Penetration Testing. Conceptos generales y situación actual. PwC

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Penetration Testing. Conceptos generales y situación actual. PwC"

Transcripción

1 Penetration Testing Conceptos generales y situación actual A/S Rodrigo Guirado, CISA, CGEIT Senior Manager Advisory Services PwC

2 Agenda / Contenido Motivación Definiciones Generales Usos Recomendados Definición de Escenarios Etapas Usuales Cambios en los Últimos Años Vulnerabilidades en Aplicativos Web

3 Motivación Definiciones Generales Usos Recomendados Definición de Escenarios Etapas Usuales Cambios en los Últimos Años Vulnerabilidades en Aplicativos Web

4 Motivación La práctica actual de Penetration Testing Cada vez más considerada como un recurso más dentro de las tareas usuales de seguridad de una organización Se está viendo como un requerimiento formal en muchos casos (e.g. normas PCI) Ha adquirido un mayor grado de formalización en los últimos años (incluyendo publicación de códigos de ética asociados) No obstante lo anterior, existen servicios de Penetration Testing de alcance muy diferente por lo cual es importante conocer sus diferencias y usos adecuados Si bien en general las actualizaciones automáticas del software de base han mejorado (hasta cierto punto) la situación general en cuanto a vulnerabilidades de infraestructura, por otra parte las aplicaciones web (en muchos casos críticas) siguen presentando problemas graves Diapositiva 4

5 Motivación Definiciones Generales Usos Recomendados Definición de Escenarios Etapas Usuales Cambios en los Últimos Años Vulnerabilidades en Aplicativos Web

6 Definiciones Generales Terminología Penetration Testing - Método para evaluar la seguridad de un sistema o red informática simulando un ataque de origen hostil (Wikipedia) - Una prueba de seguridad con un objetivo específico que termina cuando dicho objetivo se obtiene o se acaba el tiempo disponible (OSSTMM Open Source Security Testing Methodology Manual ) - Prueba de seguridad donde los evaluadores copian ataques reales para subvertir las funciones de seguridad de un aplicativo, sistema o red (NIST National Institute of Standards and Technology ) Lo más relevante a destacar es que un Penetration Testing es un conjunto de pruebas con el objetivo de detectar vulnerabilidades en un sistema en otras palabras, nunca puede considerarse como una certificación de que un sistema es seguro o inviolable Diapositiva 6

7 Definiciones Generales Terminología Variantes de Penetration Testing - Black Box / Blind : el consultor no cuenta con ninguna información del sistema/red que debe analizar - White Box / Full Disclosure : el consultor tiene acceso a toda la información (incluyendo datos internos, código fuente, etc.) del sistema/red que debe analizar - Gray Box / Partial Disclosure : cualquier caso intermedio a los anteriores (e.g. el consultor cuenta con un mapa de la red y los segmentos de direcciones relevantes, pero no con el código fuente de los aplicativos disponible) En este caso es importante considerar que cada variante simula diferentes situaciones de la realidad y por lo tanto la elección de la variante correcta puede afectar significativamente el valor de la prueba Diapositiva 7

8 Motivación Definiciones Generales Usos Recomendados Definición de Escenarios Etapas Usuales Cambios en los Últimos Años Vulnerabilidades en Aplicativos Web

9 Usos Recomendados Cuándo utilizar un Penetration Testing? Los dos conceptos principales a analizar son la adecuación de las técnicas para el objetivo de prueba específico y luego la relación costobeneficio Algunas consideraciones sobre los Penetration Testing: - No son un reemplazo para una correcta revisión / auditoría de la configuración de cierta infraestructura - No analizan las prácticas operativas asociadas a determinado ambiente (que pueden acarrear sus propios problemas de seguridad) - Son acotados en el tiempo y reflejan la situación en un momento específico ( foto de la realidad) - Las técnicas que puede aplicar el consultor posiblemente no puedan llegar hasta los límites de lo que haría un atacante Diapositiva 9

10 Usos Recomendados Cuándo utilizar un Penetration Testing? Los mejores usos para un Penetration Testing podrían incluir: - Confirmar / verificar los resultados de una revisión / auditoría de configuración - Cumplir con requerimientos internos / externos - Como alternativa más económica y rápida a una auditoría de código en aplicativos críticos En cualquiera de los casos, es importante exigir en cualquier servicio de este tipo garantías al proveedor en cuanto a la privacidad de cualquier hallazgo y la ética del personal que trabajará en el proyecto Para lograr adecuadamente los objetivos anteriores es importante definir adecuadamente la variante metodológica a utilizar según se mencionaba previamente (black/gray/white box) Diapositiva 10

11 Usos Recomendados Ventajas y desventajas de cada modalidad Black Box - Ventajas El consultor no recibe ninguna información ni acceso autorizado a los sistemas o aplicativos Es típicamente el más rápido y barato de los servicios (en algunos casos, el servicio es enteramente automático) - Desventajas Tiene la menor probabilidad de detectar vulnerabilidades Es común que el foco sea exclusivamente la infraestructura y se ignoren los aplicativos Simula solamente el mejor caso para la organización por lo cual puede generar un falso nivel de confianza Diapositiva 11

12 Usos Recomendados Ventajas y desventajas de cada modalidad White Box - Ventajas Tiene la mayor probabilidad de detectar vulnerabilidades Suele incluir un foco importante en los aplicativos (donde usualmente se presentan más problemas) Simula el peor caso para la organización lo cual ofrece un nivel importante de confianza - Desventajas Tiene una duración mayor (más horas de consultor en comparación a herramientas automáticas) y mayor costo Requiere de un nivel importante de confianza en el consultor que va a recibir todos los detalles de la instalación Diapositiva 12

13 Usos Recomendados Ventajas y desventajas de cada modalidad Gray Box - Según las características particulares del proyecto, se combinan las ventajas y desventajas de los dos casos anteriores - Si los escenarios de prueba son definidos adecuadamente, es en general la modalidad que ofrece la mejor relación costo-beneficio, dado que para cada vulnerabilidad detectada se puede estimar qué atacantes tendrían mayor probabilidad de explotarla y de este modo definir un plan preventivo razonable - Debería ser la primer modalidad a considerar al solicitar un servicio de Penetration Testing (excepto que existan argumentos de gran peso para elegir una de las otras) Diapositiva 13

14 Motivación Definiciones Generales Usos Recomendados Definición de Escenarios Etapas Usuales Cambios en los Últimos Años Vulnerabilidades en Aplicativos Web

15 Definición de Escenarios Aspectos básicos a considerar Determinar blancos y amenazas Analizar agentes y métodos Definir pruebas Determinar motivación Pruebas de Acceso Externo Determinar blancos Seleccionar agentes Determinar medio de ataque Escenario Macro Determinar Pruebas Pruebas de Acceso Interno Determinar Oportunidades Pruebas de plataformas específicas Pruebas sobre Aplicaciones Diapositiva 15

16 Definición de Escenarios Aspectos básicos a considerar Agentes - En general es difícil prever quien puede ser el agente que ejecute un determinado ataque aunque dependiendo de las operaciones de la organización se pueden hacer suposiciones - Es preferible siempre asumir que el atacante cuenta con conocimientos significativos (particularmente si en el análisis previo no se logró acotar demasiado la lista de posibles agentes) - Es importante recordar que los agentes internos a una organización son en general los responsables del mayor porcentaje de ataques efectivos Diapositiva 16

17 Definición de Escenarios Aspectos básicos a considerar Objetivo - Algunos posibles objetivos (que suelen requerir diferentes niveles de acceso / compromiso de la instalación) incluyen: Defacing (dañar la imagen del sitio como protesta o demostración de habilidades) Denegación de servicios (como protesta o para crear una disrupción en las operaciones de un competidor) Obtención de información sensitiva (datos privados, listas de clientes, números de tarjeta de crédito, etc.) Introducción de transacciones no autorizadas Utilización del sitio para futuros ataques ( zombies ) - Es importante considerar el concepto de materialidad cuando se realiza el análisis de los objetivos Diapositiva 17

18 Definición de Escenarios Aspectos básicos a considerar Recursos - Es preferible asumir que el atacante cuenta con información detallada sobre los protocolos y mecanismos de seguridad utilizados (el concepto de security through obscurity es en general sumamente débil, particularmente contra ataques internos) - También debe considerarse que el atacante pueda lograr cierto nivel de acceso básico al ambiente a atacar, particularmente en sitios públicos o de clientela masiva (e.g. home banking) o través de técnicas de ingeniería social - Si se asume que el atacante cuenta con recursos significativos (e.g. acceso a una botnet de tamaño importante) entonces pueden existir determinados ataques (e.g. denegación de servicios, ataques de fuerza bruta contra claves criptográficas de largo insuficiente) que serán automáticamente exitosos Diapositiva 18

19 Motivación Definiciones Generales Usos Recomendados Definición de Escenarios Etapas Usuales Cambios en los Últimos Años Vulnerabilidades en Aplicativos Web

20 Etapas Usuales Etapas de un ataque En general cualquier ataque sobre la infraestructura consistirá de las siguientes etapas (con algunas opcionales dependiendo del escenario específico) - Detección de equipos - Detección del mapa de la red - Detección de servicios y versiones - Detección de debilidades - Obtención de algún nivel de acceso inicial - Escalamiento de privilegios A lo anterior se agregan todos los ataques específicos sobre las aplicaciones que residan en dicha infraestructura que no tienen que seguir un orden particular y que se discutirán más adelante Diapositiva 20

21 Etapas Usuales Detección de equipos y estructura de red El agente buscará en esta etapa detectar la mayor parte de componentes posibles de la red a atacar No solamente los servidores, sino además el resto del equipamiento de comunicaciones (routers, switches, etc.) y seguridad (firewalls, IDS, etc.) podrán ser blancos importantes La detección de la estructura de la red no siempre es estrictamente necesaria, pero le puede dar al agente un nivel adicional de información para la realización de ataques Por ejemplo, conocer si hay segmentos de red con diferente nivel de protección o cuales son los equipos de comunicación en determinadas rutas Diapositiva 21

22 Etapas Usuales Detección de equipos y estructura de red Técnicas de detección de equipos y rutas - Servidores de nombre (DNS) - Ping (típicamente sobre segmentos secuenciales de IPs) ICMP TCP UDP Paquetes preparados específicamente (que pueden en algunos casos permitir conocer la configuración de firewalls intermedios) - Traceroute (y sus variantes) - Simple Network Management Protocol (SNMP) Dependiendo de la configuración de las herramientas utilizadas por el atacante, es muy posible que esta etapa pase inadvertida Diapositiva 22

23 Etapas Usuales Detección de servicios y versiones En esta etapa suelen aparecer indicios de que la red está bajo ataque El agente buscará determinar cuáles son los servicios corriendo (http, telnet, smtp, bases de datos, dns, etc.), los sistemas operativos que los soportan, y las versiones de dichas componentes Port Scanning (recorrida de puertos en forma secuencial/aleatoria) - La técnica mas básica es intentar realizar una conexión estándar de TCP con el puerto específico - Por velocidad y para evitar logs en ciertas configuraciones se utiliza el llamado Stealth Scan (o Half-Open ) enviando paquetes SYN construidos especialmente - Hay otras técnicas similares (FIN, XMAS-Tree, Null, ACK) que intentan pasar los controles del firewall y analizar la respuesta de los equipos a errores de conexión Diapositiva 23

24 Etapas Usuales Detección de debilidades En esta etapa el agente buscará determinar vulnerabilidades en los servicios instalados Típicamente se utilizarán herramientas automatizadas que cuentan con bases de datos actualizadas periódicamente para hacer el análisis, aunque en algunos casos el atacante podrá interactuar directamente con los servicios Algunas de las vulnerabilidades ( exploits ) más usuales incluyen: - Buffer overflows / Dangling Pointers / Off-by-one - Directory Traversal / Source Disclosure - MIME exploits Diapositiva 24

25 Etapas Usuales Obtención / escalamiento de acceso Si en la etapa anterior el agente encuentra algún servicio que incluye vulnerabilidades, puede intentar utilizar dicho servicio para obtener algún nivel de acceso al servidor donde el mismo ejecuta Dependiendo de sus objetivos, este nivel de acceso puede o no ser suficiente, lo cual depende en general de los privilegios con los que corra el servicio En el caso de que necesite un mayor nivel, el atacante normalmente intentará escalar sus privilegios a través de nuevos ataques (e.g. ataques locales) Es importante notar que en el caso de detectarse que un atacante obtuvo cierto nivel de acceso a un equipo (especialmente con perfiles de alto nivel de privilegio), puede resultar muy difícil determinar qué información fue accedida o qué otros componentes del servidor pueden estar comprometidos Diapositiva 25

26 Motivación Definiciones Generales Usos Recomendados Definición de Escenarios Etapas Usuales Cambios en los Últimos Años Vulnerabilidades en Aplicativos Web

27 Cambios en los Últimos Años Escenarios de ataque en la actualidad Hace algunos años la existencia de servidores en producción con vulnerabilidades significativas no era una ocurrencia del todo extraña, principalmente por las siguientes razones: - Falta de conocimiento/especialización en seguridad de los administradores - Falta de procedimientos adecuados de seguimiento de vulnerabilidades y actualización de versiones - Demoras significativas de los proveedores entre la aparición de una vulnerabilidad y la liberación del patch correspondiente - Falta de criterios claros dentro de la comunidad de seguridad sobre el relacionamiento con los proveedores de tecnología y la publicación de las debilidades detectadas Diapositiva 27

28 Cambios en los Últimos Años Escenarios de ataque en la actualidad En la actualidad varias de esas situaciones han sido corregidas (e.g. mayor velocidad de los proveedores, actualizaciones automáticas, códigos aceptados para la publicación de vulnerabilidades) y por consiguiente la seguridad a nivel de infraestructura ha mejorado significativamente (al menos en redes externas) Al mismo tiempo, han adquirido gran popularidad los desarrollos de tipo web para toda clase de aplicativos (ya sean de uso interno como externo) con implicaciones absolutamente críticas en cuanto a seguridad Finalmente, cada vez más se aprecia un objetivo delictivo en la utilización de vulnerabilidades informáticas (los script kiddies de principios de década han ido dejando su lugar a organizaciones criminales asociadas a fraudes, robo de secretos y extorsión) Diapositiva 28

29 Cambios en los Últimos Años Servicios actuales de Penetration Testing En virtud de lo anterior, es importante que un servicio actual de Penetration Testing esté correctamente planificado y se enfoque en aquellos aspectos que le puedan producir los mayores riesgos a la organización Los servicios de tipo Black Box o solamente basados en infraestructura, si bien pueden tener algún lugar dentro de una estrategia general de pruebas de seguridad, difícilmente puedan considerarse como suficientes excepto en los escenarios más simples (e.g. sitio institucional sin aplicativos o contenido dinámico) La orientación a escenarios presentada previamente ofrece un mecanismo simple para determinar los requerimientos mínimos que debería tener un servicio de Penetration Testing en la actualidad y qué aspectos deben ser complementados con otros mecanismos (revisión de configuraciones y procedimientos, auditoría de aplicativos, etc.) Diapositiva 29

30 Motivación Definiciones Generales Usos Recomendados Definición de Escenarios Etapas Usuales Cambios en los Últimos Años Vulnerabilidades en Aplicativos Web

31 Vulnerabilidades en Aplicativos Web Principales vulnerabilidades existentes Tanto a efectos de indicar aquellos aspectos que deberían considerarse dentro de un Penetration Testing que incluya a los aplicativos como para que sirva de recordatorio (ya sea para desarrolladores, auditores u oficiales de seguridad) a continuación se mencionarán las principales debilidades que usualmente se observan en aplicaciones web Si bien la lista de principales debilidades claramente puede ser objeto de debate y es responsabilidad de cada organización realizar su propio análisis y toma de decisiones, para facilitar la discusión se utilizará la lista denominada Top Ten 2007 de la OWASP ( Open Web Application Security Project Diapositiva 31

32 Vulnerabilidades en Aplicativos Web OWASP Top Ten 2007 Cross Site Scripting (XSS) Injection Flaws Malicious File Execution Insecure Direct Object Reference Cross Site Request Forgery (CSRF) Information Leakage and Improper Error Handling Broken Authentication and Session Management Insecure Cryptographic Storage Insecure Communications Failure to Restrict URL Access Diapositiva 32

33 Vulnerabilidades en Aplicativos Web Algunas recomendaciones Además de las recomendaciones básicas asociadas a cualquier proyecto de desarrollo tendientes a mejorar la calidad del producto final, se pueden hacer algunos comentarios sobre el tema seguridad El diseño de la seguridad de un sistema (e.g. un módulo centralizado) debe ser considerado desde el inicio del proyecto Puede ser interesante hacer un análisis de riesgos durante el diseño (similar a la definición de escenarios de ataque) para entender como el diseño de la seguridad debe atender a los mismos en función de la clasificación de los datos que se manejen Los controles no pueden ser algo a agregar luego de obtener cierta funcionalidad básica ni deberían estar distribuidos dentro de la aplicación (e.g. como parte del código de transacciones específicas) Evitar la falsa competencia seguridad vs. usabilidad Diapositiva 33

34 Vulnerabilidades en Aplicativos Web Algunas recomendaciones Recordar que cualquier elemento que se ejecute en el cliente (e.g. un control en javascript) no debe nunca considerarse como una parte relevante del esquema de seguridad Dentro de las especificaciones de los planes de prueba para la aplicación se debe incluir el tema de la seguridad Debería establecerse como un objetivo a probar que el sistema sea tolerante (o idealmente inmune) a determinadas clases de ataques, mediante técnicas similares a las de un Penetration Testing Un tema adicional a considerar (particularmente durante el Análisis de Riesgos) es la seguridad de cualquier tipo de datos confidenciales o privados de terceros que los sistemas manejen, para evitar contingencias legales Diapositiva 34

35 Nuestra Visión Ser la Firma líder en servicios profesionales, reconocida por ser diferente en su enfoque innovador, comportamiento ético, calidad, multidisciplinariedad, integración en torno al cliente y su aporte al desarrollo de la comunidad, que se caracteriza por relacionamientos profesionales de largo plazo, con rentabilidad sostenida en el tiempo y por la satisfacción y compromiso de sus talentos Todos los derechos reservados. hace referencia a la red de firmas miembro de International Limited, siendo cada una de ellas una entidad legal separada e independiente.*connectedthinking es una marca registrada de LLP (US). XBRL - Conceptos Generales y Ejemplos de Utilización PwC Diapositiva 35

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

5a. Academia de Actualización

5a. Academia de Actualización 5a. Academia de Actualización Profesional 2008 Virtualización: implicancias en la tolerancia a fallos y planes de contingencia PwC Agenda / Contenido Motivación Introducción Principales usos de las tecnologías

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind Contenido 0.- Pre - Boarding 1.- Que es un Penetration Testing 2.- Tipos de Pruebas en un Penetration Testing Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

Hacking Ético y Frameworks Opensource

Hacking Ético y Frameworks Opensource Hacking Ético y Frameworks Opensource Mariano Nuñez Di Croce mnunez@cybsec.com Febrero 11-13, 13, 2009 IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana,, Cuba Copyright

Más detalles

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Tecnologías Aplicadas al Dominio Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Ethical Hacking Capacitación IT 13/03/2013 Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Contenidos Las evaluaciones de seguridad El hacker ético Metodología de ataque

Más detalles

Adelantándose a los Hackers

Adelantándose a los Hackers 1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

Tendencias en Seguridad y Control en Aplicaciones

Tendencias en Seguridad y Control en Aplicaciones Tendencias en Seguridad y Control en Aplicaciones Lucio Augusto Molina Focazzio Certified information Systems Auditor - CISA Certified Information Security Manager CISM CobiT Accredited Trainer Consultor

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

Del Penetration Test a la Realidad

Del Penetration Test a la Realidad 1 MSc. Julio C. Ardita jardita@cybsec.com 10 15 de Mayo de 2004 VII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones La Habana - CUBA 2 Temario - Qué es el Penetration

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Administración y Seguridad de Sistemas 2016 Ethical Hacking

Administración y Seguridad de Sistemas 2016 Ethical Hacking Administración y Seguridad de Sistemas 2016 Ethical Hacking Carina Indarte Juan Ignacio Larrambebere Guillermo Leopold Agustín Romano Ethical Hacking Introducción Footprinting Doxing Áreas de testeo y

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles

Testing de Seguridad de Aplicaciones Web

Testing de Seguridad de Aplicaciones Web Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. jardita@cybsec.com 16 de Noviembre de 2013 Coatzacoalcos - MEXICO Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades

Más detalles

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management Jornadas Rioplatenses de Auditoría Interna 2010 Agenda / Contenido Motivación Visión Moderna de BCM Aspectos Relevantes para Auditores Introducción a la Norma BS25999 Motivación Visión Moderna de BCM Aspectos

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Guía de Pentesting Básico

Guía de Pentesting Básico Guía de Pentesting Básico V1.0 Jul 2014 Ing. Aarón Mizrachi CISA ITILv3F Introducción al Pentesting Definición: Es un tipo de auditoría externa basada en ataques, orientada a ganar acceso en los sistemas

Más detalles

Pruebas de Intrusión de Aplicación

Pruebas de Intrusión de Aplicación Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas

Más detalles

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web Máster Profesional en Tecnologías de Seguridad Módulo VI - Programación Segura Seguridad en la web @josereyero http://www.reyero.net consulting@reyero.net Seguridad en la Web Introducción y objetivos Programa

Más detalles

Certified Professional Offensive and Defensive Security

Certified Professional Offensive and Defensive Security Certified Professional Offensive and Defensive Security Security -CPODS v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral en Seguridad de la información ofrecida por

Más detalles

Port Scanning. Definición

Port Scanning. Definición Universidad del Valle de Guatemala Redes Ing. Gerson Raymundo Donald Antonio Velásquez Aguilar, 09379 Javier Alejandro Pérez Archila, 09377 Fecha: 27/05/2012 Port Scanning Definición El término Port Scanning

Más detalles

Hacking Ético. Módulo II Fase 2: Técnicas activas de obtención de información: Escaneo

Hacking Ético. Módulo II Fase 2: Técnicas activas de obtención de información: Escaneo Hacking Ético Módulo II Fase 2: Técnicas activas de obtención de información: Escaneo Objetivos Detectar sistemas vivos en la red. Descubrir servicios que se están ejecutando o que están escuchando en

Más detalles

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Seguridad en Sistemas Informáticos (SSI) Programación Segura 1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

NMap TÉCNICAS DESCUBRIMIENTO DE EQUIPOS. LIST SCAN (-sl)

NMap TÉCNICAS DESCUBRIMIENTO DE EQUIPOS. LIST SCAN (-sl) NMap NMap es una herramienta que permite el mapeo de redes. Es un programa que viene para varios sistemas operativos y que trae funcionalidades para el descubrimiento de equipos de una red, escaneo de

Más detalles

Ataques de Denegación de Servicio Seguridad en Internet

Ataques de Denegación de Servicio Seguridad en Internet Ataques de Denegación de Servicio 1 Definición Un ataque de denegación de servicio (Denial of Service) se caracteriza por intentar evitar el uso legítimo de un bien, servicio o recurso. DDoS (Distributed

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

Curso Online. Desarrollo Seguro en Java

Curso Online. Desarrollo Seguro en Java Curso Online Desarrollo Seguro en Java Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología >> Dinámica >> Contenido Cursos Online Plan de estudios: Itinerario Formativo por

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Seguridad en tiempos de Big Data

Seguridad en tiempos de Big Data Seguridad en tiempos de Big Data A/C Rodrigo Guirado, CISA, CGEIT, CRISC Director de Consultoría PwC Uruguay Agenda Qué es realmente Big Data? Cómo usar Big Data en seguridad? Qué aspectos de seguridad

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011 Sistemas de Detección y Prevención de Intrusos Estado del Arte Charles Ware cware@uy.ibm.com Agosto 2011 Agenda Concientización y estate del arte Historia Detección de Intrusos Prevención de Intrusos IDPS

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

Potenciando Internet

Potenciando Internet 1 Potenciando Internet Pablo D. Sisca psisca@cybsec.com Seminario Tendencias de la Tecnología en Seguridad Informática 12 de Septiembre de 2002 Buenos Aires - ARGENTINA 2 Potenciando Internet Temario -

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Ataques a Bases de Datos Webinar Gratuito

Ataques a Bases de Datos Webinar Gratuito Ataques a Bases de Datos Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 2

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com Investigación y Descubrimiento de Vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com Agenda - El mundo de las vulnerabilidades de seguridad - Descubriendo vulnerabilidades - Experiencias en la investigación

Más detalles

UNIVERSIDAD DE LA RIOJA

UNIVERSIDAD DE LA RIOJA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL

Más detalles

La Seguridad Un desafío Contínuo. Elving Santana

La Seguridad Un desafío Contínuo. Elving Santana La Seguridad Un desafío Contínuo Elving Santana Objetivo Situación Actal Agenda Conceptos de Seguridad Seguridad es un Proceso Contínuo El Proceso de Seguridad d Evaluación y Gestión de Riesgos Las 10

Más detalles

Germán Realpe Delgado

Germán Realpe Delgado Germán Realpe Delgado GERMÁN REALPE DELGADO CEO CLOUD SEGURO, Co-fundador de Compra Cloud, Consultor en empresas privadas y públicas. Consultor uso de medios electrónicos, Seguridad de la Información,

Más detalles

Seguridad en Redes Introducción al Ethical Hacking

Seguridad en Redes Introducción al Ethical Hacking Seguridad en Redes Introducción al Ethical Hacking Félix Molina Ángel molina@uagro.mx Objetivo: Fomentar la importancia de asegurar los recursos informáticos para evitar el acceso no autorizado. Agenda

Más detalles

El Estado del Arte de la Seguridad Informática

El Estado del Arte de la Seguridad Informática El Estado del Arte de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com Septiembre de 2005 Buenos Aires - ARGENTINA Agenda Problemática de la seguridad informática Situación en nuestro país

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com 3-SCANNING NETWORK MAPPING. El proceso de Network Mapping, consiste en tratar de identificar la arquitectura (Topología) de la red a la cual vamos a realizarle las pruebas de seguridad y auditoria a nivel

Más detalles

Práctica 1. Ethical Haking. Pentest en la red.

Práctica 1. Ethical Haking. Pentest en la red. Administración de la seguridad informática (Planes y respuestas a contigencias) Práctica 1. Ethical Haking. Pentest en la red. dsc.itmorelia.edu.mx/~hferreir/isms/practica1/ Introducción. CEH (Certified

Más detalles

MASTER EN HACKING ÉTICO

MASTER EN HACKING ÉTICO MASTER EN HACKING ÉTICO Máster Hacking Ético Titulación Universitaria 1. Descripción: IDO Business School (Iberoamericana de Desarrollo Organizacional), en colaboración con la Universidad Internacional

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO Escuela de Informática y Telecomunicaciones El

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Política de Seguridad

Política de Seguridad Firewalls y Seguridad en Internet Sin tener en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

JUAN DAVID BERRIO LOPEZ

JUAN DAVID BERRIO LOPEZ Su Aliado Estratégico en Seguridad de la Información www.dsteamseguridad.com Hacking Ético Defensa en Profundidad VS JUAN DAVID BERRIO LOPEZ - s3g4r5d6d Ingeniero en Informática. MSC. Seguridad Informática,

Más detalles

Tema 1: Introducción a la gestión y planificación de redes

Tema 1: Introducción a la gestión y planificación de redes Tema 1: Introducción a la gestión y planificación de redes 1. Introducción general 2. Objetivos de la gestión de redes 3. Objetivos de la planificación de redes 4. Sistemas de gestión de red Gestión de

Más detalles

Explotación a CMSs Web

Explotación a CMSs Web Explotación a CMSs Web Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 5 de

Más detalles

Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010

Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010 Seguridad en Home Banking Tendencias de la Tecnología en Seguridad Informática Argentina 2010 1 Agenda 1. Proyecto Home Banking 2. Confección de equipos de trabajo 3. Arquitectura integral de seguridad

Más detalles

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior. Listas de control de acceso o ACL. Listas de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Más detalles

Tu Educación en Manos de Profesionales

Tu Educación en Manos de Profesionales La Universidad Nacional de Ingeniera (UNI) a través de la Dirección de Posgrado, tiene el agrado de invitarlos a la Segunda Convocatoria de cursos especializados de capacitación y actualización continua

Más detalles

Configuración Avanzada de Switches Alteon

Configuración Avanzada de Switches Alteon CURSO CÓDIGO DURACIÓN Configuración Avanzada de Switches Alteon SAT-ADV-ALTEON 5 Días OBJETIVOS DEL CURSO El curso tiene por objeto la configuración avanzada de balanceadores de nivel 4-7 de Alteon WebSystems

Más detalles

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015 Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015 About Me Ingeniero de Sistemas (UNEXPO). Especialista en Auditoria de Sistemas Financieros y Seguridad de Datos. Certificado CEHv8 (EC-COUNCIL).

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Impacto Real para un mejor Perú

Impacto Real para un mejor Perú Impacto Real para un mejor Perú Educación y Juventud Inclusión Social Desarrollo Regional Firmas Digitales Seguridad en Dispositivos Seguridad en la Información Seguridad en Internet Seguridad en la

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru OWASP Testing Guide John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru The OWASP Foundation http://www.owasp.org Derechos de Autor

Más detalles

Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007

Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007 Fuzzing y seguridad José Miguel Esparza Muñoz Security Researcher S21sec labs 10 de agosto de 2007 Resumen Con este artículo se pretende dar las nociones básicas para el acercamiento del lector a una de

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Pruebas de Penetración contra Aplicaciones Web

Pruebas de Penetración contra Aplicaciones Web Pruebas de Penetración contra Aplicaciones Web Alonso Eduardo Caballero Quezada Consultor en Hacking Ético e Informática Forense e-mail: ReYDeS@gmail.com Sitio Web: www.reydes.com Quién Soy? Alonso Eduardo

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado

Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué implica? Un análisis activo del sistema en busca

Más detalles

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats. Qué es la informática forense? Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean

Más detalles