El documento describe las etapas de un test de intrusión (penetration test) para evaluar la seguridad de un sistema. Estas etapas incluyen: 1) recopilar información sobre el objetivo utilizando técnicas como footprinting y fingerprinting, 2) buscar vulnerabilidades utilizando escáneres y bases de datos, 3) encontrar exploits para esas vulnerabilidades usando Metasploit Framework, y 4) parchear el sistema para corregir las vulnerabilidades encontradas.
Guía técnica de Pruebas y Evaluación de Seguridad de la Información
Recomendaciones del NIST Publicación 800-115 - Resumen referente a evaluaciones de un Test de Penetración.
Es el método de ensayo en el que se ponen las áreas de debilidad en los sistemas de software en términos de seguridad para poner a prueba para determinar si "punto débil" es de hecho uno, que se puede dividir en o no.
El taller expuesto en el congreso "Navaja Negra" mostró a los asistentes los principios básicos para la ejecución de ejercicios de Red Team en grandes organizaciones.
Se mostraron principalmente técnicas para vectores de ataque a través de Internet.
El dispositivo de Sistema de Análisis de Malware de FireEye™ Malware brinda a los analistas de amenazas
un control a su alcance sobre un ambiente de prueba auto-configurado de gran potencia donde se pueden
examinar profundamente el malware avanzado, los ataques del día cero y los ataques específicos embebidos
en formatos de archivo comunes, en adjuntos del email y en objetos Web.
Mi presentación del Taller Metasploit impartido en la Universidad de Sevilla en las II Jornadas de Seguridad en las Comunicaciones y la Información. Demostración practica de ataque a un servidor con Shellshock y pivoting hacia la red Interna. 9/Junio/2015
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
Presentación realizada en el evento X CONAI (Peru) del Instituto de Auditores Internos del Peru. La presentación muestra como es posible utilizar las simulaciones de intrusión para analizar los procedimientos de detección y respuesta a incidentes.
Guía técnica de Pruebas y Evaluación de Seguridad de la Información
Recomendaciones del NIST Publicación 800-115 - Resumen referente a evaluaciones de un Test de Penetración.
Es el método de ensayo en el que se ponen las áreas de debilidad en los sistemas de software en términos de seguridad para poner a prueba para determinar si "punto débil" es de hecho uno, que se puede dividir en o no.
El taller expuesto en el congreso "Navaja Negra" mostró a los asistentes los principios básicos para la ejecución de ejercicios de Red Team en grandes organizaciones.
Se mostraron principalmente técnicas para vectores de ataque a través de Internet.
El dispositivo de Sistema de Análisis de Malware de FireEye™ Malware brinda a los analistas de amenazas
un control a su alcance sobre un ambiente de prueba auto-configurado de gran potencia donde se pueden
examinar profundamente el malware avanzado, los ataques del día cero y los ataques específicos embebidos
en formatos de archivo comunes, en adjuntos del email y en objetos Web.
Mi presentación del Taller Metasploit impartido en la Universidad de Sevilla en las II Jornadas de Seguridad en las Comunicaciones y la Información. Demostración practica de ataque a un servidor con Shellshock y pivoting hacia la red Interna. 9/Junio/2015
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
Presentación realizada en el evento X CONAI (Peru) del Instituto de Auditores Internos del Peru. La presentación muestra como es posible utilizar las simulaciones de intrusión para analizar los procedimientos de detección y respuesta a incidentes.
Charla presentación de Sebastián Bortnik en el Workshop de Seguridad Informática en Sistemas Operativos desarrollado en la UTN Rosario el día 3 de noviembre de 2009. Más información: http://unmundobinario.com
El curso tendrá por objetivo introducir a los asistentes en las pruebas que deben realizarse para detectar, explotar y corregir vulnerabilidades en aplicaciones web. Los principales temas que serán los siguientes:
- Introducción y uso de herramientas (Mantra & BurpSuite)
- Enumeración y análisis de aplicaciones web
- Detección y explotación de vulnerabilidades comunes
- SQL Injection
- Cross-Site Scripting (XSS)
- RFI / LFI
- Credenciales por defecto
- Enumeración de usuarios
- Uso de fuerza bruta
- Otras vulnerabilidades…
- Post-Explotación y acceso al sistema
- Principios para la fortificación de aplicaciones web
Definición del concepto hacking ético y cómo éste puede ayudar en la búsqueda de vulnerabilidades de seguridad, mejorando así la protección de la información de una emrpesa.
Pensamiento computacional e inteligencia artificial en la educaciónJesús Moreno León
Presentación realizada en las Jornadas Iniciales Presenciales de Asesoramiento para PRODIG celebradas en Sevilla el 21 de noviembre de 2019. Se presentan ideas, recursos, resultados de investigaciones y normativa que respalda la introducción del pensamiento computacional y la inteligencia artificial en etapas educativas no universitarias.
Investigación sobre el desarrollo del pensamiento computacional en la escuelaJesús Moreno León
Resumen de las investigaciones principales desarrolladas por el grupo KGBL3 -formado por investigadores de la URJC, la UNED y Programamos- sobre el desarrollo del pensamiento computacional en la educación.
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...Jesús Moreno León
Slides for the presentation at the Seminar Series on Advanced Techniques & Tools for Software Evolution (SATToSE), which took place in Madrid (Spain) on 7–9 June 2017.
How social are Scratch learners? A comprehensive analysis of the Scratch plat...Jesús Moreno León
How social are Scratch learners? A comprehensive analysis of the Scratch platform for social interactions.
Paper presented at the 'FLOSS education and computational thinking workshop' - 12th International Conference on Open Source Systems. 2 June 2016, Gothenburg, Sweden
La programación informática como vía de emprendimiento. Programamos.Jesús Moreno León
La programación informática como vía de emprendimiento. Presentación en las Jornadas de Inserción Laboral del IES Polígono Sur de Sevilla. 17 de diciembre de 2015.
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...Jesús Moreno León
Dr. Scratch, Anáisis de proyectos Scratch para medir el desarrollo del Pensamiento Computacional y mejorar las habilidades de programación.
Seminario eMadrid sobre Pensamiento Computacional.
Today is Pentecost. Who is it that is here in front of you? (Wang Omma.) Jesus Christ and the substantial Holy Spirit, the only Begotten Daughter, Wang Omma, are both here. I am here because of Jesus's hope. Having no recourse but to go to the cross, he promised to return. Christianity began with the apostles, with their resurrection through the Holy Spirit at Pentecost.
Hoy es Pentecostés. ¿Quién es el que está aquí frente a vosotros? (Wang Omma.) Jesucristo y el Espíritu Santo sustancial, la única Hija Unigénita, Wang Omma, están ambos aquí. Estoy aquí por la esperanza de Jesús. No teniendo más remedio que ir a la cruz, prometió regresar. El cristianismo comenzó con los apóstoles, con su resurrección por medio del Espíritu Santo en Pentecostés.
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfsandradianelly
Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestr
Instrucciones del procedimiento para la oferta y la gestión conjunta del proceso de admisión a los centros públicos de primer ciclo de educación infantil de Pamplona para el curso 2024-2025.
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA, crea y desarrolla ACERTIJO: «CARRERA OLÍMPICA DE SUMA DE LABERINTOS». Esta actividad de aprendizaje lúdico que implica de cálculo aritmético y motricidad fina, promueve los pensamientos lógico y creativo; ya que contempla procesos mentales de: PERCEPCIÓN, ATENCIÓN, MEMORIA, IMAGINACIÓN, PERSPICACIA, LÓGICA LINGUISTICA, VISO-ESPACIAL, INFERENCIA, ETCÉTERA. Didácticamente, es una actividad de aprendizaje transversal que integra áreas de: Matemáticas, Neurociencias, Arte, Lenguaje y comunicación, etcétera.
3. Introducción
Una auditoría de seguridad informática es el estudio que
comprende el análisis y gestión de un Sistema Informático para
identificar, enumerar y, posteriormente, describir las diversas
vulnerabilidades que pudieran presentarse en una revisión
exhaustiva de sus estaciones de trabajo, redes de
comunicaciones o servidores.
El análisis que se realiza desde fuera y sin ninguna credencial se
llama auditoría de caja negra, mientras que los que se realizan
desde dentro se llaman auditorías de caja blanca.
Un test de intrusión (PenTest) es una auditoría de caja negra
http://www.isecauditors.com/es/test-intrusion.html
http://www.pentest.es/test_intrusion.php
9. Estructura de un PenTest
Un test de intrusión, un método para evaluar la seguridad de un
sistema informático simulando un ataque desde una fuente
maliciosa, presenta las siguientes fases:
●
Recogida de información
●
Búsqueda de vulnerabilidades
●
Localización de exploits para esas vulnerabiliades
●
Parcheo de los sistemas
10. Recogida de información
¿Qué información interesa recoger? ¡TODA!
Footprinting: se pretende obtener la huella identificativa, toda la
información posible de la red, sistema o usuario objetivo del
ataque.
La primera etapa consiste en recuperar información general del
objetivo en los medios públicos:
● Buscadores
●
DNS
●
ICANN
●
Traceroute
11. DNS
Para conocer la información
de la empresa suele
comenzarse por consultar al
servidor DNS para ver qué
servidores tiene registrados
con qué servicios.
Normalmente se obtienen
las direcciones IP de los
servidores DNS, de los
servidores Web, de los
servidores de correo y …
todo lo que se pueda.
12. Tracear y posicionar
Una vez que se tienen los objetivos iniciales marcados con
direcciones IPs lo siguiente es situarlos en la red y
geográficamente, para averiguar cuál es la ubicación física y
quiénes son sus proveedores de acceso a Internet.
http://www.yougetsignal.com/tools/visual-tracert/
13. Whois
Cuando una empresa
registra un dominio en
Internet debe rellenar una
serie de datos en el
registrador que deben estar
en una base de datos de
información que se llama
Whois. La información que
se registra en esta base de
datos es pública por
defecto.
14. Arañas de Internet
Existe mucha información que ya han recogido las arañas y que
está disponible para su consulta. Tan sólo hay que saber qué
preguntar a los buscadores.
Google Hacking Database
www.hackersforcharity.org/ghdb/
15. Spidering
Las técnicas de Spidering se utilizan para poder encontrar toda
la información que se ofrece gratuitamente a través de los sitios
web de la compañía. Se usan páginas html, ficheros de
imágenes, documentos, javascripts, applets, etc…
http://www.informatica64.com/foca/
16. Fingerprinting
Una vez recogida toda la información que era pública, el
siguiente paso es recoger aquella que también está accesible
públicamente pero que a priori no se puede ver. Es decir, se
trata de inferir información a partir de pruebas que se van
realizando a cada uno de los servicios y servidores.
18. Búsqueda de vulnerabilidades
Una vez que se conocen cuáles son los sistemas operativos,
firewalls y/o puertos abiertos y se han descubierto las versiones
de software que corren por esos servicios hay que buscarles los
problemas. Pueden utilizarse los expedientes de seguridad y
escáneres de vulnerabilidades
http://www.securityfocus.com/
http://cve.mitre.org/cve/
http://secunia.com/advisories
19. Búsqueda de vulnerabilidades
Escáneres de
vulnerabilidades:
●
Nessus
●
GFI LanGuard Network
Security Scanner
●
Shadow Security
Scanner
●
E-eye Retina
Introducción a Nessus 4.2:
http://www.youtube.com/watch?v=3RgOtjv4v8E
20. Exploits
Cuando se han encontrado los bugs, el objetivo es crear una
herramienta que saque partido de ellos, es decir, que sea capaz
de hacer uso de esa “funcionalidad no definida del programa”.
Para ello, se analizan las posibilidades y alcance de ese bug y se
opta por un determinado exploit.
Todos los exploits tienen dos partes diferenciadas:
●
La cabecera, que es lo que se denomina exploit puramente y
que depende de cada bug
●
El cuerpo, denominado payload que son acciones ya
programadas que se reutilizan
21. Metasploit Framework
Metasploit Framework es una
herramienta que aúna una base
de datos de cabeceras de exploits
y de payloads para poder realizar
el test en tus servidores.
Se usa por profesionales de la
seguridad informática para
realizar Pentests, administradores
de sistemas para verificar la
instalación de parches e
investigadores de todo el mundo http://www.metasploit.com/
para realizar pruebas.
22. Metasploit Framework
Este framework incluye
herramientas, bibliotecas, módulos
y una interfaz de usuario. La
funcionalidad básica es un lanzador
de módulos que permite al usuario
configurar un exploit y lanzarlo
contra un equipo objetivo. Si el
exploit tiene éxito, se ejecuta el
payload en el objetivo y se le facilita
al usuario una shell para interactuar
con el payload.
http://www.elladodelmal.com/2010/07/metasploit-con-adobe-flash-player-un.html
23. Resumen
1.Identifica qué quieres auditar utilizando las técnicas de
Footprinting y FingerPrinting
2.Busca las vulnerabilidades de esos productos utilizando los
expedientes de seguridad o los escáneres de vulnerabilidades
3.Busca los exploits para esas vulnerabilidades usando
metasploit
4.Parchea para dejar el sistema corregido tal y como
recomiende el fabricante del software en los expedientes de
seguridad de la vulnerabilidad.