Los sistemas informáticos de tu empresa al descubierto
-
Upload
eduardo-arriols -
Category
Education
-
view
136 -
download
0
description
Transcript of Los sistemas informáticos de tu empresa al descubierto
![Page 1: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/1.jpg)
Jornadas de Seguridad Informática, Delitos
Informáticos y Protección de Datos.
Sevilla 2013
Los sistemas informáticos de tu empresa al descubierto
www.quantika14.com Jornadas de Seguridad Informática
2013 1
Eduardo Arriols y Roberto López
![Page 2: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/2.jpg)
Quienes somos
www.quantika14.com Jornadas de Seguridad Informática
2013 2
Estudiantes de Ing. Informática en la Escuela Politécnica Superior de la
Universidad Autónoma de Madrid. Apasionados del mundo de la
seguridad informática y el hacking.
Fundadores del proyecto HighSec dedicado a enseñar y promover la
educación en seguridad ofensiva de forma practica.
Eduardo Arriols @_Hykeos
Roberto López @leurian
![Page 3: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/3.jpg)
Ciberseguridad
www.quantika14.com Jornadas de Seguridad Informática
2013 3
“Procedimientos aplicados para la gestión y protección del uso,
procesamiento, almacenamiento y transmisión de datos e información
a través de las Tecnologías de Información y Comunicación (TIC)”
![Page 4: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/4.jpg)
Tipos de Seguridad
www.quantika14.com Jornadas de Seguridad Informática
2013 4
![Page 5: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/5.jpg)
Investigadores de seguridad
www.quantika14.com Jornadas de Seguridad Informática
2013 5
![Page 6: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/6.jpg)
Cibercrimen
www.quantika14.com Jornadas de Seguridad Informática
2013 6
Actividades delincuentes realizadas con la ayuda de
herramientas informáticas
![Page 7: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/7.jpg)
Cibercrimen
www.quantika14.com Jornadas de Seguridad Informática
2013 7
![Page 8: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/8.jpg)
Ciberespionaje
www.quantika14.com Jornadas de Seguridad Informática
2013 8
Espionaje tradicional obteniendo la información de los sistemas
informáticos
![Page 9: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/9.jpg)
¿Qué es un bug?
www.quantika14.com Jornadas de Seguridad Informática
2013 9
El primer bug de ordenador fue un
insecto real descubierto
en 1945 en Harvard, una
polilla atrapada en la calculadora ‘Mark II’
que hizo que la maquina se apagara.
![Page 10: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/10.jpg)
Agujero de Seguridad Exploit
www.quantika14.com Jornadas de Seguridad Informática
2013 10
Agujero de Seguridad (Vulnerabilidad)
Fallo que permite mediante su explotación violar la seguridad de
un sistema informático
Exploit
Programa que utiliza una vulnerabilidad para tomar el control de
un sistema
![Page 11: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/11.jpg)
Exploits
www.quantika14.com Jornadas de Seguridad Informática
2013 11
![Page 12: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/12.jpg)
Objetivo
www.quantika14.com Jornadas de Seguridad Informática
2013 12
Tomar el control de la maquina de la victima
![Page 13: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/13.jpg)
Test de Intrusión
www.quantika14.com Jornadas de Seguridad Informática
2013 13
Método para evaluar la seguridad
de un sistema o red
de sistemas de
información simulando el ataque
por un intruso
![Page 14: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/14.jpg)
Demo Time
www.quantika14.com Jornadas de Seguridad Informática
2013 14
![Page 15: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/15.jpg)
Cambiamos de bando
www.quantika14.com Jornadas de Seguridad Informática
2013 15
TEXTO
![Page 16: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/16.jpg)
Anónimo por la red
www.quantika14.com Jornadas de Seguridad Informática
2013 16
![Page 17: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/17.jpg)
SQL Injection
www.quantika14.com Jornadas de Seguridad Informática
2013 17
![Page 18: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/18.jpg)
SQL Injection
www.quantika14.com Jornadas de Seguridad Informática
2013 18
Efectos Obtención de la base de datos
Posibilidad de tomar el control del servidor Modificar la pagina web
Victimas
Base de datos de la página web
![Page 19: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/19.jpg)
SQL Injection
www.quantika14.com Jornadas de Seguridad Informática
2013 19
![Page 20: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/20.jpg)
DDoS Distributed Denial of Service
www.quantika14.com Jornadas de Seguridad Informática
2013 20
![Page 21: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/21.jpg)
DDoS Distributed Denial of Service
www.quantika14.com Jornadas de Seguridad Informática
2013 21
Efectos Caída de servicio Mala Imagen Perdida de
reputación
Sensación de Inseguridad
Perdida de dinero (En algunos casos)
Victimas Paginas Web
Tienda Online
Banco Otros servicios Online
![Page 22: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/22.jpg)
DDoS Distributed Denial of Service
www.quantika14.com Jornadas de Seguridad Informática
2013 22
![Page 23: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/23.jpg)
Exploiting Acceso a Sistemas
www.quantika14.com Jornadas de Seguridad Informática
2013 23
![Page 24: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/24.jpg)
Exploiting Acceso a Sistemas
www.quantika14.com Jornadas de Seguridad Informática
2013 24
Efectos Acceso al sistema
Acceso a la red interna Mantener acceso
Elevación de privilegios
…
Victimas Servidores
Ordenadores personales
Routers
…
![Page 25: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/25.jpg)
Exploiting Acceso a Sistemas
www.quantika14.com Jornadas de Seguridad Informática
2013 25
![Page 26: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/26.jpg)
Configuraciones por defecto
www.quantika14.com Jornadas de Seguridad Informática
2013 26
![Page 27: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/27.jpg)
Configuraciones por defecto
www.quantika14.com Jornadas de Seguridad Informática
2013 27
Efectos Acceso sin contraseña
Acceso no autorizado (Clave por defecto) Acceder a las imágenes de las cámaras IP
Cometer delitos contra la integridad de las personas (SCADA)
…
Victimas Servidores Routers
Cámaras IP Sistemas SCADA
…
![Page 28: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/28.jpg)
Configuraciones por defecto
www.quantika14.com Jornadas de Seguridad Informática
2013 28
![Page 29: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/29.jpg)
Ingeniería Social
www.quantika14.com Jornadas de Seguridad Informática
2013 29
![Page 30: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/30.jpg)
Ingeniería Social
www.quantika14.com Jornadas de Seguridad Informática
2013 30
Efectos Robo de credenciales
Ejecución de malware Obtención de información confidencial
Victimas Seres Humanos
![Page 31: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/31.jpg)
Ingeniería Social
www.quantika14.com Jornadas de Seguridad Informática
2013 31
![Page 32: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/32.jpg)
www.quantika14.com Jornadas de Seguridad Informática
2013 32
Fake AP + DNS Spoof + Phishing Obteniendo credenciales de empleados
![Page 33: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/33.jpg)
www.quantika14.com Jornadas de Seguridad Informática
2013 33
Fake AP + DNS Spoof + Phishing Obteniendo credenciales de empleados
Efectos Interceptación de las comunicaciones
Obtención de credenciales Infectarte de malware
Ser victima de un exploit
…
Victimas PCs personales Dispositivos móviles
![Page 34: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/34.jpg)
Man In The Middle Interceptando Comunicaciones
www.quantika14.com Jornadas de Seguridad Informática
2013 34
![Page 35: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/35.jpg)
Man In The Middle Interceptando Comunicaciones
www.quantika14.com Jornadas de Seguridad Informática
2013 35
Efectos Tus comunicaciones en la red son interceptadas
Alterar el trafico de la victima Evitar el cifrado SSL/TLS
Robo de sesión
Victimas Servidores PCs personales
Dispositivos móviles
![Page 36: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/36.jpg)
Man In The Middle Interceptando Comunicaciones
www.quantika14.com Jornadas de Seguridad Informática
2013 36
![Page 37: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/37.jpg)
Fuerza Bruta
www.quantika14.com Jornadas de Seguridad Informática
2013 37
![Page 38: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/38.jpg)
Fuerza Bruta
www.quantika14.com Jornadas de Seguridad Informática
2013 38
Efectos Acceso a cuentas
Victimas Paneles de autenticación
![Page 39: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/39.jpg)
Fuerza Bruta
www.quantika14.com Jornadas de Seguridad Informática
2013 39
![Page 40: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/40.jpg)
Conclusiones
www.quantika14.com Jornadas de Seguridad Informática
2013 40
TEXTO
![Page 41: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/41.jpg)
Cibercrimen
www.quantika14.com Jornadas de Seguridad Informática
2013 41
![Page 42: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/42.jpg)
Ciberespionaje
www.quantika14.com Jornadas de Seguridad Informática
2013 42
![Page 43: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/43.jpg)
Ciberguerra
www.quantika14.com Jornadas de Seguridad Informática
2013 43
1999 – Guerra de Kosovo
2003 – Taiwán
2007 – Estonia
2008 – Georgia 2010 – Irán
2011 – Canadá atacada
desde China
2012 – Medio Oriente
![Page 44: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/44.jpg)
Recomendaciones
www.quantika14.com Jornadas de Seguridad Informática
2013 44
Software Actualizado
Software de Seguridad Antivirus Actualizado
IDS / IPS
Firewalls
Sentido Común
Auditoria para las
empresas
Políticas de Seguridad
Pentest by Design
![Page 45: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/45.jpg)
Momento SPAM
www.quantika14.com Jornadas de Seguridad Informática
2013 45
HighSec es una comunidad y punto de reunión para todas las
personas interesadas en el mundo de la seguridad.
Su principal función es enseñar de forma practica las principales
técnicas en seguridad ofensiva realizadas en un test de intrusión y auditorias mediante retos y documentación propia.
@highsec0
www.highsec.es
![Page 46: Los sistemas informáticos de tu empresa al descubierto](https://reader035.fdocument.pub/reader035/viewer/2022081401/556437f8d8b42ace308b4d49/html5/thumbnails/46.jpg)
www.quantika14.com Jornadas de Seguridad Informática
2013 46
@quantika14
GRACIAS A TODOS
POR VUESTRO
TIEMPO Y
ESCUCHARNOS
https://www.facebook.com/quantika14