1. Competencias Digitales en
Seguridad Informática 1
Tema: 4. Herramientas Especializadas
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec
2. Valor es lo que se necesita para levantarse y hablar,
pero también es lo que se requiere para sentarse y
escuchar.
3. Objetivo
• Conocer y utilizar las
políticas y medidas de
seguridad
● 4.1 Herramientas usadas en
Ethical Hacking
● 4.2 Amenazas, vulnerabilidades y
ataques a la ciberseguridad
Contenido
4. ODS
● 4.7: De aquí a 2030, asegurar que todos los alumnos
adquieran los conocimientos teóricos y prácticos
necesarios para promover el desarrollo sostenible, entre
otras cosas mediante la educación para el desarrollo
sostenible y los estilos de vida sostenibles, los derechos
humanos, la igualdad de género, la promoción de una
cultura de paz y no violencia, la ciudadanía mundial y la
valoración de la diversidad cultural y la contribución de la
cultura al desarrollo sostenible
Metas
6. Tipos de ataques
Un atacante es capaz de explotar una debilidad o
vulnerabilidad en un sistema.
Ataques de OS
Ataques de mala
configuración
Ataques de
Aplicación
Ataques de
Contracción de
código
7. Ataques de OS
Los atacantes buscan
Vulnerabilidades en los OS
y los explotan para tener
acceso al sistema
Algunas vulnerabilidades
de OS, son:
Desbordamiento de buffers
Bugs en los
OS no actualizados
8. Ataques a nivel de aplicación
Poco o nulo chequeo de errores puede conducir a:
Ataques de desbordamiento de buffers.
Cross-site scripting.
Ataques de inyección de SQL.
Otros ataques de nivel de aplicación
– Phishing
– Robo de sessiones
– Modificación de párametros/forms
9. Ataques de mala configuración
Si un sistema es mal configurado, tal como un cambio en los
permisos de archivo, ya no puede considerarse seguro.
Se espera que los administradores cambien la configuración
de los dispositivos antes de que se pongan en producción.
Hacer caso omiso a ésto, permite que la configuración por
default se utilice para atacar al sistema.
A fin de optimizar la configuración del equipo, debe
eliminarse cualquier servicio o software redundante .
10. Porqué es necesario el Hacking ético?
Puesto que el hacking imvolucra ideas creativas, las pruebas de vulnerabilidades y
auditoría de seguridad no pueden asgurar que la red esté segura.
Para realizar ésto, las organizaciones necesitan implementar una estrategia de
“defensa en profundidad”, penetrando en sus redes para estimar vulnerabilidades
y descubrirlas.
El hacking ético es necesario porque permite contrarrestar los ataques de los
hackers maliciosos, a través de métodos anticipados que pueden utilizar para
romper el sistema.
11. Defensa en profundidad
Capas de defensa en profundidad
Es una estrategia
con varias capas
de protección
Ayuda a evitar
ataques directos
contra el sistema de
Información debido a
que la división en
capas sólo
conduce al atacante
a la siguiente capa
12. Alcances y limitaciones del
Ethical Hacking
Alcances
Es un componente crucial de evaluación de riesgos, auditoría, mejores
prácticas, y buen gobierno.
Es utilizado para identificar riesgos y resalta las acciones remediales, y
también reduce los costos de TIC, resolviendo las vulnerabilidades
Limitaciones
A menos que el negocio sepa que están buscando y porque están
contratando un vendedor externo para hackear el sistema, no hay
muchas oportunidades para tener experiencia.
Un ethical hacker sólo puede ayudar a entender mejor el sistema de
seguridad, pero es la organización quién tiene que colocar la seguridad
correcta en la red.
13. Que hacen los Hackers?
Tratan de responder a las siguientes preguntas:
– Que puede ver el intruso en el sistema destino?
– Que puede hacer el intruso con la información?
– Alguien en el destino nota los intentos o exitos de los intrusos.
Las tareas pueden incluir prueba de sistemas y redes para
vulnerabilidades, e intentan accesar datos sensitivos al violar
los controles de seguridad.
14. Habilidades de un Ethical Hacker
Conocimiento amplio sobre plataformas Windows, Linux y
Unix.
Experiencia en software y hardware relacionado con redes.
Alto dominio técnico de computadoras
Experto en áreas relacionadas con la seguridad.
Experiencia comprobable en lanzamiento de ataques
sofisticados.
15. Investigación de vulnerabilidades
Proceso de descubrimiento de vulnerabilidades y fallas de
diseño que abren un OS y sus aplicaciones para atacar o
hacer mal uso.
Las vulnerabilidades se clasifican en niveles: bajo, medio o
alto, y rango de exploit (local o remoto).
16. Investigación de vulnerabilidades
Un administrador de seguridad, debe investigara para:
– Identificar y corregir vulnerabilidades de red.
– Reunir información sobre virus.
– Encontrar debilidades y alertar al administrador de red, antes de un ataque de
red.
– Proteger la red de ser atacada por intrusos.
– Conseguir información que ayude a evitar problemas de seguridad.
– Saber como recuperarse de un ataque de red.
18. Qué es una prueba de penetración?
Es un método activo para evaluar la seguridad de un sistema
o red, simulando un ataque, desde un origen malicioso.
La prueba de la caja negra simula un ataque de alguien que
no tiene que ver con el sistema, y la prueba de la caja blanca
simula un atacante que si conoce el sistema
Las medidas de seguridad son activamente analizadas por
debilidad de diseño, fallas técnicas, y vulnerabilidades.
Los resultados se entregan a través de un reporte a nivel
ejecutivo, administración y técnico.
19. Porque pentesting?
Identificar amenazas
que enfrentan los activos de
una organización.
Reducen los costos de TI y
Provee un mejor retorno de
Inversión en seguridad
Provee una rigurosa y comprensiva
Evaluación de seguridad
Organizacional, cubriendo políticas,
Procedimientos, diseño e
implementación
Adquiere y mantiene la
certificación
Para una regulación industrial
20. Porque pentesting?
Adopta mejores prácticas,
conforme al aspecto legal y
Regulaciones de la industria
Se enfoca en vulnerabilidades
severas y enfatiza en
problemas de seguridad a
nivel de aplicación
Provee un enfoque
Comprensivo de preparación
De pasos a tomar para evitar
Una explotación entrante
Evalúa la eficiencia de los
dispositivos de seguridad de red
tales como firewalls, routers,
y servidores.
21. Prueba de penetración
Metodología
Recolección de
Información
Análisis de
vulnerabilidades
Pentesting
Externo
Pentesting de
Red interna
Pentesting de
Routers y
switches
Pentesting de
Firewalls
22. Qué es Footprinting ?
Se refiere a descubrir y reunir tanta información como sea
posible, acerca de una red destino.
Reune información acerca
De un destino y su red
Utiliza Whois, DNS
y consultas de red y
organizacionales
Determina el OS utilizado
y version de aplicaciones
en ejecución
Encuentra vulnerabilidades
y exploits para
lanzar ataques
23. Amenazas de footprinting
Pérdida del
negocio
Espionaje
corporativo
Pérdida de
privacidad
Ingeniería
social
Ataques de red
y sistemas
Fuga de
información
24. Internet footprinting
Uso de buscadores
Herramientas para buscar URLs internos
http://news.netcraft.com
http://www.webmaster-a.com/link-extractor-
internal.php
Identifica sitios públicos y privados
Uso de GoogleEarth
25. Internet footprinting
Búsquedas a través de Whois
Los Registros de Internet Regionales (RIR), mantienen bases de datos
que contienen información personal de los propietarios de dominios.
RIRs: AfriNIC, ARIN, APNIC, RIPE, LACNIC
Herramientas:
http://www.tamos.com
http://netcraft.com
http://www.whois.com
http://www.domaintools.com
26. DNS footprinting
Extrayendo información de DNS
Los registros de DNS proveen información importante sobre la
localización y tipo de servidores.
A Apunta a una dirección de host
MX Apunta al servidor de correo de un dominio
SOA Indica la autoridad del dominio
Herramientas de consulta DNS
http://www.dnsstuff.com
http://www.checkdns.net
http://network-tools.com
27. Network footprinting
Localiza el rango de red
Utiliza la base de datos Whois de ARIN para obtener el rango de
direcciones IP asignadas.
Traceroute utiliza ICMP para descubrir los routers que se
atraviezan hasta llegar al host destino.
Herramientas traceroute
3D Traceroute
LoriotPro
Path Analizer Pro
VisualRoute Trace
28. Website footprinting
Espejeando un sitio Web completo
– Herramientas de este tipo permiten descargar un sitio Web a un
directorio local, construyendo recursivamente directorios,
imagenes, flash, videos y otros archivos.
– Reamweaver.com
Para recuperar información histórica de sitios Web
– http://www.archive.org
Monitoreo de actualizaciones Web, utilizando Website Watcher.
29. Email footprinting
Registro de comunicaciones Email
– Es un método para monitorear y espiar e-mails entregados a los
recipientes previstos.
– Cuando el email fué recibido y leído
– Envía emails destructivos
– Localización GPS y mapeo del recipiente
– Tiempo usado en la lectura de correos
– Registra PDF y otro tipo de adjuntos
– Configura mensajes para expirar después de una fecha.
30. Footprinting utilizando técnicas
de Google Hacking
Cadena de consulta
– Se refiere al arte de crear consultas de búsqueda complejas.
Sitios vulnerables
– Detecta sitios Web que son vulnerables a numeroso exploits
Operadores Google
– Utiliza operadores para localizar cadenas específicas dentro de
resultados de búsqueda.
31. Contramedidas de footprinting
Configurar los routers para restringir las respuestas a las peticiones de
footprinting.
Configurar los WebServer para evitar fuga de información y deshabilitar
protocolos no deseados.
Cerrar los puertos no utilizados, a través del firewall
Utilizar un IDS que pueda configurarse para rechazar tráfico sospechoso,
y mejorar los patrones de footprinting.
Evaluar la información antes d publicarla en el sitio.
Aplicar técnicas de footprinting y eliminar cualquier información
sensitiva.
Evitar ingenios de búsqueda de cachar una página y uso de servicios de
registro anónio.
Deshabilitar listado de directorios y utilizar split-DNS
Para cargar un módulo es tan fácil como:
#modprobe usb_storage
Para descargar o remover un módulo actualmente cargado, se aplica:
#modprobe -r video
Toma en cuenta, que un módulo puede ser removido, si no está en uso. Lsmod, lista los módulos cargados, tamaño y uso.
#lsmod | grep cd
Los nodos de dispositivo proporcionan puntos de acceso a controladores de dispositivo y mapean permisos de archivo en tales accesos. Los tipos de nodos son: bloque y caracter. Un dispositivo de bloque maneja almacenamiento de datos, mientras que un dispositivo de caracter maneja flujo de caracteres. Dicho de otra manera, un dispositivo de bloque utiliza buffers de entrada/salida del kernel, mientras que los dispositivos de caracteres no.