Este documento presenta una conferencia sobre hacking ético y contramedidas de seguridad. La conferencia cubre el papel de un hacker ético en la evaluación de la seguridad de redes corporativas, los riesgos actuales de seguridad de TI, y lineamientos para mejorar la seguridad. La presentación también discute las habilidades y herramientas de los hackers, las amenazas comunes como ataques internos y externos, y la certificación de hacker ético otorgada por el Consejo de Ética de Cómputo.

1. ¡Para detener al Hacker hay que pensar como él!
Conferencia en UNITEC, enero de 2005
Alejandro Domínguez (alexdfar@yahoo.com)
Jaime Devereux (CEH)
Santiago Monterrosa (CEH)
Ethical Hacking
&
Contramedidas
www.unitec.mx

2. Objetivos y temas a tratar en la plática
 Objetivos
 Mostrar qué se está haciendo para evaluar la seguridad de las
redes corporativas utilizando los servicios de un Hacker Ético
 Dar una perspectiva general sobre los riesgos actuales en la
seguridad de TI
 Proveer algunos lineamientos para mejorar la seguridad de TI
 Demostrar lo sencillo y peligroso que puede ser el hackeo …
 Temas
 Parte 1: ¿Un Hacker Ético?
 Parte 2: Hackear o no hackear ...
 Parte 3: EC Council y Certified Ethical Hacker
 Parte 4: Sesión de preguntas y ¿respuestas?

3. Parte 1: ¿ Un Hacker Ético ?

4. Introducción
 Todos los días, penetran intrusos a las redes y
servidores de todo el mundo
 El nivel de sofisticación de estos ataques es muy
variable
 Se cree que la mayoría de los ataques se deben a
passwords débiles
 Aunque muchas de las intrusiones utilizan técnicas
más avanzadas
 Este último tipo de ataques, por su propia naturaleza,
son difíciles de detectar

5. Algunas estadísticas
 El 90% de las redes en empresas y
los gobiernos tuvieron violaciones
de seguridad informática en 2002
 El número de ataques y las
consecuentes pérdidas, son mucho
mayores que lo que se reporta en
los medios
 La mayoría de los incidentes se
ocultan para proteger la reputación
de las empresas
 Aun las empresas que contratan
investigadores, no permiten que
nadie externo a la organización sepa
la cuantía de los daños causadosFuente: 2002 CSI/FBI Computer Crime and Security Survey

6. Más estadísticas
 Empresas del Fortune 1,000 perdieron más
de 45,000 MDD por robos de información en
2002
 La mayoría de los ataques fueron a
empresas de tecnología
 67 ataques individuales promediaron 15 MDD
en pérdidas
 Se estima que el virus LoveLetter causó
daños por 10,000 MDD
 Los daños reportados del virus Melissa
fueron de 385 MDD
 El costo de los desastres por virus está entre
US$100,000 y US$1 millón por empresa
Fuente: ICSA.Net, 23 October 2000, http://www.securitystats.com/reports.asp , Computer Virus Prevalence Survey

7. Amenazas a los datos
 Las amenazas provienen de:
 Personal interno
 El personal interno es el más peligroso pues
conoce bien el ambiente
 Hackers/Crackers
 Los Hackers/Crackers pueden entrar a los
sistemas sólo para explorar la infraestructura
o pueden hackear por razones maliciosas
 Espionaje industrial
 El espionaje industrial comprende obtener
información confidencial de corporaciones o
entidades gubernamentales para el beneficio
de terceros
 Código malicioso

8. Tipos de ataque
Ataques externos
por Internet
Ataques internos
por la Intranet
59% de los ataques se hacen por Internet
38% de los ataques los hacen empleados internamente
Compañía

9. Entablar amistad con alguien interno
 Los hackers intentan trabajar con
alguien interno o infiltrar a alguien
en la organización
 Un análisis del Departamento del
Tesoro de USA indica que más
del 60 por ciento de las
intrusiones reportadas involucran
a alguien dentro de la empresa
 La función de la persona interna
infiltrada es encontrar alguna
debilidad desconocida para los
administradores del sistema

10. Ataques externos más frecuentes
 Existe un mayor uso
de Internet
 Las técnicas y
herramientas que se
crean día a día
permiten de nuevas
oportunidades de
ataque
Source: 2000 CSI/FBI Computer Crime and Security Survey
Frequent Points of Attack
38
59
0 20 40 60 80
Internal
systems
Internet
connection
Percent of respondents

11. password
guessing
self-replicating
code
password
cracking
exploiting
known
vulnerabilities
disabling
audits
back
doors
hijacking
sessions
sniffer /
sweepers
stealth
diagnostics
packet forging /
spoofing
GUI
Herramientas
de hackers
Intruso
promedio
1980 1985 1990 1995
Complejidadtécnicarelativa
Fuente: GAO Report to Congress, 1996
Evolución de herramientas de ataque

12. La tendencia continua
Windows
Remote
Control
Stacheldraht
Trinoo
Melissa
PrettyPark
1998 1999 2000
?
DDoS
Insertion
Tools
Herramientas
de hackers
Kiddie
Scripter
2001
Complejidadtécnicarelativa

13. Parte 2: Hackear o no hackear …

14. Habilidades de los hackers
 Un hacker capaz tiene los siguientes conocimientos:
 Ingeniería de Internet
 TCP/IP, NFS, Redes inalámbricas, GPRS
 Administración de sistemas
 Windows 2000, Linux, Solaris, Palm OS etc.
 Administración de redes
 SNMP, Tivoli, HP OpenView, Switches, Routers etc.
 Ingeniería en reversa
 Decompilers, circuit breakers
 Computación distribuida
 J2EE, RPC, Corba, Web Services
 Criptografía
 SSL, PKI, Certificados digitales
 Ingeniería Social
 Convencimiento, seducción, simpatía, engaño, etc.
 Programación
 C++, Java, Perl, JavaScript, HTML, ASP
 Bases de datos
 SQL Server, Oracle, DB2, MySQL

15. Herramientas de Hacking
 Hay herramientas disponibles
en muchos sitios Web
disfrazados
 Las herramientas son cada día
más sofisticadas y poderosas
en cuanto a:
 Eficiencia
 Distribución
 Furtividad
 Automatización
 Facilidad de uso

16. Sitio Hacker Underground
www.cleo-and-nacho.com
Hacer Clic aquí

17. Los sitios/portales
 Su sitio/portal no necesita ser tan
famoso como Yahoo o eBay para
que sea atacado
 Los hackers
 Necesitan un lugar para ocultar su
rastro
 Necesitan tu máquina como
trampolín para atacar otros sitios
 Necesitan de diversos recursos
para llevar a cabo sus actividades

18. En Google …
 Se pueden bajar herramientas de
hacker fácilmente de Internet
 La funcionalidad de las herramientas
se incrementa día a día
 El conocimiento de los hackers
disminuye
 El número de hackers aumenta
 Algún día hasta un niño de primaria
podrá meterse a sus sistemas

19. Las amenazas
 Las herramientas de hackeo son cada vez más
sofisticadas y poderosas en términos de
 Eficiencia
 Formas de ataque
 Camuflaje
 Facilidad de manejo
 Amigabilidad

20. The Threats

21. Las amenazas
 Las debilidades en seguridad de tus equipos se
pueden identificar con herramientas de escaneo
 La seguridad de cualquier red en Internet
depende de la seguridad de todas las demás
redes
 Ninguna red es realmente segura

22. Cómo se meten
 Pasos generales
 Localizan una víctima mediante
un programa de escaneo
 Identifican la vulnerabilidad del
equipo de la victima
 Atacan la máquina host de la
victima por medio de las
vulnerabilidades identificadas
 Establecen una puerta trasera,
para poder tener acceso en el
futuro

23. Prevención General
 Pruebe e instale service packs y hotfixes
 Corra y mantenga el software antivirus
 Instale un sistema de detección de intrusos en el
perímetro de la red
 No dejar pasar mensajes con extensión *.exe,
*.vbs o *.dll en archivos adjuntos
 Reinstale los sistemas infectados

24. ¿ Cómo se infectan los sistemas?
 Caballos de Troya
 Animaciones
 Screen savers
 Video juegos
Política:
Controlar el
código maligno en
el equipo de los
usuarios
 Inserción manual
● Compartiendo
información
● Acceso físico

25. Todos estamos en esto juntos
Usuarios
Proveedores
de
Servicios
Proveedores
de Software
y Equipos
Seguridad
de la
Red

26. Parte 3 EC Council y Certified Ethical
Hacker

27. ¿Qué es un Ethical Hacker?
 Es un profesional de seguridad que busca
constantemente enriquecer su conocimiento y
experiencia
 Se forma a partir de conocimientos y bases
sólidas de seguridad
 Queda respaldado por la industria no solo con
base en su experiencia o el conocimiento teórico,
sino por una certificación (Certified Ethical
Hacker, EC Council)

28. ¿Qué no es un Ethical Hacker?
 No es un hacker improvisado
 No se dice experto para ser luego un adorno más
en su vitrina de trofeos
 No es un individuo que cambia de carrera para
convertirse en EH de la noche a la mañana
 No esta atado a una tecnología o herramienta
específica

29. ¿Cómo ayuda un EH a la organización?
 Un EH certificado reconoce el valor de su
conocimiento
 Constantemente aprende medidas preventivas
para proteger tus activos de información
 Aboga por las mejores prácticas y medidas de
solución en seguridad de sistemas informáticos a
partir de su conocimiento
 Utiliza una metodología dinámica que se adapta
a la realidad del mundo

30. Certificación de seguridad – CEH

31. ¿ Qué hacer ?
 Identifique a la gente adecuada
 Involúcrelos en las Políticas de Seguridad
 Capacítelos y certifíquelos

32. Capacitación
 Dónde obtener certificación
 CISSP: Certification for Information Security
Professional (http://www.isc2.org)
 CEH: Certified Ethical Hacker
(http://www.eccouncil.org)
 CHFI: Certified Hacker Forensic Investigator
(http://www.eccouncil.org)

33. Algunos nombres
 Hacking
 Es Romper Seguridad
 Forensic
 Es Descubrir las huellas
 Recovery
 Es Recuperar la información perdida
 Penetration Test
 Es Saber como realizar pruebas de penetración
 Audit
 Es Garantizar estrategia de seguridad adecuada
basada en normas

34. ¿Estándares?
 En 2005 EC-Council se establecerá como cuerpo
de desarrollo de estándares de seguridad de TI a
nivel mundial
 Una organización podrá certificar su
infraestructura de TI con base en estándares EC-
Council
 Podrá aplicar auditoria de seguridad a su
infraestructura certificada

35. Parte 4 : ¿ Alguna pregunta ?

36. Gracias
 Gracias por su tiempo