Técnicas de Hacking Ético en un Laboratorio de Pentesting Virtualizado
|
|
- Ramona Núñez Prado
- hace 6 años
- Vistas:
Transcripción
1 Técnicas de Hacking Ético en un Laboratorio de Pentesting Virtualizado Florentino Mendez Gijon Universidad de la Sierra Juárez Adrian Aquino Robles Universidad de la Sierra Juárez Armando Ronquillo Jorge Universidad de la Sierra Juárez José Guillermo Valdez Besares Universidad de la Sierra Juárez Resumen. Este trabajo muestra la implementación de un laboratorio de pentesting virtualizado con la utilización de Kali Linux y Virtual Box donde se instalaron varios sistemas operativos que sirvieron de soporte para instalar servicios de red que fueron los objetivos de ataques de intrusión, siguiendo una metodología ordenada, y utilizando técnicas y herramientas de hacking. Los ataques realizados resultaron exitosos y se pudo probar la efectividad de las herramientas y técnicas de hacking cuando existen vulnerabilidades y debilidades en la configuración de los servicios de red. Palabras clave: Pentesting, Ataques, Amenazas, Kali Linux, Vulnerabilidad, Hacking Ético. 1 Introducción El Hacking Ético es una disciplina que permite evaluar la seguridad de sistemas informáticos a través de la realización de pruebas de penetración y con autorización por parte de la organización propietaria de los sistemas a atacar [1]. Las técnicas de Hacking Ético pueden emplearse también en ambientes virtualizados, pues permiten realizar las pruebas de penetración bajo un ambiente controlado y conocido, además permiten aprender los métodos utilizados por los atacantes maliciosos a sistemas reales. En este trabajo se describe la implementación de un laboratorio de pentesting virtualizado montado en el sistema operativo Kali Linux, y la utilización del software adfa, p. 1, Springer-Verlag Berlin Heidelberg 2011
2 virtualizador Virtual Box, sobre el que se instalaron varios sistemas operativos Linux y Windows con servicios de red a los que se realizaron ataques exitosos, aprovechando vulnerabilidades inherentes y fallos de configuración. Esta implementación se realizó con el objetivo de evaluar la efectividad de ataques informáticos en un entorno virtualizado y evaluar una metodología de pentesting. 2 Marco teórico La seguridad informática se define como un proceso que busca garantizar tres principios en los sistemas informáticos: integridad, disponibilidad y confidencialidad, valiéndose de un conjunto de herramientas, políticas y procedimientos para garantizarlos [2]. Para que un sistema se considere seguro debe garantizar estos tres principios y una forma de conocer las vulnerabilidades susceptibles de ser explotadas por agentes de amenazas que pueden poner en riesgo cualquiera de estos principios, es realizar pruebas de penetración siguiendo un procedimiento ordenado que simule situaciones de ataques reales, a través de las herramientas y procedimientos de hacking, bajo un entorno controlado y con autorización (Hacking Ético). Las pruebas de penetración no se consideran ni auditorías informáticas, ni análisis de riesgos, pues no se evalúa la alineación de la seguridad a determinados estándares y tampoco se evalúa el nivel de impacto que ciertas amenazas pueden causar a los activos (datos) de una organización. Las pruebas de penetración emulan un ataque real a un sistema informático, estos ataques se realizan utilizando una serie de técnicas, herramientas y una metodología dividida en fases de: reconocimiento, escaneo, enumeración, acceso y la generación de reportes [3]. 3 Implementación y pruebas de pentesting 3.1 Entorno de pruebas Para el desarrollo de las pruebas se implementó un entorno virtualizado, con el sistema operativo Kali Linux como sistema base y como virtualizador se utilizó Virtual Box, sobre el que se instalaron diversos sistemas operativos con servicios de red, como HTTP, Samba y MySQL que fueron los objetivos de los ataques lanzados utilizando diversas herramientas contenidas en el sistema operativo base y siguiendo una metodología para hacer pruebas de pentesting; en la Fig. 1 se muestra el entorno de pruebas que se implementó y la configuración de red de cada sistema operativo. En los nodos identificados como Equipo 5 y Equipo 6 se les habilitó un firewall para todas las prueba de pentesting efectuadas, con la finalidad de incrementar la complejidad en la realización de escaneo y reconocimiento. Los sistemas operativos virtualizados instalados fueron varias distribuciones Linux y Windows, algunas de las cuales son distribuciones conocidas como metaesploitables, ya que incluyen vulnerabilidades conocidas para ser explotadas con la finalidad de aprender a través de la puesta en práctica de las diferentes fases de pruebas de pentesting. Las herramientas embebidas y utilizadas en este laboratorio fueron en
3 primer lugar Metasploit que es un framewok que incorpora un conjunto de elementos como exploits, scanners y payloads que permiten realizar una prueba de intrusión cubriendo cada una de las fases, desde la adquisición de información hasta la fase de post-explotación[3]. Se utilizaron también otras herramientas como: Hidra, Armitage, SQLmap, Jhonderiper, Slowris, para envenenamiento de redes y SQL Injection. Fig. 1. Entorno de pruebas 3.2 Pruebas realizadas. Se realizaron un total de siete tipos de ataques a diversas aplicaciones y servicios de red, que siguieron un orden establecido. La primera prueba de intrusión consistió en un ataque de fuerza bruta en la que se explotó un fallo de configuración en el servicio de MySQL al no contar con un mecanismo que evitara un máximo de intentos de login; para este ataque se utilizaron las herramientas Nmap para realizar el reconocimiento del servicio, posteriormente se seleccionó la herramienta Mysql_login del framework Metasploit, en el que se utilizó un script que hace uso de dos diccionarios para obtener las credenciales de acceso al servidor MySQL, en la Fig. 2 se observa el proceso del ataque y la obtención de las credenciales en el intento 1638.
4 Fig. 2. Ataque de fuerza bruta El segundo ataque realizado consistió en explotar una vulnerabilidad en un servidor Samba, utilizando las herramientas: Metasploit y Armitage, además del exploit Usermap_script que ataca una vulnerabilidad específica del servicio Samba y permite tomar el control del sistema mediante la ejecución de un payload para obtener una Shell inversa y realizar una escalada de privilegios hasta posicionarse como superusuario del sistema vulnerado. El proceso de la obtención de la Shell se observa en la Fig. 3. Fig. 3. Ataque a servidor Samba El tercer y cuarto ataque realizado consistió en explotar una vulnerabilidad Cross Site Scripting (XSS) en sus dos modalidades: reflejado y persistente. En este apartado se describe el ataque XSS persistente, para el que se utilizó la herramienta Burp Suite con un Tag Script que permitió alterar la página víctima al permitir la inserción de código malicioso en el formulario de la aplicación, usando los parámetros name y message que son vulnerables al XSS. El código insertado en este ataque permitió insertar una imagen. En la Fig. 4 se observa el proceso de inserción de código.
5 Fig. 4. Inserción de código en la página víctima El quinto ataque realizado consistió en realizar un ataque Man In The Middle (MITM) en una red Ethernet con direccionamiento IPv4, con la técnica ARP Spoofing y la herramienta Arpspoof, en un escenario donde el ruteador, la víctima y el atacante tienen las siguientes direcciones IP respectivamente: , y , a partir de esta información se realiza un envenenamiento de la tabla ARP del ruteador y el equipo víctima para permitir que todo el tráfico del equipo víctima hacia Internet pase primero por el atacante, permitiendo con esto capturar todo el tráfico y visualizar la información no cifrada. Este último proceso se logra con el uso de herramientas especializadas como Drifnet, URLSnarf, y Dssniff. En la Fig. 5 se puede apreciar que en los paquetes 56, 58 y 59, el tráfico de la víctima está circulando a través de la tarjeta de red del atacante. Fig. 5. Captura de tráfico con Wireshark
6 El sexto ataque consistió en un ataque SQL Injection a una página Web, con la herramienta SQLMap, que permitió en primer término, entrar a la base de datos y posteriormente realizar una escalada de privilegios para acceder como un usuario de sistema al equipo objetivo, utilizando el protocolo SSH. En la Fig. 6 se muestra el resultado que arroja la ejecución de la herramienta SQLMap, donde se pueden ver a los usuarios y contraseñas del sistema que fueron probados y permitieron hacer un login exitoso mediante SSH al servidor víctima. Fig. 6. Resultado de la ejecución SQLMap En el séptimo ataque se realizó una denegación de servicio dirigido al puerto 80 del servicio HTTP, en el que se hizo uso de un script denominado Slowris [5]. En la Fig. 7 se muestra la construcción de las peticiones a enviar hacia el servidor objetivo, que consiste en la creación y envío de grandes cantidades de paquetes que permitieron inundar al servidor objetivo para dejarlo fuera de servicio.
7 Fig. 7. Inundación de paquetes con Slowris 4 Resultados La elección de Kali Linux como sistema operativo base en el equipo atacante para la implementación del laboratorio de pentesting resultó adecuada, ya que permitió realizar cada uno de los ataques de manera exitosa utilizando técnicas de Hacking Ético mediante una metodología probada para realizar pruebas de pentesting. La ejecución de cada una de las herramientas utilizadas en las pruebas de intrusión se efectuaron en un equipo de cómputo de características comunes, donde una de las pruebas que demandó mayor uso de recursos fue el ataque de fuerza bruta. Ver Fig. 8. Fig. 8. Consumo de recursos en ataque de fuerza bruta Este laboratorio implementado es posible utilizarlo como plataforma de pruebas y aprendizaje de Hacking Ético sin infringir las normas que regulan la actividad informática, pues las pruebas se realizan en un ambiente controlado y sin afectar sistemas en producción. Las pruebas de concepto descritas en este documento muestran la posibilidad de probar vulnerabilidades reportadas por los organismos, como CVE
8 MITRE [6] y CERT [7] encargados de publicar los incidentes de seguridad más importantes. Para cada una de las pruebas fue necesario usar más de una herramienta, script, exploit y payload para cubrir cada una de las fases de la metodología probada, todos estos elementos usados están embebidos en el sistema operativo Kali Linux. 5 Conclusiones El Hacking Ético es una herramienta que permite probar las medidas de seguridad informática de una organización, mediante pruebas de intrusión a sistemas informáticos. Durante el desarrollo de este proyecto de laboratorio de pentesting se pudo constatar lo fácil que resulta obtener las herramientas para realizar ataques informáticos y si se sigue un orden ya escrito y probado, resulta factible introducirse a sistemas que no cuenten con las medidas de seguridad adecuadas, o que no han sido sometidos a pruebas de intrusión para detectar sus debilidades, lo que permite que usuarios maliciosos exploten las vulnerabilidades existentes y pongan en riesgo los activos (datos) de cualquier organización. Es por ello importante que los responsables de sistemas se entrenen realizando pruebas a los sistemas antes o después de ser implementados y una forma segura de entrenarse es en un entorno virtualizado como el mostrado en este trabajo. 6 Referencias 1. Benchimol, D., (2013) Hacking para principiantes. Primera Edición. Editorial Fox Andina. Buenos Aires, Argentina. 2. Bishop, M.,(2005) Introduction to computer security. First Edition. Addison-Wesley. United States of America. 3. Harris S., (2013) All in one CISSP. Sixth Edition. Mc Graw Hill. United States of America. 4. González, P., (2013) Metasploit para Pentesters. Segunda Edición. Editorial 0xword. Madrid España. 5. Slowloris HTTP DoS Rsnake. (2009) ha.ckers.org security lab [En línea] [Accedido el día 20 Junio del 2014]. 6. Mitre, Mitre. (2013) About CVE. CVE About CVE. [En línea]. U.S.A, disponible en: [Accedido el día 20 Junio del 2014]. 7. Cert, Cert. (2014) Welcome to CERT: About us. The CERT Program: Anticipating and Solving the Nation's Cybersecurity Challenges. [En línea]. [Accedido el día 15 de enero del 2014] 8. Owasp, Owasp.(2013) The Open Web Application Security Project [En línea]. [Accedido el día 15 de enero del 2014] 9. Kennedy, D., O'Gorman, J., Kearns, D., Aharoni, M. (2011) Metasploit: The Penetration Tester's Guide. San Francisco: No Starch Press. 10. Lee, A., (2012) Advanced Penetration Testing for Highly-Secured Environments, The Ulti-mate Security Guide (Primera edición). 35 Livery Street Birmingham B3 2PB, UK:Packt publishing.
Ethical hacking: Pentesting RootedLAB. /Rooted Valencia 2016
Ethical hacking: Pentesting RootedLAB /Rooted Valencia 2016 1 Objetivos En este training, orientado a la práctica del hacking, podrás introducirte y sentar bases en los tipos de auditorías, en la forma
Más detalles100% Laboratorios en Vivo
100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de
Más detallesVulnerabilidades en Aplicaciones Web Webinar Gratuito
Vulnerabilidades en Aplicaciones Web Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com
Más detallesIngeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US
Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal
Más detallesCertified Professional Pentester
La mejor Certificación práctica para convertirse en un Pentester Profesional Los Hackers están preparados, Tú lo estás? Un producto desarrollado por: Pág. 1 Descripción de la Certificación El Pentester
Más detallesCurso de Experto en. Inicio OCTUBRE 2016 INFORMACIÓN Y RESERVA DE PLAZA: ,
Curso de Experto en CIBERSEGURIDAD Y TECNOLOGÍA APLICADA A LA CRIMINOLOGÍA INCLUYE CURSO OFICIAL Y LICENCIA DE PILOTO DE DRONES Inicio OCTUBRE 2016 Presentación Descripción del programa El programa de
Más detallesUNIVERSIDAD CATÓLICA DE SANTIAGO DE GUAYAQUIL DIPLOMADO INTERNACIONAL EN SEGURIDAD INFORMÁTICA CON CERTIFICACIÓN ISO 27001
DIPLOMADO INTERNACIONAL EN SEGURIDAD INFORMÁTICA CON CERTIFICACIÓN ISO 27001 INTRODUCCIÓN En la actualidad, el uso masivo de las redes en las organizaciones hace necesario la implementación de ambientes
Más detallesEstudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez
Estudio de los riesgos relacionado con las redes Wi-Fi A. Alejandro González Martínez Índice Introducción Seguridad en redes Wi-Fi Cifrado WEP Cifrado WPA/WPA2 WPA2-Enterprise Infraestructura Beneficios
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO
ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez INTRODUCCIÓN Existen diferentes vulnerabilidades que, dependiendo de sus características, las podemos clasificar
Más detallesGuía del Curso UF1353 Monitorización de los Accesos al Sistema Informático
Guía del Curso UF1353 Monitorización de los Accesos al Sistema Informático Modalidad de realización del curso: Número de Horas: Titulación: A distancia y Online 90 Horas Diploma acreditativo con las horas
Más detallesReporte de incidente de seguridad informática.
Reporte de incidente de seguridad informática. Un incidente de seguridad se define como el acontecimiento de un suceso inesperado que pretende obtener, dañar, destruir, o realizar cualquier tipo de modificación
Más detallesÁrea: Microsoft SQL. Nombre del curso. Administración de Microsoft SQL Server 2014 Bases de datos
Área: Microsoft SQL Nombre del curso Administración de Microsoft SQL 2014 Bases de Título Administración de Microsoft SQL 2014 Bases de Duración 25 hs Objetivos Proporcionar a los alumnos los conocimientos
Más detallesSchool of Hacking. Taller 3: Herramientas básicas del hacker: Metasploit y Armitage
School of Hacking Taller 3: Herramientas básicas del hacker: Metasploit y Armitage Antonio Díaz Díaz & José José Antonio Gómez, 2015 2015 Índice Metasploit Framework (José Antonio Gómez) Terminología Msfconsole:
Más detallesHacking Ético y Defensa en Profundidad "Versión 3.2.2
DIPLOMADO INTEGRAL EN SEGURIDAD DE LA INFORMACION LLAMADO: Hacking Ético y Defensa en Profundidad "Versión 3.2.2 Dictado por el grupo de Ingenieros de la empresa: DSTEAM Seguridad. INTRODUCCIÓN: La seguridad
Más detallesThe Hacking Day Ethical Pentester Certified THD-EPC
The Hacking Day Ethical Pentester Certified THD-EPC 1. RESUMEN EJECUTIVO The Hacking Day, un proyecto creado por IT Forensic SAS, consiste en una serie de talleres prácticos dictados por expertos en el
Más detallesTu Educación en Manos de Profesionales
La Universidad Nacional de Ingeniera (UNI) a través de la Dirección de Posgrado, tiene el agrado de invitarlos a la Segunda Convocatoria de cursos especializados de capacitación y actualización continua
Más detallesADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.
ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN Ing. Mg. Miguel Ángel Valles Coral. COMPUTER SECURITY INSTITUTE El 56% de las empresas sufrieron accesos no autorizados a sus sistemas. Las perdidas
Más detallesHacking Ético & Seguridad Ofensiva
Hacking Ético & Seguridad Ofensiva INDICE DATOS DEL CURSO OBJETIVOS DEL CURSO CONTENIDO MATERIALES Y RECURSOS DEL CURSO EVALUACION DATOS DEL CURSO Duración: 6 Jornadas (30horas), (08:00 am a 13:00 pm)
Más detallesGestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP
Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso
Más detallesInstrucciones de configuración del acceso remoto (VPN) de la UCLM para Windows, Mac y Linux
Instrucciones de configuración del acceso remoto (VPN) de la UCLM para Windows, Mac y Linux Referencia -- Fecha 14/03/2016 Autores Área TIC Destinatarios Estudiantes, PDI y PAS de la UCLM Descripción Este
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesMINT A NIVEL BROSERW CON BEEF
MINT A NIVEL BROSERW CON BEEF Y METASPLOIT Como usuario seguimos con las mismavulnerabilidades 17 DE ABRIL DEL 2015 SANTA CRUZ BOLIVIA WALTER CAMAMA MENACHO About Me About Me - Ingeniero de sistemas Universidad
Más detallesCertified Professional Offensive and Defensive Security
Certified Professional Offensive and Defensive Security Security -CPODS v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral en Seguridad de la información ofrecida por
Más detallesPrincipios Básicos de Seguridad en Bases de Datos
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > Principios Básicos de Seguridad en Bases de Datos Principios Básicos de Seguridad en Bases de Datos Por Johnny Villalobos Murillo
Más detallesMódulo 2: Fase técnica ciclo PenTesting 1: Técnicas de recolección de información
Curso: Hacking Ético y Defensa en Profundidad Nivel Profesional Versión: 3.1 Actualización: 30 marzo de 2016. Certificacion: Certified Offensive and Defensive Security Professional CODPS Temario curso
Más detallesAntes de imprimir este documento piense en el medio ambiente!
Versión 1.0 Página 1 de 6 1. OBJETIVO: Recuperar el normal funcionamiento de los servicios informáticos en el menor tiempo posible, a través de diagnóstico, investigación y escalamiento de incidentes para
Más detallesUniversidad Autónoma del Estado de México ADMINISTRACIÓN Y SEGURIDAD EN SISTEMAS OPERATIVOS SEGURIDAD SOBRE WINDOWS POR: J. JAIR VÁZQUEZ PALMA
Universidad Autónoma del Estado de México ADMINISTRACIÓN Y SEGURIDAD EN SISTEMAS OPERATIVOS SEGURIDAD SOBRE WINDOWS POR: J. JAIR VÁZQUEZ PALMA Seguridad sobre Windows OBJETIVO GENERAL DE LA UNIDAD DE APRENDIZAJE
Más detallesInterpretación Resultados Evaluación MECI Vigencia 2014
Interpretación Resultados Evaluación MECI Vigencia 2014 Unidad de Auditoría Institucional "Para contribuir con el mejoramiento de los procesos, el fortalecimiento del sistema de control interno y el logro
Más detallesADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 ESTE DOCUMENTO CONTIENE LA SEMANA 9
ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 1 ÍNDICE SEGURIDAD INFORMÁTICA Y MECANISMOS PARA LA PROTECCIÓN Y RESPALDO DE LA INFORMACIÓN... 3 INTRODUCCIÓN... 3 APRENDIZAJES ESPERADOS... 3 1. CONCEPTOS
Más detallesTema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión
Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido
Más detallesPues nos adentramos de lleno y desde hoy, a las técnicas, tácticas y contramedidas utilizadas en el Ethical Hacking (Hacking Ético).
Pues nos adentramos de lleno y desde hoy, a las técnicas, tácticas y contramedidas utilizadas en el Ethical Hacking (Hacking Ético). Comenzamos con algunos laboratorios sencillos y simples que nos permitirán
Más detallesPresentación. Porqué formarte con nosotros?
Presentación Un Hacker Ético es un profesional dotado de habilidades para encontrar las debilidades o vulnerabilidades en los sistemas utilizando el mismo conocimiento y herramientas que un hacker malicioso,
Más detallesSeguridad Informática en Bibliotecas
Seguridad Informática en Bibliotecas Téc. Cristina González Pagés Asesora Técnica y Editora Web Biblioteca Médica Nacional 26 de abril 2016 Seg. Informática VS Seg. de la Información La seguridad de la
Más detallesArCERT Jornadas de Seguridad Informática 2009
ArCERT Jornadas de Seguridad Informática 2009 La Web desde el ojo de un atacante Nahuel Grisolía ngrisolia@cybsec.com 02 de Octubre de 2009 Buenos Aires - Argentina Agenda Agenda Introducción - Intereses
Más detallesUNIVERSIDAD TÉCNICA DEL NORTE
UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD INGENIERIA EN CIENCIAS APLICADAS CARRERA INGENIERIA EN ELECTRÓNICA Y REDES DE COMUNICACIONES HACKING ÉTICO PARA DETECTAR FALLAS EN LA SEGURIDAD INFORMÁTICA DE LA
Más detallesCatalogo cursos de Seguridad Informática
Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las
Más detallesSECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP
SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web
Más detallesSitios y programas recomendados
WEB HACKING 1 Sitios y programas recomendados A continuación encontraremos un listado de sitios web relacionados con las temáticas expuestas en el libro, junto a una serie de programas que brindan herramientas
Más detallesAtaques a Bases de Datos Webinar Gratuito
Ataques a Bases de Datos Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 2
Más detallesAspectos Básicos de Networking
Aspectos Básicos de Networking ASPECTOS BÁSICOS DE NETWORKING 1 Sesión No. 4 Nombre: Capa de transporte del modelo OSI Contextualización Existen diferencias en los servicios de protocolos? Los protocolos
Más detallesMÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante
MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster
Más detallesRETO HACKER DE VERANO
RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque
Más detallesQué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado
Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué implica? Un análisis activo del sistema en busca
Más detalles039. IFC07CM15 - INSTALACIÓN Y CONFIGURACIÓN DE WINDOWS SERVER 2012
039. IFC07CM15 - INSTALACIÓN Y CONFIGURACIÓN DE WINDOWS SERVER 2012 DEPARTAMENTO: Formación Profesional MODALIDAD: Curso DESTINATARIOS: Profesores Técnicos de FP Catedráticos y Profesores de Enseñanza
Más detallesServicio de Protección Total Web
Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes
Más detallesCertified Offensive and Defensive SecurityProfessional-CODSP v1.0
Su Aliado Estratégico en Seguridad de la Información Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral
Más detallesLa versión digital de esta tesis está protegida por la Ley de Derechos de Autor del Ecuador.
La versión digital de esta tesis está protegida por la Ley de Derechos de Autor del Ecuador. Los derechos de autor han sido entregados a la ESCUELA POLITÉCNICA NACIONAL bajo el libre consentimiento del
Más detallesSISTEMAS DE DETECCIÓN DE INTRUSOS EN LA PLATAFORMA NETFPGA USANDO RECONOCIMIENTO DE EXPRESIONES REGULARES.
Título del trabajo de grado: SISTEMAS DE DETECCIÓN DE INTRUSOS EN LA PLATAFORMA NETFPGA USANDO RECONOCIMIENTO DE EXPRESIONES REGULARES. Estudiante de Maestría: Antonio Lobo Director del Proyecto: Prof.
Más detallesMetasploit framework, al igual que nessus, su versión paga es mucho más informática que la gratuita.
Ethical Hacking en modo Gráfico Herramientas para hacking ético hay muchas, las profesionales o pagas ofrecen informes mucho más detallados que las no pagas, pero ambas nos dan un indicio de que es lo
Más detallesPenetration Test Metodologías & Usos
Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances
Más detallesMECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA
CERTICAMARA S.A. MECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA CONTENIDO 1. Conceptos generales 2. Métodos de autenticación 3. Factores de autenticación 4. Certificados
Más detallesDía 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica
Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
Más detallesCreación de un CSIRT
Creación de un CSIRT CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informática) Un CERT es un CSIRT pero el término CERT es una marca registrada por Carnegie
Más detallesSeminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com
Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos
Más detallesPASOS PARA INSTALAR EL SISTEMA OPERATIVO LINUX DISTRIBUCION CENTOS
VICTORIA GUADALUPE PEREZ SANCHEZ LIA D1 SISTEMAS OPERATIVOS PASOS PARA INSTALAR EL SISTEMA OPERATIVO LINUX DISTRIBUCION CENTOS Objetivo: El alumno instalara en el sistema operativo Linux de la distribución
Más detallesSeguridad y Alta Disponibilidad: Test de intrusión (III): explotación de vulnerabilidades
Seguridad y Alta Disponibilidad: Test de intrusión (III): explotación de vulnerabilidades Jesús Moreno León jesus.moreno.edu@ juntadeandalucía.es Septiembre 2012 Jesús Moreno León, Septiembre de 2012 Algunos
Más detallesOffensive State Auditoría de Aplicaciones Web
Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4
Más detallesSISTESEG Seguridad y Continuidad para su Negocio
SISTESEG Seguridad y Continuidad para su Negocio SERVICIOS EN SEGURIDAD DE LA INFORMACION BOGOTA/COLOMBIA Perfil Corporativo Somos una empresa especializada en la prestación de servicios dirigidos a mejorar
Más detallesGastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia
Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing
Más detallesPrograma Administración Linux
Programa Administración Linux Proporcionar los conocimientos teórico-prácticos, para: Instalar, configurar y administrar el sistema operativo Linux. Instalar, configurar, asegurar y administrar correctamente
Más detallesSe realizó aplicando la parte 3 de la Guía de Evaluación de Software, aprobada por Resolución Ministerial W PCM:
"Año de la Promoción de la Industria Responsable y del INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE W l)l[ -2014-0EFA/OTI 1. Nombre del área Oficina de Tecnologías de la Información. 2. Nombre y cargo
Más detallesSeguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM
Seguridad Perimetral Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM Tipos de amenazas Activos de Información NO permita que accedan tan fácilmente a la información Concepto de seguridad
Más detallesUNIVERSIDAD MILITAR NUEVA GRANADA INVITACIÓN PÚBLICA No. ANEXO 16 REQUERIMIENTOS TÉCNICOS DE SERVICIO DE REINSTALACIÓN
UNIVERDAD MILITAR NUEVA GRANADA 1 REQUERIMIENTOS TÉCNICOS DE SERVICIO DE Uno de los requerimientos esenciales del proyecto en la migración y puesta en marcha de todos los servicios que actualmente soporta
Más detallesAño 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS
Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING Curso Oficial de Certificación ENHACKE CURSOS enhacke Certificate in WebApp Pentesting ECWAP OBJETIVO GENERAL Capacitar al asistente con los conceptos
Más detallesEXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS
Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del
Más detallesHacking Ético y Frameworks Opensource
Hacking Ético y Frameworks Opensource Mariano Nuñez Di Croce mnunez@cybsec.com Febrero 11-13, 13, 2009 IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana,, Cuba Copyright
Más detallesEl Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec
Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)
Más detallesLa migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.
La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio. Quiénes somos? Consultoría Especializada en soluciones
Más detallesPráctica de Seguridad en Redes
Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción
Más detalles2.Introducción a la seguridad
2.Introducción a la seguridad Las necesidades de seguridad de la información han ido evolucionando al igual que las ciencias de la computación y las tecnologías de la información. De este modo, las herramientas
Más detallesCURSO DE ETHICAL HACKING
1. OBJETIVOS DEL CURSO 1.1. OBJETIVO GENERAL CURSO DE ETHICAL HACKING Brindar a los participantes los conocimientos, técnicas y habilidades utilizadas por hackers para realizar ataques informáticos. 1.2.
Más detallesHacking ético y Seguridad en Red
TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...
Más detalleshttp://www.villacorp.com Pentesting con Android Ing. Javier Villanueva
http://www.villacorp.com Pentesting con Android Ing. Javier Villanueva Quién Soy? Ing. Javier Villanueva Consultor, Investigador e Instructor Independiente en Seguridad Ofensiva ( Hacking Ético ) Director
Más detallesPOLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L POLITICA DE SEGURIDAD DE LA INFORMACIÓN INDEA En INDEA, consideramos que la información es un activo fundamental para la prestación
Más detallesAGENDA. Introducción al Ethical Hacking. Ethical Hacking vs Pentesting. Escaneo de red organizacional. Análisis de Vulnerabilidades
OMARC320@GMAIL.COM AGENDA 1 Acerca del autor 2 Introducción al Ethical Hacking 3 Ethical Hacking vs Pentesting 4 Escaneo de red organizacional 5 Análisis de Vulnerabilidades 6 Explotación de Vulnerabilidades
Más detallesTécnico en Seguridad Informática. Informática, Diseño y Programación
Técnico en Seguridad Informática Informática, Diseño y Programación Ficha Técnica Categoría Seguridad en las Comunicaciones y la Información Contenido del Pack - 1 Manual Teórico - 1 Cuaderno de Ejercicios
Más detallesAPROVECHAMIENTO DE VULNERABILIDADES DEL SISTEMA OPERATIVO WINDOWS CON LA HERRAMIENTA METASPLOIT
APROVECHAMIENTO DE VULNERABILIDADES DEL SISTEMA OPERATIVO WINDOWS CON LA HERRAMIENTA METASPLOIT sistema operativo de Windows con la herramienta Metasploit Susan Arévalo 1 Giancarlo Infante 1 Dany Valdivia
Más detallesSeguridad Informática
Seguridad Informática Introducción Debido a que la tecnología avanza constantemente, la seguridad informática se ve obligada al estar al tanto en esta situación. Como es de esperarse este crecimiento se
Más detallesTÉCNICO SUPERIOR UNIVERSITARIO EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN ÁREA SISTEMAS INFORMÁTICOS.
TÉCNICO SUPERIOR UNIVERSITARIO EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN ÁREA SISTEMAS INFORMÁTICOS. HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la asignatura Ingeniería de
Más detallesSECURITY DAY PERU. Ataques a la familia de Sistemas Operativos Windows. Explotando Vulnerabilidades a Servicios / Ataques a Clientes.
SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a la familia de Sistemas
Más detallesRDD-1305 SATCA 1 : 2-3-5. Carrera:
1. Datos Generales de la asignatura Nombre de la asignatura: Clave de la asignatura: SATCA 1 : Carrera: Redes Convergentes y Cómputo en la Nube RDD-1305 2-3-5 Ingeniería en Sistemas Computacionales 2.
Más detallesConstrucción de un Firewall para redes industriales con NetFPGA
Construcción de un Firewall para redes industriales con NetFPGA Jhon Jairo Padilla Aguilar, PhD. Sergio Garcia Richard Ardila Universidad Pontificia Bolivariana-Bucaramanga Las redes de producción industrial
Más detallesVulnerabilidades de los sistemas informáticos
Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel
Más detallesTécnico en Servidores Web
TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES Técnico en Servidores Web Técnico en Servidores Web Duración: 200 horas Precio: 0 * Modalidad: Online
Más detallesInicio. junio 2016. Plana Docente. Dirigido a. Jean del Carpio Foronda - Perú. Alexis Torres Pardo - Perú
Inicio junio 2016 Las empresas requieren verificar si sus redes están seguras de cualquier ataque. Para ello, es necesario someter la red a una serie de pruebas para verificar su total seguridad. Usando
Más detallesImplementación servidor DHCP Windows Server 2008
1 El servicio identificado como DHCP, es el que se encarga de distribuir un direccionamiento en una red local, también cumple la función de reserva y denegación de direccionamiento a los diferentes clientes
Más detallesLa seguridad informática en la PYME Situación actual y mejores prácticas
Introducción Seguridad informática: aspectos generales 1. Introducción 15 2. Los dominios y regulaciones asociadas 18 2.1 Las mejores prácticas ITIL V3 18 2.1.1 La estrategia del servicio (Service Strategy)
Más detallesTaller Hacking for Forensics
Taller Hacking for Forensics Duración 48 horas Objetivo general: - El participante podrá adquirir habilidades para aplicar diversas técnicas analíticas y científicas en materia de Hackeo y Análisis Forense
Más detallesREPÚBLICA DE PANAMÁ FISCALÍA GENERAL DE CUENTAS UNIDAD DE INFORMÁTICA
REPÚBLICA DE PANAMÁ FISCALÍA GENERAL DE CUENTAS UNIDAD DE INFORMÁTICA MARZO, 2015 1 GUIDO A. RODRÍGUEZ L. Fiscal General de Cuentas CÉSAR AUGUSTO SOLANO GARCÍA Secretario General JOSÉ CHEN ALBA Secretario
Más detallesFacultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP
Capítulo 2 Facultad de Ingeniería Mecánica y Eléctrica EVOLUCION DE LA TCP/IP Norma Leticia Díaz Delgado Semestre Número 4 Maestría en Computación, Área Redes y Conectividad REDES TCP/IP TCP/IP EVOLUCUIÓN
Más detallesMASTER EN HACKING ÉTICO
MASTER EN HACKING ÉTICO Máster Hacking Ético Titulación Universitaria 1. Descripción: IDO Business School (Iberoamericana de Desarrollo Organizacional), en colaboración con la Universidad Internacional
Más detallesAuditoría de Seguridad
Curso Online Auditoría de Seguridad Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología >> Dinámica >> Contenido Cursos Online Plan de estudios: Itinerario Formativo por especialidad
Más detallesHacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Más detallesSEGURIDAD Y AUTORIZACIÓN
SEGURIDAD Y AUTORIZACIÓN PRÁCTICA 2 GESTIÓN DE ACCESOS SEGUROS SSL A UNA BASE DE DATOS Pág. 1 de 6 1. Objetivos Generales Comprensión del proceso de gestión y administración de perfiles de usuarios con
Más detallesSISTEMAS Y HACKING ÉTICO
2015 Programa de Extensión para Profesionales PLANA DOCENTE El programa cuenta con la participación de reconocidos profesionales con amplia experiencia académica y laboral, entre los que podemos destacar:
Más detallesCurso Práctico de Software para la Auditoria de Sistemas y Antivirus
Curso Práctico de Software para la Auditoria de Sistemas y Antivirus Titulación certificada por EUROINNOVA BUSINESS SCHOOL Curso Práctico de Software para la Auditoria de Sistemas y Antivirus Curso Práctico
Más detallesSolicitudes MINECO. Manual de usuario de firma electrónica
Solicitudes MINECO Manual de usuario de firma electrónica Madrid, Mayo de 2016 ÍNDICE 1. Introducción... 3 1.1. Firma electrónica... 3 1.2. Obtención de un certificado... 3 2. Proceso de firma... 5 2.1.
Más detallesAdministering System Center Configuration Manager
Administering System Center Configuration Manager Course 10747D Días de clase presencial: 7, 8, 14, 15, 21, 22, 27 y 28 de julio de 2016. Horario: de 16:00 a 21:00 h. (jueves y viernes). Duración: 40 horas
Más detalles