El documento analiza el estado actual de la informática y la seguridad, destacando que las empresas de tecnologías de la información en Europa generaron beneficios significativos, aunque enfrentan constantes amenazas de ataques cibernéticos. Se describen las auditorías de seguridad, incluyendo diferentes tipos de auditorías y técnicas para evaluar vulnerabilidades, así como la importancia de seguir buenas prácticas en ciberseguridad. Además, se menciona el desarrollo de herramientas como Anubis para mejorar la seguridad y facilitar auditorías.

2. 1. El estado de la informática en la actualidad
2. Auditorías de seguridad
3. Demo
4. Conclusiones y trabajos futuros
2

3. 1. El estado de la informática en la actualidad
2. Auditorías de seguridad
3. Demo
4. Conclusiones y trabajos futuros
3

4.  Estudio DigiWorld
 Analiza los beneficios producidos en el mercado
económico de las Tecnologías de la Información y
las Telecomunicaciones en Europa
 En el año 2009: Beneficios de mas de 900.000
Millones de euros en el mercado económico
basado en las TIC.
 Subida frente a 2008 de casi un 6%
4

5.  NO.
 Los beneficios producidos por las empresas del
sector de las TIC están constantemente en peligro,
debido a los numerosos ataques de “hackers” que
reciben.
5

6. 6

7.  Las empresas especializadas en seguridad.
 Estas empresas generaron solo en España
640.000.000€ en 2008
7

8.  Auditorías de seguridad anuales.
 Seguimiento de guías de buenas prácticas
OWASP y OSSTMM
 Certificación ISO/IEC 27001 (SGSI)
 Concienciación de los miembros de la
organización.
 Seguir los 10 mandamientos de la seguridad
informática.
8

9. 1. Cuidaras la seguridad del sistema operativo
2. Aplicaras regularmente las actualizaciones de
seguridad
3. Emplearas chequeadores de integridad, antivirus y
antispyware
4. Encriptarás la información sensible
5. Usarás sólo modos seguros de acceder al e-mail
6. Utilizarás únicamente navegadores seguros para
acceder a la web
7. No abrirás enlaces ni archivos sospechosos
8. Ingresarás datos críticos, sólo en sitios seguros
9. Si debes correr riesgos, usarás sandboxing
10. Te mantendrás informado sobre nuevas maneras de
vulnerar tu seguridad 9

10. 1. El estado de la informática en la actualidad
2. Auditorías de seguridad
3. Demo
4. Conclusiones y trabajos futuros
10

11.  Auditoría de aplicaciones web
 Auditoría Interna:
 Auditoría de caja negra
 Auditoría de caja gris
 Auditoría de caja blanca
 Test de intrusión
 Análisis forense
 Aplicación de la LOPD(con matices)
11

12.  Se comprueba la seguridad de las aplicaciones
del sitio web de una organización.
Vulnerabilidades mas importantes:
 sql injection (PHP+MySQL, JAVA,C#+SQL Server).
 ldap injection.
 xpath injection.
 cssp (connection string parameter pollution).
 local file inclusión.
 remote file inclusion (PHP).
 path disclosure.
 path traversal
12

13. Caja Negra
No poseemos conocimiento ninguno sobre la organización. Se realiza
desde fuera de la red interna. Objetivo: averiguar que puede conseguir un
“hacker” desde fuera de la empresa
Caja Gris
Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna
pero con credenciales de usuario corriente. Objetivo: escalar privilegios a
Administrador y proseguir con auditoría de caja blanca.
Caja Blanca
Tenemos conocimientos y credenciales de administrador interno de la
empresa. Se realiza desde la red interna. Objetivo: averiguar que puede
conseguir un empleado malintencionado desde dentro de la empresa y
poner soluciones.
13

14.  Auditoría de Caja Negra en la que solo
interesa «obtener un premio»
 Se realiza para comprobar si el sistema es
vulnerable, no para certificar su seguridad
completa.
14

15.  Sistema víctima de una intrusión, un ataque o
desde él que se ha realizado alguna acción
maliciosa
 Denuncia --> Intervienen en España el Grupo de
Delitos Telemáticos de la Guardia Civil y/o la
Brigada de Investigación Tecnológica del Cuerpo
Nacional de Policía
 Copia de seguridad.
 Forense sin alterar pruebas.
 Prueba en caso de juicio.
15

16.  La aplicación de la LOPD no es una auditoría
como tal. Pero suele ir acompañada de una
auditoría para proteger los posibles agujeros
que podrían permitir el robo de información
privada de los clientes de una organización
16

17.  Test de intrusión
 Auditoría de caja negra
17

18. Fases:
 Obtención de información.
 Enumeración.
 Footpringting.
 Fingerprinting.
 Análisis de datos.
 Identificación de arquitectura.
 Identificación de servicios.
 Identificación de vulnerabilidades.
 Explotación.
 Expedientes de seguridad.
 Exploits.
 MetaExploit.
 Documentación final de un test
 Informe técnico.
 Informe ejecutivo. 18

19.  Footprinting
 Dominios y subdominios
 Zonas de administración ocultas en un sitio web
 Cuentas de usuario y de correo
 Ficheros con contraseñas
 Máquinas internas, servidores, cámaras IP,
impresoras, discos duros IP, etc.
 Fingerprinting
 Sistema operativo de los servidores y máquinas
19

20.  C#+.Net
 Interface gráfica
 Distribución de herramientas en pestañas
 Funcionamiento:
Búsqueda de información
Recopilación de datos obtenidos
Estructuración lógica de información
Generación de informe
 Herramientas:
20

21. Telnet
Módulo
Telnet Google
Hacking
Zone Transfer
Scan with
Google
Fuzzing DNS
Módulo
DNS Gui Módulo
HTTP
Scan IP with
Bing
Scan IP
against DNS
404 attack
Módulo
CMD
Fuzzing HTTP Nmap
Whois Tracert
21

22. Tracert
Banner
404 attack
Attack
Google Scan with
Hacking Google
Fuzzing
Whois Against
DNS
Fuzzing Zone
Http Summary Transfer
Scan IP
Google against
Sets DNS
Scan IP Nmap
with Bing
Final Audit Report
22

23. 23

24. 1. El estado de la informática en la actualidad
2. Auditorías de seguridad
3. Demo
4. Conclusiones y trabajos futuros
24

25.  Ayuda en los procesos de Implantación de un SGSI en la
certificación con la norma ISO/IEC27001
 Colaborar en la enseñanza de las técnicas de búsqueda
de información en cursos de seguridad
 Automatización de las técnicas de búsqueda de
información con uso directo en auditorías de caja negra
y test de intrusión
 Permitir que los miembros de una organización prueben
de una manera sencilla la seguridad de sus activos
25

26.  Convertir Anubis de herramienta de escritorio a
servicio web
 Ampliar su importancia en auditoria de caja
negra y test de intrusión con el lanzamiento de
analizadores y explotadores de vulnerabilidades
 SQL Injection
 XSS
 etc.
 Ampliar las Auditorías cubiertas a caja blanca:
26

27. 27

28. 28

29. Continuará…
29

30. Todos las herramientas y técnicas utilizadas en
Anubis son totalmente legales y alegales en el
Estado Español por lo que no se incurre en ningún
delito con su uso. El uso de la técnica de
Transferencia de Zona puede estar penado en
algunos países como EEUU. Certificamos que
durante el desarrollo y el período de pruebas de
Anubis no han sido revelados datos «privados» de
ninguna de las organizaciones que han sido
utilizadas para probar la herramienta, ni se ha
incurrido en ningún delito. Ninguna empresa ha
sido hackeada gracias a Anubis.
30

31. 31