¡Para detener al Hacker hay que pensar como él!
Conferencia en UNITEC, enero de 2005
Alejandro Domínguez ([email protected])
Jaime Devereux (CEH)
Santiago Monterrosa (CEH)
Ethical Hacking &
Contramedidas
www.unitec.mx
Objetivos y temas a tratar en la plática
Objetivos
Mostrar qué se está haciendo para evaluar la seguridad de las
redes corporativas utilizando los servicios de un Hacker Ético
Dar una perspectiva general sobre los riesgos actuales en la
seguridad de TI
Proveer algunos lineamientos para mejorar la seguridad de TI
Demostrar lo sencillo y peligroso que puede ser el hackeo …
Temas
Parte 1: ¿Un Hacker Ético?
Parte 2: Hackear o no hackear ...
Parte 3: EC Council y Certified Ethical Hacker
Parte 4: Sesión de preguntas y ¿respuestas?
Parte 1: ¿ Un Hacker Ético ?
Introducción
Todos los días, penetran intrusos a las redes y
servidores de todo el mundo
El nivel de sofisticación de estos ataques es muy
variable
Se cree que la mayoría de los ataques se deben a
passwords débiles
Aunque muchas de las intrusiones utilizan técnicas
más avanzadas
Este último tipo de ataques, por su propia naturaleza,
son difíciles de detectar
Algunas estadísticas
El 90% de las redes en empresas y
los gobiernos tuvieron violaciones
de seguridad informática en 2002
El número de ataques y las
consecuentes pérdidas, son mucho
mayores que lo que se reporta en
los medios
La mayoría de los incidentes se
ocultan para proteger la reputación
de las empresas
Aun las empresas que contratan
investigadores, no permiten que
nadie externo a la organización sepa
la cuantía de los daños causadosFuente: 2002 CSI/FBI Computer Crime and Security Survey
Más estadísticas
Empresas del Fortune 1,000 perdieron más
de 45,000 MDD por robos de información en
2002
La mayoría de los ataques fueron a
empresas de tecnología
67 ataques individuales promediaron 15 MDD
en pérdidas
Se estima que el virus LoveLetter causó
daños por 10,000 MDD
Los daños reportados del virus Melissa
fueron de 385 MDD
El costo de los desastres por virus está entre
US$100,000 y US$1 millón por empresaFuente: ICSA.Net, 23 October 2000, http://www.securitystats.com/reports.asp , Computer Virus Prevalence Survey
Amenazas a los datos
Las amenazas provienen de:
Personal interno
El personal interno es el más peligroso pues
conoce bien el ambiente
Hackers/Crackers
Los Hackers/Crackers pueden entrar a los
sistemas sólo para explorar la infraestructura
o pueden hackear por razones maliciosas
Espionaje industrial
El espionaje industrial comprende obtener
información confidencial de corporaciones o
entidades gubernamentales para el beneficio
de terceros
Código malicioso
Tipos de ataque
Ataques externos
por Internet Ataques internos
por la Intranet
59% de los ataques se hacen por Internet38% de los ataques los hacen empleados internamente
Compañía
Entablar amistad con alguien interno
Los hackers intentan trabajar con
alguien interno o infiltrar a alguien
en la organización
Un análisis del Departamento del
Tesoro de USA indica que más
del 60 por ciento de las
intrusiones reportadas involucran
a alguien dentro de la empresa
La función de la persona interna
infiltrada es encontrar alguna
debilidad desconocida para los
administradores del sistema
Ataques externos más frecuentes
Existe un mayor uso de Internet
Las técnicas y herramientas que se crean día a día permiten de nuevas oportunidades de ataque
Source: 2000 CSI/FBI Computer Crime and Security Survey
Frequent Points of Attack
38
59
0 20 40 60 80
Internal
systems
Internet
connection
Percent of respondents
password
guessing
self-replicating
code
password
cracking
exploiting
known
vulnerabilities
disabling
audits
back
doors
hijacking
sessions
sniffer /
sweepers
stealth
diagnostics
packet forging /
spoofing
GUI
Herramientas de hackers
Intruso
promedio
1980 1985 1990 1995
Co
mp
leji
dad
téc
nic
a re
lati
va
Fuente: GAO Report to Congress, 1996
Evolución de herramientas de ataque
La tendencia continua
Windows
Remote
Control
Stacheldraht
Trinoo
Melissa
PrettyPark
1998 1999 2000
?
DDoS Insertion Tools
Herramientas
de hackers
Kiddie
Scripter
2001
Co
mp
leji
dad
téc
nic
a re
lati
va
Parte 2: Hackear o no hackear …
Habilidades de los hackers
Un hacker capaz tiene los siguientes conocimientos:
Ingeniería de Internet
TCP/IP, NFS, Redes inalámbricas, GPRS
Administración de sistemas
Windows 2000, Linux, Solaris, Palm OS etc.
Administración de redes
SNMP, Tivoli, HP OpenView, Switches, Routers etc.
Ingeniería en reversa
Decompilers, circuit breakers
Computación distribuida
J2EE, RPC, Corba, Web Services
Criptografía
SSL, PKI, Certificados digitales
Ingeniería Social
Convencimiento, seducción, simpatía, engaño, etc.
Programación
C++, Java, Perl, JavaScript, HTML, ASP
Bases de datos
SQL Server, Oracle, DB2, MySQL
Herramientas de Hacking
Hay herramientas disponibles en muchos sitios Web disfrazados
Las herramientas son cada día
más sofisticadas y poderosas
en cuanto a:
Eficiencia
Distribución
Furtividad
Automatización
Facilidad de uso
Sitio Hacker Underground www.cleo-and-nacho.com
Hacer Clic aquí
Los sitios/portales
Su sitio/portal no necesita ser tan famoso como Yahoo o eBay para que sea atacado
Los hackers
Necesitan un lugar para ocultar su
rastro
Necesitan tu máquina como
trampolín para atacar otros sitios
Necesitan de diversos recursos
para llevar a cabo sus actividades
En Google …
Se pueden bajar herramientas de hacker fácilmente de Internet
La funcionalidad de las herramientas
se incrementa día a día
El conocimiento de los hackers
disminuye
El número de hackers aumenta
Algún día hasta un niño de primaria
podrá meterse a sus sistemas
Las amenazas
Las herramientas de hackeo son cada vez más sofisticadas y poderosas en términos de
Eficiencia
Formas de ataque
Camuflaje
Facilidad de manejo
Amigabilidad
The Threats
Las amenazas
Las debilidades en seguridad de tus equipos se pueden identificar con herramientas de escaneo
La seguridad de cualquier red en Internet
depende de la seguridad de todas las demás
redes
Ninguna red es realmente segura
Cómo se meten
Pasos generales
Localizan una víctima mediante
un programa de escaneo
Identifican la vulnerabilidad del
equipo de la victima
Atacan la máquina host de la
victima por medio de las
vulnerabilidades identificadas
Establecen una puerta trasera,
para poder tener acceso en el
futuro
Prevención General
Pruebe e instale service packs y hotfixes
Corra y mantenga el software antivirus
Instale un sistema de detección de intrusos en el
perímetro de la red
No dejar pasar mensajes con extensión *.exe,
*.vbs o *.dll en archivos adjuntos
Reinstale los sistemas infectados
¿ Cómo se infectan los sistemas?
Caballos de Troya
Animaciones
Screen savers
Video juegos
Política:Controlar elcódigo maligno enel equipo de losusuarios
Inserción manual
● Compartiendo información
● Acceso físico
Todos estamos en esto juntos
UsuariosProveedores
de
Servicios
Proveedoresde Softwarey Equipos
Seguridad de laRed
Parte 3 EC Council y Certified Ethical
Hacker
¿Qué es un Ethical Hacker?
Es un profesional de seguridad que busca
constantemente enriquecer su conocimiento y
experiencia
Se forma a partir de conocimientos y bases
sólidas de seguridad
Queda respaldado por la industria no solo con
base en su experiencia o el conocimiento teórico,
sino por una certificación (Certified Ethical
Hacker, EC Council)
¿Qué no es un Ethical Hacker?
No es un hacker improvisado
No se dice experto para ser luego un adorno más
en su vitrina de trofeos
No es un individuo que cambia de carrera para
convertirse en EH de la noche a la mañana
No esta atado a una tecnología o herramienta
específica
¿Cómo ayuda un EH a la organización?
Un EH certificado reconoce el valor de su
conocimiento
Constantemente aprende medidas preventivas
para proteger tus activos de información
Aboga por las mejores prácticas y medidas de
solución en seguridad de sistemas informáticos a
partir de su conocimiento
Utiliza una metodología dinámica que se adapta
a la realidad del mundo
Certificación de seguridad – CEH
¿ Qué hacer ?
Identifique a la gente adecuada
Involúcrelos en las Políticas de Seguridad
Capacítelos y certifíquelos
Capacitación
Dónde obtener certificación
CISSP: Certification for Information Security
Professional (http://www.isc2.org)
CEH: Certified Ethical Hacker
(http://www.eccouncil.org)
CHFI: Certified Hacker Forensic Investigator
(http://www.eccouncil.org)
Algunos nombres
Hacking
Es Romper Seguridad
Forensic
Es Descubrir las huellas
Recovery
Es Recuperar la información perdida
Penetration Test
Es Saber como realizar pruebas de penetración
Audit
Es Garantizar estrategia de seguridad adecuada
basada en normas
¿Estándares?
En 2005 EC-Council se establecerá como cuerpo
de desarrollo de estándares de seguridad de TI a
nivel mundial
Una organización podrá certificar su
infraestructura de TI con base en estándares EC-
Council
Podrá aplicar auditoria de seguridad a su
infraestructura certificada
Parte 4 : ¿ Alguna pregunta ?
Gracias
Gracias por su tiempo
Top Related