Scribd
Cargar
102 vistas22 páginas

Ethical Hacking Intro

El documento proporciona una introducción al concepto de hacking ético, definiendo este término como la evaluación de la seguridad de un sistema informático de forma integral por parte de profesionales con habilidades técnicas. Explica diferentes tipos de hackers y provee definiciones clave relacionadas a la seguridad como amenazas, vulnerabilidades y exploits. También describe el perfil de un profesional de hacking ético.

Cargado por

Jorge Avilés
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
102 vistas22 páginas

Ethical Hacking Intro

El documento proporciona una introducción al concepto de hacking ético, definiendo este término como la evaluación de la seguridad de un sistema informático de forma integral por parte de profesionales con habilidades técnicas. Explica diferentes tipos de hackers y provee definiciones clave relacionadas a la seguridad como amenazas, vulnerabilidades y exploits. También describe el perfil de un profesional de hacking ético.

Cargado por

Jorge Avilés
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd

[Link].

com

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Introducción al Hacking Ético

Es la una de la Madrugada…. ¿Sabe quien


puede estar entrando en su Red?
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Hacking Ético –Definición- Desde el Punto de vista


Desde el Punto de vista de Un Comercial, el Hacking Ético es
individuo, un Hacker Ético es un un servicio de Auditoria de T.I,
profesional que tiene las habilidades que ofrecen empresas
para evaluar la seguridad de un especializadas, con el fin de
sistema informático de forma integral, evaluar la seguridad de un
llevando a la practica una serie de sistema informático de forma
pasos secuenciales y teniendo como integral.
un criterio trasversal una “Ética  Auditor de Sistemas
Profesional”.  Oficial de Seguridad
 Pen Tester
“Hacking Ético
como Una Carrera”
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-
Otras Definiciones Importantes que se deben de tener en cuenta
en el curso:
Seguridad de la Información: Es un estado de Bienestar o aceptable, en lo
que respecta al riesgo al que están expuestos los activos ( Tecnológicos Por
Ejemplo).
Amenaza: Es una acción o acontecimiento que pueda comprometer la
seguridad. Una amenaza es una violación potencial de la seguridad.
Vulnerabilidad (Bug): Existencia de una debilidad en el diseño de una
aplicación o un error que puede conducir a un acontecimiento inesperado
y no deseable, el cual pone en peligro la seguridad del sistema.
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-
Otras Definiciones Importantes que se deben de tener en cuenta
en el curso:
Exploit: un exploit es una vía, o una manera
especifica de aprovecharse de un
vulnerabilidad para poder lograr un ataque
informático.

Ataque: Un asalto a la seguridad del sistema


que se deriva de una amenaza inteligente.
Un ataque es cualquier acción que viole la
seguridad de un sistema o red informática.
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-
Concepto Grafico “Exploit- Vulnerabilidad”
[Link]: Este aplicativo tiene una falla,
la cual se ve representada luego de que se
dan mas de diez nombres de usuarios y
contraseñas, el sistema deja pasar a la
pantalla principal con privilegios de
administrador.

[Link]ón de la Vulnerabilidad

3. Diseño del programa que explota dicha vulnerabilidad


[Link]
“Seguridad en Aplicaciones Web”
-Introducción al Hacking Ético-

Otras definiciones de seguridad de la información importantes que se


deben de tener en cuenta en el curso:
•AUTENTICIDAD: Conocimiento que la información se ha originado en una
fuente valida del sistema
• INTEGRIDAD: Garantía que la información no ha sido alterada a nivel
externo o interno en la estructura organizacional del Sistema.
• CONFINDENCIALIDAD: Privacidad de la información, logrando el
propósito de que esta sea visible únicamente a los usuarios o grupos
designados previamente
• DISPONIBILIDAD: Garantía de que el servicio este siempre operativo
[Link]
“Seguridad en Aplicaciones Web”
-Introducción al Hacking Ético-

Otras definiciones de seguridad de la información importantes


que se deben de tener en cuenta en el curso:
AUDITABILIDAD: Garantía de que todas las transacciones, incluidas las de
seguridad, puedan ser auditadas y verificadas de alguna manera por los
usuarios asignados para dicha labor.
• NO REPUDIO: Garantía de que alguien que envía, crea, o manipula
información, no pueda negar posteriormente que fue el actor, o el
manipulador de dicha información
•AUTENTICIDAD: Garantía de verificar que alguien sea, quien dice ser.
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Hackers: Se define como un experto, entusiasta en Sistemas de


Informática a nivel de Programación de Computadores, Redes
Informáticas de todo tipo y en especial es un experto en Internet. El
Hacker investiga, crea, y luego comparte esa información, la cual busca
mejorar como reto personal o simplemente por diversión.
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Algunos Derivados del termino Hacker:


Black Hats: Individuos con extraordinarias capacidades
cognitivas en la ciencia de la computación y en especial
en el arte de la programación, pero utilizando dichas
capacidades para fines actividades no legales y
destructivas. Estos individuos más comúnmente se
conocen como Crackers, y son los encargados de
reventar claves de sistemas usando procesos de
criptoanálisis bastante complejos. La mayor habilidad
de un Black Hat radica en su conocimiento en el arte de
la programación de las computadores en todos sus
niveles, además algunos son buenos matemáticos y
físicos.
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Algunos Derivados del termino Hacker:


White Hats: Son Hackers profesionales que se dedican a
llevar a la práctica evaluaciones de seguridad a las
empresas u organizaciones del estado, gobierno e
instituciones financieras y utilizan sus conocimientos con
propósitos defensivos, son conocidos también como
analistas de seguridad. Muchos de estos Hackers son
Crackers retirados y reformados con respecto a su ética
profesional y ética Hacker, ya que han encontrado un
negocio mas representativo en proteger y analizar las redes
de datos, que estar haciendo daños y terminar finalmente
en problemas con la justicia, multas de dinero
representativas, entre otras mas situaciones
comprometedoras y negativas.
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Algunos Derivados del termino Hacker:


Script Kiddie Gray Hat Phreacker Hacker Suicidas

Defacer Virus Coder Spammer Lammers


[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Algunos Derivados del termino Hacker:

Hackitivismo: Este término se define como realizar prácticas de


Hacking Ilegal por una causa en especial. Por lo regular el
Hackitivismo esta basado en ideales relacionados con la vida social,
política y religiosa.
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

-Hackers Famosos y Evolución del Hacking –


Pioneros Del Hacking:
Retos, Innovación

Mitnick Drapper Wozniak Goldstein

Intereses Económicos,
Notoriedad,
Vandalismo

V. Levin Poulsen Smith Jaschan


Consultores,
Pen Tester, Mckinnon
Hacking
“Obsesivos”
Ético
McClure Scambray Sallis Borghello
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Hacking Ético –Perfil de Profesional “Hacking Ético”


“Primero Gurú, Luego Hacker Ético o Pen Tester”
Técnico (Indispensable) Personal Administrativo
(Consultor)
Infraestructura y
Redes Entusiasta (Pasión)
Lenguaje no Técnico
 Investigador
(Habilidades de Comunicación)
 Actualizado
 Certificaciones
Sistemas Operativos Idioma Ingles
 Experiencia
 Autónomo
 Hoja de Vida
 Trabajo en Equipo
Desarrollo de  Ética Profesional
Software y B.D

Al momento de un Test de Seguridad,


todas las partes Interactúan entre si
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

–Fases Hacking Ético y de un Análisis Malicioso


Hacking Ético Hacking Malicioso según CEH
Reconocimiento
[Link]
Pasivo
Scanning
[Link]ón de
Evidencias y [Link]
Presentación Activo Ganando Acceso
Informes

Manteniendo Acceso

4. Explotación
de 3. Análisis de
Vulnerabilidades Vulnerabilidades
Borrado de Huellas
(Ataque)
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Los Hackers Black-Hat y sus tipos de ataques.


Hay varias maneras, en la que un atacante puede asaltar y obtener
acceso y control del sistema delimitado como objetivo de ataque.

• Ataques al sistema Operativo.


• Ataques a nivel de aplicación.
• Ataques al código fuente de un
aplicativo.
• Ataques a no adecuadas
configuraciones
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Tipos de Análisis : Se pueden Identificar (3) tres tipos:

Test de
Análisis de Vulnerabilidades Penetración
(Vulnerability Assessment ) (Penetration Test)
Hacking Ético
(Ethical Hacking)
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Hacking Ético –Tipos de Análisis – Características:


Análisis de Test de Penetración Hacking Ético
Vulnerabilidades
Identificación de Puertos Tiene un Objetivo definido Todo es un Objetivo en el
Abiertos y Servicios Entorno

Vulnerabilidades Conocidas Se tiene en cuenta el Ataques de ingeniería Social


(Aplicación y S.O) Entorno (IDS, Firewall, IPS) y DDoS

Clasificación de los Busca comprometer el Mas complejidad y


Vulnerabilidades sistema objetivo Profundidad en el Análisis

No hay explotación de Hay explotación de Hay explotación de


vulnerabilidades , ni vulnerabilidades e Intrusión vulnerabilidades Ataque
Intrusión en el Sistema. en el sistema objetivo Puro
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Tipos de Análisis –: Variables de Impacto en un


Análisis de Seguridad.
Posicionamiento: Visibilidad:
Definir desde donde se Cuál será la información
llevara a la practica el suministrada al
Análisis de Seguridad. Evaluador (Pen Tester)

 Posicionamiento Externo  Blind/BlackBox


 Posicionamiento Interno  Double Blind/ BlackBox
 Desde una VLAN Diferente  GrayBox
 Desde VLAN Servidores  Double GrayBox
 Desde la VPN  WhiteBox
 Reversal
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Tipo de Análisis Descripción


Blind/BlackBox El Analista de seguridad no tiene conocimiento del Objetivo,
pero el cliente si tiene conocimiento del análisis, además de
saber cuando se ejecutará.

Double Blind/ BlackBox El Analista de seguridad no tiene conocimiento del Objetivo, el


cliente no sabe que tareas se ejecutaran en el análisis, ni
tampoco cuando se ejecutará.

GrayBox El Analista de seguridad conoce muy poco del objetivo, pero el


cliente tiene conocimiento del tipo de test y cuando se
ejecutará.

Double GrayBox Similar al anterior, la única diferencia es que el cliente no


sabara cuando se ejecutará el análisis.

WhiteBox Ambas Partes (Cliente-Analista) sabrán cuando se hacen los


test, el tipo de test, además de saber cuando se ejecutará

Reversal Similar al anterior, la diferencia radica en que el cliente no


sabrá que tareas de análisis se ejecutaran como tampoco
cuando.
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Tipos de Análisis –: Variables de Impacto en un Análisis


de Seguridad. (Arquitectura de Intrusión)
Servidores B.D Firewall/IPS/Router

Internet

DMZ- 1

Ethical Hacker

Red LAN
Ethical Hacker Ethical Hacker

Ethical Hacker
[Link]

“Seguridad en Aplicaciones Web”


-Introducción al Hacking Ético-

Hacking Ético – Videos de Interés


[Link]

[Link]

[Link]

[Link]

[Link]

También podría gustarte