Universidad de Guayaquil
Facultad de Ciencias Matemáticas y Físicas
Carrera de Ingeniería en Sistemas Computacionales
Titulación: Seguridad Informática
• Profesionales de seguridad que utilizan su
conocimiento de hacking para fines defensivos.
• Determina lo que un individuo hacker intruso puede
hacer sobre un sistema y la información.
Perfil de conocimiento
• Experto en informática y sistemas.
• Conocimiento sobre SO.
• Hardware, electrónica, redes, telecomunicaciones.
• Programación en lenguajes de alto y bajo nivel.
Ethical Hacking
Ethical Hacking • Conocimiento de seguidad informática y temática:
criptografía, control de acceso, aplicaciones…..
• Código de ética estricto.
• Conocimiento constante.
• Investigación.
• Pruebas de herramientas.
TIPOS DE ATAQUES
Ataques al SO
• Explotación de vulnerabilidades para tomar control
del sistema.
• Windows y Linux.
Ethical Hacking
Ataques a las aplicaciones
• Diversidad de programas.
• Millones de líneas de código, propenso a errores.
• Masividad de uso.
• Aplicaciones amplian superficie de ataque a un
sistema
Ethical Hacking
Errores de configuraciones
• En SO o aplicaciones.
• Software seguro, configuración insegura. Buena
combinación?
• Configuración estándar de muchas aplicaciones. o Credenciales por defecto.
• Hardening
Ethical Hacking
Investigación acerca de estandares internacionales
de seguridad de información:
• ISO27001
• SoX (Sarbanes-Oxley)
• COBIT
• BASILEA II
Ethical Hacking
Errores en protocolos
• Protocolo TCP/IP.
• Diversidad de protocolos para uso de telecomunicaciones.
• Solución de error de diseño acarrea:
• Modificaciones a distintos niveles, incluso, incluso variación total o parcial o cambio por uno más seguro.
Ethical Hacking
Ethical Hacking Evaluación de Seguridad
• Vulnerability Assessment.
• Penetration Test.
• Para su realización se debe tener previamente
firmado un acuerdo legal.
• Que no es un Penetration Test: o No se una auditoría de seguridad.
o No es un análisis de riesgo.
o No es un Vulnerability Assessment.
Vulnerability Assessment
• Se refiere a la búsqueda de debilidades en distintos
tipos de sistemas.
• Debilidades de carácter técnico que dependen de
las cualidades intrínsecas del sistema evaluado.
• Vulnerabilidades: Servidores, redes, SO y
aplicaciones.
• Open Vulnerability and Assessment Language
(OVAL) (http://oval.mitre.org/).
Ethical Hacking
Ethical Hacking Penetration Test
• Extensión de la evaluación de seguridad para
centrarse en los procesos vinculados con la
información de la organización.
• Evaluación:
• Técnicas de Ingeniería Social.
• Búsqueda de información de la organización online
y offline.
• Simulación de un atacante.
Etapas de un Penetration Test
• Fase de reconocimiento.
• Fase de escaneo.
• Fase de enumeración.
• Fase de ingreso.
• Fase de mantenimiento de acceso.
Ethical Hacking
Etapas de un Penetration Test
• Fase de reconocimiento.
• Fase de escaneo.
• Fase de enumeración.
• Fase de ingreso.
• Fase de mantenimiento de acceso.
Ethical Hacking
Top Related