Hacking Ético y Frameworks Opensource

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Hacking Ético y Frameworks Opensource"

Transcripción

1 Hacking Ético y Frameworks Opensource Mariano Nuñez Di Croce Febrero 11-13, 13, 2009 IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana,, Cuba Copyright 2009 CYBSEC. Todos los derechos reservados

2 Quien es Cybsec? Quién soy yo? Quién n es CYBSEC? Empresa fundada en 1996, dedicada integralmente a Seguridad de la Información. Más de 320 clientes. Oficinas en AR, PY, EC, PA y ES. Servicios y productos para proteger el negocio de las empresas. Quién n soy yo? Senior Security Researcher en CYBSEC. Ingeniero en Sistemas de UTN. Formado en Penetration Testing e Investigación de Vulnerabilidades. He descubierto vulnerabilidades en productos Microsoft, Oracle, SAP, Actualmente especializado en Seguridad en SAP. Desarrollador del framework sapyto. 2

3 Agenda Introducción al Hacking Ético La necesidad de Automatización Nuevos Frameworks OpenSource w3af Netifera sapyto Conclusiones 3

4 Introducción al Hacking Ético 4

5 Introducción al Hacking Ético Qué es el Hacking Ético? Se refiere generalmente a los Tests de Intrusión en los cuales el objetivo es obtener trofeos en la red dentro del tiempo predeterminado de duración del proyecto. Qué es el Test de Intrusión n? Se refiere en general a los proyectos orientados a objetivos en los cuales dicho objetivo es obtener un trofeo, que incluye ganar acceso privilegiado con medios pre-condicionales (Fuente: OSSTM - 5

6 Introducción al Hacking Ético Traduciendo... El "Hacking Ético" es el arte de simular el comportamiento de un potencial atacante informático, con el objetivo de detectar (y explotar) las vulnerabilidades existentes en la plataforma tecnológica de una Organización. El objetivo final es elevar el nivel de seguridad de la plataforma. Hacking Ético = Test de Intrusión + Marketing 6

7 Introducción al Hacking Ético Un Poco de Historia... Años 70: Primeros casos de phreaking. Años 80: Ataques a sistemas de defensa y comerciales. Años 90: Comienza a nacer el Test de Intrusión. Años 00: Estandarización Proceso formal OSSTM - Open-Source Security Testing Methodology Manual ISSAF Information Systems Security Assessment Framework OWASP Open Web Application Security Project 7

8 Introducción al Hacking Ético Tipos de Test de Intrusión/ n/hacking Ético Modelo: Externos vs. Internos. Alcance: Caja negra / Caja gris / Caja blanca. Objetivo: Infraestructura Aplicaciones Web Wireless Sistemas Criticos (SCADA, SAP) Factor Humano Ingeniería Social 8

9 La Necesidad de Automatización 9

10 La Necesidad de Automatización Algunas Actividades y Tareas Involucradas: OpenSource Intelligence Análisis de rangos IP Scanning de puertos TCP Análisis de código HTML Scanning de puertos UDP Fingerprinting de servicios y SOs Bruteforcing Enumeración de usuarios Explotación de vulnerabilidades Cracking de WEP/WPA Detección de sistemas activos Wardialing Ingeniería Social Bypass de IDSs/IPSs Análisis de reglas de Firewalls Explotación de SQL Injection Detección de enlaces Wireless Descubrimiento de directorios 10

11 La Necesidad de Automatización Automatización Ventajas y Desventajas La Necesidad de Automatización es concreta. Muchas de las actividades pueden (y deben) automatizarse. Existe una GRAN variedad de herramientas y utilidades para actividades puntuales del proceso Integración de Resultados y Redundancia Necesidad de Actualización Ej: Para un Test de Intrusión Web, el consultor utiliza más de 10 herramientas distintas para tareas puntuales. 11

12 La Necesidad de Automatización Del Script al Framework Es necesario desarrollar las soluciones en forma de Frameworks: Plataforma única. Actualización centralizada. Extensibilidad (!!!) Inteligencia Base de conocimiento compartida. Integración de Resultados. Combinación y comportamiento Experto. 12

13 Nuevos Frameworks OpenSource 13

14 Nuevos Frameworks OpenSource ATENCION Al presenciar las siguientes diapositivas y demostraciones usted declara que comprende que ningún Framework puede reemplazar la inteligencia y criterio de un especialista humano =) 14

15 Nuevos Frameworks OpenSource + Auditor sin experiencia Herramienta Automatizada de Hacking Ético 15

16 Nuevos Frameworks OpenSource + Auditor sin experiencia Herramienta Automatizada de Hacking Ético 16

17 17

18 Nuevos Frameworks OpenSource w3af w3af Web Application Attack and Audit Framework Creado por Andres Riancho. Auspiciado por CYBSEC. Objetivo: Detectar y Explotar vulnerabilidades en Aplicaciones Web. Licencia GPLv2. Desarrollado en Python. 18

19 Nuevos Frameworks OpenSource w3af Arquitectura de Plugins Discovery: Descubren la superficie de análisis de la aplicación objetivo. Audit: Intentan detectar una vulnerabilidad específica en el sitio Web. Bruteforce: Realizan ataques de fuerza bruta contra módulos de autenticación. Grep: Buscan información en el contenido de las páginas del sitio. Evasion: Modifican las peticiones para evadir filtros de seguridad. Output: Definen el formato de salida de la información generada. Mangle: Permiten que el usuario modifique secciones de las peticiones realizadas. 19

20 Nuevos Frameworks OpenSource w3af Funcionalidades Principales Scannings Automáticos Envío de Peticiones HTTP artesanales Codificador / Decodificador Comparador Proxy Local 20

21 21

22 Nuevos Frameworks OpenSource Netifera Netifera Creado por Netifera. Objetivo: Analizar la Seguridad de redes informáticas. Desarrollado en JAVA. 22

23 Nuevos Frameworks OpenSource Netifera Funcionalidades Principales Scannings de puertos Identificación de servicios activos Consultas DNS Terminales Análisis de Aplicaciones Web Captura de tráfico Probes 23

24 24

25 Nuevos Frameworks OpenSource sapyto sapyto Creado por CYBSEC - Mariano Nuñez Di Croce. Objetivo: Plataforma de Penetration Test a sistemas SAP. Licencia GPLv2. Desarrollado en Python/C. Primera versión publicada en Blackhat EU

26 Nuevos Frameworks OpenSource sapyto Arquitectura de Targets/Conectores SAPRFC: Permite conectarse utilizando el protocolo RFC con un Servidor de Aplicación SAP. SAPRFC_EXT: Establece la comunicación con servidores RFC externos. SAPGATEWAY: Conexión con el servicio SAP Gateway de los Servidores de Aplicación SAP. SAPROUTER: Permite establecer conexiones con dispositivos SAProuters que restringuen el acceso a la plataforma SAP objetivo. 26

27 Nuevos Frameworks OpenSource sapyto Arquitectura de Plugins Discovery: Intentan descubrir nuevos targets a partir de los targets configurados inicialmente. Audit: Chequean si el servidor SAP remoto es suceptible de poseer vulnerabilidades específicas. Exploit: Aprovechan una vulnerabilidad detectada para intentar obtener algún grado de acceso sobre los sistemas o información remota. Output: Definen el formato de salida de la información generada. 27

28 Nuevos Frameworks OpenSource sapyto Funcionalidades Principales Obtención de información remota Análisis de Vulnerabilidades de interfaz RFC De-ofuscación de tráfico Enumeración de mandantes Bruteforce de usuarios Explotación Generación de SHELLs remotas Explotación Arquitectura de Agentes 28

29 Conclusiones 29

30 Conclusiones Conclusiones El Hacking Ético permite analizar el nivel de Seguridad de una Organización o plataforma informática y debe convertirse en una práctica regular. El objetivo final es proteger la información. La metodología involucra actividades en las que ciertas tareas pueden ser automatizadas para mejorar la eficiencia del proceso. Las herramientas a utilizar deben proveer un Entorno o Framework, introduciendo extensibilidad, robustez e inteligencia. De nada sirve una herramienta automatizada sin un auditor que pueda analizar la información contextual asociada. El criterio es irremplazable. Recuerde que los Frameworks Opensource evolucionan gracias a las contribuciones de la comunidad! No hay nada mas peligroso que un chimpancé con un arma! =P 30

31 Hacking Etico y Frameworks Opensource Preguntas? 31

32 Nuevos Frameworks OpenSource Referencias w3af Netifera sapyto 32

33 Muchas Gracias!

mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina

mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina Mariano Nuñez Di Croce mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina Agenda Introducción al Penetration Testing El PenTest Hoy Casos Reales El Futuro del Penetration

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

[Un framework de test de intrusión web]

[Un framework de test de intrusión web] [Un framework de test de intrusión web] IV OWASP Spain Chapter Meeting 21 Noviembre 2008, Barcelona, España José Ramón Palanco. Hazent Systems S.L jose.palanco@hazent.com. Qué es w3af? Quién debería conocer

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Sitios y programas recomendados

Sitios y programas recomendados WEB HACKING 1 Sitios y programas recomendados A continuación encontraremos un listado de sitios web relacionados con las temáticas expuestas en el libro, junto a una serie de programas que brindan herramientas

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

Del Penetration Test a la Realidad

Del Penetration Test a la Realidad 1 MSc. Julio C. Ardita jardita@cybsec.com 10 15 de Mayo de 2004 VII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones La Habana - CUBA 2 Temario - Qué es el Penetration

Más detalles

Guía de Pentesting Básico

Guía de Pentesting Básico Guía de Pentesting Básico V1.0 Jul 2014 Ing. Aarón Mizrachi CISA ITILv3F Introducción al Pentesting Definición: Es un tipo de auditoría externa basada en ataques, orientada a ganar acceso en los sistemas

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Seguridad Informática con Software Libre

Seguridad Informática con Software Libre 1 Seguridad Informática con Software Libre Lic. Julio C. Ardita jardita@cybsec cybsec.comcom 1er Encuentro de Software Libre en el Estado 13 de Mayo de 2005 Santa Cruz - ARGENTINA 2 Temario La seguridad

Más detalles

ACADEMIA CISCO - ESPOL. Ethical Hacking

ACADEMIA CISCO - ESPOL. Ethical Hacking Ethical Hacking OBJETIVOS En este curso se introduce a los estudiantes a los conceptos básicos del hacking y su aplicación a fin de encontrar vulnerabilidades en una red corporativa. Los estudiantes entenderán

Más detalles

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO II - HACKING

Más detalles

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind Contenido 0.- Pre - Boarding 1.- Que es un Penetration Testing 2.- Tipos de Pruebas en un Penetration Testing Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full

Más detalles

Obteniendo credenciales en redes internas sin despeinarse

Obteniendo credenciales en redes internas sin despeinarse Obteniendo credenciales en redes internas sin despeinarse 1. Introducción: En algunas ocasiones al momento de llevar a cabo un test de intrusión interno, nos encontramos con que los equipos analizados

Más detalles

Hacking en 5 pasos usando Software libre

Hacking en 5 pasos usando Software libre Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India

Más detalles

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles

Más detalles

Adelantándose a los Hackers

Adelantándose a los Hackers 1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

Universidad Nacional de La Matanza Escuela Internacional de Informática

Universidad Nacional de La Matanza Escuela Internacional de Informática Universidad Nacional de La Matanza Escuela Internacional de Informática Curso 02 Días: de lunes 20 a viernes 24 de Octubre Horario: de 8:30 a 12:30 hs. Horas totales del curso: 20 con evaluación Cantidad

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

info.uruguay@isec-global.com 4342-4685 4342-2079 4342-5440 www.isec-global.com

info.uruguay@isec-global.com 4342-4685 4342-2079 4342-5440 www.isec-global.com thical Ethical La permanente exposición al riesgo de robo, extravío, alteración o delitos sobre la información confidencial de las empresas, las sitúa en una posición bastante delicada y critica, por lo

Más detalles

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Ethical Hacking Capacitación IT 13/03/2013 Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Contenidos Las evaluaciones de seguridad El hacker ético Metodología de ataque

Más detalles

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com Investigación y Descubrimiento de Vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com Agenda - El mundo de las vulnerabilidades de seguridad - Descubriendo vulnerabilidades - Experiencias en la investigación

Más detalles

Tu Educación en Manos de Profesionales

Tu Educación en Manos de Profesionales La Universidad Nacional de Ingeniera (UNI) a través de la Dirección de Posgrado, tiene el agrado de invitarlos a la Segunda Convocatoria de cursos especializados de capacitación y actualización continua

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Pruebas de Intrusión de Aplicación

Pruebas de Intrusión de Aplicación Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas

Más detalles

UNIVERSIDAD DE LA RIOJA

UNIVERSIDAD DE LA RIOJA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL

Más detalles

Potenciando Internet

Potenciando Internet 1 Potenciando Internet Pablo D. Sisca psisca@cybsec.com Seminario Tendencias de la Tecnología en Seguridad Informática 12 de Septiembre de 2002 Buenos Aires - ARGENTINA 2 Potenciando Internet Temario -

Más detalles

DIPLOMADO EN SEGURIDAD INFORMATICA

DIPLOMADO EN SEGURIDAD INFORMATICA DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 7: Alternativas Open Source. Clase 7_3:Instalación de Herramientas Director Programa: César Torres A Profesor : Claudio Hormazábal Ocampo Contenidos del Módulo.

Más detalles

MASTER EN HACKING ÉTICO

MASTER EN HACKING ÉTICO MASTER EN HACKING ÉTICO Máster Hacking Ético Titulación Universitaria 1. Descripción: IDO Business School (Iberoamericana de Desarrollo Organizacional), en colaboración con la Universidad Internacional

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

Webinar Gratuito OpenVAS

Webinar Gratuito OpenVAS Webinar Gratuito OpenVAS Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 2 de Enero del 2014

Más detalles

SAFE Free Guía rápida de instalación y uso

SAFE Free Guía rápida de instalación y uso Tabla de Contenido Introducción... 3 Requisitos para la instalación... 3 Instalación... 3 Utilizando SAFE Free... 7 Desinstalación... 36 Acerca de Cybsec-Labs... 38 Acerca de Cybsec... 38 Página 2 de 38

Más detalles

Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007

Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007 Fuzzing y seguridad José Miguel Esparza Muñoz Security Researcher S21sec labs 10 de agosto de 2007 Resumen Con este artículo se pretende dar las nociones básicas para el acercamiento del lector a una de

Más detalles

Prácticas y Tecnologías de Seguridad Informática

Prácticas y Tecnologías de Seguridad Informática El estado del arte actual Iván Arce І ivan.arce@corest.com Prácticas y Tecnologías Agenda El estado actual: Prácticas Penetration Tests El estado actual: Herramientas Vulnerability Scanners Intrusion Detection

Más detalles

Experiencias de Seguridad en SAP. Julio C. Ardita CYBSEC

Experiencias de Seguridad en SAP. Julio C. Ardita CYBSEC Julio C. Ardita CYBSEC Agenda - Evolución de la seguridad en SAP - Las capas donde aplicar seguridad en SAP - Experiencias y soluciones de seguridad en SAP Nuestra experiencia de seguridad en SAP Trabajamos

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com 3-SCANNING NETWORK MAPPING. El proceso de Network Mapping, consiste en tratar de identificar la arquitectura (Topología) de la red a la cual vamos a realizarle las pruebas de seguridad y auditoria a nivel

Más detalles

PRESENTACION CORPORATIVA Y PORTAFOLIO DE SERVICIOS. Copyright Y5KM5. Todos los derechos reservados.

PRESENTACION CORPORATIVA Y PORTAFOLIO DE SERVICIOS. Copyright Y5KM5. Todos los derechos reservados. PRESENTACION CORPORATIVA Y PORTAFOLIO DE SERVICIOS INDICE 1. Presentación Corporativa. 2. Portafolio de Servicios. 3. Área de Investigación. 4. Objetivos del Servicio. 5. Fases del Servicio. 6. Contáctenos.

Más detalles

Penetration Testing. Conceptos generales y situación actual. PwC

Penetration Testing. Conceptos generales y situación actual. PwC Penetration Testing Conceptos generales y situación actual A/S Rodrigo Guirado, CISA, CGEIT Senior Manager Advisory Services rodrigo.guirado@uy.pwc.com PwC Agenda / Contenido Motivación Definiciones Generales

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Curso: ESTRATEGIAS DE DEFENSA FRENTE A CIBERATAQUES CONTRA SISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL... www.s21sec.com

Curso: ESTRATEGIAS DE DEFENSA FRENTE A CIBERATAQUES CONTRA SISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL... www.s21sec.com Curso:............................................................................. Tradicionalmente los sistemas de control y automatización de procesos industriales eran sistemas cerrados, propietarios,

Más detalles

ArCERT Jornadas de Seguridad Informática 2009

ArCERT Jornadas de Seguridad Informática 2009 ArCERT Jornadas de Seguridad Informática 2009 La Web desde el ojo de un atacante Nahuel Grisolía ngrisolia@cybsec.com 02 de Octubre de 2009 Buenos Aires - Argentina Agenda Agenda Introducción - Intereses

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Práctica 1. Ethical Haking. Pentest en la red.

Práctica 1. Ethical Haking. Pentest en la red. Administración de la seguridad informática (Planes y respuestas a contigencias) Práctica 1. Ethical Haking. Pentest en la red. dsc.itmorelia.edu.mx/~hferreir/isms/practica1/ Introducción. CEH (Certified

Más detalles

El Estado del Arte de la Seguridad Informática

El Estado del Arte de la Seguridad Informática El Estado del Arte de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com Septiembre de 2005 Buenos Aires - ARGENTINA Agenda Problemática de la seguridad informática Situación en nuestro país

Más detalles

[PENETRATION TESTING]

[PENETRATION TESTING] 2012 [In]Seguridad Informática Caleb Bucker Pen-Tester Ethical Hacker Security Researcher http://calebbucker.blogspot.com http://www.twitter.com/calebdrugs https://www.facebook.com/caleb.bucker calebbucker@gmail.com

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

Beneficios estratégicos para su organización. Beneficios. Características V.2.0907

Beneficios estratégicos para su organización. Beneficios. Características V.2.0907 Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

Arquitectura software EN-HORA

Arquitectura software EN-HORA Arquitectura de en:hora Arquitectura software EN-HORA en:hora es un software de control de acceso y presencia con una arquitectura modular. El software se implementa mediante un conjunto de componentes

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado

Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué implica? Un análisis activo del sistema en busca

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

AUDITORIA INFORMÁTICA

AUDITORIA INFORMÁTICA AUDITORIA INFORMÁTICA Camilo Zapata @ccamilozt Fernando Quintero @nonroot #CPCO4 2011 Bogotá, Colombia Auditoría de seguridad: Evaluar las debilidades de un sistema... Para qué? Conocer el estado de la

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Taller Hacking for Forensics

Taller Hacking for Forensics Taller Hacking for Forensics Duración 48 horas Objetivo general: - El participante podrá adquirir habilidades para aplicar diversas técnicas analíticas y científicas en materia de Hackeo y Análisis Forense

Más detalles

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 Su Aliado Estratégico en Seguridad de la Información Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral

Más detalles

Del Penetration Test a la realidad

Del Penetration Test a la realidad Del Penetration Test a la realidad Autor: MSc. Julio C. Ardita (jardita@cybsec.com) Resumen: Analizar la evolución de las metodologías y técnicas de Penetration Test (Evaluación de la Seguridad) desde

Más detalles

Presentación. Porqué formarte con nosotros?

Presentación. Porqué formarte con nosotros? Presentación Un Hacker Ético es un profesional dotado de habilidades para encontrar las debilidades o vulnerabilidades en los sistemas utilizando el mismo conocimiento y herramientas que un hacker malicioso,

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

Diplomado de Gestión de Seguridad en Redes Microsoft

Diplomado de Gestión de Seguridad en Redes Microsoft Diplomado de Gestión de Seguridad en Redes Microsoft Diseño Académico Intensidad: 140 Dirigido a: estudiantes y profesionales con conocimientos y experiencia en administración de redes MS Windows 2008

Más detalles

Diplomado de Gestión de Seguridad en Redes Microsoft

Diplomado de Gestión de Seguridad en Redes Microsoft Diplomado de Gestión de Seguridad en Redes Microsoft Diseño Académico Intensidad: 140 Dirigido a: estudiantes y profesionales con conocimientos y experiencia en administración de redes MS Windows 2008

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía TEMARIO Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía Fundamentos de seguridad de la información o Conceptos y definiciones o Fuga

Más detalles

Mejores prácticas en las pruebas de aplicaciones móviles

Mejores prácticas en las pruebas de aplicaciones móviles Diciembre 2013 Santiago Díaz Responsable técnico en el Centro experto en movilidad de atsistemas En este artículo: Introducción Tests en dispositivos o en simuladores Tipos de pruebas Pruebas funcionales

Más detalles

Administración y Seguridad de Sistemas 2016 Ethical Hacking

Administración y Seguridad de Sistemas 2016 Ethical Hacking Administración y Seguridad de Sistemas 2016 Ethical Hacking Carina Indarte Juan Ignacio Larrambebere Guillermo Leopold Agustín Romano Ethical Hacking Introducción Footprinting Doxing Áreas de testeo y

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Técnicas de Hacking y Seguridad Luis Yagüe EFOR Temario Comparación de Sistemas Operativos desde el punto de vista de la Seguridad Informática Firewalls, Proxys, DMZs. Virus Informáticos

Más detalles

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista

Más detalles

Tests de Intrusión. Análise da seguridade en entornos GNU/Linux

Tests de Intrusión. Análise da seguridade en entornos GNU/Linux Francisco José Ribadas Pena ribadas@uvigo.es Departamento de Informática Universidade de Vigo Tests de Intrusión. Análise da seguridade en entornos GNU/Linux Ferramentas de seguridade en GNU/Linux Curso

Más detalles

Ofiproductos de Computación S.A DE C.V

Ofiproductos de Computación S.A DE C.V Ofiproductos de Computación S.A DE C.V Ofiproductos de Computación, S.A. de C.V., es una empresa fundada en 1985 por un grupo de funcionarios y técnicos que trabajamos durante más de 20 años en IBM de

Más detalles

Beneficios estratégicos para su organización. Beneficios

Beneficios estratégicos para su organización. Beneficios La solución ideal para controlar la totalidad de su infraestructura IT mediante un inventario automatizado, control remoto y Gestión de activos informáticos. Beneficios Características Inventario actualizado

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

ENTERPRISE Gestión de Cadenas y Grupos Hoteleros Recopilación de posibilidades Actualizado el 08/08/05 Página 1 de 5

ENTERPRISE Gestión de Cadenas y Grupos Hoteleros Recopilación de posibilidades Actualizado el 08/08/05 Página 1 de 5 Página 1 de 5 Debe entenderse ENTERPRISE, principalmente, como un módulo diseñado para obtener información Multi-Hotel en uno o más centros de trabajo concretos. Es decir, permite operar con datos de más

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Seguridad Informática: Test de intrusión

Seguridad Informática: Test de intrusión Seguridad Informática: Test de intrusión Jesús Moreno León j.morenol@gmail.com Septiembre 2010 Estas diapositias son una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios

Más detalles

Desarrollo Seguro: Principios y Buenas Prácticas. Por Cesar R. Cuenca Díaz @ccuencad

Desarrollo Seguro: Principios y Buenas Prácticas. Por Cesar R. Cuenca Díaz @ccuencad Desarrollo Seguro: Principios y Buenas Prácticas Por Cesar R. Cuenca Díaz @ccuencad Acerca del Expositor Licenciado en Informática UMSA, ACE AccessData Examiner, CISO Certified Information Security Officer.

Más detalles

CORE SECURITY. Recolección furtiva de información Ernesto Alvarez 2013-07-25 PAGE

CORE SECURITY. Recolección furtiva de información Ernesto Alvarez 2013-07-25 PAGE CORE SECURITY Recolección furtiva de información Ernesto Alvarez 2013-07-25 2 Introducción Quién soy yo Graduado del DC Ex-Ayudante de Teoría de las Comunicaciones Administrador de red por 8 años Actualmente

Más detalles

Ataques a Bases de Datos Webinar Gratuito

Ataques a Bases de Datos Webinar Gratuito Ataques a Bases de Datos Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 2

Más detalles

Certified Professional Offensive and Defensive Security

Certified Professional Offensive and Defensive Security Certified Professional Offensive and Defensive Security Security -CPODS v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral en Seguridad de la información ofrecida por

Más detalles

www.novell.com/documentation Descripción general ZENworks 11 Support Pack 4 Julio de 2015

www.novell.com/documentation Descripción general ZENworks 11 Support Pack 4 Julio de 2015 www.novell.com/documentation Descripción general ZENworks 11 Support Pack 4 Julio de 2015 Información legal Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación

Más detalles

Ataques de lado Cliente (Client-Side Attacks)

Ataques de lado Cliente (Client-Side Attacks) Ataques de lado Cliente (Client-Side Attacks) Mauricio Velazco, OSEH Consultor mvelazco@open-sec.com http://ehopen-sec.blogspot.com/ Dont learn to hack, hack to learn Por qué OpenSec? Unica empresa Peruana

Más detalles

Explotación a CMSs Web

Explotación a CMSs Web Explotación a CMSs Web Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 5 de

Más detalles

12º Unidad Didáctica. Microsoft Internet Security and Acceleration Server ISA SERVER 2006. Eduard Lara

12º Unidad Didáctica. Microsoft Internet Security and Acceleration Server ISA SERVER 2006. Eduard Lara 12º Unidad Didáctica Microsoft Internet Security and Acceleration Server ISA SERVER 2006 Eduard Lara 1 ISA SERVER Es un firewall de stateful packet inspection (analiza el encabezado de los paquetes IP)

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

OBJETIVOS DE APRENDIZAJE

OBJETIVOS DE APRENDIZAJE PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS

Más detalles

DATOS IDENTIFICATIVOS DEL MÓDULO FORMATIVO IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET.

DATOS IDENTIFICATIVOS DEL MÓDULO FORMATIVO IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET. MÓDULO FORMATIVO DATOS IDENTIFICATIVOS DEL MÓDULO FORMATIVO IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET. Duración 90 Código MF0493_3 Familia profesional INFORMÁTICA Y COMUNICACIONES

Más detalles

CURSOS DE ESPECIALIZACIÓN EN TECNOLOGÍA DE INFORMACIÓN

CURSOS DE ESPECIALIZACIÓN EN TECNOLOGÍA DE INFORMACIÓN CURSOS DE ESPECIALIZACIÓN EN TECNOLOGÍA DE INFORMACIÓN ASTERISK: Implementación de Centrales Telefónicas IP AsteriskTM, el PBX de Código Libre, es uno de los proyectos GPL de mayor crecimiento el cual

Más detalles

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy Diplomado Desarrollo de Aplicaciones para Internet Ingeniero Germán A. Chavarro F., M.Sc Pontificia Universidad Javeriana Julio 2004 Qué

Más detalles

Lección 5: Seguridad Perimetral

Lección 5: Seguridad Perimetral Lección 5: Seguridad Perimetral Alejandro Ramos Fraile aramosf@sia.es Tiger Team Manager (SIA company) Security Consulting (CISSP, CISA) Madrid, España, febrero 2011 Video intypedia005es intypedia 2011

Más detalles

Webinar Gratuito Hacking Ético

Webinar Gratuito Hacking Ético Webinar Gratuito Hacking Ético V. 2 Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Octubre

Más detalles