Seguridad de Sistemas de la Información

ETHICAL HACKING

IVÁN FERNÁNDEZ-DÁVILA GALLEGOS

Contenidos
• Las evaluaciones de seguridad
• El hacker ético
• Metodología de ataque
• Entregables
Evaluaciones de Seguridad
Las evaluaciones de la seguridad
• Permiten conocer el nivel de seguridad de una organización
• Deben realizarse con periodicidad
• Deben contar con la debida autorización legal
• Motivaciones
• Cumplimiento de leyes, regulaciones y normativas
• Identificación de puntos débiles y vulnerabilidades
• Obtención de información para la gestión de la seguridad
• Ejecución y contratación (Ethical Hackers)
• Personal especializado
• Consultas externas
• Profesionales independientes
Tipos de evaluaciones
• Sobre sistemas y redes
• Vulnerability assesment
• Penetration test
• Auditoría informática
• Sobre software
• Testing de aplicaciones
• Identificación de puntos débiles y vulnerabilidades
Tipos de evaluación según el conocimiento del objetivo

White Box Gray Box Black Box

• Total • Parcial • Sin
conocimiento conocimiento conocimiento
El Hacker Ético - Rol
• Simular acciones de un ataque real
• ¿A qué puede acceder el intruso?
• ¿Qué podía hacer con la información?
• ¿Puede ser notada una intrusión?
• Información necesaria
• Qué se intenta proteger
• Contra quién se protege
• Con qué recursos se cuenta
El Hacker Ético - Perfil
• Experto en informática
• Software
• Hardware y electrónica
• Redes y telecomunicaciones
• Investigación de vulnerabilidades
• Técnicas de seguridad
• Habilidades sociales
• Código de conducta estricto
• Paciencia y perseverancia
Áreas de Explotación

Sistemas
Aplicaciones
Operativos

Código propio Configuraciones

Clasificación de ataques

Por Por Por

actividad ubicación naturaleza

Activos Internos Técnico

Pasivos Externos
Metodología y entregables
Metodología de Ethical Hacking - Fases

Reconocimiento

Escaneo y enumeración

Acceso

Mantenimiento

Eliminación de rastros
Metodología de Ethical Hacking – Tipos de escaneo
• Escaneo de Red
• Determinación de equipos activos y direcciones IP
• Detección de sistemas operativos y servicios
• Escaneo de puertos
• Determinación de puertos TCP/UDP abiertos
• Detección de aplicaciones instaladas
• Escaneo de Vulnerabilidades
• Determinación de existencia de vulnerabilidades conocidas
Ethical Hacking – Proceso completo
Discutir con el cliente necesidades y expectativas

Preparar y firmar un NDA

Preparar el equipo y establecer agenda

Llevar Adelante el test

Analizar resultados y elaborar los reportes

Presentar el resultado al cliente (Reporte / Workshop)

Entregables
• Informe
• Características
• Calidad de confidencial
• Impreso y digital

• Contenido
• Información General
• Resumen ejecutivo
• Índice de riesgos
• Detalle pruebas realizadas
• Resultados obtenidos
• Vulnerabilidades identificadas
• Recomendaciones
• Detalle de herramientas y técnicas usadas
• Clasificación de problemas según nivel de riesgo

• Workshop (opcional)
• Presentación personalizada de los resultados
• Discusión sobre problemas y soluciones
• Asesoramiento de las alternativas de solución
Resumen y conclusiones
• Las evaluaciones de seguridad deben incluirse en toda
organización
• El ethical hacking supone la simulación de ataques reales
• El ethical hacker es un profesional de seguridad que se rige por
un código de ética
• Existen metodologías y técnicas para realizar pruebas de
seguridad