motivación para hackear y ciberseguridad

@AEFOL #Expoelearning @AEFOL #Expoelearning

(IN)SECURIDAD DOS SISTEMAS DE INFORMACIÓN

Paulo de Mendonça DiasAuditor de defesa nacionalNATO SecretoEU SecretoMaestro en Carnegie Mellon University

2 y 3 de marzo 2017

Feria de Madrid

@AEFOL #Expoelearning

The Internet: where men are

women, women are

men, and children

are FBI agents


MOTIVACIÓN

El mercado del ciber crime es mayor do que el de marihuana, cocaína y heroína juntos

(113+374) mil millones USD

88% de los Europeos afectados en 2015


EXAGERO?

Conferencia de prensa

Estrategia de Seguridad Cibernética de Estados Unidos:

“the chances are that someone somewhere is attacking you …and you don’t even know it”


PRESIDENT OBAMA AT INTERNATIONAL STRATEGY FOR CYBER SPACE?"Cuando se siente amenazado,

los EE.UU. van a responder a ataques en el ciberespacio de la

misma manera que responderían a cualquier otro

tipo de ataque. Todos los estados tienen el derecho

inherente a la autodefensa ... "


Carta de la ONU el artículo 51

“Ninguna disposición de esta Carta menoscabará el derecho inmanente de legítima defensa, individual o colectiva, en caso de ataque armado contra un Miembro de las Naciones Unidas, hasta tanto que el Consejo de Seguridad haya tomado las medidas necesarias para mantener la paz y la seguridad internacionales.”


US Executive Order

“El presidente Obama emitió una orden ejecutiva el 1 de abril de 2015, declarando que "el aumento de la prevalencia y la gravedad de las actividades maliciosas cibernéticos habilitado ... constituyen una amenaza inusual y extraordinaria a la seguridad nacional, la política exterior y la economía de los Estados Unidos. Por la presente declaro una emergencia nacional para hacer frente a esta amenaza. "El Presidente incluye $ 14 mil millones de dólarespara el gasto en seguridad cibernética en su presupuesto de 2016.


» 24 millones de identidades robadas de Zappo

» OSX.Flashback troyano infecta a 600.000 Mac

» Cuentas de LinkedIn expuestas.» El procesamiento de pagos de la

empresa (incluyendo Visa y MasterCard) atacaron y los datos expuestos 1,5 millones de usuarios

» Los servidores DNS gestionados por el FBI después del ataque DNSChanger Trojan, sufren DoS

» Troyanos que roban información del gobierno japonés se descubre después de 2 años

» El malware para imágenes virtuales de Vmware®

» Los ladrones se aprovechan de la vulnerabilidad conocida fabricante de cerraduras para hacer asaltos a clientes de habitaciones

» En Mayo CA Comodo certificado legítimo a una sociedad ficticia. Descubierto en agosto

» Samsung versión Android ™ le permite borrar de forma remota el teléfono

» Reuters ataque resultó en la publicación de noticias falsas en el sitio web y Twitter


ANDROID

Miles de Aplicaciones para Android no validan correctamente los certificados SLL para establecer conexiones HTTPS

El uso de CERT Tapioca puede realizar ataques de “man-in-the-middle”


VULNERABILIDAD


COMPLEJIDAD

H. Brückner

8. Reconocimiento

7. DoS 6. Sitio web "defacement"

5. Infección dirigida

4. "Mischief" (travesura,Infortunio

3. Acceso largo plazo

2. Interconexión de aire

1. Sabotage

The only problem with troubleshooting is thatsometimes trouble shoots back.“


COMPLEJIDAD

"La seguridad es como el sexo ... un error y tienen que vivir con él hasta el final de

nuestros días"


GRADO DE DIFICULTAD


¿QUÉ PODEMOS HACER MÁS?

Diagnóstico: El primer paso es

identificar el problema. Analizar

las políticas, el marco

(arquitectura) utilizado y el nivel

de sensibilidad corporativa

Políticas: Diseñamos y ayudar a

implementar políticas corporativas.

Tiene que haber una visión clara de

quién está autorizado para hacer

qué, dónde y cómo


¿QUÉ PODEMOS HACER MÁS?

Ethical Hacking No se requieren

conocimientos de los equipos internos,

simular ataques a la estructura corporativa,

para detectar fallas, vulnerabilidades y

errores de procedimiento

Red Team Exercices Con los

equipos internos, simular

ataques y analizar las

respuestas en tiempo real


GRACIAS¿ALGUNA PREGUNTA?You can find me at

» pt.linkedin.com/in/paulodemendoncadias

» [email protected]

» +351 918 485 550

motivación para hackear y ciberseguridad

Technology