SlideShare ist ein Scribd-Unternehmen logo

Test de intrusión (I): intelligence gathering

Jesús Moreno León
Jesús Moreno León

Test de intrusión, test de penetración, pentest, intelligence gathering, recopilación de información

Technologie
1 von 19
Downloaden Sie, um offline zu lesen
Seguridad y Alta Disponibilidad: Test de intrusión (I): recogida de información Jesús Moreno León jesus.moreno.edu@ juntadeandalucía.es Septiembre 2012
Estas diapositivas son una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios de formación impartidos por Antonio Guzmán y Marta Beltrán © Jesús Moreno León, Septiembre de 2012 Algunos derechos reservados. Este artículo se distribuye bajo la licencia “Reconocimiento-CompartirIgual 3.0 España" de Creative Commons, disponible en http://creativecommons.org/licenses/by-sa/3.0/es/deed.es Este documento (o uno muy similar) está disponible en (o enlazado desde) http://informatica.gonzalonazareno.org
Test de intrusión ● Un test de intrusión (test de penetración o PenTest) es un método de auditoría por el que se intenta vulnerar la seguridad de los sistemas informáticos de una organización para comprobar el nivel de resistencia a una intrusión no deseada. ● La mejor forma de probar la fortaleza de los sistemas de seguridad es simular una intrusión utilizando las mismas técnicas que usaría un atacante real. http://www.s21sec.com/es/servicios/assessment/test-de-intrusion-internos-y-externos http://informatica64.com/ASExterna.aspx
Test de intrusión ● Un test de intrusión presenta las siguientes fases: ● Contrato ● Recogida de información ● Análisis de vulnerabilidades ● Explotación ● Generación de informes para corregir los problemas
Recogida de información ¿Qué información interesa recoger? ¡TODA! Footprinting: se pretende obtener la huella identificativa, toda la información posible de la red, sistema o usuario objetivo del ataque. La primera etapa consiste en recuperar información general del objetivo en los medios públicos: ● DNS ● Tracear y posicionar ● ICANN ● Buscadores La biblia del Footprinting Pentest:recolección de información
DNS Una fuente de información muy importante es el servicio DNS, que puede usarse para conocer qué servidores tiene registrados nuestro objetivo y con qué servicios. Normalmente se obtienen las direcciones IP de los servidores DNS, de los servidores Web, de los servidores de correo y … todo lo que se pueda. ● Transferencias de zona ● Primary master ● Registros PTR ● DNS Cache Snooping
DNS: Transferencias de zona
DNS: Primary Master El registro SOA (Start of Authority) indica el email del responsable del dominio, sus tiempos de actualización y, entre otras cosas, el primary master, que informa sobre el servidor DNS que tiene la copia maestra de la información relativa a este dominio. En muchos casos ese primary master es un servidor no expuesto a Internet. Esto, que a priori puede parecer una desventaja, puede ayudar a descubrir el direccionamiento de la red interna, que puede utilizarse para tratar de descubrir más equipos de la red interna mediante PTR Scanning.
DNS: Primary Master
DNS: PTR Scan
DNS Cache Snooping Es posible forzar al servidor DNS a que tan sólo consulte su caché para resolver las consultas, anulando las resoluciones recursivas, de forma que se puede conocer si un usuario del dominio había resuelto un nombre previamente.
Tracear y posicionar Una vez que se tienen los objetivos iniciales marcados con direcciones IPs es posible situarlos en la red y geográficamente, para averiguar cuál es la ubicación física y quiénes son sus proveedores de acceso a Internet. http://www.visualroute.com/ http://www.yougetsignal.com/tools/visual-tracert/
Whois Cuando una empresa registra un dominio en Internet debe rellenar una serie de datos en el registrador que deben estar en una base de datos de información que se llama Whois. La información que se registra en esta base de datos es pública por defecto.
Netcraft
Búsqueda en la web Existe mucha información que han indexado los buscadores y que está disponible públicamente para su consulta. Tan sólo hay que saber qué preguntar a los buscadores. ● site ● define ● filetype ● link ● intitle ● related ● inurl ● Info ● cache ● ...
Búsqueda en la web Con el operador IP de Bing es posible localizar otros dominios que se encuentran alojados en el mismo servidor
Spidering Las técnicas de Spidering se utilizan para poder encontrar toda la información que se ofrece gratuitamente a través de los sitios web de la compañía. Se recopilan páginas html, ficheros de imágenes, documentos, javascripts, applets, etc… http://www.informatica64.com/foca.aspx
Fingerprinting Una vez recogida toda la información que era pública, el siguiente paso es recoger aquella que también está accesible públicamente pero que a priori no se puede ver. Es decir, se trata de inferir información a partir de pruebas que se van realizando a cada uno de los servicios y servidores.
Fingerprinting ● Nmap ● SuperScan ● Netcat

Empfohlen

Sad tema2 pen_test_ii
Sad tema2 pen_test_iiSad tema2 pen_test_ii
Sad tema2 pen_test_iiJesús Moreno León
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusionJesús Moreno León
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Antivirus
AntivirusAntivirus
AntivirusGonzalo Vázquez Soliz
 
Antivirus y características
Antivirus y característicasAntivirus y características
Antivirus y característicasGonzalo Vázquez Soliz
 
Antivirus y características.
Antivirus y características.Antivirus y características.
Antivirus y características.Gonzalo Vázquez Soliz
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
trabajo de presentación
trabajo de presentacióntrabajo de presentación
trabajo de presentaciónsomi121
 

Empfohlen

Sad tema2 pen_test_ii
Sad tema2 pen_test_iiSad tema2 pen_test_ii
Sad tema2 pen_test_iiJesús Moreno León
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusionJesús Moreno León
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Webguest80e1be
 
Antivirus
AntivirusAntivirus
AntivirusGonzalo Vázquez Soliz
 
Antivirus y características
Antivirus y característicasAntivirus y características
Antivirus y característicasGonzalo Vázquez Soliz
 
Antivirus y características.
Antivirus y características.Antivirus y características.
Antivirus y características.Gonzalo Vázquez Soliz
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
trabajo de presentación
trabajo de presentacióntrabajo de presentación
trabajo de presentaciónsomi121
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad
SeguridadSeguridad
Seguridadguestc66f46
 
Subgraphvega
SubgraphvegaSubgraphvega
SubgraphvegaTensor
 
Malware en linux
Malware en linuxMalware en linux
Malware en linuxTensor
 
Gg
GgGg
Ggfernanda326
 
RIESGO ELECTRONICOS
RIESGO ELECTRONICOS RIESGO ELECTRONICOS
RIESGO ELECTRONICOS sergiochaparro97
 
Spyware
SpywareSpyware
SpywareMarbella Arroyo Gonzalez
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Virus informáticos
Virus informáticos Virus informáticos
Virus informáticos KaremDaniela
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Escuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actEscuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actKaren Zavala Gallardo
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirusConsueloVU
 
Pent box security
Pent box securityPent box security
Pent box securityTensor
 
Grupo Nº1: Internet Explorer
Grupo Nº1: Internet ExplorerGrupo Nº1: Internet Explorer
Grupo Nº1: Internet ExplorerEmiliano Estudios Empresariales
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticasdina1609diaz
 
Funciones de los virus informativos
Funciones de los virus informativosFunciones de los virus informativos
Funciones de los virus informativosdiego aguilar
 
alejandra
alejandraalejandra
alejandraAlejandra Gonzalez
 
Seguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesSeguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesJesús Moreno León
 
Almacenamiento_y_copias
Almacenamiento_y_copiasAlmacenamiento_y_copias
Almacenamiento_y_copiasJesús Moreno León
 
Scratch: paralelismo y eventos
Scratch: paralelismo y eventosScratch: paralelismo y eventos
Scratch: paralelismo y eventosJesús Moreno León
 
Scratch: desarrollo colaborativo
Scratch: desarrollo colaborativoScratch: desarrollo colaborativo
Scratch: desarrollo colaborativoJesús Moreno León
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSJesús Moreno León
 

Weitere ähnliche Inhalte

Was ist angesagt?

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Subgraphvega
SubgraphvegaSubgraphvega
SubgraphvegaTensor
 
Malware en linux
Malware en linuxMalware en linux
Malware en linuxTensor
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Virus informáticos
Virus informáticos Virus informáticos
Virus informáticos KaremDaniela
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Escuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actEscuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actKaren Zavala Gallardo
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirusConsueloVU
 
Pent box security
Pent box securityPent box security
Pent box securityTensor
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticasdina1609diaz
 
Funciones de los virus informativos
Funciones de los virus informativosFunciones de los virus informativos
Funciones de los virus informativosdiego aguilar
 

Was ist angesagt? (17)

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Seguridad
SeguridadSeguridad
Seguridad
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
 
Malware en linux
Malware en linuxMalware en linux
Malware en linux
 
Gg
GgGg
Gg
 
RIESGO ELECTRONICOS
RIESGO ELECTRONICOS RIESGO ELECTRONICOS
RIESGO ELECTRONICOS
 
Spyware
SpywareSpyware
Spyware
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
 
Virus informáticos
Virus informáticos Virus informáticos
Virus informáticos
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Escuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actEscuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla act
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
 
Pent box security
Pent box securityPent box security
Pent box security
 
Grupo Nº1: Internet Explorer
Grupo Nº1: Internet ExplorerGrupo Nº1: Internet Explorer
Grupo Nº1: Internet Explorer
 
Virus y vacunas informaticas
Virus y vacunas informaticasVirus y vacunas informaticas
Virus y vacunas informaticas
 
Funciones de los virus informativos
Funciones de los virus informativosFunciones de los virus informativos
Funciones de los virus informativos
 
alejandra
alejandraalejandra
alejandra
 

Andere mochten auch

Seguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesSeguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesJesús Moreno León
 
Scratch: desarrollo colaborativo
Scratch: desarrollo colaborativoScratch: desarrollo colaborativo
Scratch: desarrollo colaborativoJesús Moreno León
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSJesús Moreno León
 
Seguridad y Alta Disponibilidad: ataques
Seguridad y Alta Disponibilidad: ataquesSeguridad y Alta Disponibilidad: ataques
Seguridad y Alta Disponibilidad: ataquesJesús Moreno León
 
Scratch: creando un baile interactivo
Scratch: creando un baile interactivoScratch: creando un baile interactivo
Scratch: creando un baile interactivoJesús Moreno León
 
Scratch: diseño abierto- un proyecto artístico
Scratch: diseño abierto- un proyecto artísticoScratch: diseño abierto- un proyecto artístico
Scratch: diseño abierto- un proyecto artísticoJesús Moreno León
 
Scratch: introducción a las creaciones informáticas
Scratch: introducción a las creaciones informáticasScratch: introducción a las creaciones informáticas
Scratch: introducción a las creaciones informáticasJesús Moreno León
 
Cloud Storage, Almacenamiento en la nube
Cloud Storage, Almacenamiento en la nubeCloud Storage, Almacenamiento en la nube
Cloud Storage, Almacenamiento en la nubeJesús Moreno León
 
Scratch: secuencias de instrucciones
Scratch: secuencias de instruccionesScratch: secuencias de instrucciones
Scratch: secuencias de instruccionesJesús Moreno León
 

Andere mochten auch (20)

Seguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesSeguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidades
 
Almacenamiento_y_copias
Almacenamiento_y_copiasAlmacenamiento_y_copias
Almacenamiento_y_copias
 
Scratch: paralelismo y eventos
Scratch: paralelismo y eventosScratch: paralelismo y eventos
Scratch: paralelismo y eventos
 
Scratch: desarrollo colaborativo
Scratch: desarrollo colaborativoScratch: desarrollo colaborativo
Scratch: desarrollo colaborativo
 
OpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLSOpenVPN: una solución VPN basada en SSL/TLS
OpenVPN: una solución VPN basada en SSL/TLS
 
Seguridad y Alta Disponibilidad: ataques
Seguridad y Alta Disponibilidad: ataquesSeguridad y Alta Disponibilidad: ataques
Seguridad y Alta Disponibilidad: ataques
 
VPN: Virtual Private network
VPN: Virtual Private networkVPN: Virtual Private network
VPN: Virtual Private network
 
Scratch: creando un baile interactivo
Scratch: creando un baile interactivoScratch: creando un baile interactivo
Scratch: creando un baile interactivo
 
Scratch: diseño abierto- un proyecto artístico
Scratch: diseño abierto- un proyecto artísticoScratch: diseño abierto- un proyecto artístico
Scratch: diseño abierto- un proyecto artístico
 
Conclusiones informe secunia
Conclusiones informe secuniaConclusiones informe secunia
Conclusiones informe secunia
 
Informe Seguridad Secunia 2010
Informe Seguridad Secunia 2010Informe Seguridad Secunia 2010
Informe Seguridad Secunia 2010
 
Scratch: introducción a las creaciones informáticas
Scratch: introducción a las creaciones informáticasScratch: introducción a las creaciones informáticas
Scratch: introducción a las creaciones informáticas
 
Cloud Storage, Almacenamiento en la nube
Cloud Storage, Almacenamiento en la nubeCloud Storage, Almacenamiento en la nube
Cloud Storage, Almacenamiento en la nube
 
Estructura de internet
Estructura de internetEstructura de internet
Estructura de internet
 
Sad tema2 pen_test_iii
Sad tema2 pen_test_iiiSad tema2 pen_test_iii
Sad tema2 pen_test_iii
 
Switches gestionables
Switches gestionablesSwitches gestionables
Switches gestionables
 
Scratch: secuencias de instrucciones
Scratch: secuencias de instruccionesScratch: secuencias de instrucciones
Scratch: secuencias de instrucciones
 
Vpn
VpnVpn
Vpn
 
DHCP - Cisco I
DHCP - Cisco IDHCP - Cisco I
DHCP - Cisco I
 
Clústers Alta Disponibilidad
Clústers Alta DisponibilidadClústers Alta Disponibilidad
Clústers Alta Disponibilidad
 

Ähnlich wie Test de intrusión (I): intelligence gathering

Test de intrusión
Test de intrusiónTest de intrusión
Test de intrusiónnoc_313
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informacióneccutpl
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Unidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infUnidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infivannesberto
 
La primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGLa primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGHacking Bolivia
 
La primera pieza del ataque Footprinting
La primera pieza del ataque FootprintingLa primera pieza del ataque Footprinting
La primera pieza del ataque FootprintingAlvaro Machaca Tola
 
S7-AI-4.1 Herramientas usadas en Ethical Hacking
S7-AI-4.1 Herramientas usadas en Ethical HackingS7-AI-4.1 Herramientas usadas en Ethical Hacking
S7-AI-4.1 Herramientas usadas en Ethical HackingLuis Fernando Aguas Bucheli
 
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOSFUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOSOscar Padial Diaz
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Universisdad técnica de ambato
Universisdad técnica de ambatoUniversisdad técnica de ambato
Universisdad técnica de ambatoSantiago Gomez
 

Ähnlich wie Test de intrusión (I): intelligence gathering (20)

Test de intrusión
Test de intrusiónTest de intrusión
Test de intrusión
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Día 1- PAEX-Taller-Luis Fernando Aguas
Día 1- PAEX-Taller-Luis Fernando AguasDía 1- PAEX-Taller-Luis Fernando Aguas
Día 1- PAEX-Taller-Luis Fernando Aguas
 
S1-Hack-Tecnicas de Hacking con buscadores.
S1-Hack-Tecnicas de Hacking con buscadores.S1-Hack-Tecnicas de Hacking con buscadores.
S1-Hack-Tecnicas de Hacking con buscadores.
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
S1 hack-tecnicas de hacking con buscadores.
S1 hack-tecnicas de hacking con buscadores.S1 hack-tecnicas de hacking con buscadores.
S1 hack-tecnicas de hacking con buscadores.
 
4.test de penetración pentest
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentest
 
Unidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infUnidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero inf
 
La primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGLa primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTING
 
La primera pieza del ataque Footprinting
La primera pieza del ataque FootprintingLa primera pieza del ataque Footprinting
La primera pieza del ataque Footprinting
 
DEEP WEB o INTERNET PROFUNDA
DEEP WEB o INTERNET PROFUNDADEEP WEB o INTERNET PROFUNDA
DEEP WEB o INTERNET PROFUNDA
 
La dura vida del Pentester
La dura vida del PentesterLa dura vida del Pentester
La dura vida del Pentester
 
Backtrak guide
Backtrak guideBacktrak guide
Backtrak guide
 
S7-AI-4.1 Herramientas usadas en Ethical Hacking
S7-AI-4.1 Herramientas usadas en Ethical HackingS7-AI-4.1 Herramientas usadas en Ethical Hacking
S7-AI-4.1 Herramientas usadas en Ethical Hacking
 
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOSFUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Universisdad técnica de ambato
Universisdad técnica de ambatoUniversisdad técnica de ambato
Universisdad técnica de ambato
 
La biblia del_footprinting
La biblia del_footprintingLa biblia del_footprinting
La biblia del_footprinting
 

Mehr von Jesús Moreno León

Pensamiento computacional e inteligencia artificial en la educación
Pensamiento computacional e inteligencia artificial en la educaciónPensamiento computacional e inteligencia artificial en la educación
Pensamiento computacional e inteligencia artificial en la educaciónJesús Moreno León
 
Investigación sobre el desarrollo del pensamiento computacional en la escuela
Investigación sobre el desarrollo del pensamiento computacional en la escuelaInvestigación sobre el desarrollo del pensamiento computacional en la escuela
Investigación sobre el desarrollo del pensamiento computacional en la escuelaJesús Moreno León
 
Tecnología educativa en infantil
Tecnología educativa en infantilTecnología educativa en infantil
Tecnología educativa en infantilJesús Moreno León
 
Programación y robótica en la escuela. ¿Un juego de niños pasajero?
Programación y robótica en la escuela. ¿Un juego de niños pasajero?Programación y robótica en la escuela. ¿Un juego de niños pasajero?
Programación y robótica en la escuela. ¿Un juego de niños pasajero?Jesús Moreno León
 
On the development of computational thinking skills in schools through comput...
On the development of computational thinking skills in schools through comput...On the development of computational thinking skills in schools through comput...
On the development of computational thinking skills in schools through comput...Jesús Moreno León
 
Assessing computational thinking with tools in the classroom
Assessing computational thinking with tools in the classroomAssessing computational thinking with tools in the classroom
Assessing computational thinking with tools in the classroomJesús Moreno León
 
On the quest for assessing computational thinking
On the quest for assessing computational thinkingOn the quest for assessing computational thinking
On the quest for assessing computational thinkingJesús Moreno León
 
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...Jesús Moreno León
 
El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...
El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...
El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...Jesús Moreno León
 
How social are Scratch learners? A comprehensive analysis of the Scratch plat...
How social are Scratch learners? A comprehensive analysis of the Scratch plat...How social are Scratch learners? A comprehensive analysis of the Scratch plat...
How social are Scratch learners? A comprehensive analysis of the Scratch plat...Jesús Moreno León
 
Code to Learn with Scratch? A systematic literature review
Code to Learn with Scratch? A systematic literature reviewCode to Learn with Scratch? A systematic literature review
Code to Learn with Scratch? A systematic literature reviewJesús Moreno León
 
La programación informática como vía de emprendimiento. Programamos.
La programación informática como vía de emprendimiento. Programamos.La programación informática como vía de emprendimiento. Programamos.
La programación informática como vía de emprendimiento. Programamos.Jesús Moreno León
 
Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...
Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...
Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...Jesús Moreno León
 
Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...
Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...
Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...Jesús Moreno León
 
Analyze your Scratch projects with Dr. Scratch and assess your Computational ...
Analyze your Scratch projects with Dr. Scratch and assess your Computational ...Analyze your Scratch projects with Dr. Scratch and assess your Computational ...
Analyze your Scratch projects with Dr. Scratch and assess your Computational ...Jesús Moreno León
 
La programación informática y el desarrollo del pensamiento computacional en ...
La programación informática y el desarrollo del pensamiento computacional en ...La programación informática y el desarrollo del pensamiento computacional en ...
La programación informática y el desarrollo del pensamiento computacional en ...Jesús Moreno León
 
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...Jesús Moreno León
 
The Europe Code Week (CodeEU) initiative
The Europe Code Week (CodeEU) initiativeThe Europe Code Week (CodeEU) initiative
The Europe Code Week (CodeEU) initiativeJesús Moreno León
 
Computer Programming as an Educational Tool in the English Classroom: a preli...
Computer Programming as an Educational Tool in the English Classroom: a preli...Computer Programming as an Educational Tool in the English Classroom: a preli...
Computer Programming as an Educational Tool in the English Classroom: a preli...Jesús Moreno León
 

Mehr von Jesús Moreno León (20)

Pensamiento computacional e inteligencia artificial en la educación
Pensamiento computacional e inteligencia artificial en la educaciónPensamiento computacional e inteligencia artificial en la educación
Pensamiento computacional e inteligencia artificial en la educación
 
Investigación sobre el desarrollo del pensamiento computacional en la escuela
Investigación sobre el desarrollo del pensamiento computacional en la escuelaInvestigación sobre el desarrollo del pensamiento computacional en la escuela
Investigación sobre el desarrollo del pensamiento computacional en la escuela
 
Tecnología educativa en infantil
Tecnología educativa en infantilTecnología educativa en infantil
Tecnología educativa en infantil
 
Programación y robótica en la escuela. ¿Un juego de niños pasajero?
Programación y robótica en la escuela. ¿Un juego de niños pasajero?Programación y robótica en la escuela. ¿Un juego de niños pasajero?
Programación y robótica en la escuela. ¿Un juego de niños pasajero?
 
On the development of computational thinking skills in schools through comput...
On the development of computational thinking skills in schools through comput...On the development of computational thinking skills in schools through comput...
On the development of computational thinking skills in schools through comput...
 
Assessing computational thinking with tools in the classroom
Assessing computational thinking with tools in the classroomAssessing computational thinking with tools in the classroom
Assessing computational thinking with tools in the classroom
 
On the quest for assessing computational thinking
On the quest for assessing computational thinkingOn the quest for assessing computational thinking
On the quest for assessing computational thinking
 
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...
Can we Measure Computational Thinking with Tools? Present and Future of Dr. S...
 
El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...
El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...
El repositorio de proyectos Scratch. Nuevas oportunidades de investigación y ...
 
Code to learn in k-12?
Code to learn in k-12?Code to learn in k-12?
Code to learn in k-12?
 
How social are Scratch learners? A comprehensive analysis of the Scratch plat...
How social are Scratch learners? A comprehensive analysis of the Scratch plat...How social are Scratch learners? A comprehensive analysis of the Scratch plat...
How social are Scratch learners? A comprehensive analysis of the Scratch plat...
 
Code to Learn with Scratch? A systematic literature review
Code to Learn with Scratch? A systematic literature reviewCode to Learn with Scratch? A systematic literature review
Code to Learn with Scratch? A systematic literature review
 
La programación informática como vía de emprendimiento. Programamos.
La programación informática como vía de emprendimiento. Programamos.La programación informática como vía de emprendimiento. Programamos.
La programación informática como vía de emprendimiento. Programamos.
 
Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...
Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...
Dr. Scratch, una herramienta de asistencia al docente en la evaluación de pro...
 
Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...
Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...
Developing Mathematical Thinking with Scratch: An Experiment with 6th Grade S...
 
Analyze your Scratch projects with Dr. Scratch and assess your Computational ...
Analyze your Scratch projects with Dr. Scratch and assess your Computational ...Analyze your Scratch projects with Dr. Scratch and assess your Computational ...
Analyze your Scratch projects with Dr. Scratch and assess your Computational ...
 
La programación informática y el desarrollo del pensamiento computacional en ...
La programación informática y el desarrollo del pensamiento computacional en ...La programación informática y el desarrollo del pensamiento computacional en ...
La programación informática y el desarrollo del pensamiento computacional en ...
 
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...
Dr. Scratch, Análisis de proyectos Scratch para medir el desarrollo del a Pen...
 
The Europe Code Week (CodeEU) initiative
The Europe Code Week (CodeEU) initiativeThe Europe Code Week (CodeEU) initiative
The Europe Code Week (CodeEU) initiative
 
Computer Programming as an Educational Tool in the English Classroom: a preli...
Computer Programming as an Educational Tool in the English Classroom: a preli...Computer Programming as an Educational Tool in the English Classroom: a preli...
Computer Programming as an Educational Tool in the English Classroom: a preli...
 

Kürzlich hochgeladen

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Kürzlich hochgeladen (11)

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

Test de intrusión (I): intelligence gathering

  • 1. Seguridad y Alta Disponibilidad: Test de intrusión (I): recogida de información Jesús Moreno León jesus.moreno.edu@ juntadeandalucía.es Septiembre 2012
  • 2. Estas diapositivas son una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios de formación impartidos por Antonio Guzmán y Marta Beltrán © Jesús Moreno León, Septiembre de 2012 Algunos derechos reservados. Este artículo se distribuye bajo la licencia “Reconocimiento-CompartirIgual 3.0 España" de Creative Commons, disponible en http://creativecommons.org/licenses/by-sa/3.0/es/deed.es Este documento (o uno muy similar) está disponible en (o enlazado desde) http://informatica.gonzalonazareno.org
  • 3. Test de intrusión ● Un test de intrusión (test de penetración o PenTest) es un método de auditoría por el que se intenta vulnerar la seguridad de los sistemas informáticos de una organización para comprobar el nivel de resistencia a una intrusión no deseada. ● La mejor forma de probar la fortaleza de los sistemas de seguridad es simular una intrusión utilizando las mismas técnicas que usaría un atacante real. http://www.s21sec.com/es/servicios/assessment/test-de-intrusion-internos-y-externos http://informatica64.com/ASExterna.aspx
  • 4. Test de intrusión ● Un test de intrusión presenta las siguientes fases: ● Contrato ● Recogida de información ● Análisis de vulnerabilidades ● Explotación ● Generación de informes para corregir los problemas
  • 5. Recogida de información ¿Qué información interesa recoger? ¡TODA! Footprinting: se pretende obtener la huella identificativa, toda la información posible de la red, sistema o usuario objetivo del ataque. La primera etapa consiste en recuperar información general del objetivo en los medios públicos: ● DNS ● Tracear y posicionar ● ICANN ● Buscadores La biblia del Footprinting Pentest:recolección de información
  • 6. DNS Una fuente de información muy importante es el servicio DNS, que puede usarse para conocer qué servidores tiene registrados nuestro objetivo y con qué servicios. Normalmente se obtienen las direcciones IP de los servidores DNS, de los servidores Web, de los servidores de correo y … todo lo que se pueda. ● Transferencias de zona ● Primary master ● Registros PTR ● DNS Cache Snooping
  • 8. DNS: Primary Master El registro SOA (Start of Authority) indica el email del responsable del dominio, sus tiempos de actualización y, entre otras cosas, el primary master, que informa sobre el servidor DNS que tiene la copia maestra de la información relativa a este dominio. En muchos casos ese primary master es un servidor no expuesto a Internet. Esto, que a priori puede parecer una desventaja, puede ayudar a descubrir el direccionamiento de la red interna, que puede utilizarse para tratar de descubrir más equipos de la red interna mediante PTR Scanning.
  • 11. DNS Cache Snooping Es posible forzar al servidor DNS a que tan sólo consulte su caché para resolver las consultas, anulando las resoluciones recursivas, de forma que se puede conocer si un usuario del dominio había resuelto un nombre previamente.
  • 12. Tracear y posicionar Una vez que se tienen los objetivos iniciales marcados con direcciones IPs es posible situarlos en la red y geográficamente, para averiguar cuál es la ubicación física y quiénes son sus proveedores de acceso a Internet. http://www.visualroute.com/ http://www.yougetsignal.com/tools/visual-tracert/
  • 13. Whois Cuando una empresa registra un dominio en Internet debe rellenar una serie de datos en el registrador que deben estar en una base de datos de información que se llama Whois. La información que se registra en esta base de datos es pública por defecto.
  • 15. Búsqueda en la web Existe mucha información que han indexado los buscadores y que está disponible públicamente para su consulta. Tan sólo hay que saber qué preguntar a los buscadores. ● site ● define ● filetype ● link ● intitle ● related ● inurl ● Info ● cache ● ...
  • 16. Búsqueda en la web Con el operador IP de Bing es posible localizar otros dominios que se encuentran alojados en el mismo servidor
  • 17. Spidering Las técnicas de Spidering se utilizan para poder encontrar toda la información que se ofrece gratuitamente a través de los sitios web de la compañía. Se recopilan páginas html, ficheros de imágenes, documentos, javascripts, applets, etc… http://www.informatica64.com/foca.aspx
  • 18. Fingerprinting Una vez recogida toda la información que era pública, el siguiente paso es recoger aquella que también está accesible públicamente pero que a priori no se puede ver. Es decir, se trata de inferir información a partir de pruebas que se van realizando a cada uno de los servicios y servidores.
  • 19. Fingerprinting ● Nmap ● SuperScan ● Netcat