motivación para hackear y ciberseguridad
TRANSCRIPT
@AEFOL #Expoelearning @AEFOL #Expoelearning
(IN)SECURIDAD DOS SISTEMAS DE INFORMACIÓN
Paulo de Mendonça DiasAuditor de defesa nacionalNATO SecretoEU SecretoMaestro en Carnegie Mellon University
2 y 3 de marzo 2017
Feria de Madrid
@AEFOL #Expoelearning
The Internet: where men are
women, women are
men, and children
are FBI agents
@AEFOL #Expoelearning
MOTIVACIÓN
El mercado del ciber crime es mayor do que el de marihuana, cocaína y heroína juntos
(113+374) mil millones USD
88% de los Europeos afectados en 2015
@AEFOL #Expoelearning
EXAGERO?
Conferencia de prensa
Estrategia de Seguridad Cibernética de Estados Unidos:
“the chances are that someone somewhere is attacking you …and you don’t even know it”
@AEFOL #Expoelearning
PRESIDENT OBAMA AT INTERNATIONAL STRATEGY FOR CYBER SPACE?"Cuando se siente amenazado,
los EE.UU. van a responder a ataques en el ciberespacio de la
misma manera que responderían a cualquier otro
tipo de ataque. Todos los estados tienen el derecho
inherente a la autodefensa ... "
@AEFOL #Expoelearning
Carta de la ONU el artículo 51
“Ninguna disposición de esta Carta menoscabará el derecho inmanente de legítima defensa, individual o colectiva, en caso de ataque armado contra un Miembro de las Naciones Unidas, hasta tanto que el Consejo de Seguridad haya tomado las medidas necesarias para mantener la paz y la seguridad internacionales.”
@AEFOL #Expoelearning
US Executive Order
“El presidente Obama emitió una orden ejecutiva el 1 de abril de 2015, declarando que "el aumento de la prevalencia y la gravedad de las actividades maliciosas cibernéticos habilitado ... constituyen una amenaza inusual y extraordinaria a la seguridad nacional, la política exterior y la economía de los Estados Unidos. Por la presente declaro una emergencia nacional para hacer frente a esta amenaza. "El Presidente incluye $ 14 mil millones de dólarespara el gasto en seguridad cibernética en su presupuesto de 2016.
@AEFOL #Expoelearning @AEFOL #Expoelearning
» 24 millones de identidades robadas de Zappo
» OSX.Flashback troyano infecta a 600.000 Mac
» Cuentas de LinkedIn expuestas.» El procesamiento de pagos de la
empresa (incluyendo Visa y MasterCard) atacaron y los datos expuestos 1,5 millones de usuarios
» Los servidores DNS gestionados por el FBI después del ataque DNSChanger Trojan, sufren DoS
» Troyanos que roban información del gobierno japonés se descubre después de 2 años
» El malware para imágenes virtuales de Vmware®
» Los ladrones se aprovechan de la vulnerabilidad conocida fabricante de cerraduras para hacer asaltos a clientes de habitaciones
» En Mayo CA Comodo certificado legítimo a una sociedad ficticia. Descubierto en agosto
» Samsung versión Android ™ le permite borrar de forma remota el teléfono
» Reuters ataque resultó en la publicación de noticias falsas en el sitio web y Twitter
@AEFOL #Expoelearning
ANDROID
Miles de Aplicaciones para Android no validan correctamente los certificados SLL para establecer conexiones HTTPS
El uso de CERT Tapioca puede realizar ataques de “man-in-the-middle”
@AEFOL #Expoelearning
VULNERABILIDAD
@AEFOL #Expoelearning
VULNERABILIDAD
@AEFOL #Expoelearning
COMPLEJIDAD
H. Brückner
8. Reconocimiento
7. DoS 6. Sitio web "defacement"
5. Infección dirigida
4. "Mischief" (travesura,Infortunio
3. Acceso largo plazo
2. Interconexión de aire
1. Sabotage
The only problem with troubleshooting is thatsometimes trouble shoots back.“
@AEFOL #Expoelearning
COMPLEJIDAD
"La seguridad es como el sexo ... un error y tienen que vivir con él hasta el final de
nuestros días"
@AEFOL #Expoelearning
GRADO DE DIFICULTAD
@AEFOL #Expoelearning
@AEFOL #Expoelearning
@AEFOL #Expoelearning
¿QUÉ PODEMOS HACER MÁS?
Diagnóstico: El primer paso es
identificar el problema. Analizar
las políticas, el marco
(arquitectura) utilizado y el nivel
de sensibilidad corporativa
Políticas: Diseñamos y ayudar a
implementar políticas corporativas.
Tiene que haber una visión clara de
quién está autorizado para hacer
qué, dónde y cómo
@AEFOL #Expoelearning
¿QUÉ PODEMOS HACER MÁS?
Ethical Hacking No se requieren
conocimientos de los equipos internos,
simular ataques a la estructura corporativa,
para detectar fallas, vulnerabilidades y
errores de procedimiento
Red Team Exercices Con los
equipos internos, simular
ataques y analizar las
respuestas en tiempo real
@AEFOL #Expoelearning @AEFOL #Expoelearning
GRACIAS¿ALGUNA PREGUNTA?You can find me at
» pt.linkedin.com/in/paulodemendoncadias
» +351 918 485 550