Upload
barcampbogota
View
2.044
Download
0
Tags:
Embed Size (px)
Citation preview
Andrés Lamouroux S.
C|EH v.5
� Describir el rol de un hacker ético
� Describir que podemos hacer legalmente
como hackers éticos
2
� Describir que no podemos hacer como
hackers éticos
� Ethical hackers
� Empleados por compañías para realizar pruebas de penetración
� Prueba de penetración
� Intento legal para irrumpir en la red de una compañía para
encontrar su eslabón mas débil
3
encontrar su eslabón mas débil
� El analista reporta los hallazgos únicamente, no resuelve los
problemas
� Prueba de seguridad
� Mas que atentar en irrumpir, se incluye el análisis de la política
de seguridad de la compañía y los procedimientos
� El analista ofrece soluciones para asegurar o proteger la red
� Hackers
� Ingresan a un sistema o a la red sin autorización
� Algunas veces quebrantan la ley, pueden ir a la cárcel
4
� Crackers
� Irrumpen en los sistemas para robar o destruir información
� Para el DOJ-USA hackers = crackers
� Ethical hacker
� Realiza la mayoría de las mismas actividades pero con la
autorización del dueño del sistema, de la red y de la información
� Script kiddies ó packet monkeys
� Hackers adolescentes sin experiencia
� Copian el código y las técnicas de otros hackers reconocidos
� Analistas de penetración escriben programas o scripts
5
� Analistas de penetración escriben programas o scripts utilizando estos lenguajes
� Perl, C, C++, Python, JavaScript, VBS, SQL, Ruby y muchos otros
� Script
� Conjunto de instrucciones que se ejecutan en secuencia
� Una clase o un libro no nos hace hackers o expertos
� A lo mejor nos haga script-kiddies
� Usualmente conlleva años de estudio y experiencia
6
� Usualmente conlleva años de estudio y experiencia
adquirir respecto en la comunidad hacker
� Es una afición, un estilo de vida, y una actitud
� Una guía para saber como funcionan las cosas
� Caja tigre (Tiger box)
� Collección de OSs y herramientas de hacking
� Usualmente una laptop
7
� Usualmente una laptop
� Ayuda la los analistas de seguridad y de
penetración a realizar ataques y pruebas de
vulnerabilidad
� Modelo caja blanca (White Box)
� El analista sabe todo sobre la tecnología y
topología de la red
8
topología de la red
� Diagrama de Red
� El analista está autorizado para entrevistar al
personal de TI y otros empleados de la compañía
� Hace el trabajo del analista un poco mas fácil
9
� Modelo de caja negra (Black Box)
� Los empleados no saben sobre las pruebas
� El analista no conoce los detalles de la red
10
� El analista no conoce los detalles de la red
▪ Le corresponde encontrar estos detalles
� Se prueba si el personal de seguridad informática
puede detectar el ataque
� Modelo de caja gris
� Híbrido de los modelos de caja blanca y negra
� Compañía provee información parcial al analista
11
� Las leyes cubren el cambio de la tecnología tan
rápidamente como la tecnología misma
� Encontrar que es legal en nuestro país
� Las leyes cambian dependiendo del sitio
12
� Las leyes cambian dependiendo del sitio
� Estar enterado de que está permitido y que no
lo está.
� Poseer ciertas herramientas es ilegal
� Contacte autoridades antes de instalar
herramientas de hacking
13
� Las palabras escritas están abiertas a
interpretación
� Los gobiernos estan mas comprometidos con
el castigo a criminales informáticos.
� Meterse a un sistema sin permiso es ilegal
� Otras acciones ilegales
� Instalar gusanos, virus, troyanos, keyloggers
� Ataques de DoS
14
� Ataques de DoS
� Impedir el acceso de los usuarios a los recursos de la
red
� Tener cuidado que nuestras acciones no
afecten el trabajo normal de los clientes
15
Twitter.com/alamouroux