Scribd Logo
Upload

Welcome to Scribd!

  • Introducción A Ethical Hacking

    Uploaded by

    catrachito1245
    15 views66 pages
    Presentación introductoria a Ethical Hacking

    Original Title

    Introducción a Ethical Hacking

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Presentación introductoria a Ethical Hacking

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    15 views66 pages

    Introducción A Ethical Hacking

    Uploaded by

    catrachito1245
    Presentación introductoria a Ethical Hacking

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 66

    ETHICAL HACKING

    INTRODUCIÓN A ETHICAL HACKING

    • - MÁS EQUIPOS CONECTADOS A INTERNET.

    • - CADA DÍA ES MAS FÁCIL REALIZAR UN ATAQUE INFORMÁTICO.


    • - INFORMACIÓN ALMACENDA DE MANERA INSEGURA.
    • - FALTA DE CONOCIMIENTO TECNOLOGICO Y SUS VULNERABILIDADES.
    FACILIDAD PARA PERPETUAR UN ATAQUE
    INFORMACIÓN MAL MANEJO DE LA
    INFORMACIÓN

    • - COMPLEJIDAD DE LOS SISTEMAS DE INFORMACIÓN


    • - FALTA DE POLÍTICAS DE PRIVACIDAD
    AMENAZA

    ACCIÓN O EVENTO QUE PODRÍA COMPROMETER LA SEGURIDAD, AMENAZA ES UNA POSSIBLE


    VIOLACIÓN A LA SEGURIDAD.
    VULNERABILIDAD

    LA EXISTENCIA DE UNA DEBILIDAD, MAL DISEÑO O MALA IMPLEMENTACION QUE PODRIA


    CONLLEVAR A UN EVENTO INESPERADO Y NO DESEADO QUE COMPROMETA LA SEGURIDAD DE
    UN SISTEMA.
    OBJETO DE EVALUACIÓN

    SISTEMA IT, PRODUCTO O COMPONENTE QUE ES IDENTIFICADO Y POSTERIORMENTE EVALUADO


    PARA ENCONTRAR DEBILIDADES O FALLAS DE SEGURIDAD.
    ATAQUE

    • ASALTO A LA SEGURIDAD DE UN SISTEMA DERIVADO DE UNA AMENAZA. UN ATAQUE ES


    CUALQUIER ACCIÓN QUE VIOLA LA SEGURIDAD
    EXPLOIT

    METODO DEFINIDO PARA VULNERAR UN EQUIPO O SISTEMA.

    HACE UNOS AÑOS LOS HACKERS TENÍAN QUE SER EXPERTOS PARA REALIZAR UN ATAQUE, POR
    DECIRLO DE UNA MANERA UN EXPLOIT ES UNA RECETA COMPROBADA PARA HACKEAR UN
    EQUIPO O SISTEMA.
    CICLO DE VIDA DE UN ATAQUE
    RECONOCIMIENTO

    ESTA ES LA FASE DE PREPARACIÓN DONDE EL ATACANTE BUSCA RECOPILAR TODA LA


    INFORMACIÓN POSIBLE ACERCA DEL OBJETO DE EVALUACIÓN ANTES DE LANZAR EL ATAQUE.

    UNA ANALOGÍA PUEDE SER IR PROBANDO LAS LOS LLAVINES DE TODAS LAS PUERTAS DE UN
    EDIFICIO HASTA ENCONTRAR UNA QUE NO TENGA LLAVE.

    ENTRE MÁS INFORMACIÓN TENGA EL ATACANTE DE UNA POSIBLE VICTIMA, MÁS FÁCIL SERÁ
    PERPETUAR EL ATAQUE.

    HAY DOS TIPOS DE RECONOCIMIENTO PASIVO QUE ES BUSCAR INFORMACIÓN DE MANERA


    INDIRECTA Y ACTIVO QUE IMPLICA UNA INTERACCIÓN CON EL OBJETO DE EVALUACIÓN.
    ESCANEO

    ESTA ES LA FASE PREVIA AL ATAQUE, EL ATACANTE ESCANEA LA RED BUSCANDO INFORMACIÓN


    ESPECIFICA IDENTIFICADA EN LA FASE DE RECONOCIMIENTO.

    EN ESTA FASE EL ATACANTE PUEDE UTILIZAR DISTINTAS HERRAMIENTAS COMO SER:

    - ESCÁNER DE PUERTOS
    - HERRAMIENTAS DE MAPEO DE RED
    - ESCÁNER DE VULNERABILIDADES
    OBTENER ACCESO

    EN ESTA FASE ES CUANDO EL ATACANTE LOGRA ACCEDER AL EQUIPO O SISTEMA EXPLOTANDO UNA
    VULNERABILIDAD IDENTIFICADA EN EL SISTEMA.

    ESTO PUEDE OCURRIR VÍA LAN, DESDE INTERNET, POR MEDIO DE UN ENGAÑO E INCLUSO ROBO DEL
    EQUIPO.

    EJEMPLOS: DESBORDAMIENTO DE FLUJO (BUFFER OVERFLOW), DENEGACIÓN DE SERVICIO,


    SECUESTRO DE SESIÓN Y ROMPER UNA CONTRASEÑA POR MEDIO DE HERRAMIENTAS.
    MANTENER EL ACCESO

    AQUÍ EL ATACANTE TRATA DE MANTENER EL ACCESO AL EQUIPO COMPROMETIDO, LA IDEA ES CONTINUAR


    EXTRAYENDO INFORMACIÓN O HACER USO DE LOS RECURSOS.

    PUEDEN USAR HERRAMIENTAS COMO SER: BACKDOORS, ROOTKITS O TROYANOS.

    EL ATACANTE PUEDE MODIFICAR LOS DATOS Y APLICACIONES DEL EQUIPO O SISTEMA COMPROMETIDO.

    INCLUSO PUEDEN MEJORAR LA SEGURIDAD DEL EQUIPO PARA EVITAR QUE ALGUIEN MÁS OBTENGA ACCESO.
    CUBRIR LAS PISTAS

    LA MAYORÍA DE LOS ATACANTES DESEAN QUE NO PUEDAN IDENTIFICARLOS POR LO QUE TRATAN
    DE BORRAR CUALQUIER PISTA LATENTE DE SUS ACTIVIDADES, CON ESTO PUEDEN EVITAR
    PROBLEMAS LEGALES.

    PUEDEN USAR TÉCNICAS COMO SER: STEGANOGRAPHY, TUNNELING Y BORRAR O ALTERAR LOS
    ARCHIVOS DE BITÁCORA DE LOS EQUIPOS.
    TIPOS DE ATAQUES

    • SISTEMA OPERATIVO
    • APLICACIONES
    • CÓDIGO EMPAQUETADO (LIBRERÍAS)
    • MALAS CONFIGURACIONES
    REGLA

    • SI UN ATACANTE QUIERE INGRESAR A NUESTROS EQUIPOS, LO HARÁ Y NO HAY NADA QUE


    PODAMOS HACER AL RESPECTO.

    • LO ÚNICO QUE PODEMOS HACER ES QUE SE LE HAGA MÁS DIFÍCIL EL INGRESO.


    HACKTIVISMO

    • HACKEAR POR IN IDEAL.


    • PUEDE SER UNA CAUSA POLÍTICA, RELIGIOSA, APOYO A UN DETERMINADO GRUPO…
    • SIN IMPORTAR CUAL ES EL IDEAL, AL FINAL EL HACKTIVISMO ES TAMBIÉN UN DELITO.
    TIPOS DE HACKER

    • BLACK HATS
    • WHITE HATS
    • GRAY HATS
    • SUICIDE HACKERS
    QUE HACE UN ETHICAL HACKER?

    LA IDEA GENERAL ES APLICAR LOS CONOCIMIENTOS DE COMO ACTÚAN LOS HACKERS Y UTILIZAR
    DICHA INFORMACIÓN PARA MANTENER UN NIVEL DE SEGURIDAD ACEPTABLE.

    SI CONOCEMOS COMO ACTÚAN LOS HACKERS PODEMOS SE PUEDE ANTICIPAR ALGUNOS DE


    SUS MOVIMIENTOS, PERO HAY QUE CONSIDERAR QUE CADA DÍA APARECEN NUEVOS ATAQUES Y
    QUE LO QUE HOY SEGURO, QUIZÁS MAÑANA SEA VULNERABLE.
    DONDE ENCONTRAR VULNERABILIDADES?

    • WWW.KB.CERT.ORG/VULS

    • WWW.SECURITYTRACKER.COM

    • WWW.MICROSOFT.COM/SECURITY

    • WWW.SECURITEAM.COM

    • WWW.PACKETSTORMSECURITY.COM

    • WWW.HACKERSTORM.COM

    • WWW.SECURITYFOCUS.COM
    DONDE ENCONTRAR EXPLOITS?

    • WWW.EXPLOIT-DB.COM

    • WWW.METASPLOIT.COM

    • WWW.EXPLOITPACK.COM
    FOOTPRINTING

    LA FASE EN LA QUE EL ATACANTE INVIERTE MAS TIEMPO ES EN LA DE RECONOCIMIENTO, ENTRE


    MAS INFORMACIÓN SE PUEDA RECOPILAR DEL EQUIPO O SISTEMA VICTIMA AYUDARÁ PARA QUE
    EL ATAQUE SEA MÁS EFECTIVO.
    FOOTPRINTING

    LA FASE EN LA QUE EL ATACANTE INVIERTE MAS TIEMPO ES EN LA DE RECONOCIMIENTO, ENTRE


    MAS INFORMACIÓN SE PUEDA RECOPILAR DEL EQUIPO O SISTEMA VICTIMA AYUDARÁ PARA QUE
    EL ATAQUE SEA MÁS EFECTIVO.
    FOOTPRINTING

    LA FASE EN LA QUE EL ATACANTE INVIERTE MAS TIEMPO ES EN LA DE RECONOCIMIENTO, ENTRE


    MAS INFORMACIÓN SE PUEDA RECOPILAR DEL EQUIPO O SISTEMA VICTIMA AYUDARÁ PARA QUE
    EL ATAQUE SEA MÁS EFECTIVO.
    INGENIERÍA SOCIAL

    • ES EL ARTE DE CONVENCER A LAS PERSONAS PARA QUE REVELEN INFORMACIÓN


    CONFIDENCIAL.

    • DE NADA SIRVE QUE LAS COMPAÑÍAS COMPREN LOS MEJORES FIREWALLS, ANTIVIRUS,
    SISTEMAS OPERATIVOS Y APLICACIONES SEGURAS.
    INGENIERÍA SOCIAL

    • EXPLOTA LA NATURALEZA HUMANA:


    • CONFIANZA
    • MIEDO
    • DESEO DE AYUDAR

    • EL ATACANTE PUEDE OBTENER INFORMACIÓN TAL COMO:


    • INFORMACIÓN SENSITIVA
    • DETALLES DE AUTORIZACIÓN
    • DETALLES DE ACCESO
    INGENIERÍA SOCIAL

    LAS PERSONAS EN MUCHOS CASOS SON EL ESLABÓN MAS DÉBIL DE LA CADENA Y EL PROBLEMA
    MAYOR ES QUE NO PODEMOS INSTALARLE NINGÚN PARCHE.

    PERO TENEMOS LA ALTERNATIVA DE EDUCARLO, EXPLICÁNDOLE QUE PREGUNTAS NO DEBERÍA DE


    RESPONDER O CUANDO REPORTAR A ALGUNA PERSONA QUE BUSQUE OBTENER INFORMACIÓN
    MEDIANTE INGENIERÍA SOCIAL.
    INGENIERÍA SOCIAL

    PUEDE SER DE DOS FORMAS:


    - BASADO EN PERSONAS
    -RECOPILA INFORMACIÓN INTERACTUANDO CON ALGUIEN.

    - USANDO COMPUTADORAS
    - POR EJEMPLO UN CORREO FALSO, APLICACIÓN MALICIOSA, VENTANAS EMERGENTES, CADENAS DE
    CORREO…
    INGENIERÍA SOCIAL

    ALGUNAS TÉCNICAS SON:


    - ESCUCHAR LAS CONVERSACIONES.
    - VER CUANDO ESCRIBEN LA CONTRASEÑA.
    - HACERSE PASAR COMO SOPORTE TÉCNICO.
    - HACERSE PASAR COMO JEFE O DUEÑO.

    - BUSCAR EN LA BASURA.
    GRACIAS

    You might also like