1. Hack-IT
Information Technology
Vulnerabilidades Web:
Irrumpiendo por la puerta de entrada
Luciano Laporta Podazza
CEO Hack-IT
www.Hack-IT.com.ar

2. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Qué es la seguridad?
¿Quienes componen a la misma?
Hackers, crackers, lamers... la farándula del internet.
Amenazas
Protegiendonos
Conclusión
EOF(End Of File)
Lanzamiento de elementos contundentes hacia el disertante

3. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Para que un sistema se pueda definir como seguro debe tener estas
cuatro características:
* Integridad: La información sólo puede ser modificada por quien
está autorizado y de manera controlada.
* Confidencialidad: La información sólo debe ser legible para los
autorizados.
* Disponibilidad: Debe estar disponible cuando se necesita.
* Irrefutabilidad (No repudio): El uso y/o modificación de la
información por parte de un usuario debe ser irrefutable, es decir, que
el usuario no puede negar dicha acción.

4. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Seguridad...
¿Quienes la componen?

5. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Hackers.

6. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

7. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

8. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

9. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

10. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

11. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

12. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

13. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Entonces...
¿Quienes son los “Hackers” realmente?

14. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Richard M. Stallman
(Creador del concepto de Software Libre y GNU)

15. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Linus Torvalds
(Kernel Linux)

16. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
John Von Neumann
(Teoría de Juegos, Álgebra de von Neumann, Arq. De Von Neumann, Autómata Celular)

17. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Ada Byron
(Primera programadora, lenguaje ADA)

18. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Vinton Gray "Vint" Cerf
(Arquitecto del Internet)

19. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Guglielmo Marconi
(Radio)

20. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Wolfgang Amadeus Mozart
(Músico)

21. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Albert Einstein
(Teoría de la relatividad, movimiento browniano, efecto fotoeléctrico)

22. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Dan Kaminsky
DNS Cache Poisoning, Rootkit Sony

23. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Entonces...
Si ellos son los Hackers, ¿Quienes son los otros?

24. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Crackers
Violan la seguridad de software(cracks, keygens, etc).
Ingresan a sistemas con fines destructivos
Phreakers
Violan los sistemas telefónicos con diversos fines(fraude, anonimato, llamadas gratis, etc)
Carders
Roban información de tarjetas de crédito para cometer actos ilícitos.
Defacers
Ingresan a sitios web para cambiar la pagina principal por algún mensaje personalizado.
Script Kiddies
Usan scripts, exploits, etc; para atacar sistemas, sin tener conocimiento de cómo
funcionan realmente.
Lamers
Lo más repudiable de Internet, persona falta de habilidades técnicas, sociabilidad o
madurez considerada un incompetente en una materia.

25. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Gary McKinonn
6 años contra la extradición a los Estados unidos.
70 años de cárcel
2 millones de dólares
NASA, ejército estadounidense, marina estadounidense, departamento de defensa
estadounidense, fuerzas aéreas estadounidenses, Pentágono.

26. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
● Los Hackers CONSTRUYEN y NUNCA DESTRUYEN.
● Para ser “Hacker” hay que dar el ejemplo y lograr el reconocimiento.
● Aplican sus descubrimientos e investigaciones para el BIEN y no para el MAL.
● Son personas que por sobre todas las cosas tiene mucha moral y ética.
● No son conformistas, siempre van más allá.
● Aman lo heróico y lo difícil.
Y un largo etc...

27. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Amenazas

28. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Y un largo etc...

29. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Amenazas
●XSS (Cross Site Scripting)
●SQL Injection
●CSRF (Cross Site Request Forgery)
●RFI (Remote File Inclusion)
●LFI (Local File Inclusion)
●Insecure Direct Object Reference(directory enumeration)
●Cifrados propios e inseguros
●Falta de Cifrado en lugares sensibles de la aplicación
●LDAP Injection
●XML Injection
●Debugging ON
●Buffer Over Flow
●HTTP Parameter Pollution
●DNS enumeration
●Y un extremadamente LARGUÍSIMO etcétera...

30. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Protegiendonos

31. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Herramientas y métodos de protección
●Antivirus
●WAF(Web Application Firewall)
●Auditorías(penetration testing)
●Cifrado.
●Filtrado de datos (user input)
●Sentido Común
●Familia ISO 27000
●Etc...

32. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Web Application Firewall

33. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Auditorías

34. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

35. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

36. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

37. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

38. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

39. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Cifrado Simétrico y Asimétrico

40. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

41. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
A clever person solves a problem. A wise person avoids it.
Albert Einstein.

42. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
●Filtrado HTML/Javascript/CSS(XSS).
●White lists en vez de Black lists.
●Filtrado en variables de consulta(SQL).
●Fuerte tipado de variables(caractér, número, etc)
●+Diseño / - Parches.
●Esperar lo inesperado(desconfiar del comportamiento del usuario).
●Ingeniería Social.
●Directory enumeration(admin path finding).
●En lo posible, verificar contenidos de los archivos que suben los
usuarios en busqueda de anomalías(código malicioso).
●Roles/Privilegios(Base de datos, Sistema Web, etc).
●ReCAPTCHA!(o Akismet en su defecto...)
●Cifrado de passwords!(MD5 no!)
●Bloqueo de sesiones por IP
●Tokens(CSRF)
●No usar cifrados propios!
●Otro largo etc...

43. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Conclusiones

44. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Estoy seguro?

45. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Porqué?

46. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Existe alguna solución a esto?

47. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Hack-IT
“Internet Security Server”
(...CHIVO...)

48. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Internet
Conexión Cifrada
Router/Firewall
Firewall
Servidor Seguro
Solución Antivirus

49. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Black List
Filtro de Spam
Conexión Cifrada
Servidor de Actualizaciones

50. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
IDS/IPS
Servidor de Logs
Negros quemandose las pestañas leyendo logs y analizándolos
Servidor de Backup

51. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Y Finalmente....
El usuario final!!!

52. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Porqué la sorpresa?

53. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
<---- Soy Brad Pitt si haces click aquí me
saco la estrellita!!!

55. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology

56. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Conclusiones
● La seguridad es una utopía.
● No hay sistema 100% seguro(y el que diga lo contrario es un chanta).
La seguridad es como una cadena: “Será tan fuerte como su eslabón
●
más débil”(en este caso el usuario sin consciencia).
● Es más fácil destruir que construir.
● Los Hackers CONSTRUYEN y todos los demás DESTRUYEN.
● La seguridad no empieza y termina en una computadora...
●Celulares, satélites, cerraduras, sistemas
políticos,económicos,sociales, etc...

57. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
En resumen la solución definitiva contra
la inseguridad es la EDUCACIÓN

58. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Preguntas frecuentes por Eric Raymond

59. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Me enseñas a hackear?

60. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Aun si pudiera hacerlo, el hackeo es una actitud y habilidad que
debes aprender por ti mismo. Te darás cuenta de que los hackers
de verdad quieren ayudarte, pero no te respetarán si comienzas a
rogarles que te alimenten en la boca con todo lo que saben.

61. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Donde puedo aprender a hackear?

62. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Leyendo en internet sobre Unix/Linux/BSD, aprendiendo (redes,
programación, todo sobre lo que tengas curiosidad). Sumandote a
un grupo de usuarios de Linux o software libre (LUG), ayudando a
tu prójimo, etc.

63. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Como le robo la contraseña a otra persona?

64. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Eso es cracking. Desaparece, idiota.

65. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
¿Cómo puedo acceder/leer/monitorear el correo de otra persona?

66. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Eso es cracking. Piérdete, imbécil.

67. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
EOF (End Of File)
¡Muchas gracias por su atención!
¡Arroje ahora elementos contundentes al disertante!

68. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology
Happy Hacking!!! :)
Luciano Laporta Podazza
CEO Hack-IT
Luciano@Hack-IT.com.ar
www.Hack-IT.com.ar
blog.Hack-IT.com.ar Licencia: lista.Hack-IT.com.ar

69. Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT
Information Technology