SlideShare una empresa de Scribd logo

#5minutosdehacking Con Héctor López curso de seguridad informática en el tecnológico de Nogales Sonora . #pentesting

Descargar como PPTX, PDF
H
Héctor López

Conferencia Héctor López curso de seguridad informática en el tecnológico de Nogales Sonora . #pentesting

Tecnología
1 de 39
Héctor López Fundador de la OMHE, Miembro de IAPP, ISACA, ACFE, OPSEC, ACM, Antiphishing Working Group, ISSA
Disclaimer – La presentación se brinda con fines de aprendizaje para desarrollar la cultura en seguridad informática y ayudar a prevenir los delitos informáticos en el País. – NO nos hacemos responsable del mal uso que se los asistentes puedan darle a la información.
Filosofía – Misión: La OMHE es una organización de profesionales multidisciplinarios comprometida a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país. – Visión: Ser una organización reconocida a nivel nacional que impulse y desarrolle la seguridad informática y de igual manera promueva la educación en la misma.
Definir Riesgo Informático • Riesgo es la capacidad de que una vulnerabilidad informática pueda ser explotada con éxito y esto cause pérdida, robo ó alteración de los activos de la empresa u organización. • Riesgo es la probabilidad de que un incidente ocurra y esto pueda transformarse en un ataque al hardware , software ó humanware.
Antecedentes Economía del hacking - El que sea más difícil de hackear se salva. • Analogía: Si te encuentras un oso en el bosque no necesitas correr más fuerte que el oso, solo correr más que tus compañeros. • Stuxnet: Malware dirigido a atacar sistemas industriales, PLC, SCADA. Ej: Plantas de energía nuclear, sistemas de luz eléctrica. • La economía actual se basa más en un sistema númerico que en una moneda física.
Security Distros
Qué es Kali Linux ? Hacking Toolkit Basada en
Kali GNU/Linux
Mejorar rendimiento
Activos a proteger  Servidores  Computadoras escritorio  Laptops y PDAs  Switches y Routers  Application software  Development Tools  Source Code  VPN Access  Backup Tapes  Email  Integridad de información  Todos los archivos en el servidor  Información del cliente  Nodos de red  DHCP  Disponibilidad del sitio web  Reputación  Moral de los empleados
Penetration Testing – Conjunto de pruebas organizadas de forma controlada para probar la seguridad informática y mecanismos de control en un sistema. – Las pruebas de penetración son diferentes a un análisis de vulnerabilidades y la diferencia es el realmente entrar y comprometer el sistema ó la información.
Un ataque siempre necesita de una víctima. Los ataques se dan por diferentes motivos generalmente buscando un beneficio económico.
Mejor escaner de software libre en el mundo. Rápido y multiplataforma Soporta scripts con LUA para brindarle carácteristicas: Enhanced version detection: El -sV hace pruebas sencillas pero algunas veces por ejemplo los servicios de Voip, IRC o demás requieren pruebas adicionales. Malware-detection: Algunas veces los spammers usan servicios de SMTP para relay, FTPs en anonymous sirven a crackers para almacenar contenido.. Entonces este no solo prueba que hay un SMTP hace pruebas adicionales para ver si ha sido comprometido. Vulnerability Detection: Detectar password default en dispositivos. --script <script-categories|directory|filename|all>
Mindmap Nmap
Las empresas guardan su información en ambientes mixtos lo cual facilita al atacante la posibilidad de abusar de múltiples vulnerabilidades en: 1.- IP’s 2.- Servicios: HTTP, DNS, DHCP, FTP. 3.- Bases de datos. 4.- Sistemas Operativos. 5.- Hardware.
Para ganar acceso a un sistema ya sea este local ó remoto el proceso existe en encontrar un EXPLOIT ó desarrollarlo para explotar una vulnerabilidad en un servicio ó software existente. Entorno de trabajo para exploits en .rb organizados. Utiliza el famoso payload de meterpreter. Pruebas de ingeniería social. Cracking de passwords con soporte de diferentes protocolos.
Una vez que se obtiene un acceso lo que necesitamos es mantenerlo y escalar los privilegios en caso de no tener permisos de r00t. Podemos desactivar las defensas de la víctima con el fin de penetrar con más poder: AV’s, Firewalls, IDS, IPS, verificadores de integridad de archivos, etc...
Al realizar un ataque con éxito debemos de borrar los logs en caso de que nuestro objetivo sea realizar un ataque invisible. Algunas veces el objetivo de los atacantes es utilizar nuestros recursos para una botnet controlada por IRC ó la instalación de malware. Cuando se realiza un sabotaje muchas veces solo les bastará con destruir toda la información del servidor.
Cuidado! Puedes ser un zombie y no saberlo.
Manejo de riesgos: Políticas funcionales Procedimientos Estandares Lineamientos Reglamento Leyes, Regulaciones, Requerimientos, Metas y Objetivos Políticas de la Organización
Esquema de seguridad en una aplicación web.
Persistencia l cron, launchd, bash para iniciar servicios de manera automática / Task scheduler en Windows. l Habilitar RDP / Escritorios remotos / VNC / sistemas privadores de asistencia remota usados como troyanos a nivel enterprise. l Autoruns: Meter un .exe en el lugar perfecto para no ser detectado y modificar el registro con meterpreter.
SCADASCADA stands for supervisory control and data acquisition. It generally refers to industrial control systems
Cyberwarfare
Quién es más culpable? El que crea el arma, el que la usa ó el que la vende ? Es difícil llegar a una conclusión. Las herramientas de hacking pueden ser consideradas como armas literalmente. Las herramientas de seguridad informática necesitan ser reguladas de la manera correcta. LEYES: Hacking Law 202c implementada en Alemania.
Red Teams
Armitage ataque estratégico • La estrategia siempre puede ayudarnos a planear de una manera sincronizada y por tiempos como vamos a atacar y deshabilitar una víctima • Armitage permite usar una interfaz gráfica y una base de datos sólida para almacenar y darle continuidad a un set de ataques.
HOW TO ?
PowerShell payload
WineHQ Testing
Malware
Aprender hacking sin problemas legales.
TeleGOB
Conclusiones – La seguridad NO es un producto - Es un PROCESO e involucra personas. – Hay que ser preventivos en lugar de ser correctivos – Liberar nuestras mentes e impulsar el Software Libre es la única solución en México para salir de la esclavitud.
• Twitter: hlixaya • OMHE_org hector@omhe.org

Recomendados

S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1Luis Fernando Aguas Bucheli
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesoligormar
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoInGriid Ruiiz Larregui
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 

Recomendados

S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1Luis Fernando Aguas Bucheli
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesoligormar
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoInGriid Ruiiz Larregui
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasvverdu
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticajuandavidhiguitasj
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaIngeniería Nica
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaErnesto Herrera
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atmSecpro - Security Professionals
 
Elementos De Proteccion Para Redes
Elementos De Proteccion Para RedesElementos De Proteccion Para Redes
Elementos De Proteccion Para Redesradsen22
 
Etical hacking
Etical hackingEtical hacking
Etical hackingMaurice Frayssinet
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSecpro - Security Professionals
 
Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Antonio Leonel Rodriguez b.
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 
Ataque a la red de datos, diapositivas
Ataque a la red de datos, diapositivasAtaque a la red de datos, diapositivas
Ataque a la red de datos, diapositivasMartín José Poma Tolentino
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosNixonCali
 
Virus
VirusVirus
VirusJuan Moreno
 
TP Seguridad Informática
TP Seguridad Informática TP Seguridad Informática
TP Seguridad Informática juliemaimitipepin
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información ngerardoafp
 
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoConferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoHéctor López
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú Héctor López
 

Más contenido relacionado

La actualidad más candente

Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasvverdu
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
Elementos De Proteccion Para Redes
Elementos De Proteccion Para RedesElementos De Proteccion Para Redes
Elementos De Proteccion Para Redesradsen22
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosNixonCali
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información ngerardoafp
 

La actualidad más candente (19)

Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativas
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical Hacking
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataques
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atm
 
Elementos De Proteccion Para Redes
Elementos De Proteccion Para RedesElementos De Proteccion Para Redes
Elementos De Proteccion Para Redes
 
Etical hacking
Etical hackingEtical hacking
Etical hacking
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking etico
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
 
Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Ataque a la red de datos, diapositivas
Ataque a la red de datos, diapositivasAtaque a la red de datos, diapositivas
Ataque a la red de datos, diapositivas
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Virus
VirusVirus
Virus
 
TP Seguridad Informática
TP Seguridad Informática TP Seguridad Informática
TP Seguridad Informática
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información n
 

Similar a #5minutosdehacking Con Héctor López curso de seguridad informática en el tecnológico de Nogales Sonora . #pentesting

Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoConferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoHéctor López
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú Héctor López
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 
Segurida informatica maria alejandra torres
Segurida informatica maria alejandra torresSegurida informatica maria alejandra torres
Segurida informatica maria alejandra torresOnce Redes
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad y privacidad en windows
Seguridad y privacidad en windowsSeguridad y privacidad en windows
Seguridad y privacidad en windowsazrahim
 
Seguridad informática maria
Seguridad informática mariaSeguridad informática maria
Seguridad informática mariaMaria Sanchez
 
sara muñoz web quest
sara muñoz web quest sara muñoz web quest
sara muñoz web questOnce Redes
 
Web quest seguridad informática sara muñoz alejandra zabala
Web quest seguridad informática sara muñoz alejandra zabalaWeb quest seguridad informática sara muñoz alejandra zabala
Web quest seguridad informática sara muñoz alejandra zabalaOnce Redes
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoKatherine Reinoso
 
Seguridad en la red valentina torres
Seguridad en la red valentina torresSeguridad en la red valentina torres
Seguridad en la red valentina torresOnce Redes
 

Similar a #5minutosdehacking Con Héctor López curso de seguridad informática en el tecnológico de Nogales Sonora . #pentesting (20)

Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoConferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú Conferencia Universidad de Tacna del Perú
Conferencia Universidad de Tacna del Perú
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Segurida informatica maria alejandra torres
Segurida informatica maria alejandra torresSegurida informatica maria alejandra torres
Segurida informatica maria alejandra torres
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad y privacidad en windows
Seguridad y privacidad en windowsSeguridad y privacidad en windows
Seguridad y privacidad en windows
 
Seguridad informatica 2 ximello
Seguridad informatica 2 ximelloSeguridad informatica 2 ximello
Seguridad informatica 2 ximello
 
Seguridad informática maria
Seguridad informática mariaSeguridad informática maria
Seguridad informática maria
 
S4 cdsi1-1
S4 cdsi1-1S4 cdsi1-1
S4 cdsi1-1
 
sara muñoz web quest
sara muñoz web quest sara muñoz web quest
sara muñoz web quest
 
Web quest seguridad informática sara muñoz alejandra zabala
Web quest seguridad informática sara muñoz alejandra zabalaWeb quest seguridad informática sara muñoz alejandra zabala
Web quest seguridad informática sara muñoz alejandra zabala
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevo
 
Seguridad en la red valentina torres
Seguridad en la red valentina torresSeguridad en la red valentina torres
Seguridad en la red valentina torres
 

Más de Héctor López

Conferencia de seguridad en el sector público por la OMHE
Conferencia de seguridad en el sector público por la OMHEConferencia de seguridad en el sector público por la OMHE
Conferencia de seguridad en el sector público por la OMHEHéctor López
 
Técnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosTécnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosHéctor López
 
Omhe implementacion de servicios hacker
Omhe implementacion de servicios hackerOmhe implementacion de servicios hacker
Omhe implementacion de servicios hackerHéctor López
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasHéctor López
 
System Hacking por la OMHE org
System Hacking por la OMHE orgSystem Hacking por la OMHE org
System Hacking por la OMHE orgHéctor López
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEHéctor López
 
Backdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEBackdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEHéctor López
 
Hacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHéctor López
 
Hacking utilizando GNU/Linux por la OMHE
Hacking utilizando GNU/Linux por la OMHEHacking utilizando GNU/Linux por la OMHE
Hacking utilizando GNU/Linux por la OMHEHéctor López
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHEHéctor López
 
Servicios de seguridad informática
Servicios de seguridad informáticaServicios de seguridad informática
Servicios de seguridad informáticaHéctor López
 
#5minutosdehacking Con Héctor López curso de seguridad informática.
#5minutosdehacking Con Héctor López curso de seguridad informática.#5minutosdehacking Con Héctor López curso de seguridad informática.
#5minutosdehacking Con Héctor López curso de seguridad informática.Héctor López
 

Más de Héctor López (12)

Conferencia de seguridad en el sector público por la OMHE
Conferencia de seguridad en el sector público por la OMHEConferencia de seguridad en el sector público por la OMHE
Conferencia de seguridad en el sector público por la OMHE
 
Técnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosTécnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancarios
 
Omhe implementacion de servicios hacker
Omhe implementacion de servicios hackerOmhe implementacion de servicios hacker
Omhe implementacion de servicios hacker
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresas
 
System Hacking por la OMHE org
System Hacking por la OMHE orgSystem Hacking por la OMHE org
System Hacking por la OMHE org
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHE
 
Backdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEBackdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHE
 
Hacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHE
 
Hacking utilizando GNU/Linux por la OMHE
Hacking utilizando GNU/Linux por la OMHEHacking utilizando GNU/Linux por la OMHE
Hacking utilizando GNU/Linux por la OMHE
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHE
 
Servicios de seguridad informática
Servicios de seguridad informáticaServicios de seguridad informática
Servicios de seguridad informática
 
#5minutosdehacking Con Héctor López curso de seguridad informática.
#5minutosdehacking Con Héctor López curso de seguridad informática.#5minutosdehacking Con Héctor López curso de seguridad informática.
#5minutosdehacking Con Héctor López curso de seguridad informática.
 

Último

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Último (20)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

#5minutosdehacking Con Héctor López curso de seguridad informática en el tecnológico de Nogales Sonora . #pentesting

  • 1. Héctor López Fundador de la OMHE, Miembro de IAPP, ISACA, ACFE, OPSEC, ACM, Antiphishing Working Group, ISSA
  • 2. Disclaimer – La presentación se brinda con fines de aprendizaje para desarrollar la cultura en seguridad informática y ayudar a prevenir los delitos informáticos en el País. – NO nos hacemos responsable del mal uso que se los asistentes puedan darle a la información.
  • 3. Filosofía – Misión: La OMHE es una organización de profesionales multidisciplinarios comprometida a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país. – Visión: Ser una organización reconocida a nivel nacional que impulse y desarrolle la seguridad informática y de igual manera promueva la educación en la misma.
  • 4. Definir Riesgo Informático • Riesgo es la capacidad de que una vulnerabilidad informática pueda ser explotada con éxito y esto cause pérdida, robo ó alteración de los activos de la empresa u organización. • Riesgo es la probabilidad de que un incidente ocurra y esto pueda transformarse en un ataque al hardware , software ó humanware.
  • 5. Antecedentes Economía del hacking - El que sea más difícil de hackear se salva. • Analogía: Si te encuentras un oso en el bosque no necesitas correr más fuerte que el oso, solo correr más que tus compañeros. • Stuxnet: Malware dirigido a atacar sistemas industriales, PLC, SCADA. Ej: Plantas de energía nuclear, sistemas de luz eléctrica. • La economía actual se basa más en un sistema númerico que en una moneda física.
  • 7. Qué es Kali Linux ? Hacking Toolkit Basada en
  • 10. Activos a proteger  Servidores  Computadoras escritorio  Laptops y PDAs  Switches y Routers  Application software  Development Tools  Source Code  VPN Access  Backup Tapes  Email  Integridad de información  Todos los archivos en el servidor  Información del cliente  Nodos de red  DHCP  Disponibilidad del sitio web  Reputación  Moral de los empleados
  • 11. Penetration Testing – Conjunto de pruebas organizadas de forma controlada para probar la seguridad informática y mecanismos de control en un sistema. – Las pruebas de penetración son diferentes a un análisis de vulnerabilidades y la diferencia es el realmente entrar y comprometer el sistema ó la información.
  • 12. Un ataque siempre necesita de una víctima. Los ataques se dan por diferentes motivos generalmente buscando un beneficio económico.
  • 13. Mejor escaner de software libre en el mundo. Rápido y multiplataforma Soporta scripts con LUA para brindarle carácteristicas: Enhanced version detection: El -sV hace pruebas sencillas pero algunas veces por ejemplo los servicios de Voip, IRC o demás requieren pruebas adicionales. Malware-detection: Algunas veces los spammers usan servicios de SMTP para relay, FTPs en anonymous sirven a crackers para almacenar contenido.. Entonces este no solo prueba que hay un SMTP hace pruebas adicionales para ver si ha sido comprometido. Vulnerability Detection: Detectar password default en dispositivos. --script <script-categories|directory|filename|all>
  • 15. Las empresas guardan su información en ambientes mixtos lo cual facilita al atacante la posibilidad de abusar de múltiples vulnerabilidades en: 1.- IP’s 2.- Servicios: HTTP, DNS, DHCP, FTP. 3.- Bases de datos. 4.- Sistemas Operativos. 5.- Hardware.
  • 16.
  • 17. Para ganar acceso a un sistema ya sea este local ó remoto el proceso existe en encontrar un EXPLOIT ó desarrollarlo para explotar una vulnerabilidad en un servicio ó software existente. Entorno de trabajo para exploits en .rb organizados. Utiliza el famoso payload de meterpreter. Pruebas de ingeniería social. Cracking de passwords con soporte de diferentes protocolos.
  • 18. Una vez que se obtiene un acceso lo que necesitamos es mantenerlo y escalar los privilegios en caso de no tener permisos de r00t. Podemos desactivar las defensas de la víctima con el fin de penetrar con más poder: AV’s, Firewalls, IDS, IPS, verificadores de integridad de archivos, etc...
  • 19. Al realizar un ataque con éxito debemos de borrar los logs en caso de que nuestro objetivo sea realizar un ataque invisible. Algunas veces el objetivo de los atacantes es utilizar nuestros recursos para una botnet controlada por IRC ó la instalación de malware. Cuando se realiza un sabotaje muchas veces solo les bastará con destruir toda la información del servidor.
  • 20. Cuidado! Puedes ser un zombie y no saberlo.
  • 21.
  • 22. Manejo de riesgos: Políticas funcionales Procedimientos Estandares Lineamientos Reglamento Leyes, Regulaciones, Requerimientos, Metas y Objetivos Políticas de la Organización
  • 23. Esquema de seguridad en una aplicación web.
  • 24. Persistencia l cron, launchd, bash para iniciar servicios de manera automática / Task scheduler en Windows. l Habilitar RDP / Escritorios remotos / VNC / sistemas privadores de asistencia remota usados como troyanos a nivel enterprise. l Autoruns: Meter un .exe en el lugar perfecto para no ser detectado y modificar el registro con meterpreter.
  • 25. SCADASCADA stands for supervisory control and data acquisition. It generally refers to industrial control systems
  • 27. Quién es más culpable? El que crea el arma, el que la usa ó el que la vende ? Es difícil llegar a una conclusión. Las herramientas de hacking pueden ser consideradas como armas literalmente. Las herramientas de seguridad informática necesitan ser reguladas de la manera correcta. LEYES: Hacking Law 202c implementada en Alemania.
  • 29. Armitage ataque estratégico • La estrategia siempre puede ayudarnos a planear de una manera sincronizada y por tiempos como vamos a atacar y deshabilitar una víctima • Armitage permite usar una interfaz gráfica y una base de datos sólida para almacenar y darle continuidad a un set de ataques.
  • 33.
  • 35. Aprender hacking sin problemas legales.
  • 36.
  • 38. Conclusiones – La seguridad NO es un producto - Es un PROCESO e involucra personas. – Hay que ser preventivos en lugar de ser correctivos – Liberar nuestras mentes e impulsar el Software Libre es la única solución en México para salir de la esclavitud.
  • 39. • Twitter: hlixaya • OMHE_org hector@omhe.org