Este documento presenta una conferencia sobre hacking ético y contramedidas que se llevará a cabo en UNITEC en enero de 2005. La conferencia cubrirá temas como qué es un hacker ético, cómo pensar como un hacker, herramientas de hacking, amenazas a la seguridad, y la certificación de hacker ético otorgada por el Consejo de Ética de Ciberseguridad. El objetivo es mostrar cómo un hacker ético puede ayudar a evaluar y mejorar la seguridad de las redes corporativas.
1. ¡Para detener al Hacker hay que pensar como él!
www.unitec.mx
Ethical Hacking
&
Contramedidas
Conferencia en UNITEC, enero de 2005
Alejandro Domínguez (alexdfar@yahoo.com)
Jaime Devereux (CEH)
Santiago Monterrosa (CEH)
2. Objetivos y temas a tratar en la plática
Objetivos
Mostrar qué se está haciendo para evaluar la seguridad de las
redes corporativas utilizando los servicios de un Hacker Ético
Dar una perspectiva general sobre los riesgos actuales en la
seguridad de TI
Proveer algunos lineamientos para mejorar la seguridad de TI
Demostrar lo sencillo y peligroso que puede ser el hackeo …
Temas
Parte 1: ¿Un Hacker Ético?
Parte 2: Hackear o no hackear ...
Parte 3: EC Council y Certified Ethical Hacker
Parte 4: Sesión de preguntas y ¿respuestas?
4. Introducción
Todos los días, penetran intrusos a las redes y
servidores de todo el mundo
Elnivel de sofisticación de estos ataques es muy
variable
Se cree que la mayoría de los ataques se deben a
passwords débiles
Aunque muchas de las intrusiones utilizan técnicas
más avanzadas
Este último tipo de ataques, por su propia naturaleza,
son difíciles de detectar
5. Algunas estadísticas
El 90% de las redes en empresas y
los gobiernos tuvieron violaciones
de seguridad informática en 2002
El número de ataques y las
consecuentes pérdidas, son mucho
mayores que lo que se reporta en
los medios
La mayoría de los incidentes se
ocultan para proteger la reputación
de las empresas
Aun las empresas que contratan
investigadores, no permiten que
nadie externo a la organización sepa
Fuente: 2002 CSI/FBI Computerdaños Security Survey
la cuantía de los Crime and causados
6. Más estadísticas
Empresas del Fortune 1,000 perdieron más
de 45,000 MDD por robos de información en
2002
La mayoría de los ataques fueron a
empresas de tecnología
67 ataques individuales promediaron 15 MDD
en pérdidas
Se estima que el virus LoveLetter causó
daños por 10,000 MDD
Los daños reportados del virus Melissa
fueron de 385 MDD
El costo de los desastres por virus está entre
US$100,000 y US$1 millón por empresa
Fuente: ICSA.Net, 23 October 2000, http://www.securitystats.com/reports.asp , Computer Virus Prevalence Survey
7. Amenazas a los datos
Las amenazas provienen de:
Personal interno
El personal interno es el más peligroso pues
conoce bien el ambiente
Hackers/Crackers
Los Hackers/Crackers pueden entrar a los
sistemas sólo para explorar la infraestructura
o pueden hackear por razones maliciosas
Espionaje industrial
El espionaje industrial comprende obtener
información confidencial de corporaciones o
entidades gubernamentales para el beneficio
de terceros
Código malicioso
8. Tipos de ataque
Ataques externos Compañía
Ataques internos
por Internet
por la Intranet
59% de los ataques se hacen por Internet
38% de los ataques los hacen empleados internamente
9. Entablar amistad con alguien interno
Los hackers intentan trabajar con
alguien interno o infiltrar a alguien
en la organización
Un análisis del Departamento del
Tesoro de USA indica que más
del 60 por ciento de las
intrusiones reportadas involucran
a alguien dentro de la empresa
La función de la persona interna
infiltrada es encontrar alguna
debilidad desconocida para los
administradores del sistema
10. Ataques externos más frecuentes
Frequent Points of Attack
Existe un mayor uso
de Internet
Internet
59
connection Las técnicas y
herramientas que se
Internal crean día a día
38 permiten de nuevas
systems
oportunidades de
ataque
0 20 40 60 80
Percent of respondents
Source: 2000 CSI/FBI Computer Crime and Security Survey
11. Evolución de herramientas de ataque
packet forging /
Complejidad técnica relativa
sniffer / spoofing Herramientas
exploiting back sweepers
known doors
de hackers
vulnerabilities
GUI
stealth
self-replicating hijacking diagnostics
code sessions
disabling
password audits Intruso
cracking
password promedio
guessing
1980 1985 1990 1995
Fuente: GAO Report to Congress, 1996
12. La tendencia continua
DDoS Herramientas
Insertion
de hackers
Complejidad técnica relativa
Tools
Windows Trinoo
Remote
?
Control PrettyPark
Stacheldraht
Melissa
Kiddie
Scripter
1998 1999 2000 2001
14. Habilidades de los hackers
Un hacker capaz tiene los siguientes conocimientos:
Ingeniería de Internet
TCP/IP, NFS, Redes inalámbricas, GPRS
Administración de sistemas
Windows 2000, Linux, Solaris, Palm OS etc.
Administración de redes
SNMP, Tivoli, HP OpenView, Switches, Routers etc.
Ingeniería en reversa
Decompilers, circuit breakers
Computación distribuida
J2EE, RPC, Corba, Web Services
Criptografía
SSL, PKI, Certificados digitales
Ingeniería Social
Convencimiento, seducción, simpatía, engaño, etc.
Programación
C++, Java, Perl, JavaScript, HTML, ASP
Bases de datos
SQL Server, Oracle, DB2, MySQL
15. Herramientas de Hacking
Hay herramientas disponibles
en muchos sitios Web
disfrazados
Las herramientas son cada día
más sofisticadas y poderosas
en cuanto a:
Eficiencia
Distribución
Furtividad
Automatización
Facilidad de uso
17. Los sitios/portales
Susitio/portal no necesita ser tan
famoso como Yahoo o eBay para
que sea atacado
Los hackers
Necesitan un lugar para ocultar su
rastro
Necesitan tu máquina como
trampolín para atacar otros sitios
Necesitan de diversos recursos
para llevar a cabo sus actividades
18. En Google …
Se pueden bajar herramientas de
hacker fácilmente de Internet
La funcionalidad de las herramientas
se incrementa día a día
El conocimiento de los hackers
disminuye
El número de hackers aumenta
Algún día hasta un niño de primaria
podrá meterse a sus sistemas
19. Las amenazas
Las herramientas de hackeo son cada vez más
sofisticadas y poderosas en términos de
Eficiencia
Formas de ataque
Camuflaje
Facilidad de manejo
Amigabilidad
21. Las amenazas
Las debilidades en seguridad de tus equipos se
pueden identificar con herramientas de escaneo
La seguridad de cualquier red en Internet
depende de la seguridad de todas las demás
redes
Ninguna red es realmente segura
22. Cómo se meten
Pasos generales
Localizan una víctima mediante
un programa de escaneo
Identifican la vulnerabilidad del
equipo de la victima
Atacan la máquina host de la
victima por medio de las
vulnerabilidades identificadas
Establecen una puerta trasera,
para poder tener acceso en el
futuro
23. Prevención General
Pruebe e instale service packs y hotfixes
Corra y mantenga el software antivirus
Instale un sistema de detección de intrusos en el
perímetro de la red
No dejar pasar mensajes con extensión *.exe,
*.vbs o *.dll en archivos adjuntos
Reinstale los sistemas infectados
24. ¿ Cómo se infectan los sistemas?
Caballos de Troya
Inserción manual
Animaciones
● Compartiendo
Screen savers información
Video juegos ● Acceso físico
Política:
Controlar el
código maligno en
el equipo de los
usuarios
25. Todos estamos en esto juntos
Seguridad Proveedores
Usuarios de la de
Red Servicios
Proveedores
de Software
y Equipos
27. ¿Qué es un Ethical Hacker?
Es un profesional de seguridad que busca
constantemente enriquecer su conocimiento y
experiencia
Se forma a partir de conocimientos y bases
sólidas de seguridad
Queda respaldado por la industria no solo con
base en su experiencia o el conocimiento teórico,
sino por una certificación (Certified Ethical
Hacker, EC Council)
28. ¿Qué no es un Ethical Hacker?
No es un hacker improvisado
No se dice experto para ser luego un adorno más
en su vitrina de trofeos
No es un individuo que cambia de carrera para
convertirse en EH de la noche a la mañana
No esta atado a una tecnología o herramienta
específica
29. ¿Cómo ayuda un EH a la organización?
Un EH certificado reconoce el valor de su
conocimiento
Constantemente aprende medidas preventivas
para proteger tus activos de información
Aboga por las mejores prácticas y medidas de
solución en seguridad de sistemas informáticos a
partir de su conocimiento
Utiliza una metodología dinámica que se adapta
a la realidad del mundo
31. ¿ Qué hacer ?
Identifique a la gente adecuada
Involúcrelos en las Políticas de Seguridad
Capacítelos y certifíquelos
32. Capacitación
Dónde obtener certificación
CISSP: Certification for Information Security
Professional (http://www.isc2.org)
CEH: Certified Ethical Hacker
(http://www.eccouncil.org)
CHFI: Certified Hacker Forensic Investigator
(http://www.eccouncil.org)
33. Algunos nombres
Hacking
Es Romper Seguridad
Forensic
Es Descubrir las huellas
Recovery
Es Recuperar la información perdida
Penetration Test
Es Saber como realizar pruebas de penetración
Audit
EsGarantizar estrategia de seguridad adecuada
basada en normas
34. ¿Estándares?
En 2005 EC-Council se establecerá como cuerpo
de desarrollo de estándares de seguridad de TI a
nivel mundial
Una organización podrá certificar su
infraestructura de TI con base en estándares EC-
Council
Podrá aplicar auditoria de seguridad a su
infraestructura certificada