SlideShare una empresa de Scribd logo

Ethical Hacking

Descargar como PPTX, PDF
Hacking Bolivia
Hacking Bolivia

"Ethical Hacking" Juan Carlos Velarde , desarrollada en el III Congreso Internacional de Informática Forense y Hacking Ético, desarrollado en la ciudad de Tarija en Bolivia el Sábado 03 de Mayo del 2014

Educación
1 de 29
ETHICAL HACKING JUAN CARLOS VELARDE ALVAREZ MANSILLA
INTRODUCCION
CONCEPTOS BASICOS HACKER Se llama así a las personas con talento, conocimiento, inteligencia e ingenuidad, especialmente relacionadas con las operaciones de computadora, redes, seguridad, etc. Un hacker, es una persona apasionada, curiosa, dedicada, libre, comprometida con el aprendizaje y con enormes deseos de mejorar sus habilidades y conocimientos. Es un programador experto de computadoras
TIPOS DE HACKERS WHITEHAT Hace referencia a un hacker de sombrero blanco, el cual se rige por su ética, esta se centra en analizar, testear, proteger y corregir vulnerabilidades (bugs) en los sistemas de información y comunicación Estos suelen trabajar en empresas de seguridad informática. De donde proviene la definición de hackers éticos o pentesters (test de penetracion)
BLACK HATS Es una clase de hacker dedicado a la obtención y explotación de vulnerabilidades en sistemas de información, bases de datos, redes informáticas, sistemas operativos, etc. Para su propio beneficio, por ello, desarrollan programas como malware, virus, troyanos, crack`s, etc. que les ayuden a lograr sus objetivos.
GRAYHAT Son hackers que están en el límite de lo que se puede considerar bueno y lo malo. Usualmente se infiltran en un sistema o servidor (que va en contra de la ley) para poner sus nombres o cambiar los nombres de las empresas. También pueden avisar a los administradores que su sistema ha sido ganado por ellos para que en un futuro puedan cubrir esos huecos y fallas y los arreglen para que otros hackers maliciosos no puedan entrar.
ETHICAL HACKING
DEFINICION Es el proceso por el cual, se utilizan las mismas técnicas y herramientas que un black hat para atacar a una organización y descubrir las vulnerabilidades de la misma. Para tal finalidad los ethical hackers han desarrollado las denominadas pruebas de penetración, (PEN-TEST por sus siglas en inglés). "para atrapar a un ladrón debes pensar como un ladrón“.
PEN TESTING Conjunto de métodos y técnicas para la realización y simulación de un ataque en un escenario controlado, al cual se le practica un test de intrusión, para evaluar la seguridad de un sistema o de una red informática, y así encontrar los puntos débiles y vulnerables en dichos sistemas o redes.
PORQUE REALIZAR PRUEBAS DE PENETRACION La seguridad de una organización es un aspecto cambiante. Una empresa puede alcanzar un nivel de protección óptimo en un momento determinado y ser totalmente sensible poco después, luego de realizar cambios en la configuración de un servidor o realizarse la instalación de nuevos dispositivos de red. Asi mismo, continuamente aparecen nuevos fallos de seguridad en software existentes, que previamente se creían seguros.
TIPOS DE ATAQUES ACTIVOS: Estos alteran y comprometen la disponibilidad, integridad, autenticidad de la información, afectando a los sistemas, redes y aplicaciones informáticas objetivo. Ejemplo: Sql injection/ alteración de la aplicación web, robo de información. PASIVOS: Estos no alteran, ni modifican al sistema o red objetivo, solo se obtiene y compromete la confidencialidad de la información. Ejemplo: un sniffing de red.
MODALIDADES DE ATAQUES ATAQUE INTERNO: es realizado desde el interior de la organización, por lo general suelen ser perpetrados por personal propio de la empresa, empleados inconformes o clientes que tienen accesos. Colaborados por malas configuraciones. Ejemplo, robo de información, instalación de software malicioso, etc ATAQUE EXTERNO: es el que se realiza desde una fuente externa a la organización. Ejemplo internet o conexiones remotas, etc
TÉCNICAS PARA UTILIZAR EN UN ATAQUE Denegación de servicio DoS Crackeo de contraseña por fuerza bruta Explotacion de vulnerabilidades Phising/ scam Secuestro de secciones en redes wifi Hijacking (secuestro), dominio, seccion, ip, entre otras Spoofing (suplantación), ip, DNS etc. Ingeniería social
TIPOS DE PRUEBAS PENTESTING • Pruebas de penetración con objetivo: se buscan las vulnerabilidades en partes específicas de los sistemas informáticos críticos de la organización. • Pruebas de penetración sin objetivo: consisten en examinar la totalidad de los componentes de los sistemas informáticos pertenecientes a la organización. • Pruebas de penetración a ciegas: en estas pruebas sólo se emplea la información pública disponible sobre la organización.
• Pruebas de penetración informadas: Se utiliza información privada, otorgada por la organización acerca de sus sistemas informáticos. Se trata de simular ataques realizados por individuos internos de la organización que tienen acceso a información privilegiada. • Pruebas de penetración externas: son realizadas desde lugares externos a las instalaciones de la organización. Su objetivo es evaluar los mecanismos de seguridad perimetrales de la organización. • Pruebas de penetración internas: son realizadas dentro de las instalaciones de la organización con el objetivo de evaluar las políticas y mecanismos internos de seguridad de la organización.
MODALIDADES DE LAS PRUEBAS Red teaming: Prueba encubierta, es donde sólo un grupo selecto de directivos sabe de ella. En esta Modalidad son válidas las técnicas de "ingeniería social" para obtener información que permita realizar Ataque. Ésta prueba es la más real y evita se realicen cambios de última hora que hagan pensar que hay un Mayor nivel de seguridad en la organización. Blue teaming: El personal de informática conoce sobre las pruebas. Se aplica cuando las Medidas tomadas por el personal de seguridad de las organizaciones ante un Incidente, repercuten en la continuidad de las operaciones críticas de la organización, por ello es necesario alertar al personal para evitar situaciones de pánico y fallas en la continuidad de la actividad.
FASES DE LAS PRUEBAS DE PENETRACION • Recopilación de información • Descripción de la red • Exploración de los sistemas • Extracción de información • Acceso no autorizado a información sensible o crítica • Auditoría de las aplicaciones web • Elaboración de informes • Informe final
TIPOS DE PRUEBAS DE PENETRACIÓN CAJA BLANCA Se cuenta con el código fuente de la aplicación y la documentación. Se simula el ataque y el daño que podría ocasionar un trabajador interno enojado o desleal. En éste tipo de prueba, se encuentran cuestiones relacionadas a fallas lógicas, caminos mal estructurados en el código, el flujo de entradas específicas a través del código, funcionalidad de ciclos y condiciones, hoyos de seguridad interna y permite probar cada objeto y función de manera individual.
Caja Negra Aquí, el tester no tiene acceso al código, ni a la documentación. Lo único con lo que cuenta para trabajar es con la versión descargable de manera pública de la aplicación. Se simula un ataque lanzado por un hacker; el vector de ataque más común, es la intercepción de tráfico y la inyección de contenido malicioso para obtener información. Éste tipo de pruebas, trata de explotar vulnerabilidad de tipo Cross Site Scripting(XSS), inyección de link e inyección de comandos SQL.
CAJA GRIS Es una combinación de ambas, se realiza un análisis con la ventaja que se cuenta con el código y documentación, que sirven como guía.
BENEFICIOS DE UN ETHICAL HACKING • Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de información. • Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas que pudieran desencadenar problemas de seguridad en las organizaciones. • Identificar sistemas que son vulnerables a causa de la falta de actualizaciones. • Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la organización.
HABILIDADES QUE DEBE TENER UN HACKER ÉTICO PENTESTER • Tener conocimientos avanzados en programación (php, python, ruby, C, C++, .Net, java, etc.) • Poseer conocimientos profundos de diversas plataformas como Linux, Windows, Unix, etc. • Manejo de redes y protocolos, arquitecturas, etc. • Dominio de hardware y software • Ser experto en técnicas, metodos y herramientas de hacking • Capacidad de análisis e investigación para proveer soluciones
HERRAMIENTAS PENTESTING Samurai Web Testing Framework es un entorno de trabajo basado en GNU/Linux Ubuntu, que ha sido pre- configurado para llevar a cabo test de penetración a aplicativos Web. SAMURÁI PENTEST
es una distribución GNU/Linux en formato Live CD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. BACK TRACK
Incluye una larga lista de herramientas de seguridad y auditoría listas para ser utilizadas, entre las que destacan numerosos escáner de puertos y vulnerabilidades, herramientas para creación y diseño de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría wireless, además de añadir una serie de útiles lanzadores. WIFISLAX
Es una distribución de seguridad que consiste en un poderoso conjunto, de herramientas libres y de código abierto que pueden ser utilizadas para varios propósitos incluyendo, pero no limitado a penetration testing, hacking ético, administración de sistemas y redes, investigaciones forenses, pruebas de seguridad, análisis de seguridad, y mucho más. MATRIUX
Potente herramienta para MS Windows que detecta un gran número de vulnerabilidades, entre ellas Cross-Site Scripting, SQL Injection, CRLF injection, Code execution, Directory Traversal, File inclusion, busca vulnerabilidades en formularios de subida de archivos (file upload) y muchísimas mas. ACUNETIX
BIBLIOGRAFIA • http://www.seguridad.unam.mx/descarga.dsc?arch=2776 • http://www.taringa.net/posts/ciencia-educacion/13129306/Hackers- Que-son-los-hackers.html • http://thehackerway.com/about/ • http://www.slideshare.net/YulderBermeo/introduccion-hacking- etico • http://securityec.com/herramientas-enfocadas-a-las-seguridad- informatica-pen-testing-seguridadinformatica/ • http://seguridadetica.wordpress.com/2012/04/11/5-heramientas- utiles-en-penetration-testing-para-aplicaciones-web/
GRACIASS

Recomendados

introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking etico
Yulder Bermeo
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical Hacking
Jose Manuel Acosta
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
vektormrtnz
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Paulo Colomés
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
Sergey Soldatov
 
Corporate threat vector and landscape
Corporate threat vector and landscapeCorporate threat vector and landscape
Corporate threat vector and landscape
yohansurya2
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
Francisco Medina
 
Would you Rather Have Telemetry into 2 Attacks or 20? An Insight Into Highly ...
Would you Rather Have Telemetry into 2 Attacks or 20? An Insight Into Highly ...Would you Rather Have Telemetry into 2 Attacks or 20? An Insight Into Highly ...
Would you Rather Have Telemetry into 2 Attacks or 20? An Insight Into Highly ...
MITRE ATT&CK
 

Recomendados

introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking etico
Yulder Bermeo
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical Hacking
Jose Manuel Acosta
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
vektormrtnz
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Paulo Colomés
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
Sergey Soldatov
 
Corporate threat vector and landscape
Corporate threat vector and landscapeCorporate threat vector and landscape
Corporate threat vector and landscape
yohansurya2
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
Francisco Medina
 
Would you Rather Have Telemetry into 2 Attacks or 20? An Insight Into Highly ...
Would you Rather Have Telemetry into 2 Attacks or 20? An Insight Into Highly ...Would you Rather Have Telemetry into 2 Attacks or 20? An Insight Into Highly ...
Would you Rather Have Telemetry into 2 Attacks or 20? An Insight Into Highly ...
MITRE ATT&CK
 
The ATT&CK Latin American APT Playbook
The ATT&CK Latin American APT PlaybookThe ATT&CK Latin American APT Playbook
The ATT&CK Latin American APT Playbook
MITRE ATT&CK
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
Francisco Medina
 
State of the ATT&CK
State of the ATT&CKState of the ATT&CK
State of the ATT&CK
MITRE ATT&CK
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CK
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CKTracking Noisy Behavior and Risk-Based Alerting with ATT&CK
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CK
MITRE ATT&CK
 
It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...
MITRE ATT&CK
 
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
MITRE ATT&CK
 
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE - ATT&CKcon
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
MSc Aldo Valdez Alvarado
 
Cyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feedsCyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feeds
Iain Dickson
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
MITRE ATT&CK
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
Marcos Harasimowicz
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERA
Erik Van Buggenhout
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
linda gonzalez
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informática
b1dmiriammunozelespinillo
 
Knowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CKKnowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CK
MITRE ATT&CK
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
Lily Diéguez
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
Expo hacking etico
Expo hacking eticoExpo hacking etico
Expo hacking etico
Vicente Lingan
 
Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informatica
Carlos Miranda
 

Más contenido relacionado

La actualidad más candente

The ATT&CK Latin American APT Playbook
The ATT&CK Latin American APT PlaybookThe ATT&CK Latin American APT Playbook
The ATT&CK Latin American APT Playbook
MITRE ATT&CK
 
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CK
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CKTracking Noisy Behavior and Risk-Based Alerting with ATT&CK
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CK
MITRE ATT&CK
 
It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...
MITRE ATT&CK
 
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
MITRE ATT&CK
 
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE - ATT&CKcon
 
Cyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feedsCyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feeds
Iain Dickson
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
linda gonzalez
 
Knowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CKKnowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CK
MITRE ATT&CK
 

La actualidad más candente (20)

The ATT&CK Latin American APT Playbook
The ATT&CK Latin American APT PlaybookThe ATT&CK Latin American APT Playbook
The ATT&CK Latin American APT Playbook
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
State of the ATT&CK
State of the ATT&CKState of the ATT&CK
State of the ATT&CK
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CK
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CKTracking Noisy Behavior and Risk-Based Alerting with ATT&CK
Tracking Noisy Behavior and Risk-Based Alerting with ATT&CK
 
It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...It's just a jump to the left (of boom): Prioritizing detection implementation...
It's just a jump to the left (of boom): Prioritizing detection implementation...
 
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
 
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
 
Cyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feedsCyber Threat Intelligence - It's not just about the feeds
Cyber Threat Intelligence - It's not just about the feeds
 
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro... Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
Intelligence Failures of Lincolns Top Spies: What CTI Analysts Can Learn Fro...
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 
Adversary Emulation using CALDERA
Adversary Emulation using CALDERAAdversary Emulation using CALDERA
Adversary Emulation using CALDERA
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informática
 
Knowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CKKnowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CK
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
 

Destacado

Vip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoVip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
xavazquez
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"
Alonso Caballero
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Camilo Hernandez
 
Tipos de amenazas en Seguridad Informática
Tipos de amenazas en Seguridad InformáticaTipos de amenazas en Seguridad Informática
Tipos de amenazas en Seguridad Informática
Edgar López Romero
 

Destacado (20)

Expo hacking etico
Expo hacking eticoExpo hacking etico
Expo hacking etico
 
Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informatica
 
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-eticoVip genial powerpoint con ataques basicos 143806649-hacking-etico
Vip genial powerpoint con ataques basicos 143806649-hacking-etico
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Ciberataque: ¿tu empresa está preparada?
Ciberataque: ¿tu empresa está preparada?Ciberataque: ¿tu empresa está preparada?
Ciberataque: ¿tu empresa está preparada?
 
Ap
ApAp
Ap
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidas
 
Material conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo eticoMaterial conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo etico
 
Hd magazine nro0
Hd magazine nro0Hd magazine nro0
Hd magazine nro0
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remington
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
 
Ethernet
EthernetEthernet
Ethernet
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 
8.realizacion de pruebas
8.realizacion de pruebas8.realizacion de pruebas
8.realizacion de pruebas
 
Índice del libro "Hacking Web Technologies"
Índice del libro "Hacking Web Technologies"Índice del libro "Hacking Web Technologies"
Índice del libro "Hacking Web Technologies"
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Tipos de amenazas en Seguridad Informática
Tipos de amenazas en Seguridad InformáticaTipos de amenazas en Seguridad Informática
Tipos de amenazas en Seguridad Informática
 
PRACTICAS "COMANDOS Y REDES" PDF.
PRACTICAS "COMANDOS Y REDES" PDF.PRACTICAS "COMANDOS Y REDES" PDF.
PRACTICAS "COMANDOS Y REDES" PDF.
 

Similar a Ethical Hacking

Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
Chris Fernandez CEHv7, eCPPT, Linux Engineer
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
mesiefrank
 

Similar a Ethical Hacking (20)

Hacking ético
Hacking éticoHacking ético
Hacking ético
 
4.test de penetración pentest
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentest
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello Santiago
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Seguridad informatica 2 ximello
Seguridad informatica 2 ximelloSeguridad informatica 2 ximello
Seguridad informatica 2 ximello
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Administración de la seguridad
Administración de la seguridadAdministración de la seguridad
Administración de la seguridad
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
S4 cdsi1-2
S4 cdsi1-2S4 cdsi1-2
S4 cdsi1-2
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Presentación1
Presentación1Presentación1
Presentación1
 
Contenido IP IIP SI.pdf
Contenido IP IIP SI.pdfContenido IP IIP SI.pdf
Contenido IP IIP SI.pdf
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
 

Más de Hacking Bolivia

Riesgos del Internet de las Cosas
Riesgos del Internet de las CosasRiesgos del Internet de las Cosas
Riesgos del Internet de las Cosas
Hacking Bolivia
 

Más de Hacking Bolivia (20)

csi pdf2022.pdf
csi pdf2022.pdfcsi pdf2022.pdf
csi pdf2022.pdf
 
ciifBO.pdf
ciifBO.pdfciifBO.pdf
ciifBO.pdf
 
Cistrip.pdf
Cistrip.pdfCistrip.pdf
Cistrip.pdf
 
ciifBO.pdf
ciifBO.pdfciifBO.pdf
ciifBO.pdf
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdf
 
csi bo 2022.pdf
csi bo 2022.pdfcsi bo 2022.pdf
csi bo 2022.pdf
 
Bajo Ataque 2.pptx
Bajo Ataque 2.pptxBajo Ataque 2.pptx
Bajo Ataque 2.pptx
 
Cveif2020 1
Cveif2020 1Cveif2020 1
Cveif2020 1
 
Calificaciones EEH2020
Calificaciones EEH2020Calificaciones EEH2020
Calificaciones EEH2020
 
CSI 2019 NOTAS
CSI 2019 NOTASCSI 2019 NOTAS
CSI 2019 NOTAS
 
Pre Shenlong
Pre ShenlongPre Shenlong
Pre Shenlong
 
Calificaciones del ESRI 2019
Calificaciones del ESRI 2019Calificaciones del ESRI 2019
Calificaciones del ESRI 2019
 
Csi 2017 cbba
Csi 2017 cbbaCsi 2017 cbba
Csi 2017 cbba
 
CSI 2017 LP
CSI 2017 LPCSI 2017 LP
CSI 2017 LP
 
Lista de participantes VII CIIFHE
Lista de participantes VII CIIFHELista de participantes VII CIIFHE
Lista de participantes VII CIIFHE
 
Csi 2017 scz
Csi 2017 sczCsi 2017 scz
Csi 2017 scz
 
Riesgos del Internet de las Cosas
Riesgos del Internet de las CosasRiesgos del Internet de las Cosas
Riesgos del Internet de las Cosas
 
Analisis de ataques desarrollador por IOT
Analisis de ataques desarrollador por IOTAnalisis de ataques desarrollador por IOT
Analisis de ataques desarrollador por IOT
 
Pusheen pre adopcion
Pusheen pre adopcionPusheen pre adopcion
Pusheen pre adopcion
 
Acredita tu conocimiento
Acredita tu conocimientoAcredita tu conocimiento
Acredita tu conocimiento
 

Último

RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
RigoTito
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
jlorentemartos
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
UPTAIDELTACHIRA
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
Wilian24
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
Juan Martín Martín
 

Último (20)

Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdfPlan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptxCONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
 
semana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnnsemana 4 9NO Estudios sociales.pptxnnnn
semana 4 9NO Estudios sociales.pptxnnnn
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 

Ethical Hacking

  • 1. ETHICAL HACKING JUAN CARLOS VELARDE ALVAREZ MANSILLA
  • 3. CONCEPTOS BASICOS HACKER Se llama así a las personas con talento, conocimiento, inteligencia e ingenuidad, especialmente relacionadas con las operaciones de computadora, redes, seguridad, etc. Un hacker, es una persona apasionada, curiosa, dedicada, libre, comprometida con el aprendizaje y con enormes deseos de mejorar sus habilidades y conocimientos. Es un programador experto de computadoras
  • 4. TIPOS DE HACKERS WHITEHAT Hace referencia a un hacker de sombrero blanco, el cual se rige por su ética, esta se centra en analizar, testear, proteger y corregir vulnerabilidades (bugs) en los sistemas de información y comunicación Estos suelen trabajar en empresas de seguridad informática. De donde proviene la definición de hackers éticos o pentesters (test de penetracion)
  • 5. BLACK HATS Es una clase de hacker dedicado a la obtención y explotación de vulnerabilidades en sistemas de información, bases de datos, redes informáticas, sistemas operativos, etc. Para su propio beneficio, por ello, desarrollan programas como malware, virus, troyanos, crack`s, etc. que les ayuden a lograr sus objetivos.
  • 6. GRAYHAT Son hackers que están en el límite de lo que se puede considerar bueno y lo malo. Usualmente se infiltran en un sistema o servidor (que va en contra de la ley) para poner sus nombres o cambiar los nombres de las empresas. También pueden avisar a los administradores que su sistema ha sido ganado por ellos para que en un futuro puedan cubrir esos huecos y fallas y los arreglen para que otros hackers maliciosos no puedan entrar.
  • 8. DEFINICION Es el proceso por el cual, se utilizan las mismas técnicas y herramientas que un black hat para atacar a una organización y descubrir las vulnerabilidades de la misma. Para tal finalidad los ethical hackers han desarrollado las denominadas pruebas de penetración, (PEN-TEST por sus siglas en inglés). "para atrapar a un ladrón debes pensar como un ladrón“.
  • 9. PEN TESTING Conjunto de métodos y técnicas para la realización y simulación de un ataque en un escenario controlado, al cual se le practica un test de intrusión, para evaluar la seguridad de un sistema o de una red informática, y así encontrar los puntos débiles y vulnerables en dichos sistemas o redes.
  • 10. PORQUE REALIZAR PRUEBAS DE PENETRACION La seguridad de una organización es un aspecto cambiante. Una empresa puede alcanzar un nivel de protección óptimo en un momento determinado y ser totalmente sensible poco después, luego de realizar cambios en la configuración de un servidor o realizarse la instalación de nuevos dispositivos de red. Asi mismo, continuamente aparecen nuevos fallos de seguridad en software existentes, que previamente se creían seguros.
  • 11. TIPOS DE ATAQUES ACTIVOS: Estos alteran y comprometen la disponibilidad, integridad, autenticidad de la información, afectando a los sistemas, redes y aplicaciones informáticas objetivo. Ejemplo: Sql injection/ alteración de la aplicación web, robo de información. PASIVOS: Estos no alteran, ni modifican al sistema o red objetivo, solo se obtiene y compromete la confidencialidad de la información. Ejemplo: un sniffing de red.
  • 12. MODALIDADES DE ATAQUES ATAQUE INTERNO: es realizado desde el interior de la organización, por lo general suelen ser perpetrados por personal propio de la empresa, empleados inconformes o clientes que tienen accesos. Colaborados por malas configuraciones. Ejemplo, robo de información, instalación de software malicioso, etc ATAQUE EXTERNO: es el que se realiza desde una fuente externa a la organización. Ejemplo internet o conexiones remotas, etc
  • 13. TÉCNICAS PARA UTILIZAR EN UN ATAQUE Denegación de servicio DoS Crackeo de contraseña por fuerza bruta Explotacion de vulnerabilidades Phising/ scam Secuestro de secciones en redes wifi Hijacking (secuestro), dominio, seccion, ip, entre otras Spoofing (suplantación), ip, DNS etc. Ingeniería social
  • 14. TIPOS DE PRUEBAS PENTESTING • Pruebas de penetración con objetivo: se buscan las vulnerabilidades en partes específicas de los sistemas informáticos críticos de la organización. • Pruebas de penetración sin objetivo: consisten en examinar la totalidad de los componentes de los sistemas informáticos pertenecientes a la organización. • Pruebas de penetración a ciegas: en estas pruebas sólo se emplea la información pública disponible sobre la organización.
  • 15. • Pruebas de penetración informadas: Se utiliza información privada, otorgada por la organización acerca de sus sistemas informáticos. Se trata de simular ataques realizados por individuos internos de la organización que tienen acceso a información privilegiada. • Pruebas de penetración externas: son realizadas desde lugares externos a las instalaciones de la organización. Su objetivo es evaluar los mecanismos de seguridad perimetrales de la organización. • Pruebas de penetración internas: son realizadas dentro de las instalaciones de la organización con el objetivo de evaluar las políticas y mecanismos internos de seguridad de la organización.
  • 16. MODALIDADES DE LAS PRUEBAS Red teaming: Prueba encubierta, es donde sólo un grupo selecto de directivos sabe de ella. En esta Modalidad son válidas las técnicas de "ingeniería social" para obtener información que permita realizar Ataque. Ésta prueba es la más real y evita se realicen cambios de última hora que hagan pensar que hay un Mayor nivel de seguridad en la organización. Blue teaming: El personal de informática conoce sobre las pruebas. Se aplica cuando las Medidas tomadas por el personal de seguridad de las organizaciones ante un Incidente, repercuten en la continuidad de las operaciones críticas de la organización, por ello es necesario alertar al personal para evitar situaciones de pánico y fallas en la continuidad de la actividad.
  • 17. FASES DE LAS PRUEBAS DE PENETRACION • Recopilación de información • Descripción de la red • Exploración de los sistemas • Extracción de información • Acceso no autorizado a información sensible o crítica • Auditoría de las aplicaciones web • Elaboración de informes • Informe final
  • 18. TIPOS DE PRUEBAS DE PENETRACIÓN CAJA BLANCA Se cuenta con el código fuente de la aplicación y la documentación. Se simula el ataque y el daño que podría ocasionar un trabajador interno enojado o desleal. En éste tipo de prueba, se encuentran cuestiones relacionadas a fallas lógicas, caminos mal estructurados en el código, el flujo de entradas específicas a través del código, funcionalidad de ciclos y condiciones, hoyos de seguridad interna y permite probar cada objeto y función de manera individual.
  • 19. Caja Negra Aquí, el tester no tiene acceso al código, ni a la documentación. Lo único con lo que cuenta para trabajar es con la versión descargable de manera pública de la aplicación. Se simula un ataque lanzado por un hacker; el vector de ataque más común, es la intercepción de tráfico y la inyección de contenido malicioso para obtener información. Éste tipo de pruebas, trata de explotar vulnerabilidad de tipo Cross Site Scripting(XSS), inyección de link e inyección de comandos SQL.
  • 20. CAJA GRIS Es una combinación de ambas, se realiza un análisis con la ventaja que se cuenta con el código y documentación, que sirven como guía.
  • 21. BENEFICIOS DE UN ETHICAL HACKING • Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de información. • Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas que pudieran desencadenar problemas de seguridad en las organizaciones. • Identificar sistemas que son vulnerables a causa de la falta de actualizaciones. • Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la organización.
  • 22. HABILIDADES QUE DEBE TENER UN HACKER ÉTICO PENTESTER • Tener conocimientos avanzados en programación (php, python, ruby, C, C++, .Net, java, etc.) • Poseer conocimientos profundos de diversas plataformas como Linux, Windows, Unix, etc. • Manejo de redes y protocolos, arquitecturas, etc. • Dominio de hardware y software • Ser experto en técnicas, metodos y herramientas de hacking • Capacidad de análisis e investigación para proveer soluciones
  • 23. HERRAMIENTAS PENTESTING Samurai Web Testing Framework es un entorno de trabajo basado en GNU/Linux Ubuntu, que ha sido pre- configurado para llevar a cabo test de penetración a aplicativos Web. SAMURÁI PENTEST
  • 24. es una distribución GNU/Linux en formato Live CD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. BACK TRACK
  • 25. Incluye una larga lista de herramientas de seguridad y auditoría listas para ser utilizadas, entre las que destacan numerosos escáner de puertos y vulnerabilidades, herramientas para creación y diseño de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría wireless, además de añadir una serie de útiles lanzadores. WIFISLAX
  • 26. Es una distribución de seguridad que consiste en un poderoso conjunto, de herramientas libres y de código abierto que pueden ser utilizadas para varios propósitos incluyendo, pero no limitado a penetration testing, hacking ético, administración de sistemas y redes, investigaciones forenses, pruebas de seguridad, análisis de seguridad, y mucho más. MATRIUX
  • 27. Potente herramienta para MS Windows que detecta un gran número de vulnerabilidades, entre ellas Cross-Site Scripting, SQL Injection, CRLF injection, Code execution, Directory Traversal, File inclusion, busca vulnerabilidades en formularios de subida de archivos (file upload) y muchísimas mas. ACUNETIX
  • 28. BIBLIOGRAFIA • http://www.seguridad.unam.mx/descarga.dsc?arch=2776 • http://www.taringa.net/posts/ciencia-educacion/13129306/Hackers- Que-son-los-hackers.html • http://thehackerway.com/about/ • http://www.slideshare.net/YulderBermeo/introduccion-hacking- etico • http://securityec.com/herramientas-enfocadas-a-las-seguridad- informatica-pen-testing-seguridadinformatica/ • http://seguridadetica.wordpress.com/2012/04/11/5-heramientas- utiles-en-penetration-testing-para-aplicaciones-web/