Está en la página 1de 24

Hacking for a Living

Mariano Nuñez Di Croce


mnunez@onapsis.com

Septiembre 28, 2010


ORT SpirIT
¿Quién soy yo?
 Co-fundador / Director de Investigación y Desarrollo
en Onapsis.
 Inicialmente dedicado a Penetration Testing y
Vulnerability Research.
 Descubrí vulnerabilidades en Microsoft, Oracle, SAP, IBM,

 Speaker/Trainer en Black Hat (Las
Vegas/Amsterdam/Barcelona), HITB (Dubai), Sec-T (Estocolmo),
¿Qué es
Hack.lu Onapsis?
(Luxemburgo), DeepSec (Viena), Ekoparty (BsAs)...

 Empresa especializada en la seguridad de ERPs y Aplicaciones de


Negocio Críticas (SAP®, Siebel®, Oracle® E-Business SuiteTM , JD Edwards® …).

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 2
¿Cómo llegué hasta acá?
 Empecé en ORT en el 1998.
 Elegí Informática.
 En 8vo me empezó a interesar la Seguridad
Informática.
 Aprendí jugando en casa y un poco en ORT
(perdón Adrián!).
 Entre a la UTN (Ingeniería en Sistemas).
 A los 18 empecé como consultor junior en Cybsec.
 A los 23 me recibí (Dios bendiga el trabajo part-
time).
 A los 24 fundé Onapsis con un amigo.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 3
El hacker

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 4
Entonces… qué es un hacker?
● Alguien con pasión por entender la tecnología, aprender su
funcionamiento y sobrepasar sus “límites”.
● Ser un hacker no es ser un criminal.
● En Seguridad Informática, los hackers se dividen en:

White-hats: Hacking ético. Tienen como objetivo


evaluar y asegurar los sistemas de información.

Black-hats: El lado oscuro de la fuerza. Objetivos


criminales y de beneficio personal.

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 10
El Hacking Ético
● Es el arte de simular el comportamiento de un potencial
atacante informático, con el objetivo de detectar (y explotar)
las vulnerabilidades existentes en la plataforma
tecnológica de una Organización.

● El objetivo final es elevar el nivel de seguridad de la


plataforma.

● Certificaciones!!?? CEH - Certified Ethical Hacker.

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 11
Tipo de Evaluaciones
● Modelo: Externos vs. Internos.
● Enfoque: Caja negra / Caja gris / Caja blanca.
● Objetivo:
● Infraestructura
● Aplicaciones Web
● Wireless
● Factor Humano – Ingeniería social
● Sistemas críticos (SCADA, ERPs, etc)

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 12
Buscando
Vulnerabilidades

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 13
Análisis Inicial: Threat Modeling
● Metodología formalizada para identificar amenazas en el diseño de
una aplicación y priorizar actividades de evaluación.
● Pensar como un atacante!

● Etapas:
● Recolección de Información
● Modelado de Arquitectura
● Identificación de Amenazas
● Documentación de Hallazgos
● Priorización de Evaluación

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 14
Evaluación de la Aplicación
● Una vez identificadas las amenazas, se evalúan los
componentes afectados para ver si realmente existen.

● Pueden utilizarse diferentes técnicas:


● Análisis Estático
● Análisis Dinámico
● Fuzzing
● Diffing de Parches

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 15
etecté una vulnerabilidad.. Qué hago?
● Como investigadores independientes, tienen distintas
opciones:
● Reportarla al fabricante y luego publicar.
● Full-disclosure.
● Venderla:
● Mercado gris: Organizaciones que compran vulns.
● Mercado negro: “Organizaciones” que compran
vulns.

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 16
Qué hacemos nosotros?
● Detectamos vulnerabilidades en Aplicaciones de Negocio CRITICAS.
● Las reportamos al fabricante.
● Esperamos que provea la
solución y la publicamos.
● Implementamos un módulo
en Onapsis X1.

● Nuestros clientes pueden verificar si son o no vulnerables.

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 17
De nuestro “garage”…

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 18
… a Alemania

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 19
Onapsis en las noticias

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 20
Qué necesitas?

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 21
Convirtiéndote en un Whitehat
● Es un proceso gradual.
● Lo MAS importante: PASION.
● Nadie nace sabiendo!
● Investigar. Investigar. Investigar.
● Mejorar skills de programación y redes.
● Jugar Wargames en Internet.
● Ir a la Ekoparty! :P

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 22
Preguntas?
mnunez@onapsis.com

Work@Onapsis
jobs@onapsis.com

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 23
Muchas Gracias!

www.onapsis.com

Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 24