Semana 2

TICA DE HACKING

Ing. Pedro Castillo Domnguez

pcd@upn.edu.pe

LOGRO
Al finalizar la sesin el estudiante define lo que es tica
de hacking, menciona las certificaciones relacionados
con el tema, elabora un mapa conceptual de los temas
adquiridos.

30/03/2015 - Aula SA403 -

MOTIVACIN

"Cada maana en frica, una gacela se

despierta. Sabe que debe correr ms rpido
que el len ms rpido o morir. Cada
maana un len se despierta. Sabe que debe
correr ms rpido que la gacela ms lenta o
morir de hambre. No importa si eres un len
o una gacela ... cuando sale el sol, es mejor
estar corriendo. "

INTRODUCCIN
Los eventos ocurridos el:
11/09/2001 en Nueva York, los del 11/03/2004 en Madrid
y los del 07/07/2005 en Londres, que echaron por tierra
todos los planes de contingencia, incluso los ms
paranoicos, comenzamos a tener muy en cuenta las
debilidades de los sistemas y valorar en su justa medida
el precio de la seguridad.
(11/03/2004)10 explosiones casi simultneas en cuatro trenes en hora punta de la
maana. Ms tarde Fallecieron 192 personas, y 1858 resultaron heridas.
(07/07/2005) Cuatro explosiones paralizaron el sistema de transporte
pblico de Londres en plena hora punta matinal. A las 8:50 AM, explotaron tres
bombas a 50 s de intervalo entre una y otra, en tres vagones del metro de Londres.

INTRODUCCIN

La copresidenta de Sony, uno de los estudios de cine ms grandes del

mundo, dimiti dos meses despus del bochorno que sufri cuando todo
su correo electrnico fue publicado en Internet. Amy Pascal, una de las
ejecutivas ms poderosas de la industria del cine, es la vctima de mayor
peso del ataque informtico sin precedentes, atribuido por el FBI a
activistas de Corea del Norte, en represalia por The interview.

INTRODUCCIN
Robo de datos en la nube
En este sentido, el caso ms importante de este ao fue el llamado
Celebgate, en el que se publicaron 13 gigas de fotos de cientos de
personalidades famosas como Jennifer Lawrence, Avril Lavigne o
Kim Kardashian, en las que aparecan en actitud sugerente, ligeras
de ropa e incluso desnudas. Un mes despus, se filtraron unas
200.000 fotografas comprometidas de usuarios annimos de
Snapchat.
Ataques focalizados en sectores financieros
JP Morgan sufri uno de los mayores ciberataques de la historia,
afectando a 76 millones de personas y 7 millones de pequeas
empresas. Se sospecha que ganaron acceso tras comprometer el
PC de algn usuario.

REFLEXIONEMOS
79% de las vctimas son blancos de oportunidad (una
brecha de seguridad est disponible)
21% de los ataques son blanco directo
96% de los ataques son fciles de lograr
97% de las violaciones son evitables a travs de procesos
y herramientas
75% de los ataques comprometen informacin crtica en
slo minutos
54% de los ataques permanecen durante meses antes de
ser descubiertos
Una nueva amenaza web se descubre cada 4,5 segundos
90% de los ataques se puede evitar con un parche

TICA DE HACKING - DEFINICIN

Es explotar las vulnerabilidades existentes en el sistema
de "inters" valindose de test de intrusin, que verifican
y evalan la seguridad fsica y lgica de los sistemas de
informacin, redes de computadoras, aplicaciones web,
bases de datos, servidores, etc. Con la intencin de
ganar acceso y "demostrar" que un sistema es
vulnerable, esta informacin es de gran ayuda a las
organizaciones al momento de tomar las medidas
preventivas
en
contra
de
posibles
ataques
malintencionados.

HACKING TICO - OBJETIVO

Realizar un intento de intrusin controlado a los
sistemas de informacin de la organizacin e identificar
las vulnerabilidades a las que estn expuestas las redes
y definir los planes de accin para mitigar los riesgos.
Se busca emular a todos los tipos de intrusos y obtener
evidencias concretas del resultado obtenido.

TICA DE HACKING BENEFICIOS

Los beneficios que las organizaciones adquieren con la realizacin de
un Ethical Hacking son muchos, de manera muy general los ms
importantes son:
Ofrecer un panorama acerca de las vulnerabilidades halladas en los
sistemas de informacin, lo cual es de gran ayuda al momento de
aplicar medidas correctivas.
Deja al descubierto configuraciones no adecuadas en las
aplicaciones instaladas en los sistemas (equipos de cmputo,
switches, routers, firewalls) que pudieran desencadenar problemas
de seguridad en las organizaciones.
Identificar sistemas que son vulnerables a causa de la falta de
actualizaciones.
Disminuir tiempo y esfuerzos requeridos para afrontar situaciones
adversas en la organizacin.

Hacking tico
Hacking Malicioso segn CEH
1. Reconocimiento
Pasivo

5. Recoleccin
de Evidencias y
Presentacin
Informes

4. Explotacin de
Vulnerabilidades
(Ataque)

2.
Reconocimiento
Activo

3. Anlisis de
Vulnerabilidades

Un Hacker tico sigue una metodologa similar a la utilizada por un Hacker

Malicioso. Los fases o etapas son idnticas, sin importar las intenciones del
Hacker.

RECONOCIMIENTO PASIVO
Captura informacin relacionada al objetivo sin
conocimiento del individuo o empresa. Este proceso se
denomina captura de informacin.
Algunos mtodos son:
la bsqueda de basura e ingeniera social.
El Sniffing en la red es tambin un mecanismo
utilizado.
nslookup
Bsqueda de informacin en los buscadores como
Google (Google Hacking), Bing, Yahoo!, etc

RECONOCIMIENTO
Reconocimiento Activo: Evala la red para descubrir
hosts nicos, direcciones IP, y servicios en la red.
Implica un mayor riesgo de deteccin que el
reconocimiento pasivo. Proporciona indicios de los
mecanismos de seguridad, pero el proceso tambin
incrementa las posibilidades de ser detectado. Ambos
tipos de reconocimiento permiten descubrir informacin
til a ser utilizado en un ataque.

ESCANEO
Implica tomar la informacin descubierta durante la fase
de Reconocimiento y utilizarla para examinar la red. Entre
las herramientas que el Hacker utiliza durante la fase de
Escaneo se incluyen:
1. Dialers (Marcadores)
2. Port Scanners (Escaners de Puertos)
3. Network Mappers (Mapeadores de red)
4. Sweepers (Barredores)
5. Vulnerability Scanners (Escaners de Vulnerabilidades)
Los Hackers buscan cualquier informacin til para
realizar el ataque; como por ejemplo el nombre de las
computadoras, las direcciones IP, cuentas de usuario,
etc.

GANAR ACCESO
Las vulnerabilidades descubiertas durante la fase de
Reconocimiento y Escaneo ahora se explotan para
ganar acceso.
El mtodo de conexin que el Hacker utiliza para
realizar la explotacin puede ser una Red de rea Local
(LAN, ya sea cableada o inalmbrica), acceso local al
objetivo, Internet, o fuera de lnea (off-line).

MANTENER ACCESO
Cuando se gana el acceso, se desea mantener el
acceso
para
realizar
posteriores
ataques
y
explotaciones. El Hacker fortalece el sistema de otros
Hackers o del personal de seguridad, asegurando su
acceso exclusivo con puertas traseras (backdoors),
rootkits, troyanos u otros mecanismos.
Si el Hacker se apropia del sistema, puede utilizarlo
como base para lanzar ataques hacia otros sistemas o
redes. A este sistema tambin se le denomina un
sistema zombi.

CUBRIR HUELLAS
Cuando el Hacker ha ganado y mantiene el acceso en las redes y
sistemas, desea cubrir sus huellas para evitar ser detectado por el
personal de seguridad y utilizar el sistema comprometido, remover
evidencia de su intrusin, o evitar acciones legales.
Se intenta eliminar los rastros del ataque, tales como archivos de
registros (logs), o alarmas de los IDS o IPS.
Entre las actividades realizadas aqu se incluyen la esteganografa,
utilizar protocolos tunneling y alterar los archivos de registros

TIPOS DE ATAQUE
1. Caja Negra: Realizar pruebas de seguridad sin un
conocimiento previo sobre la infraestructura de red o
sistemas a ser evaluados.
Este tipo de pruebas simula el ataque de un Hacker
malicioso externo al permetro de seguridad de la empresa.
2. Caja Blanca: Realiza evaluaciones de seguridad con un
conocimiento pleno de la infraestructura de la red, tal como
lo tendra el administrador de la red.
3. Caja Gris: Involucra realizar una evaluacin de
seguridad de manera interna. Este tipo de pruebas
examina el alcance del acceso de un insider (interno)
dentro de la red.

PROCEDIMIENTO PARA REALIZAR UN HACKING

TICO
Un Hacking tico se realiza de una manera organizada y estructurada,
como parte de una Prueba de Penetracin o Auditora de Seguridad.
La intensidad y alcance de los sistemas y aplicaciones a ser
evaluados son determinadas por las necesidades del cliente.
1. Hablar con el cliente, discutir las necesidades de las pruebas.
2. Preparar y firmar un documento de acuerdo de NO divulgacin
(Acuerdo de Confidencialidad) con el cliente.
3. Organizar al equipo de Hackers ticos, y preparar los horarios de
las pruebas.
4. Realizar las pruebas.
5. Analizar los resultados de las pruebas, y preparar un reporte.
6. Presentar el reporte al cliente.

OSSTMM - OPEN SOURCE SECURITY TESTING METHODOLOGY

MANUAL O MANUAL DE LA METODOLOGA ABIERTA DEL TESTEO DE
SEGURIDAD

Es un manual de metodologas para pruebas y anlisis

de seguridad realizado siguiendo la metodologa OML
(Open Methodology License) siendo el manual en s
publicado bajo licencia Creative Commons 3.0, lo cual
permite el libre uso y distribucin del mismo.
Se centra en los detalles tcnicos de los elementos que
necesitan ser comprobados, qu hacer antes, durante y
despus de las pruebas de seguridad, as como evaluar
los resultados obtenidos.

OSSTMM

OSSTMM espaol, es uno de los estndares profesionales ms

completos y comnmente utilizados a la hora de revisar la
Seguridad de los Sistemas y se encuentra en constante desarrollo.

CERTIFICACIONES EN SEGURIDAD
INFORMTICA
CISSP : Certified Information Systems Security Professional
CHFI : Computer Hacking Forensic Investigator (ISC) 2
CISA : Certified Information Systems Auditor (ISACA)
CISM : Certified Information Security Manager (ISACA)
CompTia Security ++ : The Computing Technology Industry Association Security ++
ISO 17799 : AuditorLider
CSSLP: Certified Secure Software Lifecycle Professional (ISC) 2
CEH: Certified Ethical Hacker (EC-Council)
Otras certificaciones relacionadas recomendadas:
CISCO CCNA : Cisco Certified Network Associate (CISCO System)
ITIL : The Information Technology Infrastructure Library
OGC (Office of Governance Commerce) in Norwich (England)
CMMI : Capability Maturity Model Integration (Carnegie Mellon, Software
Engineering Institute)
PMP : Project Management Professional (Project Management Institute - PMI)

SIEMPRE ALERTAS

Gracias