SlideShare una empresa de Scribd logo

Presentación de anubis

Zink Security
Zink Security

Presentación del proyecto Anubis desarrollado por Juan Antonio Calles García para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática.

Educación
1 de 31
Descargar para leer sin conexión
1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 2
1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 3
 Estudio DigiWorld  Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa  En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC.  Subida frente a 2008 de casi un 6% 4
 NO.  Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
6
 Las empresas especializadas en seguridad.  Estas empresas generaron solo en España 640.000.000€ en 2008 7
 Auditorías de seguridad anuales.  Seguimiento de guías de buenas prácticas OWASP y OSSTMM  Certificación ISO/IEC 27001 (SGSI)  Concienciación de los miembros de la organización.  Seguir los 10 mandamientos de la seguridad informática. 8
1. Cuidaras la seguridad del sistema operativo 2. Aplicaras regularmente las actualizaciones de seguridad 3. Emplearas chequeadores de integridad, antivirus y antispyware 4. Encriptarás la información sensible 5. Usarás sólo modos seguros de acceder al e-mail 6. Utilizarás únicamente navegadores seguros para acceder a la web 7. No abrirás enlaces ni archivos sospechosos 8. Ingresarás datos críticos, sólo en sitios seguros 9. Si debes correr riesgos, usarás sandboxing 10. Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 10
 Auditoría de aplicaciones web  Auditoría Interna:  Auditoría de caja negra  Auditoría de caja gris  Auditoría de caja blanca  Test de intrusión  Análisis forense  Aplicación de la LOPD(con matices) 11
 Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes:  sql injection (PHP+MySQL, JAVA,C#+SQL Server).  ldap injection.  xpath injection.  cssp (connection string parameter pollution).  local file inclusión.  remote file inclusion (PHP).  path disclosure.  path traversal 12
Caja Negra No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un “hacker” desde fuera de la empresa Caja Gris Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a Administrador y proseguir con auditoría de caja blanca. Caja Blanca Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y poner soluciones. 13
 Auditoría de Caja Negra en la que solo interesa «obtener un premio»  Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
 Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa  Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía  Copia de seguridad.  Forense sin alterar pruebas.  Prueba en caso de juicio. 15
 La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
 Test de intrusión  Auditoría de caja negra 17
Fases:  Obtención de información.  Enumeración.  Footpringting.  Fingerprinting.  Análisis de datos.  Identificación de arquitectura.  Identificación de servicios.  Identificación de vulnerabilidades.  Explotación.  Expedientes de seguridad.  Exploits.  MetaExploit.  Documentación final de un test  Informe técnico.  Informe ejecutivo. 18
 Footprinting  Dominios y subdominios  Zonas de administración ocultas en un sitio web  Cuentas de usuario y de correo  Ficheros con contraseñas  Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc.  Fingerprinting  Sistema operativo de los servidores y máquinas 19
 C#+.Net  Interface gráfica  Distribución de herramientas en pestañas  Funcionamiento: Búsqueda de información Recopilación de datos obtenidos Estructuración lógica de información Generación de informe  Herramientas: 20
Telnet Módulo Telnet Google Hacking Zone Transfer Scan with Google Fuzzing DNS Módulo DNS Gui Módulo HTTP Scan IP with Bing Scan IP against DNS 404 attack Módulo CMD Fuzzing HTTP Nmap Whois Tracert 21
Tracert Banner 404 attack Attack Google Scan with Hacking Google Fuzzing Whois Against DNS Fuzzing Zone Http Summary Transfer Scan IP Google against Sets DNS Scan IP Nmap with Bing Final Audit Report 22
23
1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 24
 Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001  Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad  Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión  Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
 Convertir Anubis de herramienta de escritorio a servicio web  Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades  SQL Injection  XSS  etc.  Ampliar las Auditorías cubiertas a caja blanca: 26
27
28
Continuará… 29
Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30
31

Recomendados

[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
 
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor NykielIván Portillo
 
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)luis enrique
 

Recomendados

[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
 
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...Iván Portillo
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesFrancisco Javier Barrena
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor NykielIván Portillo
 
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)luis enrique
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...RootedCON
 
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván PortilloIván Portillo
 
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Farés David
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
Innovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientoInnovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientogabyy1630
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeZink Security
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Zink Security
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernéticaZink Security
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your universityZink Security
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesZink Security
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecurityZink Security
 
Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fuklFundación Universitaria Konrad Lorenz
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillocampus party
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Alejandro Ramos
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresaEventos Creativos
 

Más contenido relacionado

La actualidad más candente

Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...RootedCON
 
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván PortilloIván Portillo
 
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Farés David
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 

La actualidad más candente (7)

Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
 
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
 
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 

Destacado

Innovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientoInnovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientogabyy1630
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeZink Security
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Zink Security
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernéticaZink Security
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your universityZink Security
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesZink Security
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecurityZink Security
 

Destacado (10)

Innovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientoInnovativa-Gestion del conocimiento
Innovativa-Gestion del conocimiento
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your university
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink Security
 

Similar a Presentación de anubis

Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillocampus party
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Alejandro Ramos
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresaEventos Creativos
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grcbalejandre
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOSFUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOSOscar Padial Diaz
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)NPROS Perú
 
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...COIICV
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Jose Molina
 
Test de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gatheringTest de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gatheringJesús Moreno León
 
Operadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en GoogleOperadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en GoogleEsther Checa
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 

Similar a Presentación de anubis (20)

Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillo
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresa
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grc
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas Elastix
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Framework para pentesters
Framework para pentestersFramework para pentesters
Framework para pentesters
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOSFUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
 
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
 
Hackingcon google
Hackingcon googleHackingcon google
Hackingcon google
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
 
Test de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gatheringTest de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gathering
 
Operadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en GoogleOperadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en Google
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 

Último

Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...JonathanCovena1
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxlupitavic
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
Éteres. Química Orgánica. Propiedades y reacciones
Éteres. Química Orgánica. Propiedades y reaccionesÉteres. Química Orgánica. Propiedades y reacciones
Éteres. Química Orgánica. Propiedades y reaccionesLauraColom3
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñotapirjackluis
 

Último (20)

Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
Éteres. Química Orgánica. Propiedades y reacciones
Éteres. Química Orgánica. Propiedades y reaccionesÉteres. Química Orgánica. Propiedades y reacciones
Éteres. Química Orgánica. Propiedades y reacciones
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
 

Presentación de anubis

  • 1.
  • 2. 1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 2
  • 3. 1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 3
  • 4. Estudio DigiWorld  Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa  En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC.  Subida frente a 2008 de casi un 6% 4
  • 5. NO.  Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
  • 6. 6
  • 7. Las empresas especializadas en seguridad.  Estas empresas generaron solo en España 640.000.000€ en 2008 7
  • 8. Auditorías de seguridad anuales.  Seguimiento de guías de buenas prácticas OWASP y OSSTMM  Certificación ISO/IEC 27001 (SGSI)  Concienciación de los miembros de la organización.  Seguir los 10 mandamientos de la seguridad informática. 8
  • 9. 1. Cuidaras la seguridad del sistema operativo 2. Aplicaras regularmente las actualizaciones de seguridad 3. Emplearas chequeadores de integridad, antivirus y antispyware 4. Encriptarás la información sensible 5. Usarás sólo modos seguros de acceder al e-mail 6. Utilizarás únicamente navegadores seguros para acceder a la web 7. No abrirás enlaces ni archivos sospechosos 8. Ingresarás datos críticos, sólo en sitios seguros 9. Si debes correr riesgos, usarás sandboxing 10. Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
  • 10. 1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 10
  • 11. Auditoría de aplicaciones web  Auditoría Interna:  Auditoría de caja negra  Auditoría de caja gris  Auditoría de caja blanca  Test de intrusión  Análisis forense  Aplicación de la LOPD(con matices) 11
  • 12. Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes:  sql injection (PHP+MySQL, JAVA,C#+SQL Server).  ldap injection.  xpath injection.  cssp (connection string parameter pollution).  local file inclusión.  remote file inclusion (PHP).  path disclosure.  path traversal 12
  • 13. Caja Negra No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un “hacker” desde fuera de la empresa Caja Gris Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a Administrador y proseguir con auditoría de caja blanca. Caja Blanca Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y poner soluciones. 13
  • 14. Auditoría de Caja Negra en la que solo interesa «obtener un premio»  Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
  • 15. Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa  Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía  Copia de seguridad.  Forense sin alterar pruebas.  Prueba en caso de juicio. 15
  • 16. La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
  • 17. Test de intrusión  Auditoría de caja negra 17
  • 18. Fases:  Obtención de información.  Enumeración.  Footpringting.  Fingerprinting.  Análisis de datos.  Identificación de arquitectura.  Identificación de servicios.  Identificación de vulnerabilidades.  Explotación.  Expedientes de seguridad.  Exploits.  MetaExploit.  Documentación final de un test  Informe técnico.  Informe ejecutivo. 18
  • 19. Footprinting  Dominios y subdominios  Zonas de administración ocultas en un sitio web  Cuentas de usuario y de correo  Ficheros con contraseñas  Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc.  Fingerprinting  Sistema operativo de los servidores y máquinas 19
  • 20. C#+.Net  Interface gráfica  Distribución de herramientas en pestañas  Funcionamiento: Búsqueda de información Recopilación de datos obtenidos Estructuración lógica de información Generación de informe  Herramientas: 20
  • 21. Telnet Módulo Telnet Google Hacking Zone Transfer Scan with Google Fuzzing DNS Módulo DNS Gui Módulo HTTP Scan IP with Bing Scan IP against DNS 404 attack Módulo CMD Fuzzing HTTP Nmap Whois Tracert 21
  • 22. Tracert Banner 404 attack Attack Google Scan with Hacking Google Fuzzing Whois Against DNS Fuzzing Zone Http Summary Transfer Scan IP Google against Sets DNS Scan IP Nmap with Bing Final Audit Report 22
  • 23. 23
  • 24. 1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 24
  • 25. Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001  Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad  Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión  Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
  • 26. Convertir Anubis de herramienta de escritorio a servicio web  Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades  SQL Injection  XSS  etc.  Ampliar las Auditorías cubiertas a caja blanca: 26
  • 27. 27
  • 28. 28
  • 30. Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30
  • 31. 31