Universidad Nacional de Loja

Área de Energía, las Industrias y los Recursos

Naturales, No Renovables

Nombre: Jenny P. Imacaña F. Fecha: 29 de Enero del 2011

Modulo: IX “B”. Docente: Ing. Edison Coronel

Resumen
INTRODUCCION AL HACKING ETICO

Contexto Actual Hacker

Principales Riesgos

Riesgos Asociados a la Infraestructura de Frontera:

Ataques de Intrusos a Servidores

Ataques de Virus o Gusanos
Ataques de navegación de servicios

Riesgos Asociados a la Red Interna:

Ataques de Usuarios mal intencionados desde la red interna

Propagación de Virus a través de la red LAN/WAN

Riesgos Asociados a las Aplicaciones:

Utilización de contraseñas capturadas a través de la red.

Violación de EMAILS

Software ilegal
Fraudes Informáticos
Acceso clandestino a redes
Incumplimiento de leyes y regulaciones
Backups inexistentes
Exploits
Violación de la Privacidad de Usuarios

Enfoques

Modelo de Seguridad:

Riesgos Tecnológicos
Soluciones Tecnológicas: Filtrado de contenidos, protección antivirus, Detección, Protección
ante intrusos.
Marco Normativo: SIA’S de IT Administración de Operación
 Continuidad del Negocio: Respuesta ante el inconveniente
Control de Calidad

Hacking Ético

¿Qué es un Hacker?

Termino para designar a alguien con talento, conocimiento, inteligencia e ingenuidad, especialmente
relacionados con las operaciones o procesos de computadora, redes, etc.

El Mundo de los Sombreros

White Hat: Son los denominados “Chicos Buenos”.

Grey Hat: Son los “Mercenarios”.

Black Hat: Son conocidos y denominados así “Los Chicos malos”, son aquellos que se dedican a
violar las leyes, causando daño a instituciones conociendo cuales van a ser los resultados de romper la
seguridad y exponiendo información de uso privado o personal ocasionando daños casi irreparables.

Objetivos del Hacking Ético

Realizar un intento de intrusión controlado para los Sistemas de Información de la

Compañía.
Emular todos los tipos posibles de intrusos y obtener evidencias de peligro para evitarlas.

Modalidades de A& P

Formal
Informal

Ambientes de Penetración:

Estos son los que usualmente se utilizara dependiendo de cual piada la empresa para aplicar en su
compañía.

Caja Blanca (con información del Objetivo)

Caja Negra (sin información del objetivo)

Caja Gris (Hibrido)

Hacking Ético (Cont.)

Tipo de pruebas
Externas
Internas
Wireles
Basadas en tiempo y costo

Enfoque Metodológico

1. Discovery
Identificación y adquisición de host
Interrogación de DNS Herramienta nslookup
 2. Enumeración
Post Scanning de equipos targets
Banner Retrieval / Footprinting de equipos targets

3. Identificación de Vulnerabilidades
Identificación de debilidades y vulnerabilidades.
Scanners de Vulnerabilidades por ejemplo nesus
4. Explotación
Explotación de debilidades y vulnerabilidades
Escalación de privilegios
Intrusión

NS= Servidor DNS

MX= servidor de Correo

A= Dirección IP

CNAME= nombre canónico (alias)

Ataques de Seguridad

Exploits: Programa o técnica que aprovecha la vulnerabilidad, es un método concreto de usar un

error de algún programa para acceder a un Sistema Informático, además depende del Sistema
operativo.

Dos

Análisis de Trafico de Red (Sniffing): Consisten en copiar los paquetes de datos que son destinados a
otros dispositivos en la red.

Riesgos: estos son los robos de contraseñas, acceso a información a la cual no se tendría acceso en
condiciones normales por ejemplo el contenido de los e-mails.

Robo de Sesiones (Hijacking): Estos son los araques que permiten tomar el control de una conexión
entre 2 computadores.