Héctor López, profile picture
Subido porHéctor López
PDF, PPTX1,157 vistas

Conferencia OMHE Backtrack 5

La presentación de Héctor López aborda los riesgos informáticos y la importancia de proteger activos críticos como servidores, información del cliente y sistemas operativos frente a ataques maliciosos. Se discute la economía del hacking, el concepto de sabotaje, y la necesidad de un enfoque preventivo en la seguridad cibernética, destacando que la seguridad es un proceso continuo que involucra políticas y procedimientos organizacionales. Además, se exploran las herramientas de hacking y la necesidad de una regulación adecuada para evitar el uso indebido de la tecnología.

Incrustar presentación

Descargar como PDF, PPTX
Héctor López Fundador de la OMHE, Miembro de IAPP, ISACA, ACFE, OPSEC, ACM, Antiphishing Working Group, ISSA hl@omhe.org
Disclaimer • La presentación se brinda con fines de aprendizaje para desarrollar la cultura en seguridad informática y ayudar a prevenir los delitos informáticos en el País. • La OMHE no se hace responsable del mal uso que se los asistentes puedan darle a la información.
Definir Riesgo Informático • Riesgo es la capacidad de que una vulnerabilidad informática pueda ser explotada con éxito y esto cause pérdida, robo ó alteración de los activos de la empresa u organización. • Riesgo es la probabilidad de que un incidente ocurra y esto pueda transformarse en un ataque al hardware , software ó humanware.
Activos a proteger  Servidores  Email  Computadoras escritorio  Integridad de información  Laptops y PDAs  Todos los archivos en el  Switches y Routers servidor  Application software  Información del cliente  Development Tools  Nodos de red  Source Code  DHCP  VPN Access  Disponibilidad del sitio web  Reputación  Backup Tapes  Moral de los empleados
Antecedentes • Economía del hacking - El que sea más difícil de hackear se salva. Analogía: Si te encuentras un oso en el bosque no necesitas correr más fuerte que el oso, solo correr más que tus compañeros. • Stuxnet: Malware dirigido a atacar sistemas industriales, PLC, SCADA. Ej: Plantas de energía nuclear, sistemas de luz eléctrica. • La economía actual se basa más en un sistema númerico que en una moneda física. • Aplicaciones Bancarias 10 Millones lineas de código según Web Application Security Consurtum
Activos a proteger Attempts to Ataque Desastre Natural Sabotaje access private Malicioso information Amenaza Error de Fraude Delitos Usuario LAN Y WAN Pérdida de activos Publicación de información sensible Reportes alterados Daños Potenciales Pérdida de la Operación crítica Falla al cumplir con la calidad Servicio confidencialidad detenida. de servicio del contrato Interrumpido
Un ataque siempre necesita de una víctima. Los ataques se dan por diferentes motivos generalmente buscando un beneficio económico.
Las empresas guardan su información en ambientes mixtos lo cual facilita al atacante la posibilidad de abusar de múltiples vulnerabilidades en: 1.- IP’s 2.- Servicios: HTTP, DNS, DHCP, FTP. 3.- Bases de datos. 4.- Sistemas Operativos. 5.- Hardware.
Para ganar acceso a un sistema ya sea este local ó remoto el proceso existe en encontrar un EXPLOIT ó desarrollarlo para explotar una vulnerabilidad en un servicio ó software existente.
Una vez que se obtiene un acceso lo que necesitamos es mantenerlo y escalar los privilegios en caso de no tener permisos de r00t. Podemos desactivar las defensas de la víctima con el fin de penetrar con más poder: AV’s, Firewalls, IDS, IPS, verificadores de integridad de archivos, etc...
Al realizar un ataque con éxito debemos de borrar los logs en caso de que nuestro objetivo sea realizar un ataque invisible. Cuando se realiza un sabotaje muchas Algunas veces el veces solo les objetivo de los bastará con destruir atacantes es utilizar toda la información nuestros recursos para del servidor. una botnet controlada por IRC ó la instalación de malware.
Cuidado! Puedes ser un zombie y no saberlo.
Manejo de riesgos: Leyes, Regulaciones, Requerimientos, Metas y Objetivos Políticas de la Organización Políticas funcionales Procedimientos Estandares Lineamientos Reglamento
Esquema de seguridad en una aplicación web.
SCADA SCADA stands for supervisory control and data acquisition. It generally refers to industrial control systems
Cyberwarfare
HOW TO ?
• Quién es más culpable? El que crea el arma, el que la usa ó el que la vende ? Es difícil llegar a una conclusión. • Las herramientas de hacking pueden ser consideradas como armas literalmente. • Las herramientas de seguridad informática necesitan ser reguladas de la manera correcta. • Debemos de prohibir los recursos a este tipo de personas que no tienen conciencia sobre el daño que pueden causar. • LEYES: Hacking Law 202c implementada en Alemania.
Qué es Backtrack 5 ? Basada en Hacking Toolkit
Backtrack 5 T00lKit
Aprender hacking sin problemas legales.
Conclusiones • La seguridad NO es un producto - Es un PROCESO e involucra personas. • Hay que ser preventivos en lugar de ser correctivos • Liberar nuestras mentes e impulsar el Software Libre es la única solución en México para salir de la esclavitud. RIP - Steve Jobs :(
Agradecimientos:
www.omhe.org Héctor López VAMOS JUNTOS POR UN MÉXICO MÁS SEGURO Libertad, Igualdad y Fraternidad :. hl@omhe.org twitter: hlixaya

Más contenido relacionado

PPT
ABC de la seguridad para PyMEs (2009)
porSantiago Cavanna
 
PPTX
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
porSantiago Cavanna
 
PPTX
Ciberseguridad durante la pandemia [Paulino Calderon]
porWebsec México
 
PDF
Forum 20210824 Suarez-Cavanna Ciberseguridad
porSantiago Cavanna
 
PDF
Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...
porFernando Tricas García
 
PDF
Webinar: Ciberseguridad en los sistemas industriales
porTGS
 
PPT
SEGURIDAD INFORMATICA
porpaomurciascarpetta
 
PPTX
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
porCristian Garcia G.
 
ABC de la seguridad para PyMEs (2009)
porSantiago Cavanna
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
porSantiago Cavanna
 
Ciberseguridad durante la pandemia [Paulino Calderon]
porWebsec México
 
Forum 20210824 Suarez-Cavanna Ciberseguridad
porSantiago Cavanna
 
Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...
porFernando Tricas García
 
Webinar: Ciberseguridad en los sistemas industriales
porTGS
 
SEGURIDAD INFORMATICA
porpaomurciascarpetta
 
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
porCristian Garcia G.
 

La actualidad más candente

PPTX
Seguridad en sistemas operativos
porFelipe Garza Sánchez
 
ODP
Seguridad informatica Con Software Libre
porJuan Salas Santillana
 
PPTX
Ciberataques irreversibles en la red
porCristian Garcia G.
 
PDF
Medidas básicas de seguridad informática para empresas
poreconred
 
PPTX
Metodología de Defensa Basada en NIST CSF
porCristian Garcia G.
 
PPTX
Seguridad Informatica
porPedro Trelles Araujo
 
PPTX
Seguridad y protección
porgrarysit
 
PDF
Cómo gestionar los riesgos de ciberseguridad
porTGS
 
PPTX
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
porRaúl Díaz
 
PPT
Seguridad Informática
porlamugre
 
PPTX
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
porCristian Garcia G.
 
PPTX
Seguridad Lógica
porXavier
 
PDF
Analisis y diagnostico consultivo Eduardo Rivero
porCristian Garcia G.
 
PDF
Debilidades vulnerabilidades protocolos_charla_spectra
porJhon Jairo Hernandez
 
PDF
Seguridad de la Informacion
porDigetech.net
 
PDF
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
porCristian Garcia G.
 
PDF
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
porCristian Garcia G.
 
PPTX
10 mandamientos2.0
porMarco Antonio Perelli Henríquez
 
PPS
Como los delincuentes roban tu privacidad hacking en_vivo
porJhon Jairo Hernandez
 
PDF
Modulo I: Arquitectura de Seguridad Informática
porJuan Manuel García
 
Seguridad en sistemas operativos
porFelipe Garza Sánchez
 
Seguridad informatica Con Software Libre
porJuan Salas Santillana
 
Ciberataques irreversibles en la red
porCristian Garcia G.
 
Medidas básicas de seguridad informática para empresas
poreconred
 
Metodología de Defensa Basada en NIST CSF
porCristian Garcia G.
 
Seguridad Informatica
porPedro Trelles Araujo
 
Seguridad y protección
porgrarysit
 
Cómo gestionar los riesgos de ciberseguridad
porTGS
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
porRaúl Díaz
 
Seguridad Informática
porlamugre
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
porCristian Garcia G.
 
Seguridad Lógica
porXavier
 
Analisis y diagnostico consultivo Eduardo Rivero
porCristian Garcia G.
 
Debilidades vulnerabilidades protocolos_charla_spectra
porJhon Jairo Hernandez
 
Seguridad de la Informacion
porDigetech.net
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
porCristian Garcia G.
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
porCristian Garcia G.
 
10 mandamientos2.0
porMarco Antonio Perelli Henríquez
 
Como los delincuentes roban tu privacidad hacking en_vivo
porJhon Jairo Hernandez
 
Modulo I: Arquitectura de Seguridad Informática
porJuan Manuel García
 

Destacado

DOCX
Colcha katherine trabajo windows6
porKaterin Colcha
 
PDF
Lemmy magazine
porRobin Alway
 
PDF
JDB recommendation
porJosh Douglas
 
PDF
BofA-Award
porDaniel Skidell
 
PPT
Midiendo la velocidad de un fluido
porValentina Valenzuela
 
PDF
Article
porEdgar Fernandes
 
PDF
auditor Interno ISO 9001 (t&b)
porNayely Elizabeth Aguirre
 
PDF
the 25 most high tech cities in the world
porSimentor Ad & Koi
 
DOCX
Colcha katherine trabajo windows6
porKaterin Colcha
 
PDF
Resume(10-27-15)
porChristian Spraungel
 
PDF
Appreciation letter from TVS Motor (2)
porSamridhi Mangal
 
PDF
Daños a la salud y medio ambiente
porapazacorina
 
PPTX
How to earn higher income working from home
porMarilyn Pasana
 
Colcha katherine trabajo windows6
porKaterin Colcha
 
Lemmy magazine
porRobin Alway
 
JDB recommendation
porJosh Douglas
 
BofA-Award
porDaniel Skidell
 
Midiendo la velocidad de un fluido
porValentina Valenzuela
 
Article
porEdgar Fernandes
 
auditor Interno ISO 9001 (t&b)
porNayely Elizabeth Aguirre
 
the 25 most high tech cities in the world
porSimentor Ad & Koi
 
Colcha katherine trabajo windows6
porKaterin Colcha
 
Resume(10-27-15)
porChristian Spraungel
 
Appreciation letter from TVS Motor (2)
porSamridhi Mangal
 
Daños a la salud y medio ambiente
porapazacorina
 
How to earn higher income working from home
porMarilyn Pasana
 

Similar a Conferencia OMHE Backtrack 5

PPTX
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
porHéctor López
 
PDF
Conferencia Universidad de Tacna del Perú
porHéctor López
 
PPTX
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
porHéctor López
 
PPT
Seguridad informática y de ti
porMario Nizama
 
PPT
Corp. In. Tec. S.A. - Trend Argentina Partners - Seguridad de la Red
porCorporacion de Industrias Tecnologicas S.A.
 
PDF
Seguridad y Alta Disponibilidad: ataques
porJesús Moreno León
 
PPTX
Vulnerabilidad en los sistemas
porAlberth ibañez Fauched
 
PDF
Cebek - Medidas basicas de seguridad - 201504
porAndoni Eguíluz Morán
 
PPTX
Modulo i introducción curso seguridad 2010
porguestf02120
 
PPTX
Uso ético y seguro de las TIC
porAndoni Eguíluz Morán
 
PDF
03 seguridadeninformaticav1.0
porOttoLpezAguilar
 
PPT
Introduccion Seguridad
porprof.2007
 
PPTX
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
porAlex Rafael Polanco Bobadilla
 
PPTX
03SeguridadenInformaticaV1.0.pptx
porJhon887166
 
PDF
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
porGabriel Marcos
 
PPTX
Curso de Ethical Hacking
porMarcos Harasimowicz
 
PPTX
Seguridad Informática sobre los diferentes entes cibernéticos.
porKaren862494
 
PPTX
Seguridad informatica EAE
porcarlitoszamora
 
PPTX
Seguridad Informatica y Gestión de Riesgos
pordaylisyfran
 
PPTX
Seguridad informatica
porcarlitoszamora
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
porHéctor López
 
Conferencia Universidad de Tacna del Perú
porHéctor López
 
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
porHéctor López
 
Seguridad informática y de ti
porMario Nizama
 
Corp. In. Tec. S.A. - Trend Argentina Partners - Seguridad de la Red
porCorporacion de Industrias Tecnologicas S.A.
 
Seguridad y Alta Disponibilidad: ataques
porJesús Moreno León
 
Vulnerabilidad en los sistemas
porAlberth ibañez Fauched
 
Cebek - Medidas basicas de seguridad - 201504
porAndoni Eguíluz Morán
 
Modulo i introducción curso seguridad 2010
porguestf02120
 
Uso ético y seguro de las TIC
porAndoni Eguíluz Morán
 
03 seguridadeninformaticav1.0
porOttoLpezAguilar
 
Introduccion Seguridad
porprof.2007
 
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
porAlex Rafael Polanco Bobadilla
 
03SeguridadenInformaticaV1.0.pptx
porJhon887166
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
porGabriel Marcos
 
Curso de Ethical Hacking
porMarcos Harasimowicz
 
Seguridad Informática sobre los diferentes entes cibernéticos.
porKaren862494
 
Seguridad informatica EAE
porcarlitoszamora
 
Seguridad Informatica y Gestión de Riesgos
pordaylisyfran
 
Seguridad informatica
porcarlitoszamora
 

Conferencia OMHE Backtrack 5

  • 1.
    Héctor López Fundador dela OMHE, Miembro de IAPP, ISACA, ACFE, OPSEC, ACM, Antiphishing Working Group, ISSA hl@omhe.org
  • 2.
    Disclaimer • La presentación se brinda con fines de aprendizaje para desarrollar la cultura en seguridad informática y ayudar a prevenir los delitos informáticos en el País. • La OMHE no se hace responsable del mal uso que se los asistentes puedan darle a la información.
  • 3.
    Definir Riesgo Informático • Riesgo es la capacidad de que una vulnerabilidad informática pueda ser explotada con éxito y esto cause pérdida, robo ó alteración de los activos de la empresa u organización. • Riesgo es la probabilidad de que un incidente ocurra y esto pueda transformarse en un ataque al hardware , software ó humanware.
  • 4.
    Activos a proteger  Servidores  Email  Computadoras escritorio  Integridad de información  Laptops y PDAs  Todos los archivos en el  Switches y Routers servidor  Application software  Información del cliente  Development Tools  Nodos de red  Source Code  DHCP  VPN Access  Disponibilidad del sitio web  Reputación  Backup Tapes  Moral de los empleados
  • 5.
    Antecedentes • Economía delhacking - El que sea más difícil de hackear se salva. Analogía: Si te encuentras un oso en el bosque no necesitas correr más fuerte que el oso, solo correr más que tus compañeros. • Stuxnet: Malware dirigido a atacar sistemas industriales, PLC, SCADA. Ej: Plantas de energía nuclear, sistemas de luz eléctrica. • La economía actual se basa más en un sistema númerico que en una moneda física. • Aplicaciones Bancarias 10 Millones lineas de código según Web Application Security Consurtum
  • 6.
    Activos a proteger Attempts to Ataque Desastre Natural Sabotaje access private Malicioso information Amenaza Error de Fraude Delitos Usuario LAN Y WAN Pérdida de activos Publicación de información sensible Reportes alterados Daños Potenciales Pérdida de la Operación crítica Falla al cumplir con la calidad Servicio confidencialidad detenida. de servicio del contrato Interrumpido
  • 7.
    Un ataque siemprenecesita de una víctima. Los ataques se dan por diferentes motivos generalmente buscando un beneficio económico.
  • 8.
    Las empresas guardansu información en ambientes mixtos lo cual facilita al atacante la posibilidad de abusar de múltiples vulnerabilidades en: 1.- IP’s 2.- Servicios: HTTP, DNS, DHCP, FTP. 3.- Bases de datos. 4.- Sistemas Operativos. 5.- Hardware.
  • 9.
    Para ganar accesoa un sistema ya sea este local ó remoto el proceso existe en encontrar un EXPLOIT ó desarrollarlo para explotar una vulnerabilidad en un servicio ó software existente.
  • 10.
    Una vez quese obtiene un acceso lo que necesitamos es mantenerlo y escalar los privilegios en caso de no tener permisos de r00t. Podemos desactivar las defensas de la víctima con el fin de penetrar con más poder: AV’s, Firewalls, IDS, IPS, verificadores de integridad de archivos, etc...
  • 11.
    Al realizar unataque con éxito debemos de borrar los logs en caso de que nuestro objetivo sea realizar un ataque invisible. Cuando se realiza un sabotaje muchas Algunas veces el veces solo les objetivo de los bastará con destruir atacantes es utilizar toda la información nuestros recursos para del servidor. una botnet controlada por IRC ó la instalación de malware.
  • 13.
    Cuidado! Puedes ser unzombie y no saberlo.
  • 14.
    Manejo de riesgos: Leyes, Regulaciones, Requerimientos, Metas y Objetivos Políticas de la Organización Políticas funcionales Procedimientos Estandares Lineamientos Reglamento
  • 15.
    Esquema de seguridaden una aplicación web.
  • 16.
    SCADA SCADA stands forsupervisory control and data acquisition. It generally refers to industrial control systems
  • 17.
  • 19.
  • 20.
    • Quién esmás culpable? El que crea el arma, el que la usa ó el que la vende ? Es difícil llegar a una conclusión. • Las herramientas de hacking pueden ser consideradas como armas literalmente. • Las herramientas de seguridad informática necesitan ser reguladas de la manera correcta. • Debemos de prohibir los recursos a este tipo de personas que no tienen conciencia sobre el daño que pueden causar. • LEYES: Hacking Law 202c implementada en Alemania.
  • 21.
    Qué es Backtrack5 ? Basada en Hacking Toolkit
  • 22.
  • 24.
    Aprender hacking sinproblemas legales.
  • 25.
    Conclusiones • La seguridadNO es un producto - Es un PROCESO e involucra personas. • Hay que ser preventivos en lugar de ser correctivos • Liberar nuestras mentes e impulsar el Software Libre es la única solución en México para salir de la esclavitud. RIP - Steve Jobs :(
  • 26.
  • 27.
    www.omhe.org Héctor López VAMOS JUNTOS POR UN MÉXICO MÁS SEGURO Libertad, Igualdad y Fraternidad :. hl@omhe.org twitter: hlixaya