Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Ethical Hacking

Seguridad Informatica
by

Ivan Marcano

on 20 May 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Ethical Hacking

Ethical Hacking Asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas Garantiza condiciones y características de datos e información Perfil de un Hacker Ético OSSTMM (Open Source Security Testing Methodology Manual) Representa un estándar de referencia imprescindible, para todo aquel que quiera llevar a cabo un testeo de seguridad en forma ordenada y con calidad profesional. ISSAF(Information Systems Security Assessment Framework) Constituye un framework detallado respecto de las prácticas y conceptos para un testeo de seguridad.
Los criterios de evaluación, se componen de los siguientes elementos:
Una descripción del criterio de evaluación
Puntos y Objetivos a cubrir
Los pre-requisitos para conducir la evaluación
El proceso mismo de evaluación
El informe de los resultados esperados
Las contramedidas y recomendaciones
Referencias y Documentación Externa. Fases del Ethical Hacking Seguridad Informatica Agenda Integrantes Martha Fajardo
Ivan Marcano
Rubens Gomez
Luisana Iglesias Seguridad Informatica
Etical Hacking
Perfil del Hacker Etico.
Objetivos del Etical Hacking.
Tipos de Etical Hacking
Ventajas
Metodologia para Test de Itrusión
Caso RaFa
Dinamica Seguridad Informática Manejo del peligro Conocerlo
Clasificarl
Protegerse contra daños Ethical Hacking El servicio de Ethical Hacking consiste en la simulación de posibles escenarios donde se reproducen ataques de manera controlada, así como actividades propias de los delincuentes cibernéticos También conocidos como Pen-Tester, realizan "Pruebas de Penetración". Debe ser experto en computadoras y redes de datos, su función es atacar los sistemas de seguridad en nombre de sus dueños, con la intención de buscar y encontrar vulnerabilidades Objetivos Detectar el nivel de seguridad interno y externo de los sistemas de información de una Estas pruebas de penetración permiten:
Evaluar vulnerabilidades identificando debilidades producto de una mala configuración de las aplicaciones.
Analizar y categorizar las debilidades explotables:
Dar recomendaciones en base a las prioridades de la organización para mitigar y eliminar las vulnerabilidades yel riesgo de ocurrencia. Las Pruebas de penetración evidencian vulnerabilidades que pudieran explotadas por individuos no autorizados y ajenos a la información como: crackers, hackers, ladrones, ex-empleados, empleados actuales disgustados, competidores, etc impacto potencial factibilidad de la amenaza Previo a cualquier ataque
Descripción de la red
Exploración de los sistemas
Reconocimiento pasivo: Google Hacking, Ingeniería social, Monitorización de redes de datos, etc. Escaneo es una fase de pre-ataque.
Se escanea la red pero ya con información de la fase previa
Detección de vulnerabilidades y puntos de entrada.
El escaneo puede incluir el uso de escáneres de puertos y de vulnerabilidades
Reconocimiento activo – Probar la red para detectar: Hosts accesibles, Puertos abiertos, localización de routers, Detalles de sistemas operativos y servicios Se refiere al ataque propiamente dicho.
Por ejemplo, hacer uso de un exploit o bugObtener una password, ataques man-inthe_middle (spoofing), DoS, etc Mantenimiento del acceso- se trata de retener los privilegios obtenidos.
A veces un hacker blinda el sistema contra otros posibles hacker, protegiendo sus puertas traseras, rootKits y Troyanos Borrado de huellas – se intenta no ser descubierto.
Análisis forense
Ethical Hacking Report
Detalles de los resultados de las actividades y pruebas de hacking realizadas. Comparación con lo acordado previamente en el contrato.
Se detallarán las vulnerabilidades y se sugiere cómo evitar que hagan uso de ellas Tipos de Pruebas Pruebas de penetración con objetivo Pruebas de penetración sin objetivo Pruebas de penetración a ciegas Pruebas de penetración informadas Pruebas de penetración externas. Pruebas de penetración internas 1) Red Teaming: Es una prueba encubierta, en esta modalidad son válidas las técnicas de "Ingeniería Social". Ésta obviamente es más real y evita se realicen cambios de última hora.

2) Blue Teaming: El personal de informática conoce sobre las pruebas. Se aplica cuando las medidas tomadas por el personal de seguridad de las organizaciones ante un incidente. Ventajas del Ethical Hacking Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de información.
Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas (equipos de cómputo, switches, routers, firewalls).
Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.
Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la organización. Metodología para test de Intrusión OTP (OWASP Testitng Project) Esta metodología incluye como elementos a testear: Personas, Procesos y Tecnologías, OTP delinea en su primera parte conceptos claves a la vez que introduce un framework específicamente diseñado para evaluar la seguridad de aplicaciones web a lo largo de su vida.
Esta metodología consta de dos partes:
Parte1: Abarca principios del testeo, aplicación de técnicas de testeo y explicación general del framework de testeo.
Parte 2: Planifican todas las técnicas necesarias para testear cada paso del ciclo de vida del desarrollo de software Caso "RaFa" Rafael Núñez es un hacker ético venezolano que solía ser un miembro de la World of Hell en 2001. Fue detenido por agentes federales de Estados Unidos por realizar del ciberataque perpetrado contra la página del Sistema de Computación de la Fuerza Aérea Norteamericana en 2003 Logra la reducción de la condena por colaborar con una organización contra la pornografía infantil por Internet Fue liberado el 13 de diciembre del 2005 y actualmente es un hombre de negocios que asesora a las empresas en materia de seguridad. Es fundador del sitio Clean Perception, una empresa encargada en la Gestión de la reputación Online (ORM). Dinamica La compañía banco Frami Soft con 20 sucursales, y un sistema centralizado para aplicaciones para móviles y desktop Fue inaugurado en 2001 y su presidente es Carlos Solís
Cuenta con un solo clúster de servidores, sin espejo
Se encuentra en la Sucursal principal en caracas, físicamente en el piso de ventas
Se dispone de dos redes segmentadas: una a nivel de usuarios del banco, y otra solo para plataforma tecnológica
Nivel medio de firewall y routers, Seguridad wap32 en claves de acceso mostrando caracteres de pantalla
El enlace de la página del banco es www.bacoframisoft.com y recomiendan a sus clientes que accedan a ella a través de un buscador.
El comunicado con los clientes es a través de direcciones con diferentes username Comentado estas características del sistema del banco:
1. Uds según el rol al que fue seleccionado debe señalar 10 acciones a seguir. (Black hat)
2.Que metodología y/o tecnicas sugiere ud que debe utilizar esta compañía para protegerse(White Hat)
Full transcript