01A - Introduccion Al Hacking Etico, Etica y Legalidad v1

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad
Introducción al Hacking Ético,

Ética y Legalidad
Agenda
Introducción a la Problemática
Seguridad de la Información: Principios
Conceptos – Terminología
Pasos Involucrados en el Proceso de EH
Áreas de Explotación
Categorización de Ataques
Hacktivismo
Clases de Hackers y Hackers Éticos
Rol de Trabajo del Hacker Ético
Perfil, Competencias y Características de un EH
Vulnerability Research
Como conducir un proyecto de Ethical Hacking
Componentes Principales en el Proceso de Ethical Hacking
Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 2

Copyright © 2008 SIClabs
Agenda (Cont.)
Métodos de Ataque o “Ethical Hacks”

Evaluaciones de Seguridad: Tipos
Entregables
Implicancias Legales del Hacking
Computer Crime
Leyes en los Estados Unidos
18 U.S.C. § 1029 &1030 U.S. Federal Law

1
Introducción a la Problemática
Penetración masiva del computador y los sistemas de información.

Negocios altamente dependientes de sistemas de cómputo.
Infraestructura crítica íntimamente relacionada con los sistemas de
información.
Fuerte incremento en el desarrollo de ambientes interconectados.
Clara evolución hacia aplicativos basados en la red.
Evolución continua de la tecnología focalizada en la facilidad de
uso.

Introducción a la Problemática (Cont.)
Mayor complejidad a la hora de gerenciar y administrar aspectos

relacionados con infraestructura tecnológica.
Menos conocimientos requeridos por los intrusos a la hora de
utilizar un exploit.
Disponibilidad de herramientas de explotación avanzadas.
Mayor participación del crimen organizado en la concreción de
delitos relacionados con tecnología.
Dificultad de articular leyes globales.
Brechas de seguridad con impacto directo en los activos de la
organización.

Evolución: Amenaza Global
Sistemas Individuales
Redes Corporativas
Toda Internet
Fraude On-Line

2
Información Estadística
9 de cada 10 Organizaciones sufrieron ataques de virus, spyware y

ataques online
32 millones de dólares fue el promedio de daños causados por
ataques, de los cuales 12 millones corresponden a Virus y Gusanos
98 % posee Software Antivirus, > 83.7 % sufrieron Ataques de Virus
a pesar de contar con este tipo de software
75 % posee Software Anti Spyware, > 69,5 % sufrieron ataques de
spyware a pesar de contar con este tipo de software
44 % de los ataques vinieron desde el interior de la Organización
66% de los ataques desde el exterior
9% reportaron los incidentes a las Autoridades gubernamentales
Fuente FBI

Seguridad de la Información: Principios
Que solemos conocer por “Seguridad de la Información”?

“Estado” en el cual la posibilidad de que la infraestructura tecnológica,
información y otros activos de valor para la organización, sean objeto
de un ataque exitoso que implique hurto, modificación o interrupción, es
mantenida en niveles aceptables/tolerables para la organización
(Riesgo Aceptable).

Seguridad de la Información: CIA Triad
Amenazas
Vulnerabilidades
Riesgos
Disponibilidad
Integridad Confidencialidad
Controles y
medidas de
seguridad

3
Seguridad de la Información: Confidencialidad
Confidencialidad
La información es accedida solo por personal
autorizado y de manera autorizada.
Identificación, Autenticación y Autorización
Objetivo de Seguridad: Prevenir la divulgación NO Autorizada

de información sensible.
Opuesto: Revelación (Disclosure)

Seguridad de la Información: Integridad
Integridad
Toda modificación a datos o información es realizada
por personas autorizadas de manera autorizada.
Integridad de datos / información. Consistencia
Integridad del proceso de manipulación de datos /
información.
Objetivo de Seguridad: Prevenir la modificación NO Autorizada

de los sistemas e información
Opuesto: Modificación (Alteration)

Seguridad de la Información: Disponibilidad
Disponibilidad
La información y datos se encuentran disponibles para
personal autorizado cuando se necesitan.
Objetivo de Seguridad: Prevenir interrupción del servicio y la

perdida de productividad.
Opuesto: Destrucción – Interrupción (Destruction – Disruption)

4
Seguridad de la Información: CAID
Confidencialidad: Ocultación de Información y/o Recursos.

Autenticidad: Identificación y constatación/aseguramiento del
orígen de la información.
Integridad: Seguridad de los datos o recursos en términos de
prevención de cambios impropios y/o NO autorizados.
Disponibilidad: Capacidad por parte del usuario lícito, de poder
utilizar/acceder la información o el recurso deseado.

Seguridad de la Información: SFE Triangle
Funcionalidad
Seguridad Usabilidad
“>” Seguridad == “<“ Usabilidad & “<“ Funcionalidad

Terminología
Vulnerabilidad
Amenaza
Riesgo
Exposición
Contramedida o Salvaguarda
Exploit
TOE
Ataque

5
Terminología (Cont.)
Vulnerabilidad
Ausencia o debilidad de un control.
Condición que podría permitir que una amenaza se materialice con

mayor frecuencia, impacto o ambas.
Una vulnerabilidad puede ser la ausencia o debilidad en los
controles administrativos, técnicos o físicos.

Amenaza
Acción o evento cuya ocurrencia podría impactar en
forma negativa en la organización.
La amenazas explotan (toman ventaja de) las vulnerabilidades.

La “entidad” que toma ventaja de una vulnerabilidad, suele referirse
como “agente de la amenaza” (Threat Agent).

Riesgo
Probabilidad de que un agente de amenaza explote
una vulnerabilidad, en combinación con el impacto
que esto ocasiona.
Se conoce por riesgo a la combinación de probabilidad de

ocurrencia e impacto de una amenaza.

6
Exposición
Instancia en la cual la información o un activo de
información es susceptible a dañarse o perderse por
el accionar de un agente de amenaza.
La exposición, no significa que el evento que produce la perdida o

daño del recurso “este ocurriendo”, solo significa que podría ocurrir
dado que existe una amenaza y una vulnerabilidad que ésta podría
explotar.

Contramedida o Salvaguarda
Cualquier tipo de medida, que permita detectar,
prevenir o minimizar el riesgo asociado con la
ocurrencia de una amenaza especifica.
Las contramedidas también son conocidas como controles.

Exploit
Pieza de software que toma ventaja de un bug, falla o
vulnerabilidad, a través de la cual sea posible lograr
un acceso no autorizado, la escalación de privilegios o
la denegación de servicios en un sistema de cómputo.
Nota: Herramienta o táctica utilizada por un atacante a la hora de

aprovecharse de una vulnerabilidad.
Remote Exploit: Trabaja sobre la red y explota vulnerabilidades sin que fuera
necesario obtener acceso previo al sistema vulnerable.
Local Exploit: Requiere de acceso previo al sistema vulnerable. Habitualmente
utilizado para incrementar privilegios.

7
Target of Evaluation (TOE)

Sistema, Producto o Componente, identificado como
el objeto de un análisis, evaluación y/o ataque.
Nota: Término utilizado en el contexto de Common Criteria, para

referirse al “producto que se propone evaluar”.

Ataque
Cualquier acción que viole la seguridad.
Adicionalmente suele mencionarse que un ataque
ocurre cuando un sistema es comprometido basado
en una vulnerabilidad. Muchos ataques son
perpetrados mediante la utilización de exploits.

Para tener en cuenta
“Si un Hacker quiere acceder sus sistemas,

lo hará y no hay nada que usted pueda hacer al
respecto, con excepción del
dificultar su tarea”

8
Pasos Involucrados en el Proceso de EH
Reconocimiento (Reconnaissance)
Escaneo (Scanning)
Obtención de Acceso (Gaining Access)
Mantenimiento de Acceso (Maintanining Access)
Eliminación de Rastros (Clearing Tracks)

Paso I: Reconocimiento
Reconocimiento
El reconocimiento es el primer paso llevado a cabo por
cualquier intruso potencial (Fase Preparatoria). Tiene
por objetivo, el recolectar la mayor cantidad posible de
información acerca del TOE (Target of Evaluation)
Pasivo: Involucra la adquisición de información sin interactuar directamente

con el objetivo (Ejemplo: Búsqueda de información en sitios
públicos/Information Gathering, Sniffing Network Traffic, Dumpster Diving,
etc.)
Activo: se encuentra relacionado con la interacción directa con el objetivo,
cualquiera sea el modo (Ejemplo: Ingeniería Social, Probing Network, etc.)
Riesgo Asociado: Importante

Paso II: Escaneo
Escaneo
Suele ser visto como el paso previo al ataque. En
líneas generales, se aprovecha de la información
obtenida durante la fase de reconocimiento, la cual es
utilizada para examinar la red.
Herramientas: Entre las herramientas que suelen ser utilizadas

en este paso, se ecuentran: Dialers, Port Scanners, Networks
Mappers, Sweepers y Escaners de Vulnerabilidades.
Riesgo Asociado: Alto

9
Paso III: Obtención de Acceso
Obtención de Acceso (Gaining Access)

La fase de obtención de acceso, a menudo referida
como fase de penetración, es aquella donde el ataque
se materializa o dicho de otro modo el atacante
explota una vulnerabilidad en el sistema.
Explotación: En el paso de Obtención de Acceso, la

explotación puede tomar la forma de ejecución de un código
exploit sobre una sistema, red, dispositivo, etc., así como
también un engaño, robo, etc. (Ej: BoF, DoS, Session Hijacking,
Password Cracking, Ardí de IS, etc.)
Riesgo Asociado: Muy Alto

Paso IV: Mantenimiento de Acceso
Mantenimiento del Acceso (Maintanining Access)

A este punto, el atacante ha comprometido el sistema e
intentará afianzar su posición respecto de la apropiación
y/o retención del objetivo atacado.
Instalación de Backdoors, RootKits y/o Troyanos

Subir/Bajar y/o Manipular datos, aplicaciones y configuraciones del
sistema del cual se apropiaron (Owned)
Asegurar acceso reiterado (Exclusivo)
Extender su influencia a sistemas circundantes o en relación de
confianza con el sistema inicialmente comprometido.

Paso V: Eliminación de Rastros
Eliminación de Rastros (Clearing Tracks)

Este es el paso en el cual el atacante lleva a cabo una
serie de tareas, con el fin de ocultar cada una de las
acciones llevadas a cabo tanto al momento de ganar
acceso al sistema objetivo, así como también respecto
de su permanencia.
Razones: Prolongar su estadía, Continuar utilizando recursos,

Eliminar evidencia de hacking, Evitar acciones legales, etc.
Ejemplos: Uso de steganografía, alteración de archivos de logs,
establecimiento de túneles, etc.

10
Áreas de Explotación (Hacker Attacks Types)
Sistemas Operativos
Instalación del SO con seteos por defecto (Servicios, Puertos, etc.)
Aplicaciones
Aplicaciones desarrolladas no teniendo la seguridad en mente. Falta de
testing o testing insuficiente.
Shrink-wrap Code
Funcionalidades y/o características que pudiendo permitir a un atacante
ser explotadas, son desconocidas y/o advertidas por el usuario del
software. Ej: Macros en MS-Word, Scripts de Ejemplo en webservers,
etc.
Errores de Configuración
Los sistemas a menudo son dejados con sus configuraciones mínimas
o features mal configuradas, pudiendo resultar las mismas en una
vulnerabilidad.

Categorización de Ataques
Activos
Producen alteraciones sobre la red o sistema que están atacando. En
líneas generales los ataques activos afectan la disponibilidad,
integridad y autenticidad de los datos.
Pasivos
Intentan ganar información del sistema. En líneas generales los
ataques pasivos suelen afectar la confidencialidad.
Internos
Ataques originados dentro del perímetro de seguridad de la
organización. Usualmente causado por un “insider” quien ha ganado
acceso a mas recursos que los esperados.
Externos
Ataques originados fuera del perímetro de seguridad de la organización
(Internet, Conexión de Acceso Remoto, etc.)

En líneas generalesV
El término Hacker se refiere a una persona que disfruta

aprendiendo los detalles de los sistemas de computación y como
extender la capacidad de estos.
El termino Hacking describe el rápido desarrollo de nuevos

programas o la ingeniería reversa de uno ya existente para hacer el
código mejor y mas eficiente.
Cracker se refiere a una persona que utiliza sus conocimientos de

hacking con fines ofensivos o maliciosos.
Ethical Hacker se refiere a profesionales de seguridad que aplican

sus conocimientos de Hacking con fines defensivos.

11
Hacktivismo
Actividades de Hacking, llevadas a cabo a favor de una

causa determinada (política, religiosa, social, etc.)
Objetivo de los “Hacktivistas”
Ganar visibilidad para ellos y sus causas
”Defacement” de sitios webs
Agencias de Gobierno
Agrupaciones/Partidos políticos
Cualquier individuo u organización percibida como “mala” o
“equivocada”
Creación de Virus
Denegaciones de Servicio
Obtener acceso no autorizado sigue siendo delito (Más
allá del motivo).

Clases de Hacker
White Hats
Personas con fuertes conocimientos de hacking, los cuales utilizan con fines
defensivos. Utilizan su conocimiento para localizar vulnerabilidades e
implementar contramedidas. Analistas de Seguridad (Good Guys)
Black Hats
Personas con un conocimiento extraordinario sobre computadoras, realizan
actividades maliciosas o destructivas. También llamados Crackers o Hackers
Maliciosos (Bad Guys)
Gray Hats
Personas que trabajan por momentos de manera ofensiva y otros de manera
defensiva, dependiendo de la circunstancia. Línea divisoria entre Hacker y
Cracker.
Suicide Hackers
Personas cuyo objetivo es tirar abajo infraestructura crítica por una “causa”
determinada y a quienes no les preocupa pasar 30 años en prisión por las
acciones cometidas. (Cyber -Terrorismo)

Clases de Hacker Éticos
Former Black Hats (Ex Black Hats)

Crackers Reformados – Experiencia de Campo – Poca credibilidad
White Hats
Consultores de Seguridad Independientes - Pueden encontrarse trabajando en
grupo – Deben mantenerse continuamente informados acerca de las
actividades, técnicas y herramientas utilizadas por los hackers de sombrero
negro.
“Si conoces a tu enemigo y te conoces a vos mismo, no debes temer al

resultado de cien batallas” - Sun Tzu, Art of War
Consulting Firms
Suelen ser parte de firmas multinacionales - Buenas Credenciales de
Presentación – Reputación Comercial/Credibilidad

12
Rol de Trabajo del Hacker Ético
Cuál es la función del Hacker Ético?

Determinar que es lo que un intruso puede ver y/o hacer sobre el
sistema o red objetivo y la información en este contenida.
Preguntas a responder:
Que puede ver un intruso sobre el sistema objetivo?
Que puede un intruso hacer con la información obtenida?
Puede la intrusión ser notada?
Penetration Test – Detección de Actividades de Hacking – Protección
Cuestiones que deberá conocer un Hacker Ético a fin de poder llevar
adelante su trabajo:
Que se intenta proteger?
Contra quién?
Con que recursos se cuenta a fin de ganar protección?
Puede el Hacker ser ético?

Perfil, Competencias y Características de un EH
Experto en computadores
Sistemas Operativos
Hardware – Electrónica (Plataformas y Arquitecturas Varias)
Networking (Hardware y Software relacionado)
Programación (Lenguajes Varios – Alto y Bajo Nivel)
Conocimiento de problemas relacionados con seguridad en dominios
tales como: Criptografía, Control de Acceso, Aplicaciones, Networking,
Seguridad Física, Seguridad Funcional, etc.
Estricto código de conducta.

Búsqueda e investigación de vulnerabilidades.
Conocimientos en técnicas y herramientas de hacking.
Paciencia, persistencia, tiempo y perseverancia.

Vulnerability Research
Proceso de descubrimiento de vulnerabilidades, a partir del cual es

posible obtener información de utilidad a la hora de llevar adelante
el ataque de un objetivo (Dispositivo, Procedimiento, Sistema,
Instalación, etc.)
Actualización constante respecto de productos y tecnologías.
Actualización constante respecto de los últimos movimientos en el mundo hacker.
Cuál es la necesidad de realizar tareas de Vulnerability Research?
Identificar y corregir vulnerabilidades en la red.
Conocer de que hay que estar protegido.
Obtener información que ayude a prevenir problemas de seguridad.
Obtener información sobre virus.
Conocer debilidades en la red y alertar al administrador antes que se realice un ataque.
Conocer como recuperarse y/o actuar antes, durante y después de un ataque.
Es importante conocer que a menudo las vulnerabilidades suelen ser clasificadas de

acuerdo a su severidad (alto, medio, bajo) y el tipo de explotación (Local/Remoto)

13
Vulnerability Research Tools
Varios sitios se encuentran a disposición del profesional, a la hora

de llevar adelante su práctica relativa a la investigación de
vulnerabilidades:
http://www.us-cert.gov
http://secunia.com/products
http://www.securitytracker.com
http://www.microsoft.com/security
http://www.securiteam.com
http://www.packetstormsecurity.com
http://www.hackerwatch.org
http://www.zone-h.org
http://www.milw0rm.com
http://www.hackerstorm.com (http://www.osvdb.org)

HackerStorm OSVDB Tool GUI

Como Conducir un Proceso de Ethical Hacking?
1 Discutir con el Cliente acerca de las necesidades del test
2 Preparar y hacer firmar un documento de NDA
3 Preparar el equipo de Ethical Hacking y establecer un schedule
4 Llevar adelante el test
5 Analizar resultados y elaborar los reportes
6 Presentar el resultado al cliente (Reporte / Wokshop)

14
Componentes Principales en el Proceso de EH
Preparación
Contrato Formal / Agreements
Definición exacta respecto del alcance
Tipo de Test - Tipos de Ataques a utilizar
Conducción
La evaluación de seguridad es llevada a cabo
Conclusión
Comunicado del Resultado al Cliente
Reporte de hallazgos
Reporte de vulnerabilidades
Acciones correctivas

Métodos de Ataque o “Ethical Hacks”
Remote Network Hack

Simula el accionar de un intruso lanzando un ataque a través de Internet durante
un ataque simulado o penetration test.
Remote Dial-Up Network Hack
Simula un intruso lanzando un ataque contra el pool de módems del cliente (War
dialing)
Local Network Hack
Simula el accionar de un empleado con acceso físico, tratando de obtener
acceso no autorizado utilizando la red local.
Stolen Equipment Hack
Simula el robo de un recurso de información crítica tal como una laptop
propiedad de algún empleado.
Social Engineering Attack
Intenta verificar la integridad de los empleados de la organización.
Physical Entry Attack
Intenta comprometer físicamente la infraestructura de la organización.
(Hardware Key Loggers)

Evaluaciones de Seguridad: Tipos
Black Box (Blind)

El Security Tester, no cuenta con ninguna información del objetivo.
Double Black Box (Double Blind): El cliente NO tiene conocimiento de qué tipo de
test se realizará, cómo se realizará ni cuándo.
White Box
El Security Tester tiene pleno conocimiento del objetivo.
Información acerca de aspectos tales como la infraestructura de red, es
entregada al profesional por parte del cliente, antes de iniciado el test; el cliente
tiene pleno conocimiento de las tareas a realizar por el Security Tester, así como
también información respecto del cómo y el cuándo.
Gray Box
También conocido como Internal Testing. Examina el nivel de acceso desde la
red interna (CEH Definition)
Eventualmente se utiliza el termino Gray Box para referirse a aquellos casos en
los que el Security Tester, sólo conoce información parcial de los objetivos, la
cual es seleccionada por el cliente.
Double Gray Box: El cliente tiene conocimiento de qué tipo de test se realizará
pero NO de cómo y cuándo.
15
Entregables
Informe (Ethical Hacking Report)

Marcado como Confidencial (NDA)
Preferentemente Entregado en forma Impresa y “en mano”
Contenido
Información General respecto del Tipo de Evaluación (Introducción, Alcance, etc.)
Resumen ejecutivo de alto nivel
Índice General de Riesgos
Detalle de cada una de las pruebas realizadas especificando su objetivo
Resultados Obtenidos / Hallazgos
Vulnerabilidades Identificadas
Recomendaciones / Contramedidas Sugeridas.
Descripción de Herramientas / Técnicas Utilizadas
Clasificación de los problemas de seguridad según su nivel de riesgo
Toda aquella información que permita hacer de este test, uno que pueda ser repetible en el
tiempo.
Workshop (Técnico / Ejecutivo)

Presentación de los resultados obtenidos en el proceso de evaluación.
Asesoramiento respecto de las alternativas de solución respecto de los problemas
encontrados
Implicancias Legales del Hacking
Ninguna actividad relacionada con tareas de auditoría de seguridad

(Especialmente aquellas relacionadas con servicios de Penetration Test
y/o Ethical Hacking), debería ser iniciada hasta no encontrarse firmado
un acuerdo legal que brinde a la/s persona/s involucrada/s en el
proyecto, permiso expreso de cada a la realización de tales tareas.
El hacking en redes o sistemas sin previo permiso y/o autorización por

parte de personal autorizado legalmente a otorgar los mismos, es
considerado un crimen por muchos países con legislación al respecto
El “Cyber Security Enhancement Act of 2002” dispone aplicar cadena

perpetua a hackers quienes imprudentemente pongan en peligro la vida
de los demás. Hackers maliciosos quienes ataquen redes y/o sistemas a
de computo relacionados con sistemas de transportación, compañías de
energía o cualquier otro servicio público, generando algún tipo de
amenaza contra la vida, podrían ser procesados haciendo uso de esta ley.

Computer Crime
Generalidades
Crímenes no son detectados
Crímenes no son reportados
Dificultades (Prueba Digital, Internacionalización, etc.)
Categorización del Computer Crime

Computer Assisted Crime: Crímenes cometidos utilizando una
computadora. (Fraude, Pornografía Infantil.) (CEH)
Computer Specific / Targeted Crime: Crímenes cometidos contra una
computadora, red o sistema. (DoS, attacking passwords) (CEH)
Computer is Incidental: Computadora incidental al crimen (Listado de
clientes para un traficante)

16
Leyes en los Estados Unidos
Statutory Law
A cargo del poder legislativo.
Colección de Leyes de Sesión o “Session Laws”, organizadas en base a la
fecha en que se convirtieron en leyes, o como códigos. A su vez se
encuentran agrupadas por temas de referencia “Subject Matter”.
Composición:
Code Title Number (Cada “título” es un conjunto de estatutos
relacionados al mismo tema).
La abreviación del código (U.S.C.)
El número de sección del estatuto dentro del título.
La fecha de la edición o del suplemento.
18 U.S.C § 1001 (1992) [Sección 1001 en título 18 de la edición 1992

del United States Code].

Leyes en los Estados Unidos (Cont.)
Administrative Law
A cargo del poder ejecutivo.
Se organizan cronológicamente en registros administrativos o por tema de
referencia (“Subject Matter”)
Composición:
Numero del título C.F.R. (Code of Federal Regulations).
La abreviación del código (C.F.R.).
El número de sección.
El año de publicación.
12 C.F.R. § 100.4 (1992) [sección 100.4 en título 12 de la edición 1992

del Code of Federal Regulations].

18 U.S.C. § 1029 &1030 U.S. Federal Law
El código criminal federal de los Estados Unidos categoriza y define

leyes por títulos.
Title 18 U.S.C. “Crimes and Criminal Procedure“
Title 18 U.S.C. § 1029. Fraud and Related Activity in Connection with
Access Devices
Criminaliza a aquellos quienes produzcan, vendan o utilicen la falsificación de
dispositivos de acceso o instrumentos de telecomunicaciones con la intención de
cometer un fraude a partir del cual pudieran obtener servicios o productos.
Criminaliza el “mal uso” de passwords de computadora u otros dispositivos de acceso
tal como token cards.
Title 18 U.S.C. § 1030. Fraud and Related Activity in Connection

with Computers
Criminaliza el acceso no autorizado a computadores protegidos, así como también el
causar algún tipo de daño a los mismos.
Criminaliza la propagación de virus y gusanos, así como la intrusión a sistemas de
computo por parte de individuos no autorizados.
Referencias:
http://www.usdoj.gov/criminal/cybercrime/1029NEW.htm
http://www.usdoj.gov/criminal/cybercrime/1030NEW.htm

17

Ética y Legalidad
Referencias y Lecturas
Complementarias
Referencias y Lecturas Complementarias
CEH Official Certified Ethical Hacker Review Guide

By Kimberly Graves
(Sybex) ISBN: 0782144373
Certified Ethical Hacker Exam Prep
By Michael Gregg
(Que) ISBN: 0789735318
Hacking Exposed, Fifth Edition
By S.McClure, J.Scambray, and G.Kurtz
(McGraw-Hill Osborne Media) ISBN: 0072260815
Gray Hat Hacking, Second Edition
By S.Harris, A.Harper, C.Eagle, J.Ness
(McGraw-Hill Osborne Media) ISBN: 0071495681


Ética y Legalidad
Preguntas?
18

01A - Introduccion Al Hacking Etico, Etica y Legalidad v1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

01A - Introduccion Al Hacking Etico, Etica y Legalidad v1

Cargado por

Copyright:

Formatos disponibles

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad

Introducción al Hacking Ético,

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 2

Métodos de Ataque o “Ethical Hacks”

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 3

Penetración masiva del computador y los sistemas de información.

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 4

Introducción a la Problemática (Cont.)

Mayor complejidad a la hora de gerenciar y administrar aspectos

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 5

Evolución: Amenaza Global

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 6

9 de cada 10 Organizaciones sufrieron ataques de virus, spyware y

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 7

Seguridad de la Información: Principios

Que solemos conocer por “Seguridad de la Información”?

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 8

Seguridad de la Información: CIA Triad

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 9

Seguridad de la Información: Confidencialidad

Objetivo de Seguridad: Prevenir la divulgación NO Autorizada

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 10

Seguridad de la Información: Integridad

Objetivo de Seguridad: Prevenir la modificación NO Autorizada

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 11

Seguridad de la Información: Disponibilidad

Objetivo de Seguridad: Prevenir interrupción del servicio y la

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 12

Seguridad de la Información: CAID

Confidencialidad: Ocultación de Información y/o Recursos.

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 13

Seguridad de la Información: SFE Triangle

“>” Seguridad == “<“ Usabilidad & “<“ Funcionalidad

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 14

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 15

Condición que podría permitir que una amenaza se materialice con

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 16

La amenazas explotan (toman ventaja de) las vulnerabilidades.

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 17

Se conoce por riesgo a la combinación de probabilidad de

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 18

La exposición, no significa que el evento que produce la perdida o

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 19

Las contramedidas también son conocidas como controles.

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 20

Nota: Herramienta o táctica utilizada por un atacante a la hora de

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 21

Target of Evaluation (TOE)

Nota: Término utilizado en el contexto de Common Criteria, para

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 22

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 23

Para tener en cuenta

“Si un Hacker quiere acceder sus sistemas,

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 24

Pasos Involucrados en el Proceso de EH

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 25

Pasivo: Involucra la adquisición de información sin interactuar directamente

Riesgo Asociado: Importante

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 26

Paso II: Escaneo

Herramientas: Entre las herramientas que suelen ser utilizadas

Riesgo Asociado: Alto

Ethical Hacker Security Training – Introducción al Hacking Ético, Ética y Legalidad 27