"The Hacking Day", un proyecto creado por IT Forensic SAS, consiste en una serie de talleres prácticos dictados por expertos en el ámbito de la seguridad informática.
1. CERTIFICACIÓN THD-EPC
ETHICAL PENTESTER CERTIFIED
26 AL 31 DE ENERO DE 2015
8:00 AM – 6:00 PM
Laboratorio VIPE UTP - Centro Regional de Chiriquí
Laboratorio de Innovación y Desarrollo de Software - LIDS
juan.saldana@utp.ac.pa
775-4563 Ext 1439
Oficinas Administrativas: Campus Universitario Dr. Victor Levi Sasso, Edificio N° 3, Tercer Piso
Teléfono: 560-3619
info.ciditic@utp.ac.pa | info.citic@gmail.com
UNIVERSIDAD TECNOLÓGICA DE PANAMÁ
CENTRO DE INVESTIGACIÓN, DESARROLLO E INNOVACIÓN EN TECNOLOGÍAS
DE LA INFORMACIÓN Y LAS COMUNICACIONES
IT FORENSIC S.A.S
2. 1. Resumen Ejecutivo
"The Hacking Day", un proyecto creado por IT Forensic SAS, consiste en una serie de talleres
prácticos dictados por expertos en el ámbito de la seguridad informática. Pretende llevar el
conocimiento de primera mano de una manera práctica sobre técnicas de hacking,
aseguramiento de servidores y utilización de herramientas de software y/o hardware.
Los asistentes a estos talleres tendrán la oportunidad no sólo de ver las demostraciones por si
mismos; sino también de emplear las técnicas explicadas, todo esto será posible gracias a la
asesoría constante y la supervisión dedicada del experto, quien será el encargado de responder a
todas sus inquietudes.
Gracias al éxito del proyecto, hemos tenido presencia en los siguientes países: Colombia, Venezuela,
Ecuador, Argentina y Bolivia. Para el presente año el proyecto "The Hacking Day" reúne lo mejor
de sus talleres prácticos en varias certificaciones internacionales llamadas:
The Hacking Day -Ethical Pentester Certified
The Hacking Day-Computer & Movil Forense
The Hacking Day -Professional Web Tester
THD-EPC The Hacking Day- Ethical Pentester Certified
En el THD-EPC el asistente aprenderá como comprometer la seguridad de toda una organización
utilizando las mismas técnicas, herramientas y metodología usada por atacantes reales, de la misma
manera conociendo las posibles fallas en la protección de la información estará en capacidad de
aplicar las contramedidas para contra restar estos ataques.
El training es un curso 90% práctico - 10% teórico, en donde el asistente será constantemente
enfrentado a nuevos desafíos con la guía del instructor.
A cada asistente se le proveerá una máquina virtual con KALI, una distribución de Linux diseñada
para Penetration Testers, desde donde se realizarán la mayoría de los laboratorios. También
se proveerá una placa Wireless para ser usada durante los laboratorios de Wireless Hacking.
2. Introducción
Este curso permite entender la forma como operan los atacantes informáticos y sus diferentes
técnicas. También nos permite conocer la mejor manera para mitigar los riesgos debido a los
intentos de intrusión que se puedan presentar, este curso tiene un alto contenido práctico a través
de laboratorios reales en diferentes ambientes operativos.
3. 3. Competencias a Desarrollar
Conocer las fuentes de primera mana de las vulnerabilidades que salen día a día sobre el
diferente software con el fin de aplicar las adecuadas medidas de control.
Aprender la manera de desarrollar un análisis de vulnerabilidades.
Realizar un estudio de tráfico a cualquier tipo de red.
Conocer la manera cómo opera los delincuentes informáticos, lo que le permitirá crear las
estrategias necesarias para mitigar los riesgos.
Conocerá las vulnerabilidades y los riesgos a los que está expuesta su organización.
4. Temario
1. INTRODUCCIÓN AL ETHICAL HACKING
Hackers Éticos - Como Operan
Hackers Éticos- Como Divulgan Vulnerabilidades
Fases del Pentest
Redes y Seguridad
Introducción a KALI
Comando Básicos Linux
Servicios de Seguridad
o Confidencialidad
o Integridad
o Disponibilidad
o Autenticidad
o No Repudio
Conociendo el Enemigo
Cómo Opera El Atacante
2. ENUMERACIÓN (OBTENCIÓN DE INFORMACIÓN Y RECONOCIMIENTO)
Ataques Pasivos
o Comandos de Reconocimiento (Ping, Hping, Tracer, etc.)
o Registros de DNS
o Redes Sociales – OSINT
o Ingeniería Social
o Sniffers
o Google hacking
o Búsqueda de Metadatos
3. ESCANEO
Ataques Activos
o Escaneo de Puerto y Servicios
o Escaneo de Vulnerabilidades
o Ataques de Fuerza Bruta
4. 4. ATAQUES A LAS REDES
Envenenamiento ARP
Suplantación e Inundación MAC
Ataques Redes Netbios
Ataques a equipos DCE (Router, Switches)
Sniffers
5. EXPLOTACIÓN
Análisis de Vulnerabilidades
Exploits
MetaSploit
o Payload
o Pivoting
o Meterpreter
Rompimiento de Contraseñas
Uso de NetCat
Conservando el acceso
SET
6. ATAQUES APLICACIONES Y WEB (CLIENT SIDE ATTACK)
Análisis de Vulnerabilidades Web
Cross Site
SQL Injection
Vulnerabilidades de Browser
Vulnerabilidades Active X
Vulnerabilidades PDF
7. ATAQUES A LAS REDES INALAMBRICAS
Manejo de Aircrack
Rompiendo Cifrado WEP
Rompiendo Cifrado WPA/WPA2
Rompiendo PIN WPS
Uso de Karmetasploit
Uso del AP Falso
8. ATAQUES A LA TELEFONÍA IP
Enumeración y Escaneo
Ataques Comunes
9. CAPTURE LA BANDERA (CAPTURE THE FLAG)
El último día, los alumnos serán enfrentados a un desafío con el fin de aplicar los
conocimientos adquiridos y poder hacerse acreedores de interesantes premios.
5. 5. Fecha, Hora y Duración
Lunes 26 de enero al Sábado 31 de enero del 2015
8:00 am a 6:00 pm
48 horas
6. Procedimiento de Inscripción:
Llenar el formulario de inscripción y enviarlo al correo electrónico info.ciditic@utp.ac.pa.
Para separar el cupo formalmente es necesario hacer el pago del 100% del costo total de la
Certificación antes de iniciar la misma.
El día antes del inicio del curso se le estará enviando un correo en donde se le detallará
información relacionada con el mismo.
El participante se compromete a culminar el curso. De retirarse antes de finalizar el mismo,
no se harán reembolso alguno por el dinero abonado.
7. Costo y Forma de Pago:
Ochocientos Dólares (B/. 800.00)
Depósito en Cuenta de Ahorros N° 25-332-02211-9 del Global Bank a nombre de IT Security
Panamá. Si el pago lo va a efectuar en cheque, deben ser girados a nombre de IT Security
Panamá.
Deberá enviar el slip de depósito escaneado al correo info.ciditic@utp.ac.pa para que el pago
sea registrado, con su nombre y número de cédula.
Los pagos podrán ser realizados en CUATRO (4) abonos, a saber:
Pago N° 1
Del 11 de noviembre al 11
de diciembre de 2014
Pago N° 2
Del 5 de enero al 6 de
febrero de 2015
Pago N° 3
Del 23 de febrero al 23 de
marzo de 2015
Pago N° 4
Del 6 al 30 de abril de
2015
US$ 200.00 US$ 200.00 US$ 200.00 US$ 200.00
Para separar el cupo formalmente deberá realizar el primer pago a más tardar el 11 de diciembre. Sin
abono no se guarda el cupo. Hasta que no se cancele la totalidad del costo, no se hará entrega del
voucher para el examen de certificación y el certificado de participación.
6. 8. Instructor:
JHON CESAR ARANGO SERNA.
Ingeniero de Sistemas, Especialista en Telecomunicaciones de la
Universidad Autónoma de Bucaramanga, Especialista en Finanzas
de la Universidad de EAFIT , Durante 17 años se ha desempeñado
como Director de la las áreas de sistemas, dentro de las
funciones del cargo se encontraba la Administración de la Red
y el control de la Seguridad de la misma. Se destaca la destreza en
el manejo de sistemas Operativos Linux (RedHat, Mandrake,
Federa, Suse, Ubunto, Debían, Etc) y Windows (200X, XP, NT, Vista
y 7), Configuración de redes, Nodos de Internet e Intranet de varias
empresas de la región. Docente Universitario (pregrado, postgrado
y maestrías) en las asignaturas Redes Lan/Man, Telefonía IP,
Seguridad Informática, Criptografía Clásica y Moderna, Computo
Forense, Sistemas Operativos, Fundamentos de Programación, Programación Básica (Lenguaje
C) y Avanzada (Visual Basic).
Actualmente asesora y audita diferentes empresas de Colombia y Sur América a través de la firma
IT Forensic SAS en el tema de la Seguridad de Redes e Informática, dirige el proyecto "The Hacking
Day (http://www.thehackingday.coml" y el blog http://blog.thechackinqday.com está
desarrollando un Libro titulado el "Atacante Informático", del cual se entrega de forma gratuita
a través de la página http://www.itforensic-la.com/descargas rv.html y listas reconocidas de
seguridad, co-fundador integrante organizador del Evento internacional Ack Security
Conference http://www.acksecuritycon.com y el Congreso Internacional de Seguridad
Informática CSI 2013 http://securitycsi.com. Conferencista en seguridad informática en
eventos como EKOParty (Buenos Aires), Ethical Hacker Conference (Bolivia), eSecurity
Conference (Guayaquil), EISI I II III IV (Manizales), CCBOL (Bolivia), EjeCon 2012 (Pereira), ESET
Security Day 2012 y 2013, CSI 2013, FIADI Bolivia 2013 y otros eventos sobre seguridad nacionales
e internacionales.
Certificaciones: CCNA, 3com University, Seguridad ITU, GIAC, Asteria, CeH, THD Instructor.