ethical hacking · 2 marcelo elizeche landó (@melizeche) consultor en seguridad informática sith...
TRANSCRIPT
2
Marcelo elizeche landó(@melizeche)
● Consultor en Seguridad Informática● Sith Lord en Loop Inc.● Developer● Experiencia en el Sector Público
(Conatel, CSIRT-PY)● Activista FLOSS● Miembro MMSL
6
“Si piensas que la tecnología puede solucionar tus problemas de seguridad, entonces no entiendes los problemas y no entiendes la tecnología”
- Bruce Schneier
10
“Un hacker es alguien que descubre las debilidades de una computadora o de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado de computadoras y de redes informáticas” (Wikipedia)
13
Perfil del hacker ético● Conocimientos avanzados
– Software
– Hardware y electrónica
– Redes y Comunicaciones
– Programación
– Investigación de vulnerabilidades
● Técnicas de seguridad● Habilidades sociales
16
Clasificación de ataques
● Por ubicación– Externos
– Internos
● Por naturaleza– Técnico
– No Técnico
● Por actividad– Activos
– Pasivos
18
● Black Hat
Motivos personales, financieros, contratados por otras empresas para espionaje corporativo o inclusive sabotaje
● White Hat
Profesionales contratados por las mismas empresas para probar sus sistemas, simular lo que un Black Hat podría hacer
19
Ejemplos de Tipos de ataques
● Denegación de servicio (DoS)● Ejecución remota de código● Inyección SQL
23
Anatomía de un ataque
● Cracker– Reconocimiento– Escaneo – Acceso– Mantener el Acceso– Limpiar rastros
24
● Reconocimiento o recolección de información– Actividad de la empresa
– Composición accionaria
– Socios, directores, Gerentes de TI, Administradores de red
– Empresas afiliadas
– Quienes trabajan
– Emails
25
● Mapeado de Red y Escaneo– Servidores
– Cuantas computadoras existen
– Como están conectadas
– Escaneo de servicios / puertos
26
Búsqueda de vulnerabilidades
Una vulnerabilidad deriva de un error de programación generalmente involuntario
Cuando es descubierta por algún investigador el fabricante es notificado para que pueda aplicar una corrección e informa a todos los usuarios para que apliquen la solución
El problema está cuando el administrador no aplica la corrección
27
● Busqueda de vulnerabilidades– Servidores
– Cuantas computadoras existen
– Como están conectadas
– Escaneo de servicios / puertos
28
Anatomía de un ataque
● Ethical Hacker– Reconocimiento– Escaneo – Acceso– Documentación– Presentación del informe
30
● Discutir con el cliente necesidades y expectativas
● Preparar y firmar un acuerdo de confidencialidad (NDA)
● Preparar equipo y establecer agenda● Realizar el Pentest● Analizar el resultado y elaborar los reportes● Presentar el resultado al cliente
31
INFORME● Características
– Confidencial
– Impreso y digital
● Contenido– Información General
– Resumen ejecutivo
– Índice de riesgos
– Detalle de las pruebas realizadas
– Resultados obtenidos
– Recomendaciones
– Detalle de las herramientas utilizadas
– Clasificación de problemas según el riesgo
32
consideraciones● Las evaluaciones deben incluirse en toda la
organización● La ingeniería social es un punto clave● Las simulaciones deben ser lo más
parecidas a ataques reales● El Ethical es un profesional que se rige por
el código de ética● El informe final es de suma importancia