hacking Ético & seguridad informática para empresas...recomendaciones para las empresas todas...
TRANSCRIPT
Hacking Ético & Seguridad Informática para Empresas
Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético, Informática Forense & GNU/Linux
Sitio Web: http://www.ReYDeS.com
email: [email protected]
Sábado 11 de Junio del 2016
Presentación
Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPI Linux Essentials Certificate, Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling.
Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año, y Conferencista en PERUHACK. Cuenta con más de trece años de experiencia en el área y desde hace nueve años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz y al Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Informática Forense, GNU/Linux y Software Libre.
@Alonso_ReYDeS www.facebook.com/alonsoreydes
pe.linkedin.com/in/alonsocaballeroquezada/
Hacking Ético
Tradicionalmente el Hacking se refiere a la exploración de la tecnología, intentando conocerla a un nivel muy profundo, para ser capaz de manipularla en hacer algo para lo cual no fue diseñado .
Desafortunadamente, muchas personas piensan en el Hacking en términos más siniestros; romper en sistema de computadoras y cuentas sin permiso de sus propietarios, para hacer dinero ilícitamente o causar daño. Por lo tanto el término “Ético” anula la percepción siniestra del Hacking.
Entonces se puede definir el Hacking Ético como el proceso de utilizar técnicas de ataque por computadora, para encontrar fallas de seguridad con el permiso del propietarios del objetivo. Esto con e propósito de mejorar su seguridad.
* https://en.wikipedia.org/wiki/Hacker_ethic
War Games
Juegos de Guerra (1983)
* http://www.imdb.com/title/tt0086567/
Seguridad Informática
La seguridad en tecnologías de la información también conocida como Seguridad TI, es el proceso de implementar medidas y sistemas diseñados para proteger seguramente y salvaguardar la información (datos de empresas y personales, conversaciones de voz, imágenes, videos, entre otra información diversa).
Esto se logra utilizando diversas formas de tecnología desarrollada para crear, almacenar, usar e intercambiar tal información contra cualquier acceso no autorizado, uso inadecuado, función incorrecta, modificación, destrucción, o exposición inadecuada, y de este modo preservar su valor, confidencialidad, integridad, disponibilidad, uso previsto y su habilidad para realizar sus funciones críticas permitidas.
* https://en.wikipedia.org/wiki/Computer_security
Net Wars
.
* https://www.sans.org/netwars
¿Todo bien?
427 Millones de Contraseñas Expuestas
Data del año 2013, pero hecho público recientemente. Atribuido al ruso “Peace” (LinkedIn, Tumblr). Contraseñas protegidas con SHA1 (Sin Salt). ¿Reutilizar Contraseñas?
* https://myspace.com/pages/blog
Ingreso dentro del Servidor y Panel de Administración
Wesley Weinberg. Encontró una Ejecución Remota de Código. Facebook amenazó con demanda. ($ 2,500). Acceso a código fuente, certificados SSL y llaves privadas. Acceso a casi todo, incluyendo tus “Selfies”.
* http://www.exfiltrated.com/researchInstagramRCE.php
37 Millones de Cuentas Afectadas
“The Impact Team”. Información personal, nombres reales, direcciones, fotografías, tarjetas de créditos, conversaciones sexuales explícitas.40 GB de datos sensibles. Teoría: Hecho desde el interior por una mujer.
* http://krebsonsecurity.com/2015/07/onlinecheatingsiteashleymadisonhacked/
Venta de 65 Millones de Contraseñas
Data del año 2013. Atribuido a “peace_of_mind”. Nombres de usuario y Contraseñas. Costo aproximado de $ 225 Dólares. El mismo autor está vendiendo datos de Fling, LinkedIn y MySpace.
* https://staff.tumblr.com/post/144263069415/werecentlylearnedthatathirdpartyhad
3.8 Millones de Usuarios Comprometidos
Explotó wordpress, acceso shell, puerta trasera. No se admite el incidente. Correos electrónicos, contraseñas cifradas, nombres de usuario, direcciones IP y ubicaciones. Costo aproximado de $ 300 Dólares
* http://www.forbes.com/sites/thomasbrewster/2016/04/14/naughtyamericafappeninghackedpornsites/#55bf4ca9294c
Puerta Trasera Secreta en Servidor
Orange Tsai. Puerta trasera para robar credenciales de empleados. No en servidor principal. Versión vulnerable de File Transfer Application (FTA). 3 XSS, 2 Ejecución Remota de Código, 2 Escalamiento de Privilegios. $10K
* http://devco.re/blog/2016/04/21/howIhackedfacebookandfoundsomeonesbackdoorscriptengver/
¿Sigue estando todo bien?
¿Y el Perú?
Dominios gob.pe comprometidos (“Hackeados”).
* http://zoneh.org/archive
Repito; ¿Y el Perú?
* http://busquedas.elperuano.com.pe/normaslegales/apruebanelusoobligatoriodelanormatecnicaperuanantpresolucionministerialno0042016pcm13330151/
Recomendaciones para las Empresas
● Todas las redes de la empresa deben tener las protecciones adecuadas de seguridad.
● Implementar una política de medios extraíbles.
● Ser agresivo al actualizar y parchar.
● Fortalecer una política efectiva de contraseñas.
● Asegurarse de realizar copias de respaldo regulares.
● Restringir los adjuntos en los mensajes de correo electrónico.
● Implementar procedimientos de respuesta de incidentes en la empresa.
● Educar a los empleados, etc.
Es un esfuerzo de equipo
Preguntas, Comentarios, Sugerencias.
Por favor abstenerse de preguntar si puedo conseguir una contraseña de facebook, whatsapp, etc.
La respuesta es obvia. :)
?
?
?
??
?
?
?
?
?
Más Contenidos
Videos de 30 Webinars Gratuitos sobre Hacking Ético, Hacking Aplicaciones Web e Informática Forense.
http://www.reydes.com/d/?q=videos
Diapositivas utilizadas en los Webinars Gratuitos.
http://www.reydes.com/d/?q=node/3
Artículos y documentos publicados
http://www.reydes.com/d/?q=node/2
Mi Blog sobre temas de mi interés.
http://www.reydes.com/d/?q=blog/1
¡Muchas Gracias!
Alonso Eduardo Caballero Quezada
Consultor en Hacking Ético, Informática Forense & GNU/Linux
Sitio Web: http://www.ReYDeS.com
email: [email protected]
Sábado 11 de Junio del 2016