Ethical hacking y contramedidas
0 recomendaciones1,999 vistas
Este documento presenta una conferencia sobre hacking ético y contramedidas que se llevará a cabo en UNITEC en enero de 2005. La conferencia cubrirá temas como qué es un hacker ético, cómo pensar como un hacker, herramientas de hacking, amenazas a la seguridad, y la certificación de hacker ético otorgada por el Consejo de Ética de Ciberseguridad. El objetivo es mostrar cómo un hacker ético puede ayudar a evaluar y mejorar la seguridad de las redes corporativas.
Ethical hacking y contramedidas
- 1. ¡Para detener al Hacker hay que pensar como él! www.unitec.mx Ethical Hacking & Contramedidas Conferencia en UNITEC, enero de 2005 Alejandro Domínguez (alexdfar@yahoo.com) Jaime Devereux (CEH) Santiago Monterrosa (CEH)
- 2. Objetivos y temas a tratar en la plática Objetivos Mostrar qué se está haciendo para evaluar la seguridad de las redes corporativas utilizando los servicios de un Hacker Ético Dar una perspectiva general sobre los riesgos actuales en la seguridad de TI Proveer algunos lineamientos para mejorar la seguridad de TI Demostrar lo sencillo y peligroso que puede ser el hackeo … Temas Parte 1: ¿Un Hacker Ético? Parte 2: Hackear o no hackear ... Parte 3: EC Council y Certified Ethical Hacker Parte 4: Sesión de preguntas y ¿respuestas?
- 3. Parte 1: ¿ Un Hacker Ético ?
- 4. Introducción Todos los días, penetran intrusos a las redes y servidores de todo el mundo Elnivel de sofisticación de estos ataques es muy variable Se cree que la mayoría de los ataques se deben a passwords débiles Aunque muchas de las intrusiones utilizan técnicas más avanzadas Este último tipo de ataques, por su propia naturaleza, son difíciles de detectar
- 5. Algunas estadísticas El 90% de las redes en empresas y los gobiernos tuvieron violaciones de seguridad informática en 2002 El número de ataques y las consecuentes pérdidas, son mucho mayores que lo que se reporta en los medios La mayoría de los incidentes se ocultan para proteger la reputación de las empresas Aun las empresas que contratan investigadores, no permiten que nadie externo a la organización sepa Fuente: 2002 CSI/FBI Computerdaños Security Survey la cuantía de los Crime and causados
- 6. Más estadísticas Empresas del Fortune 1,000 perdieron más de 45,000 MDD por robos de información en 2002 La mayoría de los ataques fueron a empresas de tecnología 67 ataques individuales promediaron 15 MDD en pérdidas Se estima que el virus LoveLetter causó daños por 10,000 MDD Los daños reportados del virus Melissa fueron de 385 MDD El costo de los desastres por virus está entre US$100,000 y US$1 millón por empresa Fuente: ICSA.Net, 23 October 2000, http://www.securitystats.com/reports.asp , Computer Virus Prevalence Survey
- 7. Amenazas a los datos Las amenazas provienen de: Personal interno El personal interno es el más peligroso pues conoce bien el ambiente Hackers/Crackers Los Hackers/Crackers pueden entrar a los sistemas sólo para explorar la infraestructura o pueden hackear por razones maliciosas Espionaje industrial El espionaje industrial comprende obtener información confidencial de corporaciones o entidades gubernamentales para el beneficio de terceros Código malicioso
- 8. Tipos de ataque Ataques externos Compañía Ataques internos por Internet por la Intranet 59% de los ataques se hacen por Internet 38% de los ataques los hacen empleados internamente
- 9. Entablar amistad con alguien interno Los hackers intentan trabajar con alguien interno o infiltrar a alguien en la organización Un análisis del Departamento del Tesoro de USA indica que más del 60 por ciento de las intrusiones reportadas involucran a alguien dentro de la empresa La función de la persona interna infiltrada es encontrar alguna debilidad desconocida para los administradores del sistema
- 10. Ataques externos más frecuentes Frequent Points of Attack Existe un mayor uso de Internet Internet 59 connection Las técnicas y herramientas que se Internal crean día a día 38 permiten de nuevas systems oportunidades de ataque 0 20 40 60 80 Percent of respondents Source: 2000 CSI/FBI Computer Crime and Security Survey
- 11. Evolución de herramientas de ataque packet forging / Complejidad técnica relativa sniffer / spoofing Herramientas exploiting back sweepers known doors de hackers vulnerabilities GUI stealth self-replicating hijacking diagnostics code sessions disabling password audits Intruso cracking password promedio guessing 1980 1985 1990 1995 Fuente: GAO Report to Congress, 1996
- 12. La tendencia continua DDoS Herramientas Insertion de hackers Complejidad técnica relativa Tools Windows Trinoo Remote ? Control PrettyPark Stacheldraht Melissa Kiddie Scripter 1998 1999 2000 2001
- 13. Parte 2: Hackear o no hackear …
- 14. Habilidades de los hackers Un hacker capaz tiene los siguientes conocimientos: Ingeniería de Internet TCP/IP, NFS, Redes inalámbricas, GPRS Administración de sistemas Windows 2000, Linux, Solaris, Palm OS etc. Administración de redes SNMP, Tivoli, HP OpenView, Switches, Routers etc. Ingeniería en reversa Decompilers, circuit breakers Computación distribuida J2EE, RPC, Corba, Web Services Criptografía SSL, PKI, Certificados digitales Ingeniería Social Convencimiento, seducción, simpatía, engaño, etc. Programación C++, Java, Perl, JavaScript, HTML, ASP Bases de datos SQL Server, Oracle, DB2, MySQL
- 15. Herramientas de Hacking Hay herramientas disponibles en muchos sitios Web disfrazados Las herramientas son cada día más sofisticadas y poderosas en cuanto a: Eficiencia Distribución Furtividad Automatización Facilidad de uso
- 16. Sitio Hacker Underground www.cleo-and-nacho.com Hacer Clic aquí
- 17. Los sitios/portales Susitio/portal no necesita ser tan famoso como Yahoo o eBay para que sea atacado Los hackers Necesitan un lugar para ocultar su rastro Necesitan tu máquina como trampolín para atacar otros sitios Necesitan de diversos recursos para llevar a cabo sus actividades
- 18. En Google … Se pueden bajar herramientas de hacker fácilmente de Internet La funcionalidad de las herramientas se incrementa día a día El conocimiento de los hackers disminuye El número de hackers aumenta Algún día hasta un niño de primaria podrá meterse a sus sistemas
- 19. Las amenazas Las herramientas de hackeo son cada vez más sofisticadas y poderosas en términos de Eficiencia Formas de ataque Camuflaje Facilidad de manejo Amigabilidad
- 20. The Threats
- 21. Las amenazas Las debilidades en seguridad de tus equipos se pueden identificar con herramientas de escaneo La seguridad de cualquier red en Internet depende de la seguridad de todas las demás redes Ninguna red es realmente segura
- 22. Cómo se meten Pasos generales Localizan una víctima mediante un programa de escaneo Identifican la vulnerabilidad del equipo de la victima Atacan la máquina host de la victima por medio de las vulnerabilidades identificadas Establecen una puerta trasera, para poder tener acceso en el futuro
- 23. Prevención General Pruebe e instale service packs y hotfixes Corra y mantenga el software antivirus Instale un sistema de detección de intrusos en el perímetro de la red No dejar pasar mensajes con extensión *.exe, *.vbs o *.dll en archivos adjuntos Reinstale los sistemas infectados
- 24. ¿ Cómo se infectan los sistemas? Caballos de Troya Inserción manual Animaciones ● Compartiendo Screen savers información Video juegos ● Acceso físico Política: Controlar el código maligno en el equipo de los usuarios
- 25. Todos estamos en esto juntos Seguridad Proveedores Usuarios de la de Red Servicios Proveedores de Software y Equipos
- 26. Parte 3 EC Council y Certified Ethical Hacker
- 27. ¿Qué es un Ethical Hacker? Es un profesional de seguridad que busca constantemente enriquecer su conocimiento y experiencia Se forma a partir de conocimientos y bases sólidas de seguridad Queda respaldado por la industria no solo con base en su experiencia o el conocimiento teórico, sino por una certificación (Certified Ethical Hacker, EC Council)
- 28. ¿Qué no es un Ethical Hacker? No es un hacker improvisado No se dice experto para ser luego un adorno más en su vitrina de trofeos No es un individuo que cambia de carrera para convertirse en EH de la noche a la mañana No esta atado a una tecnología o herramienta específica
- 29. ¿Cómo ayuda un EH a la organización? Un EH certificado reconoce el valor de su conocimiento Constantemente aprende medidas preventivas para proteger tus activos de información Aboga por las mejores prácticas y medidas de solución en seguridad de sistemas informáticos a partir de su conocimiento Utiliza una metodología dinámica que se adapta a la realidad del mundo
- 30. Certificación de seguridad – CEH
- 31. ¿ Qué hacer ? Identifique a la gente adecuada Involúcrelos en las Políticas de Seguridad Capacítelos y certifíquelos
- 32. Capacitación Dónde obtener certificación CISSP: Certification for Information Security Professional (http://www.isc2.org) CEH: Certified Ethical Hacker (http://www.eccouncil.org) CHFI: Certified Hacker Forensic Investigator (http://www.eccouncil.org)
- 33. Algunos nombres Hacking Es Romper Seguridad Forensic Es Descubrir las huellas Recovery Es Recuperar la información perdida Penetration Test Es Saber como realizar pruebas de penetración Audit EsGarantizar estrategia de seguridad adecuada basada en normas
- 34. ¿Estándares? En 2005 EC-Council se establecerá como cuerpo de desarrollo de estándares de seguridad de TI a nivel mundial Una organización podrá certificar su infraestructura de TI con base en estándares EC- Council Podrá aplicar auditoria de seguridad a su infraestructura certificada
- 35. Parte 4 : ¿ Alguna pregunta ?
- 36. Gracias Gracias por su tiempo