SlideShare una empresa de Scribd logo

Presentación de anubis

Descargar como PPTX, PDF
Zink Security
Zink Security

Presentación oficial del proyecto Anubis desarrollado por Juan Antonio Calles Garcia para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática

Educación
1 de 31
Anubis Herramienta para automatizar los procesos de footprinting y fingerprinting durante las auditorías de seguridad informática Autor: juan antonio calles garcía Dirige: javiergarzás parra
Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 2
Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 3
El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6% 4
¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
Cualquiera puede recibir un ataque… 6
¿Quién puede ayudar a proteger los beneficios? Las empresas especializadas en seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008 7
Soluciones Auditorías de seguridad anuales. Seguimiento de guías de buenas prácticas OWASP y OSSTMM Certificación ISO/IEC 27001 (SGSI) Concienciación de los miembros de la organización. Seguir los 10 mandamientos de la seguridad informática. 8
Los 10 mandamientos de la seguridad Cuidaras la seguridad del sistema operativo Aplicaras regularmente las actualizaciones de seguridad Emplearas chequeadores de integridad, antivirus y antispyware Encriptarás la información sensible Usarás sólo modos seguros de acceder al e-mail Utilizarás únicamente navegadores seguros para acceder a la web No abrirás enlaces ni archivos sospechosos Ingresarás datos críticos, sólo en sitios seguros Si debes correr riesgos, usarás sandboxing Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 10
Tipos de auditoría Auditoría de aplicaciones web Auditoría Interna: Auditoría de caja negra Auditoría de caja gris Auditoría de caja blanca Test de intrusión Análisis forense Aplicación de la LOPD(con matices) 11
Auditoría de aplicaciones web Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes: sqlinjection (PHP+MySQL, JAVA,C#+SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remote file inclusion (PHP). pathdisclosure. pathtraversal 12
Auditoría interna 13
Test de intrusión Auditoría de Caja Negra en la que solo interesa «obtener un premio» Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
Análisis forense Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía Copia de seguridad. Forense sin alterar pruebas. Prueba en caso de juicio. 15
Aplicación de la LOPD La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
En este proyecto nos centramos en: Test de intrusión Auditoría de caja negra 17
Fases de un test de intrusión y de una auditoría de caja negra Fases: Obtención de información. Enumeración. Footpringting. Fingerprinting. Análisis de datos. Identificación de arquitectura. Identificación de servicios. Identificación de vulnerabilidades. Explotación. Expedientes de seguridad. Exploits. MetaExploit. Documentación final de un test Informe técnico. Informe ejecutivo. 18
Búsqueda de información Footprinting Dominios y subdominios Zonas de administración ocultas en un sitio web Cuentas de usuario y de correo Ficheros con contraseñas Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc. Fingerprinting Sistema operativo de los servidores y máquinas 19
Anubis C#+.Net Interface gráfica Distribución de herramientas en pestañas Funcionamiento: Herramientas: 20
Telnet Google Hacking Zone Transfer Scanwith Google Fuzzing DNS Scan IP withBing Scan IP against DNS 404 attack Fuzzing HTTP Nmap Whois Tracert 21
Scan IP against DNS Google Sets Google Sets Scan IP with Bing Nmap Scan IP with Bing Final Audit Report 22
Demo 23
Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 24
Conclusiones Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001 Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
Trabajos futuros Convertir Anubis de herramienta de escritorio a servicio web Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades SQL Injection XSS etc. Ampliar las Auditorías cubiertas a caja blanca: 26
Actual: uso en auditoría de caja negra y test de intrusión 27
Futuro: uso en auditoría de caja negra, test de intrusión y caja blanca 28
Continuará… 29
Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30
¡gracias! ¿PREGuNTAS? 31

Recomendados

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 
Anubis, dios egipcio.
Anubis, dios egipcio.Anubis, dios egipcio.
Anubis, dios egipcio.AleexCuevas
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
Estudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererEstudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererHenry Raúl González Brito
 

Recomendados

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 
Anubis, dios egipcio.
Anubis, dios egipcio.Anubis, dios egipcio.
Anubis, dios egipcio.AleexCuevas
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
Estudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererEstudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererHenry Raúl González Brito
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]RootedCON
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearningChristian Patricio Vaca Benalcázar
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxItconic
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11Alexander Velasque Rimac
 
Fintech - Leia
Fintech - LeiaFintech - Leia
Fintech - LeiaIsidro Emmanuel Aguilar López
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Pk iy certparajornada-v4
Pk iy certparajornada-v4Pk iy certparajornada-v4
Pk iy certparajornada-v4Javier Diaz
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesZink Security
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernéticaZink Security
 

Más contenido relacionado

Similar a Presentación de anubis

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]RootedCON
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxItconic
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Pk iy certparajornada-v4
Pk iy certparajornada-v4Pk iy certparajornada-v4
Pk iy certparajornada-v4Javier Diaz
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 

Similar a Presentación de anubis (20)

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearning
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-oliva
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Fintech - Leia
Fintech - LeiaFintech - Leia
Fintech - Leia
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
Pk iy certparajornada-v4
Pk iy certparajornada-v4Pk iy certparajornada-v4
Pk iy certparajornada-v4
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 

Más de Zink Security

Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesZink Security
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernéticaZink Security
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your universityZink Security
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecurityZink Security
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeZink Security
 
Cosas que hacer en la biblioteca - flu project
Cosas que hacer en la biblioteca - flu projectCosas que hacer en la biblioteca - flu project
Cosas que hacer en la biblioteca - flu projectZink Security
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Zink Security
 
Diapositivas ponencia Flu Project en la JITICE 2011
Diapositivas ponencia Flu Project en la JITICE 2011Diapositivas ponencia Flu Project en la JITICE 2011
Diapositivas ponencia Flu Project en la JITICE 2011Zink Security
 

Más de Zink Security (10)

Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your university
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink Security
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
 
Cosas que hacer en la biblioteca - flu project
Cosas que hacer en la biblioteca - flu projectCosas que hacer en la biblioteca - flu project
Cosas que hacer en la biblioteca - flu project
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
 
Diapositivas ponencia Flu Project en la JITICE 2011
Diapositivas ponencia Flu Project en la JITICE 2011Diapositivas ponencia Flu Project en la JITICE 2011
Diapositivas ponencia Flu Project en la JITICE 2011
 

Último

SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJOACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJOBRIGIDATELLOLEONARDO
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfpatriciaines1993
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfPaolaRopero2
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfNancyLoaa
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfValeriaCorrea29
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptAlberto Rubio
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdfMiNeyi1
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxdeimerhdz21
 

Último (20)

SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJOACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdf
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdf
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 

Presentación de anubis

  • 1. Anubis Herramienta para automatizar los procesos de footprinting y fingerprinting durante las auditorías de seguridad informática Autor: juan antonio calles garcía Dirige: javiergarzás parra
  • 2. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 2
  • 3. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 3
  • 4. El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6% 4
  • 5. ¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
  • 6. Cualquiera puede recibir un ataque… 6
  • 7. ¿Quién puede ayudar a proteger los beneficios? Las empresas especializadas en seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008 7
  • 8. Soluciones Auditorías de seguridad anuales. Seguimiento de guías de buenas prácticas OWASP y OSSTMM Certificación ISO/IEC 27001 (SGSI) Concienciación de los miembros de la organización. Seguir los 10 mandamientos de la seguridad informática. 8
  • 9. Los 10 mandamientos de la seguridad Cuidaras la seguridad del sistema operativo Aplicaras regularmente las actualizaciones de seguridad Emplearas chequeadores de integridad, antivirus y antispyware Encriptarás la información sensible Usarás sólo modos seguros de acceder al e-mail Utilizarás únicamente navegadores seguros para acceder a la web No abrirás enlaces ni archivos sospechosos Ingresarás datos críticos, sólo en sitios seguros Si debes correr riesgos, usarás sandboxing Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
  • 10. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 10
  • 11. Tipos de auditoría Auditoría de aplicaciones web Auditoría Interna: Auditoría de caja negra Auditoría de caja gris Auditoría de caja blanca Test de intrusión Análisis forense Aplicación de la LOPD(con matices) 11
  • 12. Auditoría de aplicaciones web Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes: sqlinjection (PHP+MySQL, JAVA,C#+SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remote file inclusion (PHP). pathdisclosure. pathtraversal 12
  • 14. Test de intrusión Auditoría de Caja Negra en la que solo interesa «obtener un premio» Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
  • 15. Análisis forense Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía Copia de seguridad. Forense sin alterar pruebas. Prueba en caso de juicio. 15
  • 16. Aplicación de la LOPD La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
  • 17. En este proyecto nos centramos en: Test de intrusión Auditoría de caja negra 17
  • 18. Fases de un test de intrusión y de una auditoría de caja negra Fases: Obtención de información. Enumeración. Footpringting. Fingerprinting. Análisis de datos. Identificación de arquitectura. Identificación de servicios. Identificación de vulnerabilidades. Explotación. Expedientes de seguridad. Exploits. MetaExploit. Documentación final de un test Informe técnico. Informe ejecutivo. 18
  • 19. Búsqueda de información Footprinting Dominios y subdominios Zonas de administración ocultas en un sitio web Cuentas de usuario y de correo Ficheros con contraseñas Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc. Fingerprinting Sistema operativo de los servidores y máquinas 19
  • 20. Anubis C#+.Net Interface gráfica Distribución de herramientas en pestañas Funcionamiento: Herramientas: 20
  • 21. Telnet Google Hacking Zone Transfer Scanwith Google Fuzzing DNS Scan IP withBing Scan IP against DNS 404 attack Fuzzing HTTP Nmap Whois Tracert 21
  • 22. Scan IP against DNS Google Sets Google Sets Scan IP with Bing Nmap Scan IP with Bing Final Audit Report 22
  • 24. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 24
  • 25. Conclusiones Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001 Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
  • 26. Trabajos futuros Convertir Anubis de herramienta de escritorio a servicio web Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades SQL Injection XSS etc. Ampliar las Auditorías cubiertas a caja blanca: 26
  • 27. Actual: uso en auditoría de caja negra y test de intrusión 27
  • 28. Futuro: uso en auditoría de caja negra, test de intrusión y caja blanca 28
  • 30. Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30