View
2.165
Download
1
Category
Preview:
Citation preview
1. El estado de la informática en la actualidad2. Auditorías de seguridad3. Demo4. Conclusiones y trabajos futuros
2
1. El estado de la informática en la actualidad2. Auditorías de seguridad3. Demo4. Conclusiones y trabajos futuros
3
Estudio DigiWorld Analiza los beneficios producidos en el mercado
económico de las Tecnologías de la Información ylas Telecomunicaciones en Europa
En el año 2009: Beneficios de mas de 900.000Millones de euros en el mercado económicobasado en las TIC.
Subida frente a 2008 de casi un 6%
4
NO.
Los beneficios producidos por las empresas delsector de las TIC están constantemente en peligro,debido a los numerosos ataques de “hackers” quereciben.
5
6
Las empresas especializadas en seguridad.
Estas empresas generaron solo en España640.000.000€ en 2008
7
Auditorías de seguridad anuales.
Seguimiento de guías de buenas prácticasOWASP y OSSTMM
Certificación ISO/IEC 27001 (SGSI)
Concienciación de los miembros de laorganización.
Seguir los 10 mandamientos de la seguridadinformática.
8
1. Cuidaras la seguridad del sistema operativo2. Aplicaras regularmente las actualizaciones de
seguridad3. Emplearas chequeadores de integridad, antivirus y
antispyware4. Encriptarás la información sensible5. Usarás sólo modos seguros de acceder al e-mail6. Utilizarás únicamente navegadores seguros para
acceder a la web7. No abrirás enlaces ni archivos sospechosos8. Ingresarás datos críticos, sólo en sitios seguros9. Si debes correr riesgos, usarás sandboxing10. Te mantendrás informado sobre nuevas maneras de
vulnerar tu seguridad 9
1. El estado de la informática en la actualidad2. Auditorías de seguridad3. Demo4. Conclusiones y trabajos futuros
10
Auditoría de aplicaciones web Auditoría Interna:
Auditoría de caja negra
Auditoría de caja gris
Auditoría de caja blanca
Test de intrusión Análisis forense Aplicación de la LOPD(con matices)
11
Se comprueba la seguridad de las aplicaciones del sitio web de una organización. Vulnerabilidades mas importantes: sql injection (PHP+MySQL, JAVA,C#+SQL Server). ldap injection. xpath injection. cssp (connection string parameter pollution). local file inclusión. remote file inclusion (PHP). path disclosure. path traversal
12
Caja Negra
No poseemos conocimiento ninguno sobre la organización. Se realiza desde fuera de la red interna. Objetivo: averiguar que puede conseguir un
“hacker” desde fuera de la empresa
Caja Gris
Entre auditoría de caja negra y caja blanca. Se realiza desde la red interna pero con credenciales de usuario corriente. Objetivo: escalar privilegios a
Administrador y proseguir con auditoría de caja blanca.
Caja Blanca
Tenemos conocimientos y credenciales de administrador interno de la empresa. Se realiza desde la red interna. Objetivo: averiguar que puede conseguir un empleado malintencionado desde dentro de la empresa y
poner soluciones.
13
Auditoría de Caja Negra en la que solointeresa «obtener un premio»
Se realiza para comprobar si el sistema esvulnerable, no para certificar su seguridadcompleta.
14
Sistema víctima de una intrusión, un ataque odesde él que se ha realizado alguna acciónmaliciosa
Denuncia --> Intervienen en España el Grupo deDelitos Telemáticos de la Guardia Civil y/o laBrigada de Investigación Tecnológica del CuerpoNacional de Policía
Copia de seguridad. Forense sin alterar pruebas. Prueba en caso de juicio.
15
La aplicación de la LOPD no es una auditoríacomo tal. Pero suele ir acompañada de unaauditoría para proteger los posibles agujerosque podrían permitir el robo de informaciónprivada de los clientes de una organización
16
Test de intrusión
Auditoría de caja negra
17
Fases: Obtención de información. Enumeración. Footpringting. Fingerprinting.
Análisis de datos. Identificación de arquitectura. Identificación de servicios. Identificación de vulnerabilidades.
Explotación. Expedientes de seguridad. Exploits. MetaExploit.
Documentación final de un test Informe técnico. Informe ejecutivo. 18
Footprinting Dominios y subdominios Zonas de administración ocultas en un sitio web Cuentas de usuario y de correo Ficheros con contraseñas Máquinas internas, servidores, cámaras IP,
impresoras, discos duros IP, etc.
Fingerprinting Sistema operativo de los servidores y máquinas
19
C#+.Net Interface gráfica Distribución de herramientas en pestañas Funcionamiento:
Búsqueda de información
Recopilación de datos obtenidos
Estructuración lógica de información
Generación de informe
Herramientas:20
Telnet
Zone Transfer
Fuzzing DNS
Scan IP against DNS
Google Hacking
Scan withGoogle
Scan IP withBing
Fuzzing HTTP
Whois Tracert
404 attack
Nmap
Gui
Módulo Telnet
Módulo HTTP
Módulo CMD
Módulo DNS
21
SummaryFuzzing
Http
Whois
Google Hacking
Banner Attack
Tracert
404 attack
Scan with Google
Fuzzing Against
DNS
Zone Transfer
Google Sets
Scan IP with Bing
Nmap
Scan IP against
DNS
Final Audit Report
SummaryFuzzing
Http
Whois
Google Hacking
Banner Attack
Tracert
404 attack
Scan with Google
Fuzzing Against
DNS
Zone Transfer
Google Sets
Scan IP with Bing
22
23
1. El estado de la informática en la actualidad2. Auditorías de seguridad3. Demo4. Conclusiones y trabajos futuros
24
Ayuda en los procesos de Implantación de un SGSI en la certificación con la norma ISO/IEC27001
Colaborar en la enseñanza de las técnicas de búsqueda de información en cursos de seguridad
Automatización de las técnicas de búsqueda de información con uso directo en auditorías de caja negra y test de intrusión
Permitir que los miembros de una organización prueben de una manera sencilla la seguridad de sus activos
25
Convertir Anubis de herramienta de escritorio aservicio web
Ampliar su importancia en auditoria de cajanegra y test de intrusión con el lanzamiento deanalizadores y explotadores de vulnerabilidades SQL Injection XSS etc.
Ampliar las Auditorías cubiertas a caja blanca:
26
27
28
Continuará…
29
Todos las herramientas y técnicas utilizadas en
Anubis son totalmente legales y alegales en el
Estado Español por lo que no se incurre en ningún
delito con su uso. El uso de la técnica de
Transferencia de Zona puede estar penado en
algunos países como EEUU. Certificamos que
durante el desarrollo y el período de pruebas de
Anubis no han sido revelados datos «privados» de
ninguna de las organizaciones que han sido
utilizadas para probar la herramienta, ni se ha
incurrido en ningún delito. Ninguna empresa ha
sido hackeada gracias a Anubis.
30
31
Recommended