Menos riesgo de ser detectado

Más difícil obtener la información deseada

Activo

Interacción directa con la red objetivo Más riesgo de ser detectado Más fácil obtener la información deseada

Reconocimiento de redes

Footprinting

(15)

Doxing

¿Qué es?

Técnicas:

Google

Redes sociales

Búsqueda inversa por número de celular Búsquedas “WhoIs”

Legalidad

(16)

Evaluaciones de vulnerabilidades

Se evalúa la posición de una red para cualquier vulnerabilidad

Se documentan las vulnerabilidades encontradas pero no son explotadas

No existe una única herramienta para detectar todas las vulnerabilidades, algunas son: ISS Internet Scanner, Nessus, etc.

(17)

Red Teaming

Se testea el diseño de la seguridad de una red o sistema y no la implementación

Existen tres equipos: Rojo, Azul y Blanco Áreas a testear:

1. Seguridad de la información 2. Ingeniería social

3. Seguridad de la tecnología de Internet 4. Seguridad de las comunicaciones

5. Seguridad de las redes inalámbricas 6. Seguridad física

(18)
(19)

Pruebas de sistema

Se realizan sobre un sistema físico en particular: router, firewall, switch, servidor, etc.

Dos segmentos: Footprinting Explotación

(20)

Pruebas de Intrusión:

Black Box White Box Gray-box

External Penetration Test Internal Security

Social Engineering Perimeter Testing

(21)

Metodologías para la realización de ethical hacking

Reconocimiento:

Activo Pasivo

Escaneo o exploración de la información:

Exploración de puertos

Análisis de vulnerabilidades

Test:

Se realiza un intento real de acceder a objetos destino

(22)

Estándares

OSSTMM

Es un estándar de referencia imprescindible para llevar a cabo un testeo de seguridad de forma

ordenada ISSAF

Constituye un framework respecto a prácticas y conceptos de tareas a realizar

OTP (OWASP Testing Project)

(23)

Extensiones pruebas de penetración en Google Chrome

Web Developer Firebug Lite d3coder

Orientada a pruebas de codificación (Base64,rot13, MD5, SHA1)

Proxy SwitchySharp

Ayuda a la gestión cuando se cuenta con múltiples servidores proxy

(24)

Beneficios del Ethical Hacking

Proporciona conocimiento sobre el grado de vulnerabilidad de los sistemas de información

Descubre fallas de seguridad

Determina sistemas en peligro por desactualización

Identifica configuraciones erróneas en switches, routers, firewalls, etc.

Reduce los riesgos que significan pérdidas de capital

Se ahorra tiempo y dinero al corregir errores antes que sean explotados

(25)

Aspectos legales

Antes de poder realizar los tests se debe realizar un acuerdo entre el hacker y la empresa, el cual se

compone de dos elementos:

Convenio de confidencialidad Carta de autorización

(26)

Riesgos para la empresa

Método confiable pero depende de ciertos elementos: Buena planificación

Definición correcta de las RoE

Confiabilidad de hackers contratados

(27)

Riesgos para el Ethical Hacker

No existe un código universal ético

Toma de decisiones sin permisos explícitos de personas u organizaciones

Poco conocimiento sobre el tema Errores inocentes

(28)

Cursos disponibles

Más conocido: Brindado por “International Council of

E-Commerce Consultants”

Uruguay: Curso pago dictado por la UNIT, llamado

“Introducción al Ethical Hacking”, dirigido a

egresados del diploma Especialista en Seguridad de la Información UNIT-ISO/IEC 27000 y profesionales del área de informática

(29)

Conclusiones

Importancia de la seguridad informática

Ethical Hacking: simular cómo vulnerar la seguridad de una organización

Ethical Hacker: experto en informática.

Importancia de la disciplina reflejada en definición de estándares ISO.

Vulnerabilidad proveniente de aspectos comunes: sitios webs, redes inalámbricas y personal.

(30)

Conclusiones

Diversidad en los tipos de tests, según distintos factores. Importancia de ROE para diseño de tests de Ethical

Hacking

Definición de frameworks y estándares para realización de pruebas

Necesidad de contratos bien definidos.

Mercado en aumento por aumento de demanda. Existencia de extensiones de bajo coste.

Técnicas conocidas para recabar información como son footprinting y doxing

Referencias

Descargar ahora ( PDF - 30 página - 135.26 KB )

Documento similar

Relación de bienes y actividades de los miembros de la corporación: 2015-2019

Luis Miguel Utrera Navarrete ha presentado la relación de Bienes y Actividades siguientes para la legislatura de 2015-2019, según constan inscritos en el

Reconocimiento e inspección de balsas salvavidas instaladas en buques y embarcaciones, y de sus estaciones de mantenimiento

Asegurarse de que toda estación de servicio acreditadas por ellos para llevar a cabo el servicio y la reparación de sus balsas salvavidas cuenta con personal competente

Optimización de Sistemas de Producción: Esquemas de Optimización en dos fases

Después de una descripción muy rápida de la optimización así como los problemas en los sistemas de fabricación, se presenta la integración de dos herramientas existentes

De pandemias, sentimientos y poesía de los cuidados About pandemics, feelings and poetry of care

Muchas ernfermeras han experimentado momentos muy parecidos de gran intensidad emocional y la poesía de los cuidados y la sociopoética (expresión colectiva de sentimientos

Los procesos de estabilización en la Administración local*

La Ley 20/2021 señala con carácter imperativo los procesos de selección. Para los procesos de estabilización del art. 2 opta directamente por el concurso-oposición y por determinar

Fundamentos En Seguridad Y Auditoría - SI

El alumno aprenderá conceptos básicos de seguridad y la aplicación de esos conceptos en la operación y administración diaria de sistemas informáticos empresariales y la información

LOS EN LOS Y LAS DE

La vida real, no obstante, proporciona la certidumbre de que, en multitud de ocasiones, el interés de cada uno se satisface con el concurso propio y de otro u otros portadores

EN UNA (*) LOS

En virtud de esta política, que fue conocida como la apertura, numerosos y destacados po- líticos exiliados por el régimen pudieron regresar al país; la prensa disfrutó de una