2. “La invencibilidad está en
Uno mismo, la vulnerabilidad
en el adversario”
Tsun-Tsu
El arte de la guerra
3. JUAN OLIVA
A que me dedico ?
Consultor especializado en Ethical Hacking y Voz sobre IP.
Certificaciones
- EC Council Certified | Ethical Hacker™ (C|EH)
- Mile2 Certified ) Penetration Testing Engineer™ (CPTE)
- Open-Sec Ethical Hacker (OSEH)
- Digium Certified Asterisk Administrator (dCAA)
- Elastix Certified Engineer (ECE)
- Elastix Security Master (ESM)
- Linux Professional Institute Certified (LPIC-1)
- Novell Certified Linux Administrator (CLA)
4. Contenido
- Comprender el proceso de un Ethical Hacking
- Aprender que herramientas se utilizan en cada proceso
- Identificar los principales vectores de vulnerabilidades en la actualidad
5. Que es es un Hacking Ético ?
y todo lo que esta a su alrededor
6. Hacking Ético
Conceptos Básicos
Objeto de evaluación
Un sistema de información/infraestructura que requiere
una evaluación de seguridad.
Ataque
Un ataque es la acción o el intento violación a la seguridad
7. Hacking Ético
Conceptos Básicos
Exploit
Se define como una brecha en la seguridad de un sistema de
información a través de una vulnerabilidad.
Un 0 day
Es una vulnerabilidad de una aplicación o programa que no
es conocida o pública y que sí es de conocimiento
solo por los programadores.
8. Hacking Ético
Elementos de la seguridad
de la información
Confidencialidad, tiene que ver con la ocultación de información o recursos.
Autenticidad, Identificación y garantía del origen de la información
Integridad, se refiere a los cambios no autorizados en los datos
Disponibilidad , Posibilidad de hacer uso de la información cuando se desee
10. Hacking Ético
Quién es el Hacker ?
Un experto (mas menos) en varias o alguna rama técnica relacionada
con las tecnologías de la información.
Su intención puede ser simplemente adquirir conocimientos o para
echar un vistazo a los errores de los demás.
Para algunas personas el hacking puede ser un hobbie para poder
ver cuantas computadoras o sistemas pueden comprometer.
13. Hacking Ético
Qué es y como se realiza ??
Es un proyecto donde se realiza un análisis de seguridad solicitada
por una empresa para evaluar la seguridad de sus plataformas.
La evaluación se realiza en un ambiente controlado y bajo la supervisión
de la empresa solicitante.
Lo realiza un especialista denominado “ethical Hacker” el cual
utiliza diversas técnicas para desarrollar ataques e intentar vulnerar
los sistemas de información.
14. Hacking Ético
Clasificación de acuerdo al objetivo
Redes remotas , ejecución de ataques desde internet
Redes locales , ataques desde dentro de la empresa
Redes Wifi , ataques a nivel criptográfico sobre redes inalámbricas
Dispositivos Móviles , ataques hacia smartphones
Ingeniería Social, Pruebas donde se comprueba la sensibilidad
de los empleados con respecto a la información de la empresa
15. Hacking Ético
Clasificación de acuerdo al ambito
Black-Box
No se cuenta con conocimiento de la infraestructura
White-Box
Con un conocimiento completo de la infraestructura
Gray-Box
Conocimiento intermedio de la infraestructura
16. Hacking Ético
Clasificación de acuerdo al ambito
Black-Box
No se cuenta con conocimiento de la infraestructura
White-Box
Con un conocimiento completo de la infraestructura
Gray-Box
Conocimiento intermedio de la infraestructura
19. Etapas del
Ethical Hacking
Footprint o reconocimiento
Pasivo, previo a cualquier ataque
Solo recopila la información del objetivo
Scannig y enumeracion
Activo, es una fase del pre-ataque
Se escanea la red pero con la información del reconocimiento
20. Etapas del
Ethical Hacking
Análisis de vulnerabilidades
Activo , detección de las vulnerabilidades y puntos de entrada
Obtención de acceso, escalamiento de privilegios
Activo, se refiere al ataque propiamente dicho
Por ejemplo hacer uso de un exploit o ingresar mediante un bug
simple o complejo.
23. Escaneo y Enumeración
- nmap
- telnet
- netcat
- google
- Shodan
Ethical Hacking
y Sofware Libre
24. Análisis de vulnerabilidades y penetración
- Nessus
- Openvas
- Hydra, medusa
- metasploit
- Sqlmap
- Webscarab
- Zap proxy
- Burp suite
Ethical Hacking
y Sofware Libre
25. DISCLAIMER
Todas los métodos y técnicas mostradas por el expositor
Son Mostrados solo para efectos educativos, cualquier uso
Indebido De las mismas, queda excluido de la responsabilidad
del expositor.
27. Distribuciones y aplicaciones especializadas
- Kali Linux (Backtrack)
Aplicaciones para practicar
- DVWA
- Metasploitable
- Badstore
Ethical Hacking
y Sofware Libre
30. Gracias !!!
Juan Oliva
Consultor en Ethical Hacking y VoIP
joliva@silcom.com.pe
gtalk :jroliva@gmail.com
Twiter : @jroliva
Blog : http://jroliva.wordpress.com/