Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • David Mellado

    Cargado por

    daviud maria
    7 vistas16 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    7 vistas16 páginas

    David Mellado

    Cargado por

    daviud maria

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 16

    LA SABIDURÍA Y LA

    LOCURA
    DE LAS AUDITORÍAS
    DE
    SEGURIDAD
    David Mellado
    ÍNDICE
    O SEGURIDAD
    O MUDGE
    O GRUPO LOPHT
    O LOPHTCRACK
    O LA REUNIÓN
    O LOPHT
    O APACHE
    O PHF
    O HACKERS TELEFÓNICOS
    O REUNIÓN FINAL
    O DUSTIN DYKES
    O REUNIÓN CON BIOTECH
    O HASH UNIDIRECCIONAL
    O ACCESO

    2
    SEGURIDAD
    O Una empresa pide a una firma de seguridad
    que compruebe si su sitio Web y sus redes
    informáticas son infranqueables, para ello se
    contratan hackers.
    O Los expertos en seguridad las denominan
    auditorías de seguridad.

    3
    MUDGE
    O Algunos directores y ejecutivos de una gran
    empresa de consultoría informática de
    Nueva Inglaterra (EE. UU.) se reunieron
    con un par de consultores. Uno de los
    consultores era Pieter Zatko, un ex hackers
    conocido con el nombre de Mudge.

    4
    GRUPO LOPHT
    O A principios de la década de 1990, Mudge y
    un socio reunieron una serie de personas de
    ideas afines para trabajar juntos.
    O El grupo se convertiría en un equipo de
    seguridad informática muy respetado bajo el
    nombre de lOpht.

    5
    LOPHTCRACK
    O Una de las herramientas más comunes para los
    hackers informáticos es el paquete de software
    llamado lOphtCrack, que craqueaba rápidamente
    marañas de contraseñas.
    O Mudge fue coautor de lOphtCrack y cofundador
    del sitio online que puso el programa a
    disposición de los hackers.

    6
    LA REUNIÓN
    O Luego buscaron una
    empresa existente que
    pudieran comprar o
    situar dentro de su
    empresa, en la reunion
    dijeron que por 15.000
    dólares harían una
    auditoría de seguridad.

    7
    LOPHT
    O La empresa que les contrata les pide una
    evaluación completa de su seguridad.
    O La plantilla de lOpht que se ocuparía del
    proyecto de Newton estaba compuesta por
    siete personas que trabajarían individualmente
    o en parejas y cada persona o equipo sería
    responsable de un aspecto diferente de las
    operaciones de la compañía.

    8
    APACHE
    O El servidor Web de Newton ejecutaba el
    software servidor llamado Apache. Mudge
    encontró una vulnerabilidad que fue el
    Checkpoint Firewall-1, que permitía la entrada
    de paquetes UDP (protocolo de datos de
    usuario) y TCP (protocolo de control de
    transmisiones) con puerto de origen 53 a todos
    los números de puertos superiores a de 1023.

    9
    PHF
    O Mudge también descubrió que el servidor que
    tenían como objetivo era vulnerable a un
    agujero en el omnipresente PHF.
    O Vió que en el sistema PHF, en el proceso de
    servidor de Apache se ejecutaba bajo la cuenta
    “nobody” (nadie).
    O También vió que el archivo de configuración
    de Apache (httpd.conf) también era nobody
    por lo que podría sobreescribirlo su contenido.

    10
    HACKERS TELEFÓNICOS
    O Otro equipo de lOpht estuvo
    realizando ataques a los
    sistemas de telefonía y de
    contestador automático de la
    compañía.
    O Y una vez encontrado un
    teléfono vulnerable, los
    atacantes pueden escuchar
    cualquier mensaje de voz que
    haya guardado.

    11
    REUNIÓN FINAL
    O Más tarde el equipo lOpht enseñó todas las
    conversaciones telefónicas guardadas y todo
    lo que habían conseguido y se quedaron con
    los 15.000 dólares, pero no vendieron la
    empresa.

    12
    DUSTIN DYKES
    O Dustin Dykes fue el primer consultor para los
    servicios de práctica de seguridad de
    seguridad de su compañía, Callisma.
    O Tenía una formación en la administración de
    sistemas, en las operaciones de red.

    13
    REUNION CON BIOTECH
    O El equipo Callisma se reunió con Biotech en la
    que la empresa quería recibir todos los ataques
    posible para ver cuantas vulnerabilidades
    tienen.

    14
    HASH UNIDIRECCIONAL
    O Dustin hizo muchos métodos para penetrar en
    todo lo que pudiera.
    O En una máquina Windows, las contraseñas de
    usuario se almacenan cifradas en una zona
    llamada Administrador de las Cuentas de
    Seguridad (SAM); las contraseñas no sólo se
    cifran, se cifran de una forma aleatoria conocida
    como "hash unidireccional", que significa que el
    algoritmo de cifrado convertirá la contraseña de
    texto plano a su forma cifrada pero no viceversa.

    15
    ACCESO
    O En un breve espacio de tiempo, Dustin
    había craqueado la mayoría de las
    contraseñas.
    O Dustin tenía las llaves del reino de
    Biotech, había conseguido acceso a
    muchos de los documentos internos
    clasificados como "confidenciales" o
    "sólo para uso interno".

    16

    También podría gustarte