SlideShare una empresa de Scribd logo

Presentación de anubis

Descargar como PPTX, PDF
Zink Security
Zink Security

Presentación oficial del proyecto Anubis desarrollado por Juan Antonio Calles Garcia para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática

Educación
1 de 31
Anubis Herramienta para automatizar los procesos de footprinting y fingerprinting durante las auditorías de seguridad informática Autor: juan antonio calles garcía Dirige: javiergarzás parra
Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 2
Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 3
El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6% 4
¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
Cualquiera puede recibir un ataque… 6
¿Quién puede ayudar a proteger los beneficios? Las empresas especializadas en seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008 7
Soluciones Auditorías de seguridad anuales. Seguimiento de guías de buenas prácticas OWASP y OSSTMM Certificación ISO/IEC 27001 (SGSI) Concienciación de los miembros de la organización. Seguir los 10 mandamientos de la seguridad informática. 8
Los 10 mandamientos de la seguridad Cuidaras la seguridad del sistema operativo Aplicaras regularmente las actualizaciones de seguridad Emplearas chequeadores de integridad, antivirus y antispyware Encriptarás la información sensible Usarás sólo modos seguros de acceder al e-mail Utilizarás únicamente navegadores seguros para acceder a la web No abrirás enlaces ni archivos sospechosos Ingresarás datos críticos, sólo en sitios seguros Si debes correr riesgos, usarás sandboxing Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 10
Tipos de auditoría Auditoría de aplicaciones web Auditoría Interna: Auditoría de caja negra Auditoría de caja gris Auditoría de caja blanca Test de intrusión Análisis forense Aplicación de la LOPD(con matices) 11
Auditoría de aplicaciones web Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes: sqlinjection (PHP+MySQL, JAVA,C#+SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remote file inclusion (PHP). pathdisclosure. pathtraversal 12
Auditoría interna 13
Test de intrusión Auditoría de Caja Negra en la que solo interesa «obtener un premio» Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
Análisis forense Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía Copia de seguridad. Forense sin alterar pruebas. Prueba en caso de juicio. 15
Aplicación de la LOPD La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
En este proyecto nos centramos en: Test de intrusión Auditoría de caja negra 17
Fases de un test de intrusión y de una auditoría de caja negra Fases: Obtención de información. Enumeración. Footpringting. Fingerprinting. Análisis de datos. Identificación de arquitectura. Identificación de servicios. Identificación de vulnerabilidades. Explotación. Expedientes de seguridad. Exploits. MetaExploit. Documentación final de un test Informe técnico. Informe ejecutivo. 18
Búsqueda de información Footprinting Dominios y subdominios Zonas de administración ocultas en un sitio web Cuentas de usuario y de correo Ficheros con contraseñas Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc. Fingerprinting Sistema operativo de los servidores y máquinas 19
Anubis C#+.Net Interface gráfica Distribución de herramientas en pestañas Funcionamiento: Herramientas: 20
Telnet Google Hacking Zone Transfer Scanwith Google Fuzzing DNS Scan IP withBing Scan IP against DNS 404 attack Fuzzing HTTP Nmap Whois Tracert 21
Scan IP against DNS Google Sets Google Sets Scan IP with Bing Nmap Scan IP with Bing Final Audit Report 22
Demo 23
Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 24
Conclusiones Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001 Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
Trabajos futuros Convertir Anubis de herramienta de escritorio a servicio web Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades SQL Injection XSS etc. Ampliar las Auditorías cubiertas a caja blanca: 26
Actual: uso en auditoría de caja negra y test de intrusión 27
Futuro: uso en auditoría de caja negra, test de intrusión y caja blanca 28
Continuará… 29
Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30
¡gracias! ¿PREGuNTAS? 31

Recomendados

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
Javier Tallón
 
Anubis, dios egipcio.
Anubis, dios egipcio.Anubis, dios egipcio.
Anubis, dios egipcio.
AleexCuevas
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
guesta3f6ce
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
Zink Security
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
Ingeniería e Integración Avanzadas (Ingenia)
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
Carmelo Branimir España Villegas
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Javier Tallón
 
Estudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererEstudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado referer
Henry Raúl González Brito
 

Recomendados

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
Javier Tallón
 
Anubis, dios egipcio.
Anubis, dios egipcio.Anubis, dios egipcio.
Anubis, dios egipcio.
AleexCuevas
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
guesta3f6ce
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
Zink Security
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
Ingeniería e Integración Avanzadas (Ingenia)
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
Carmelo Branimir España Villegas
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Javier Tallón
 
Estudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado refererEstudio de ciberataques basados en el campo de encabezado referer
Estudio de ciberataques basados en el campo de encabezado referer
Henry Raúl González Brito
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
Wendy Perez Diaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
Wendy Perez Diaz
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
Javier Tallón
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
Cristian Garcia G.
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
Tecnimap
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
RootedCON
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearning
Christian Patricio Vaca Benalcázar
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
Juan407916
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-oliva
MUG Perú
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
Iván Portillo
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
Santiago Toribio Ayuga
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Itconic
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
Alexander Velasque Rimac
 
Fintech - Leia
Fintech - LeiaFintech - Leia
Fintech - Leia
Isidro Emmanuel Aguilar López
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
WilliamBeltran007
 
Pk iy certparajornada-v4
Pk iy certparajornada-v4Pk iy certparajornada-v4
Pk iy certparajornada-v4
Javier Diaz
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
The Cocktail Analysis
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
oscar lopez
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
Eduardo Arriols Nuñez
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
Zink Security
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
Zink Security
 

Más contenido relacionado

Similar a Presentación de anubis

Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
Wendy Perez Diaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
Wendy Perez Diaz
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
Tecnimap
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
Iván Portillo
 
Pk iy certparajornada-v4
Pk iy certparajornada-v4Pk iy certparajornada-v4
Pk iy certparajornada-v4
Javier Diaz
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
The Cocktail Analysis
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
oscar lopez
 

Similar a Presentación de anubis (20)

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearning
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-oliva
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Fintech - Leia
Fintech - LeiaFintech - Leia
Fintech - Leia
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
Pk iy certparajornada-v4
Pk iy certparajornada-v4Pk iy certparajornada-v4
Pk iy certparajornada-v4
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en España
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 

Más de Zink Security

Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
Zink Security
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
Zink Security
 

Más de Zink Security (10)

Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your university
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink Security
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
 
Cosas que hacer en la biblioteca - flu project
Cosas que hacer en la biblioteca - flu projectCosas que hacer en la biblioteca - flu project
Cosas que hacer en la biblioteca - flu project
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
 
Diapositivas ponencia Flu Project en la JITICE 2011
Diapositivas ponencia Flu Project en la JITICE 2011Diapositivas ponencia Flu Project en la JITICE 2011
Diapositivas ponencia Flu Project en la JITICE 2011
 

Último

RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
UPTAIDELTACHIRA
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
Wilian24
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
RigoTito
 

Último (20)

SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
 
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdfPlan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
 
Posición astronómica y geográfica de Europa.pptx
Posición astronómica y geográfica de Europa.pptxPosición astronómica y geográfica de Europa.pptx
Posición astronómica y geográfica de Europa.pptx
 
Biografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdfBiografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdf
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
semana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnnsemana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnn
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
 
Infografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfInfografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdf
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 

Presentación de anubis

  • 1. Anubis Herramienta para automatizar los procesos de footprinting y fingerprinting durante las auditorías de seguridad informática Autor: juan antonio calles garcía Dirige: javiergarzás parra
  • 2. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 2
  • 3. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 3
  • 4. El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6% 4
  • 5. ¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
  • 6. Cualquiera puede recibir un ataque… 6
  • 7. ¿Quién puede ayudar a proteger los beneficios? Las empresas especializadas en seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008 7
  • 8. Soluciones Auditorías de seguridad anuales. Seguimiento de guías de buenas prácticas OWASP y OSSTMM Certificación ISO/IEC 27001 (SGSI) Concienciación de los miembros de la organización. Seguir los 10 mandamientos de la seguridad informática. 8
  • 9. Los 10 mandamientos de la seguridad Cuidaras la seguridad del sistema operativo Aplicaras regularmente las actualizaciones de seguridad Emplearas chequeadores de integridad, antivirus y antispyware Encriptarás la información sensible Usarás sólo modos seguros de acceder al e-mail Utilizarás únicamente navegadores seguros para acceder a la web No abrirás enlaces ni archivos sospechosos Ingresarás datos críticos, sólo en sitios seguros Si debes correr riesgos, usarás sandboxing Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
  • 10. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 10
  • 11. Tipos de auditoría Auditoría de aplicaciones web Auditoría Interna: Auditoría de caja negra Auditoría de caja gris Auditoría de caja blanca Test de intrusión Análisis forense Aplicación de la LOPD(con matices) 11
  • 12. Auditoría de aplicaciones web Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes: sqlinjection (PHP+MySQL, JAVA,C#+SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remote file inclusion (PHP). pathdisclosure. pathtraversal 12
  • 14. Test de intrusión Auditoría de Caja Negra en la que solo interesa «obtener un premio» Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
  • 15. Análisis forense Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía Copia de seguridad. Forense sin alterar pruebas. Prueba en caso de juicio. 15
  • 16. Aplicación de la LOPD La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
  • 17. En este proyecto nos centramos en: Test de intrusión Auditoría de caja negra 17
  • 18. Fases de un test de intrusión y de una auditoría de caja negra Fases: Obtención de información. Enumeración. Footpringting. Fingerprinting. Análisis de datos. Identificación de arquitectura. Identificación de servicios. Identificación de vulnerabilidades. Explotación. Expedientes de seguridad. Exploits. MetaExploit. Documentación final de un test Informe técnico. Informe ejecutivo. 18
  • 19. Búsqueda de información Footprinting Dominios y subdominios Zonas de administración ocultas en un sitio web Cuentas de usuario y de correo Ficheros con contraseñas Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc. Fingerprinting Sistema operativo de los servidores y máquinas 19
  • 20. Anubis C#+.Net Interface gráfica Distribución de herramientas en pestañas Funcionamiento: Herramientas: 20
  • 21. Telnet Google Hacking Zone Transfer Scanwith Google Fuzzing DNS Scan IP withBing Scan IP against DNS 404 attack Fuzzing HTTP Nmap Whois Tracert 21
  • 22. Scan IP against DNS Google Sets Google Sets Scan IP with Bing Nmap Scan IP with Bing Final Audit Report 22
  • 24. Índice El estado de la informática en la actualidad Auditorías de seguridad Demo Conclusiones y trabajos futuros 24
  • 25. Conclusiones Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001 Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
  • 26. Trabajos futuros Convertir Anubis de herramienta de escritorio a servicio web Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades SQL Injection XSS etc. Ampliar las Auditorías cubiertas a caja blanca: 26
  • 27. Actual: uso en auditoría de caja negra y test de intrusión 27
  • 28. Futuro: uso en auditoría de caja negra, test de intrusión y caja blanca 28
  • 30. Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30