SlideShare una empresa de Scribd logo

Presentación de anubis

Zink Security
Zink Security

Presentación del proyecto Anubis desarrollado por Juan Antonio Calles García para automatizar los procesos de Footprinting y Fingerprinting durante las auditorías de seguridad informática.

Educación
1 de 31
Descargar para leer sin conexión
1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 2
1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 3
 Estudio DigiWorld  Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa  En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC.  Subida frente a 2008 de casi un 6% 4
 NO.  Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
6
 Las empresas especializadas en seguridad.  Estas empresas generaron solo en España 640.000.000€ en 2008 7
 Auditorías de seguridad anuales.  Seguimiento de guías de buenas prácticas OWASP y OSSTMM  Certificación ISO/IEC 27001 (SGSI)  Concienciación de los miembros de la organización.  Seguir los 10 mandamientos de la seguridad informática. 8
1. Cuidaras la seguridad del sistema operativo 2. Aplicaras regularmente las actualizaciones de seguridad 3. Emplearas chequeadores de integridad, antivirus y antispyware 4. Encriptarás la información sensible 5. Usarás sólo modos seguros de acceder al e-mail 6. Utilizarás únicamente navegadores seguros para acceder a la web 7. No abrirás enlaces ni archivos sospechosos 8. Ingresarás datos críticos, sólo en sitios seguros 9. Si debes correr riesgos, usarás sandboxing 10. Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 10
 Auditoría de aplicaciones web  Auditoría Interna:  Auditoría de caja negra  Auditoría de caja gris  Auditoría de caja blanca  Test de intrusión  Análisis forense  Aplicación de la LOPD(con matices) 11
 Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes:  sql injection (PHP+MySQL, JAVA,C#+SQL Server).  ldap injection.  xpath injection.  cssp (connection string parameter pollution).  local file inclusión.  remote file inclusion (PHP).  path disclosure.  path traversal 12
Caja Negra No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un “hacker” desde fuera de la empresa Caja Gris Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a Administrador y proseguir con auditoría de caja blanca. Caja Blanca Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y poner soluciones. 13
 Auditoría de Caja Negra en la que solo interesa «obtener un premio»  Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
 Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa  Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía  Copia de seguridad.  Forense sin alterar pruebas.  Prueba en caso de juicio. 15
 La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
 Test de intrusión  Auditoría de caja negra 17
Fases:  Obtención de información.  Enumeración.  Footpringting.  Fingerprinting.  Análisis de datos.  Identificación de arquitectura.  Identificación de servicios.  Identificación de vulnerabilidades.  Explotación.  Expedientes de seguridad.  Exploits.  MetaExploit.  Documentación final de un test  Informe técnico.  Informe ejecutivo. 18
 Footprinting  Dominios y subdominios  Zonas de administración ocultas en un sitio web  Cuentas de usuario y de correo  Ficheros con contraseñas  Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc.  Fingerprinting  Sistema operativo de los servidores y máquinas 19
 C#+.Net  Interface gráfica  Distribución de herramientas en pestañas  Funcionamiento: Búsqueda de información Recopilación de datos obtenidos Estructuración lógica de información Generación de informe  Herramientas: 20
Telnet Módulo Telnet Google Hacking Zone Transfer Scan with Google Fuzzing DNS Módulo DNS Gui Módulo HTTP Scan IP with Bing Scan IP against DNS 404 attack Módulo CMD Fuzzing HTTP Nmap Whois Tracert 21
Tracert Banner 404 attack Attack Google Scan with Hacking Google Fuzzing Whois Against DNS Fuzzing Zone Http Summary Transfer Scan IP Google against Sets DNS Scan IP Nmap with Bing Final Audit Report 22
23
1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 24
 Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001  Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad  Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión  Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
 Convertir Anubis de herramienta de escritorio a servicio web  Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades  SQL Injection  XSS  etc.  Ampliar las Auditorías cubiertas a caja blanca: 26
27
28
Continuará… 29
Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30
31

Recomendados

[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
Iván Portillo
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
Iván Portillo
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
Iván Portillo
 
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
Iván Portillo
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
Iván Portillo
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Francisco Javier Barrena
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
Iván Portillo
 
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
luis enrique
 

Recomendados

[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
Iván Portillo
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
Iván Portillo
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
Iván Portillo
 
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
[2020] hc0n - black frauday: destapando redes de comercios online - ivan por...
Iván Portillo
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
Iván Portillo
 
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataquesWelcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Welcome to Gotham - Nuevas formas ingeniosas y terroríficas de ciberataques
Francisco Javier Barrena
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
Iván Portillo
 
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
Ciberdefensa en el marco de la inteligencia ecuador (19 pp)
luis enrique
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
RootedCON
 
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
Iván Portillo
 
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Farés David
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
RootedCON
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
Gonzalo Vigo
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
Wiktor Nykiel ✔
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
Jaime Restrepo
 
Innovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientoInnovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientogabyy1630
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeZink Security
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Zink Security
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
Zink Security
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
Zink Security
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your university
Zink Security
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
Zink Security
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
Zink Security
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink Security
Zink Security
 
Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
Fundación Universitaria Konrad Lorenz
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillo
campus party
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010
Alejandro Ramos
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresa
Eventos Creativos
 

Más contenido relacionado

La actualidad más candente

Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
RootedCON
 
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
Iván Portillo
 
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Farés David
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
RootedCON
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
Gonzalo Vigo
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
Wiktor Nykiel ✔
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
Jaime Restrepo
 

La actualidad más candente (7)

Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
 
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
[2020] FluCON - Explorando a tu adversario con OSINT - Iván Portillo
 
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
Actividad Semana 2- Robo y Destrucción de información - AUDITORIA INFORMATIC...
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 

Destacado

Innovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientoInnovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientogabyy1630
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeZink Security
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Zink Security
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
Zink Security
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
Zink Security
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your university
Zink Security
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
Zink Security
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
Zink Security
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink Security
Zink Security
 

Destacado (10)

Innovativa-Gestion del conocimiento
Innovativa-Gestion del conocimientoInnovativa-Gestion del conocimiento
Innovativa-Gestion del conocimiento
 
Seguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD ModeSeguridad en los videojuegos - GoD Mode
Seguridad en los videojuegos - GoD Mode
 
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
Técnicas oscuras para combatir la pederastia en internet No cON Name 2K11
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico
 
10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética10 consejos para fortificar tu vida cibernética
10 consejos para fortificar tu vida cibernética
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
 
Wargames in your university
Wargames in your universityWargames in your university
Wargames in your university
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink Security
 

Similar a Presentación de anubis

Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
Fundación Universitaria Konrad Lorenz
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillo
campus party
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010
Alejandro Ramos
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresa
Eventos Creativos
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grc
balejandre
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas Elastix
PaloSanto Solutions
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Luis Fernando Aguas Bucheli
 
Framework para pentesters
Framework para pentestersFramework para pentesters
Framework para pentesters
Francisco Daniel Carvajal Becerra
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
Enrique Gustavo Dutra
 
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOSFUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
Oscar Padial Diaz
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
Secpro - Security Professionals
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
NPROS Perú
 
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
COIICV
 
Hackingcon google
Hackingcon googleHackingcon google
Hackingcon google
Eliana Corcuy
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Jose Molina
 
Test de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gatheringTest de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gathering
Jesús Moreno León
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 

Similar a Presentación de anubis (20)

Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillo
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresa
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grc
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas Elastix
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Framework para pentesters
Framework para pentestersFramework para pentesters
Framework para pentesters
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOSFUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)Curso de Hacking Aplicaciones Web 2012 (CNHAW)
Curso de Hacking Aplicaciones Web 2012 (CNHAW)
 
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
Diego Vizcaino - Seguridad informática frente a los nuevos modelos de negocio...
 
Hackingcon google
Hackingcon googleHackingcon google
Hackingcon google
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
 
Test de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gatheringTest de intrusión (I): intelligence gathering
Test de intrusión (I): intelligence gathering
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 

Último

Educar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdfEducar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdf
Demetrio Ccesa Rayme
 
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdfFORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
El Fortí
 
Mapa_Conceptual de los fundamentos de la evaluación educativa
Mapa_Conceptual de los fundamentos de la evaluación educativaMapa_Conceptual de los fundamentos de la evaluación educativa
Mapa_Conceptual de los fundamentos de la evaluación educativa
TatianaVanessaAltami
 
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Monseespinoza6
 
Texto_de_Aprendizaje-1ro_secundaria-2024.pdf
Texto_de_Aprendizaje-1ro_secundaria-2024.pdfTexto_de_Aprendizaje-1ro_secundaria-2024.pdf
Texto_de_Aprendizaje-1ro_secundaria-2024.pdf
ClaudiaAlcondeViadez
 
El Liberalismo económico en la sociedad y en el mundo
El Liberalismo económico en la sociedad y en el mundoEl Liberalismo económico en la sociedad y en el mundo
El Liberalismo económico en la sociedad y en el mundo
SandraBenitez52
 
Mauricio-Presentación-Vacacional- 2024-1
Mauricio-Presentación-Vacacional- 2024-1Mauricio-Presentación-Vacacional- 2024-1
Mauricio-Presentación-Vacacional- 2024-1
MauricioSnchez83
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
auxsoporte
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Demetrio Ccesa Rayme
 
Introducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BIIntroducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BI
arleyo2006
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
20minutos
 
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdfAsistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Demetrio Ccesa Rayme
 
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIALCUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
DivinoNioJess885
 
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
Martín Ramírez
 
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdfHABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
DIANADIAZSILVA1
 
Junio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividadesJunio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividades
cintiat3400
 
Testimonio Paco Z PATRONATO_Valencia_24.pdf
Testimonio Paco Z PATRONATO_Valencia_24.pdfTestimonio Paco Z PATRONATO_Valencia_24.pdf
Testimonio Paco Z PATRONATO_Valencia_24.pdf
Txema Gs
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
CESAR MIJAEL ESPINOZA SALAZAR
 
corpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdfcorpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdf
YolandaRodriguezChin
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
pablomarin116
 

Último (20)

Educar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdfEducar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdf
 
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdfFORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
 
Mapa_Conceptual de los fundamentos de la evaluación educativa
Mapa_Conceptual de los fundamentos de la evaluación educativaMapa_Conceptual de los fundamentos de la evaluación educativa
Mapa_Conceptual de los fundamentos de la evaluación educativa
 
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
Productos contestatos de la Séptima sesión ordinaria de CTE y TIFC para Docen...
 
Texto_de_Aprendizaje-1ro_secundaria-2024.pdf
Texto_de_Aprendizaje-1ro_secundaria-2024.pdfTexto_de_Aprendizaje-1ro_secundaria-2024.pdf
Texto_de_Aprendizaje-1ro_secundaria-2024.pdf
 
El Liberalismo económico en la sociedad y en el mundo
El Liberalismo económico en la sociedad y en el mundoEl Liberalismo económico en la sociedad y en el mundo
El Liberalismo económico en la sociedad y en el mundo
 
Mauricio-Presentación-Vacacional- 2024-1
Mauricio-Presentación-Vacacional- 2024-1Mauricio-Presentación-Vacacional- 2024-1
Mauricio-Presentación-Vacacional- 2024-1
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
 
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdfAsistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
Asistencia Tecnica Cultura Escolar Inclusiva Ccesa007.pdf
 
Introducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BIIntroducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BI
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
 
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdfAsistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
 
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIALCUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
 
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
 
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdfHABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
HABILIDADES MOTRICES BASICAS Y ESPECIFICAS.pdf
 
Junio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividadesJunio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividades
 
Testimonio Paco Z PATRONATO_Valencia_24.pdf
Testimonio Paco Z PATRONATO_Valencia_24.pdfTestimonio Paco Z PATRONATO_Valencia_24.pdf
Testimonio Paco Z PATRONATO_Valencia_24.pdf
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
 
corpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdfcorpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdf
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
 

Presentación de anubis

  • 1.
  • 2. 1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 2
  • 3. 1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 3
  • 4. Estudio DigiWorld  Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa  En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC.  Subida frente a 2008 de casi un 6% 4
  • 5. NO.  Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben. 5
  • 6. 6
  • 7. Las empresas especializadas en seguridad.  Estas empresas generaron solo en España 640.000.000€ en 2008 7
  • 8. Auditorías de seguridad anuales.  Seguimiento de guías de buenas prácticas OWASP y OSSTMM  Certificación ISO/IEC 27001 (SGSI)  Concienciación de los miembros de la organización.  Seguir los 10 mandamientos de la seguridad informática. 8
  • 9. 1. Cuidaras la seguridad del sistema operativo 2. Aplicaras regularmente las actualizaciones de seguridad 3. Emplearas chequeadores de integridad, antivirus y antispyware 4. Encriptarás la información sensible 5. Usarás sólo modos seguros de acceder al e-mail 6. Utilizarás únicamente navegadores seguros para acceder a la web 7. No abrirás enlaces ni archivos sospechosos 8. Ingresarás datos críticos, sólo en sitios seguros 9. Si debes correr riesgos, usarás sandboxing 10. Te mantendrás informado sobre nuevas maneras de vulnerar tu seguridad 9
  • 10. 1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 10
  • 11. Auditoría de aplicaciones web  Auditoría Interna:  Auditoría de caja negra  Auditoría de caja gris  Auditoría de caja blanca  Test de intrusión  Análisis forense  Aplicación de la LOPD(con matices) 11
  • 12. Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes:  sql injection (PHP+MySQL, JAVA,C#+SQL Server).  ldap injection.  xpath injection.  cssp (connection string parameter pollution).  local file inclusión.  remote file inclusion (PHP).  path disclosure.  path traversal 12
  • 13. Caja Negra No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un “hacker” desde fuera de la empresa Caja Gris Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a Administrador y proseguir con auditoría de caja blanca. Caja Blanca Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y poner soluciones. 13
  • 14. Auditoría de Caja Negra en la que solo interesa «obtener un premio»  Se realiza para comprobar si el sistema es vulnerable, no para certificar su seguridad completa. 14
  • 15. Sistema víctima de una intrusión, un ataque o desde él que se ha realizado alguna acción maliciosa  Denuncia --> Intervienen en España el Grupo de Delitos Telemáticos de la Guardia Civil y/o la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía  Copia de seguridad.  Forense sin alterar pruebas.  Prueba en caso de juicio. 15
  • 16. La aplicación de la LOPD no es una auditoría como tal. Pero suele ir acompañada de una auditoría para proteger los posibles agujeros que podrían permitir el robo de información privada de los clientes de una organización 16
  • 17. Test de intrusión  Auditoría de caja negra 17
  • 18. Fases:  Obtención de información.  Enumeración.  Footpringting.  Fingerprinting.  Análisis de datos.  Identificación de arquitectura.  Identificación de servicios.  Identificación de vulnerabilidades.  Explotación.  Expedientes de seguridad.  Exploits.  MetaExploit.  Documentación final de un test  Informe técnico.  Informe ejecutivo. 18
  • 19. Footprinting  Dominios y subdominios  Zonas de administración ocultas en un sitio web  Cuentas de usuario y de correo  Ficheros con contraseñas  Máquinas internas, servidores, cámaras IP, impresoras, discos duros IP, etc.  Fingerprinting  Sistema operativo de los servidores y máquinas 19
  • 20. C#+.Net  Interface gráfica  Distribución de herramientas en pestañas  Funcionamiento: Búsqueda de información Recopilación de datos obtenidos Estructuración lógica de información Generación de informe  Herramientas: 20
  • 21. Telnet Módulo Telnet Google Hacking Zone Transfer Scan with Google Fuzzing DNS Módulo DNS Gui Módulo HTTP Scan IP with Bing Scan IP against DNS 404 attack Módulo CMD Fuzzing HTTP Nmap Whois Tracert 21
  • 22. Tracert Banner 404 attack Attack Google Scan with Hacking Google Fuzzing Whois Against DNS Fuzzing Zone Http Summary Transfer Scan IP Google against Sets DNS Scan IP Nmap with Bing Final Audit Report 22
  • 23. 23
  • 24. 1. El estado de la informática en la actualidad 2. Auditorías de seguridad 3. Demo 4. Conclusiones y trabajos futuros 24
  • 25. Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001  Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad  Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión  Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos 25
  • 26. Convertir Anubis de herramienta de escritorio a servicio web  Ampliar su importancia en auditoria de caja negra y test de intrusión con el lanzamiento de analizadores y explotadores de vulnerabilidades  SQL Injection  XSS  etc.  Ampliar las Auditorías cubiertas a caja blanca: 26
  • 27. 27
  • 28. 28
  • 30. Todos las herramientas y técnicas utilizadas en Anubis son totalmente legales y alegales en el Estado Español por lo que no se incurre en ningún delito con su uso. El uso de la técnica de Transferencia de Zona puede estar penado en algunos países como EEUU. Certificamos que durante el desarrollo y el período de pruebas de Anubis no han sido revelados datos «privados» de ninguna de las organizaciones que han sido utilizadas para probar la herramienta, ni se ha incurrido en ningún delito. Ninguna empresa ha sido hackeada gracias a Anubis. 30
  • 31. 31