Este documento presenta una conferencia sobre hacking ético y contramedidas que se llevará a cabo en UNITEC en enero de 2005. La conferencia cubrirá temas como qué es un hacker ético, cómo pensar como un hacker, herramientas de hacking, amenazas a la seguridad, y la certificación de hacker ético otorgada por el Consejo de Ética de Ciberseguridad. El objetivo es mostrar cómo un hacker ético puede ayudar a evaluar y mejorar la seguridad de las redes corporativas.

1. ¡Para detener al Hacker hay que pensar como él!
www.unitec.mx
Ethical Hacking
&
Contramedidas
Conferencia en UNITEC, enero de 2005
Alejandro Domínguez (alexdfar@yahoo.com)
Jaime Devereux (CEH)
Santiago Monterrosa (CEH)

2. Objetivos y temas a tratar en la plática
 Objetivos
 Mostrar qué se está haciendo para evaluar la seguridad de las
redes corporativas utilizando los servicios de un Hacker Ético
 Dar una perspectiva general sobre los riesgos actuales en la
seguridad de TI
 Proveer algunos lineamientos para mejorar la seguridad de TI
 Demostrar lo sencillo y peligroso que puede ser el hackeo …
 Temas
 Parte 1: ¿Un Hacker Ético?
 Parte 2: Hackear o no hackear ...
 Parte 3: EC Council y Certified Ethical Hacker
 Parte 4: Sesión de preguntas y ¿respuestas?

3. Parte 1: ¿ Un Hacker Ético ?

4. Introducción
 Todos los días, penetran intrusos a las redes y
servidores de todo el mundo
 Elnivel de sofisticación de estos ataques es muy
variable
 Se cree que la mayoría de los ataques se deben a
passwords débiles
 Aunque muchas de las intrusiones utilizan técnicas
más avanzadas
 Este último tipo de ataques, por su propia naturaleza,
son difíciles de detectar

5. Algunas estadísticas
 El 90% de las redes en empresas y
los gobiernos tuvieron violaciones
de seguridad informática en 2002
 El número de ataques y las
consecuentes pérdidas, son mucho
mayores que lo que se reporta en
los medios
 La mayoría de los incidentes se
ocultan para proteger la reputación
de las empresas
 Aun las empresas que contratan
investigadores, no permiten que
nadie externo a la organización sepa
Fuente: 2002 CSI/FBI Computerdaños Security Survey
la cuantía de los Crime and causados

6. Más estadísticas
 Empresas del Fortune 1,000 perdieron más
de 45,000 MDD por robos de información en
2002
 La mayoría de los ataques fueron a
empresas de tecnología
 67 ataques individuales promediaron 15 MDD
en pérdidas
 Se estima que el virus LoveLetter causó
daños por 10,000 MDD
 Los daños reportados del virus Melissa
fueron de 385 MDD
 El costo de los desastres por virus está entre
US$100,000 y US$1 millón por empresa
Fuente: ICSA.Net, 23 October 2000, http://www.securitystats.com/reports.asp , Computer Virus Prevalence Survey

7. Amenazas a los datos
 Las amenazas provienen de:
 Personal interno
 El personal interno es el más peligroso pues
conoce bien el ambiente
 Hackers/Crackers
 Los Hackers/Crackers pueden entrar a los
sistemas sólo para explorar la infraestructura
o pueden hackear por razones maliciosas
 Espionaje industrial
 El espionaje industrial comprende obtener
información confidencial de corporaciones o
entidades gubernamentales para el beneficio
de terceros
 Código malicioso

8. Tipos de ataque
Ataques externos Compañía
Ataques internos
por Internet
por la Intranet
59% de los ataques se hacen por Internet
38% de los ataques los hacen empleados internamente

9. Entablar amistad con alguien interno
 Los hackers intentan trabajar con
alguien interno o infiltrar a alguien
en la organización
 Un análisis del Departamento del
Tesoro de USA indica que más
del 60 por ciento de las
intrusiones reportadas involucran
a alguien dentro de la empresa
 La función de la persona interna
infiltrada es encontrar alguna
debilidad desconocida para los
administradores del sistema

10. Ataques externos más frecuentes
Frequent Points of Attack
 Existe un mayor uso
de Internet
Internet
59
connection  Las técnicas y
herramientas que se
Internal crean día a día
38 permiten de nuevas
systems
oportunidades de
ataque
0 20 40 60 80
Percent of respondents
Source: 2000 CSI/FBI Computer Crime and Security Survey

11. Evolución de herramientas de ataque
packet forging /
Complejidad técnica relativa
sniffer / spoofing Herramientas
exploiting back sweepers
known doors
de hackers
vulnerabilities
GUI
stealth
self-replicating hijacking diagnostics
code sessions
disabling
password audits Intruso
cracking
password promedio
guessing
1980 1985 1990 1995
Fuente: GAO Report to Congress, 1996

12. La tendencia continua
DDoS Herramientas
Insertion
de hackers
Complejidad técnica relativa
Tools
Windows Trinoo
Remote
?
Control PrettyPark
Stacheldraht
Melissa
Kiddie
Scripter
1998 1999 2000 2001

13. Parte 2: Hackear o no hackear …

14. Habilidades de los hackers
 Un hacker capaz tiene los siguientes conocimientos:
 Ingeniería de Internet
 TCP/IP, NFS, Redes inalámbricas, GPRS
 Administración de sistemas
 Windows 2000, Linux, Solaris, Palm OS etc.
 Administración de redes
 SNMP, Tivoli, HP OpenView, Switches, Routers etc.
 Ingeniería en reversa
 Decompilers, circuit breakers
 Computación distribuida
 J2EE, RPC, Corba, Web Services
 Criptografía
 SSL, PKI, Certificados digitales
 Ingeniería Social
 Convencimiento, seducción, simpatía, engaño, etc.
 Programación
 C++, Java, Perl, JavaScript, HTML, ASP
 Bases de datos
 SQL Server, Oracle, DB2, MySQL

15. Herramientas de Hacking
 Hay herramientas disponibles
en muchos sitios Web
disfrazados
 Las herramientas son cada día
más sofisticadas y poderosas
en cuanto a:
 Eficiencia
 Distribución
 Furtividad
 Automatización
 Facilidad de uso

16. Sitio Hacker Underground
www.cleo-and-nacho.com
Hacer Clic aquí

17. Los sitios/portales
 Susitio/portal no necesita ser tan
famoso como Yahoo o eBay para
que sea atacado
 Los hackers
 Necesitan un lugar para ocultar su
rastro
 Necesitan tu máquina como
trampolín para atacar otros sitios
 Necesitan de diversos recursos
para llevar a cabo sus actividades

18. En Google …
 Se pueden bajar herramientas de
hacker fácilmente de Internet
 La funcionalidad de las herramientas
se incrementa día a día
 El conocimiento de los hackers
disminuye
 El número de hackers aumenta
 Algún día hasta un niño de primaria
podrá meterse a sus sistemas

19. Las amenazas
 Las herramientas de hackeo son cada vez más
sofisticadas y poderosas en términos de
 Eficiencia
 Formas de ataque
 Camuflaje
 Facilidad de manejo
 Amigabilidad

20. The Threats

21. Las amenazas
 Las debilidades en seguridad de tus equipos se
pueden identificar con herramientas de escaneo
 La seguridad de cualquier red en Internet
depende de la seguridad de todas las demás
redes
 Ninguna red es realmente segura

22. Cómo se meten
 Pasos generales
 Localizan una víctima mediante
un programa de escaneo
 Identifican la vulnerabilidad del
equipo de la victima
 Atacan la máquina host de la
victima por medio de las
vulnerabilidades identificadas
 Establecen una puerta trasera,
para poder tener acceso en el
futuro

23. Prevención General
 Pruebe e instale service packs y hotfixes
 Corra y mantenga el software antivirus
 Instale un sistema de detección de intrusos en el
perímetro de la red
 No dejar pasar mensajes con extensión *.exe,
*.vbs o *.dll en archivos adjuntos
 Reinstale los sistemas infectados

24. ¿ Cómo se infectan los sistemas?
 Caballos de Troya
 Inserción manual
 Animaciones
● Compartiendo
 Screen savers información
 Video juegos ● Acceso físico
Política:
Controlar el
código maligno en
el equipo de los
usuarios

25. Todos estamos en esto juntos
Seguridad Proveedores
Usuarios de la de
Red Servicios
Proveedores
de Software
y Equipos

26. Parte 3 EC Council y Certified Ethical
Hacker

27. ¿Qué es un Ethical Hacker?
 Es un profesional de seguridad que busca
constantemente enriquecer su conocimiento y
experiencia
 Se forma a partir de conocimientos y bases
sólidas de seguridad
 Queda respaldado por la industria no solo con
base en su experiencia o el conocimiento teórico,
sino por una certificación (Certified Ethical
Hacker, EC Council)

28. ¿Qué no es un Ethical Hacker?
 No es un hacker improvisado
 No se dice experto para ser luego un adorno más
en su vitrina de trofeos
 No es un individuo que cambia de carrera para
convertirse en EH de la noche a la mañana
 No esta atado a una tecnología o herramienta
específica

29. ¿Cómo ayuda un EH a la organización?
 Un EH certificado reconoce el valor de su
conocimiento
 Constantemente aprende medidas preventivas
para proteger tus activos de información
 Aboga por las mejores prácticas y medidas de
solución en seguridad de sistemas informáticos a
partir de su conocimiento
 Utiliza una metodología dinámica que se adapta
a la realidad del mundo

30. Certificación de seguridad – CEH

31. ¿ Qué hacer ?
 Identifique a la gente adecuada
 Involúcrelos en las Políticas de Seguridad
 Capacítelos y certifíquelos

32. Capacitación
 Dónde obtener certificación
 CISSP: Certification for Information Security
Professional (http://www.isc2.org)
 CEH: Certified Ethical Hacker
(http://www.eccouncil.org)
 CHFI: Certified Hacker Forensic Investigator
(http://www.eccouncil.org)

33. Algunos nombres
 Hacking
 Es Romper Seguridad
 Forensic
 Es Descubrir las huellas
 Recovery
 Es Recuperar la información perdida
 Penetration Test
 Es Saber como realizar pruebas de penetración
 Audit
 EsGarantizar estrategia de seguridad adecuada
basada en normas

34. ¿Estándares?
 En 2005 EC-Council se establecerá como cuerpo
de desarrollo de estándares de seguridad de TI a
nivel mundial
 Una organización podrá certificar su
infraestructura de TI con base en estándares EC-
Council
 Podrá aplicar auditoria de seguridad a su
infraestructura certificada

35. Parte 4 : ¿ Alguna pregunta ?

36. Gracias
 Gracias por su tiempo