Scribd Logo
Unggah

Selamat datang di Scribd!

  • Curso Ethical Hacking Modulo 1

    Diunggah oleh

    Jose Fernando Colque Cruz
    864 tayangan106 halaman
    Curso de ethical hacking para una posible certificacion

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PPTX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Curso de ethical hacking para una posible certificacion

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PPTX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    864 tayangan106 halaman

    Curso Ethical Hacking Modulo 1

    Diunggah oleh

    Jose Fernando Colque Cruz
    Curso de ethical hacking para una posible certificacion

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PPTX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 106

    TEMA:

    Curso Ethical Hacking 1.0

    Instructor:
    Ing. Ruben Suxo Camacho
    CEH – CISO – ACE – MTA
    Expositor
    @ru316 rsuxo@moebiusec.com
    Ingeniero en Sistemas de Información .
    Estudios: UCB – Tecnológico de Monterrey
    (ITESM) Zacatecas
    MTA, CEH, ACE, CISO
    Actividades académicas (tutor
    universitario y cursos)
    Pentester
    Apacionado por la Seguridad Informática
    Gerente General y Fundador de Moebius
    Security.
    hacker cracker
    lamer
    phreaker
    white-hat
    script-kiddie
    security professional
    gray-hat
    ethical hacker
    hacktivista black-hat
    MODULO 1:
    Nociones Básicas de un Ethical
    Hacking
    “La copia, reproducción, transmisión, captación o
    grabación de imágenes, sonido o video, uso de
    información o datos vertidos en la presente presentación
    (sea cuál sea el formato de la misma), no podrá ser
    realizada por ningún procedimiento físico, electrónico o
    mecánico, incluyendo de manera enunciativa más no
    limitativa copias electrónicas, fotocopias, fotografías o
    videos, grabaciones magnéticas, o cualquier forma o
    sistema de almacenamiento o transmisión de información,
    ello sin que medie permiso y autorización por escrito por
    parte de Moebius Security ”
    Que pasa en 60 segundos?
    Seguridad en el mundo
    Mundial
    Mundial
    Intel Security
    • Países con mejor ciberseguridad:
    • Intel Security and CSIS reveals best cybersecurity
    talent.
    – Australia
    – France
    – Germany
    – Israel
    – Japan
    – U.S.
    – U.K.
    Latinoamerica
    • Solo seis países de América Latina y el Caribe
    tienen estrategias de seguridad cibernética,
    mientras que la mayoría no están preparados
    ante las nuevas amenazas, según un informe
    del Banco Interamericano de Desarrollo (BID)
    y la Organización de Estados Americanos
    (OEA) - 2016
    Paises con mejor ciber seguridad
    • Brasil
    • Colombia
    • Jamaica
    • Panamá
    • Trinidad y Tobago
    • Uruguay
    Situación en bolivia
    • Csirt Bolivia
    Situación en Bolivia
    Situación en Bolivia
    Situación en Bolivia
    Situación Boliviana
    • Según ITU (International Telecomunication
    Union) los países con mejor perfil en ciber
    seguridad en América son:
    Situación en Bolivia
    Seguridad en Bolivia
    Seguridad en Bolivia
    Seguridad en Bolivia
    Una realidad en Bolivia
    • Se están formando mas “crackers” y menos
    profesionales en seguridad.

    • Lujo o necesidad
    Nuevas Generaciones
    Resto del mundo…
    Lo que se vee
    Evolución de ataques
    XSS
    distributed DoS Internet worms
    vulnerability scanners
    denial of service advanced scanning techniques
    www attacks
    packet spoofing tools with GUIs
    backdoors & Trojan horses network management diagnostics
    packet sniffing
    disabling audits password cracking
    session hijacking

    self replicating code


    password guessing
    A quien atacan….
    • Industria (Sistemas SCADA)
    • Smartphones
    • Drones
    • Gobierno
    • Paginas Web
    • Servidores
    • Sistemas Operativos
    “Todo lo que envía y recibe
    comunicación es hackeable”
    Años mas atras……
    • Suplantación de identidad es hack????
    Odiseo burla al ciclope

    Isaac elige a su sucesor

    Isaac

    Jacob
    Tech Model Railroad Club TMRC

    1962 MIT, Se hacian bromas entre


    ellos a lo que le llamaban “HACKS”
    Como empezó todo?
    1964
    Hackers Conocidos
    • Kevin Mitnick
    • Dennis Ritchie (Creador de C)
    • Steve Jobs y Steve Wozniak (Apple)
    • Linus Torvalds (Linux)
    • Richard Stallman (Creador de GNU)
    • Bill Gates (Microsoft)
    Hacker según el cine
    • Ingeniería Social
    Series
    Series
    GHOST MR. ROBOT
    Tipos de Hackers
    Wannabe

    Lammer

    Newbie
    Tipos de Hackers

    Cracker Wizard

    Phreaker
    Tipos de Hackers

    Master Samurai
    Un hacker NO es
    un criminal

    ...a menos que lo seduzca


    el lado obscuro
    Clasificación

    • De sombrero blanco (Hacker Ético)


    Clasificación
    • De sombrero Negro (Cracker)
    Clasificación
    • De sombrero gris
    Clasificación
    • Hacktivistas
    Características de un hacker

    • Disfruta investigar

    • Busca mejorar cosas

    • Siempre ayuda
    Características de un hacker

    • Curioso

    • Perseverante

    • Paciente
    ¿Por qué ser ético?

    Ética:
    «Conjunto de costumbres y normas
    que dirigen o valoran el
    comportamiento humano en una
    comunidad para el bien»
    Hacking Ético

    • Revisión del estado en el que una


    persona o una empresa se
    encuentra respecto a la seguridad
    de la información.
    Hacking Ético
    • Se debe tener permiso del Cliente para hacer
    pruebas.

    • Debe haber un contrato de confidencialidad.

    • Se debe respetar la información tanto del


    CLIENTE como de la empresa que está
    brindando el servicio.
    PREGUNTA
    • Ventajas y desventajas de hacer maestria.
    • Ventajas y desventajas de hacer una
    certificación
    Certificaciones vs Maestrias
    Maestrías
     Ofertas de Empleo Seguras
     Puedes dar clases
     Avalado por grandes
    instituciones
     Estudio modular (no depende
    de un solo examen)
     Haces networking
     Prestigio
     Trabajo en equipo
     Pasantías
    Maestrías

     Muy costosas
     Consume tiempo
     No gana licitaciones
     No hay estándares de calidad
     Subvaloradas
     Poca especialización
     Trabajar y estudiar
    Certificaciones

     Estándar Internacional
     Si gana licitaciones
     Especialización en áreas más
    especificas
     Muy prácticas
     Corto tiempo
     Más baratas que una maestría
     Aceptada internacionalmente
    Certificaciones
     Al aprobar por un solo
    examen, es posible de hacer
    trampa.
     No es suficiente para dar
    clases en una universidad.
     Único examen final (teórico o
    práctico).
     Abuso de creación de miles de
    certificaciones falsas.
     Fecha de caducidad.
    PREGUNTA
    • Cuales son las certificaciones más conocidasen
    el mercado actual?
    Certificaciones de Gestión
    Certificaciones Técnicas
    Terminología
    HACKER
    Terminología
    Terminología

    • Hack Value

    Worth doing!!!!
    Terminología

    • Probabilidad
    Terminología

    • Impacto
    Seguridad de la Información
    Seguridad de la Información

    No
    confidencialidad integridad disponibilidad autenticidad
    Repudio
    Triangulo SFU
    Objetivo y Ataque

    Ataque
    =
    Motivación + Método + Vulnerabilidad
    Tipos de Atacantes
    Categoria de Amenazas

    Network Host Application

     Information  Ataque Malware  Validación de datos


    Gathering  Pasword Cracking  Autenticación falsa
     Sniffing  Denial Of Service  Mala Config
     Spoofing  Ejecución de código  Exposición de Inf
     Man in the Middle  Acceso no Auorizado  XSS / SQL Injection
     Envenenamiento  Seguridad Física  Manejo de Errores
    DNS/ARP  Privilage Escalation  Robo de Sesión
     Denial Of Service
    Information Warfare

    Se refiere a todas las estrategias y


    acciones de DEFENSA EN CONTRA DE
    ATAQUES A ACTIVOS

    Se refiere a todas las estrategias y


    acciones de ATAQUE EN CONTRA DE UN
    OPONENTE
    Information Warfare
    Estándares internacionales
    • Tarea 1:
    – Busca cuales son las metodologías estándar más
    comunes para un pentesting o un Ethical hacking
    Fases de un EH
    • Diferentes Standares EH
    Fases de un EH
    • Estandares Específicos
    Fases de un EH
    Fases de un EH
    Fases de un EH
    Fases de un EH
    Fases de un EH
    Fases de un EH
    Fases de un EH

    TENER MANTENER LIMPIAR


    RECONOCIMIENTO SCANNING
    ACCESO ACCESO HUELLAS
    Fases de un EH

    RECONOCIMIENTO
    Reconocimiento
    Reconocimiento

    Se refiere a la primera etapa para


    preparar un ataque recolectando la mayor
    cantidad de información posible.
    Tipos de Reconocimiento

    Reconocimiento Pasivo Reconocimiento Activo

     Adquisición de información
     Adquisición de información SIN
    INTERACTUANDO
    INTERACTUAR DIRECTAMENTE
    DIRECTAMENTE CON EL
    CON EL OBJETIVO
    OBJETIVO por cualquier medio
     Por ejemplo: Buscar registros
     Por ejemplo: Llamadas
    enj internet
    telefónicas
    Fases de un EH

    RECONOCIMIENTO SCANNING
    Scanning

    Fase de Pre-Ataque Port Scanner Extraer Info

    Se refiere a realizar
    Escaneo de puertos
    un escaneo general Atacante extrae
    incluye dialers, port
    teniendo como información como
    scanners, Network
    base la información nombres de los
    mapping,
    obtenida en la fase equipos, IPs y
    vulnerability
    de INFORMATION usuarios
    scanners. etc
    GATHERING
    Fases de un EH

    TENER
    RECONOCIMIENTO SCANNING
    ACCESO
    Gaining Access
    Fases de un EH

    TENER MANTENER
    RECONOCIMIENTO SCANNING
    ACCESO ACCESO
    Mantener Acceso

    Atacante previene el sistema


    Atacante trata de mantener
    de ser hackeado por otros
    como propio al sistema
    atacantes

    Atacante puede subir


    Atacante utiliza sistemas archivos, descargar, o
    comprometidos manipular data, aplicaciones
    y configuraciones
    Fases de un EH

    TENER MANTENER LIMPIAR


    RECONOCIMIENTO SCANNING
    ACCESO ACCESO HUELLAS
    Limpiar huellas
    Pruebas de Seguridad
    Auditoria de Evaluación de
    Penetration Testing
    Seguridad Vulnerabilidades
    • Políticas vs • Búsqueda de • Objetivos
    Realidad debilidades definidos
    • Revisión de • Uso de • Distintas pruebas
    procesos herramientas para un objetivo
    • Referencias automatizadas • Pruebas
    leyes/estándares • No incluye automáticas y
    de seguridad explotación manuales
    • Uso de • Se toma como • Ataque dirigido
    herramientas escaneo de
    vulnerabilidades
    ¿Qué hace el Ethical Hacker?
    Modelo de Evaluación
    PRUEBAS
    Pruebas de Intrución

    VIRTUAL
    Preguntas?

    Anda mungkin juga menyukai