Este documento presenta una agenda y actividades para un taller sobre pruebas de penetración (pentest). La agenda incluye introducciones a pentest, técnicas básicas de hacking y una sesión de preguntas y respuestas. Las actividades cubren riesgos de seguridad corporativa, tipos de pruebas de pentest, estructura de un pentest, técnicas básicas de hacking y conclusiones. El documento también proporciona ejemplos de shellcodes y explica vulnerabilidades como buffer overflows.

1. PENTESTWorkShopEl Arte de la GuerraVicente Chi PérezLuis Alberto Cortes

2. PENTESTAGENDAWORKSHOP20 Min: Que es un Pentest?40 Min: Be a Lulzsecguyfor a while!!!!60 Min: Betterthananonymous!!!.20 Min: Preguntas y respuestas.

3. PENTESTACTIVIDADESWORKSHOPRIESGOS DE LA SEGURIDAD CORPORATIVAPRUEBAS DE PENETRACIONTIPOS DE PRUEBASESTRUCTURA DE UN PENTEST TECNICAS BASICAS DE HACKEOHACKING !!!!!CONCLUSIONES

4. PENTESTSEGURIDAD CORPORATIVAWORKSHOPPROBLEMASEn la experiencia general el 98% de las empresas son muy vulnerables a ataques simples, el 2 % restante son vulnerables a ataques especializados.

5. El mismo numero 98% desconoce la forma de pensar y las técnicas usadas por los atacantes.

6. En la actualidad el hacking ha crecido mas como una actividad delictiva y enfocada a ciertos blancos.

7. El hacker tiene todo el tiempo que desee para buscar la forma de atacar y solo tiene que encontrar 1 error, el CSO tiene muchas responsabilidades y verificar cada paso y proceso tecnológico y solo tiene que cometer 1 error.RIESGOSReputación, perdida de confianza e imagen.

8. Perdida o modificación de datos.

9. Incumplimiento de regulaciones (SOX, CNBV, LFPDPPP, etc.)

10. Robo de identidad o datos sensibles (Datos Identificables, Crediticios, Patrimoniales, etc.)

11. Espionaje industrial.

12. Muchos Otros…PENTESTPRUEBAS DE PENETRACIONWORKSHOPOBJETIVOSEn las prueba de penetración se actúa como atacante malicioso, tomándose el tiempo necesario de buscar todas las vulnerabilidades posibles, para preparar y evaluar la empresa para resistir ataques comunes y dirigidos.FINALIDADLograr el acceso con el máximo privilegio posible a través de conocimientos técnicos avanzados con un equipo multidisciplinario (Tiger Teaming), a datos privados y sensibles, apoyando con soluciones para permitir minimizar el riesgo y determinar las posibilidades reales de un ataque. REQUERIMIENTOS PARA EL CONSULTORConocimiento de redes.

13. Conocimiento de sistemas operativos.

14. Conocimiento de desarrollo.

15. Conocimiento de ingeniería en reversa.

16. Conocimiento de herramientas.

17. Conocimiento de °!#$#&&/&()&))==?((#234Contraten Hackers!Microsoft, Mcafee, Symantec,USA DoD, NSA, Kaspersky, etc.

18. PENTESTTIPOS DE PRUEBASWORKSHOPGENERAL (EXTERNA O INTERNA)WHITE BOX

19. Con el conocimiento de la infraestructura.

20. Tiene menos riesgos pues se sabe que sistemas atacar y por donde.