INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS



Documentos relacionados
Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Servicios de Seguridad de la Información

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

SEGURIDAD WEB: AUDITORÍAS Y HERRAMIENTAS. Daniel Firvida Pereira daniel.firvida@inteco.es Marzo de 2009

Seguridad en Aplicaciones Web

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO

Requisitos de control de proveedores externos

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Curso Online. Desarrollo Seguro en Java

Offensive State Auditoría de Aplicaciones Web

OWASP: Un punto de vista. aplicaciones web seguras

Hacking ético y Seguridad en Red

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

In-seguridad y malware en dispositivos móviles


CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Guía de doble autenticación

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

100% Laboratorios en Vivo

Securiza tu red con Snort y sus amigos

Vulnerabilidades de los sistemas informáticos

Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

El estado del arte de la Seguridad Informática

Seguridad Informática con Software Libre

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Test de intrusión (Penetration Test) Introducción

Boletín informativo. Principales informaciones de INTECO entre el 22 y el 28 de febrero de 2013.

SEMANA 12 SEGURIDAD EN UNA RED

Ataques XSS en Aplicaciones Web

Seguridad TIC en la PYME Semana sobre Seguridad Informática

La Empresa en Riesgo?

Auditoría de Seguridad

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

ArCERT Jornadas de Seguridad Informática 2009

Tu Educación en Manos de Profesionales

Evolución de la seguridad en aplicaciones de comercio electrónico Dr. Gonzalo Álvarez Marañón

UNIVERSIDAD DE LA RIOJA

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Introducción a OWASP OWASP. The OWASP Foundation

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

DIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN

Qué son y cómo combatirlas

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

Resumen de los protocolos de seguridad del Registro Telemático

Seguridad & Hacking Actualización: Octubre 2013

Certified Professional Offensive and Defensive Security

Políticas de seguridad de la información. Empresa

3-ANÁLISIS DE VULNERABILIDADES

Pablo Albacete Cristina Elliott Fátima García Alba Molina Grado en Química

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Recomendaciones de Seguridad Red Social Twitter

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

FALSOS ANTIVIRUS Y ANTIESPÍAS

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

LOGO COLABORADOR

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Práctica de Seguridad en Redes

Calidad y Seguridad en la programación de aplicaciones

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus

Teléfono: Telefax:

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Seguridad de la Información & Norma ISO27001

White Paper Gestión Dinámica de Riesgos

Iván Daniel Fiedoruk 12 de Marzo de 2013 Buenos Aires - Argentina

Política de Control de Hojas de Cálculo. Prorrectoría

Taller Hacking for Forensics

Formamos líderes de Alto Nivel

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Ing. Nicolás Serrano

SAQQARA. Correlación avanzada y seguridad colaborativa_

Catalogo cursos de Seguridad Informática

Compras Seguras Online

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Nuevas formas de archivar documentos electrónicos

Día 1, Taller hacia un correo limpio y seguro

PLIEGO DE CONDICIONES TECNICAS

Ciber-ataques en la Industria y sus Oportunidades

NOTAS TÉCNICAS SOBRE EL SIT: Definición y Configuración de Usuarios

La importancia de las pruebas de penetración (Parte I)

Gastón Toth Lic. en Computación CEH Pentester

Política de uso del correo electrónico de la Universitat Oberta de Catalunya

Seguridad informática

Hacking Ético & Seguridad Ofensiva

Norma de uso Identificación y autentificación Ministerio del Interior N02

Transcripción:

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012

Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes y sistemas 1.La importancia de mantener los sistemas seguros 1. Contraseñas, acceso y el cifrado de datos 2.Las redes como vector de ataque 1. Cómo protegerlas 2. VPN s, IDS e IPS 3.Herramientas para la auditoría de sistemas 2

Índice 4. Seguridad Web. 1. Introducción a la Seguridad Web. 2. OWASP. 3. Vulnerabilidades Web hoy en día. 4. Procedimientos y técnicas de auditoría Web. 5. Herramientas para auditorías web 6. Plataformas de aprendizaje 7. Otras fuentes de información (concursos y retos) 5. Servicios de seguridad de INTECO 1. INTECO-CERT 2. OSI (Oficina de Seguridad del Internauta) 3

Seguridad a nivel de usuario 4

Seguridad a nivel de usuario Amenazas Malware SPAM Fraude Pérdida de privacidad 5

Seguridad a nivel de usuario Cómo protegernos Actualizaciones Contraseñas Navegación segura Herramientas de seguridad (antivirus, cortafuegos, etc.) Sentido común 6

La realidad de la seguridad: hackers Olvidar el 85% de lo que aparece en cine y TV No tienen nada que ver con la realidad. Ejemplos: Hackers (1995), Operación Swordfish (2001) o la jungla 4.0 (2007) 7

Qué es seguridad qué no es seguridad El trabajo de un experto en seguridad requiere: Investigación y análisis Seguir una metodología Generar y emitir informes Reportar a la dirección (gerencia de la empresa) Etc. 8

Seguridad en redes y sistemas 9

Seguridad en redes y sistemas La importancia de mantener los sistemas seguros: la información Información? Es un activo de información tangible o intangible que tiene valor para los procesos de un negocio y actividad Fuentes de información Tipo de información Ciclo de vida Es la protección de: Confidencialidad: Acceso a la información por perfiles adecuados Integridad: Datos y sistemas fiables y sin alteración de la información Disponibilidad: Datos y sistemas accesibles en todo momento 10

Seguridad en redes y sistemas Contraseñas y acceso Primera línea de defensa Trata de evitar accesos no autorizados La barrera no es infranqueable 11

Seguridad en redes y sistemas Cifrado de datos Otra línea de defensa Impide la lectura de información en caso de que el sistema haya sido comprometido Puede aplicarse al sistema completo (inicio del sistema - más seguro) 12

Seguridad en redes y sistemas Las redes como vector de ataque El siguiente punto a proteger Existen multitud de ataques que se pueden perpetrar sobre estas tecnologías La ausencia de seguridad implica la pérdida de disponibilidad 13

Seguridad en redes y sistemas Las redes como vector de ataque: Cómo protegerlas? Firewalls o cortafuegos Políticas de control de acceso WiFi..Evitar implementarlas si se desconoce cómo protegerlas de verdad. 14

Seguridad en redes y sistemas Las redes como vector de ataque: soluciones adicionales VPN s IDS IPS 15

Seguridad en redes y sistemas Herramientas para la auditoría de redes y sistemas Cain & Abel WireShark Metasploit FW Nmap Nessus AirCrack Snort 16

Seguridad WEB 17

Seguridad Web Introducción a la seguridad Web Problemática de seguridad en las aplicaciones Web Forman parte del perímetro de la empresa y organizaciones. Desarrollos sin visión de la seguridad. Aplicaciones cada vez más complejas y dinámicas. Resulta fácil atacar una aplicación. La seguridad en Internet no depende exclusivamente de la seguridad de las redes, sino también de las aplicaciones que residen en ellas La seguridad de las aplicaciones Web resulta muy importante y para ello debemos auditarlas y asegurarnos de que no suponen un riesgo para la organización ya que pueden ser un punto de entrada para otros ataques. 18

Seguridad Web OWASP: Open Web Application Security Project Qué es OWASP? Fundación sin animo de lucro. Creada en 2001. Independiente de los fabricantes. Formada por voluntarios. Objetivos: Promover la seguridad de las aplicaciones web. Buscar las causas de la inseguridad. Proporcionar soluciones a las amenazas. Crear herramientas, documentación y estándares. 19

Seguridad Web Vulnerabilidades Web: Vectores de ataque Peticiones Tipos de autenticación Gestión de sesiones Ataques de validación de entrada y salida 20

Seguridad Web Vulnerabilidades Web hoy en día: El Top 10 de vulnerabilidades de OWASP Inyecciones de código. Cross Site Scripting (XSS). Robo de credenciales de sesión o de control de acceso Manipulación de rutas a objetos. Cross Site Request Forgery (CSRF). Configuración defectuosa de seguridad 21

Seguridad Web Vulnerabilidades Web hoy en día: El Top 10 de vulnerabilidades de OWASP Almacenamiento criptográfico inseguro. Fallo en la ocultación de URLs de gestión. Comunicaciones por un canal inseguro. Redirecciones y reenvíos no validados. Versiones: 2004, 2007 y 2010 https://www.owasp.org/index.php/top_10_2010 22

Seguridad Web Procedimientos y técnicas Utilización de la herramienta adecuada para cada aplicación web. Metodología de auditoria. OWASP Testing. Web Application Penetration Checklist. OSSTMM. Chequear todos los resultados de las herramientas. Uso de herramientas para localización de URLs ocultas. Conocer en lo posible la aplicación. 23

Seguridad Web Procedimientos y técnicas Documentarse sobre las vulnerabilidades existentes. Uso de distintos patrones de los ataques XSS (Cross Site Scripting) Cheat Sheet - http://ha.ckers.org/xss.html Nmap Cheat Sheet - http://sbdtools.googlecode.com/files/nmap5%20cheatsheet%20esp%20v 1.pdf Captura de evidencias. No realizar denegaciones de Servicio. Uso de herramientas de aprendizaje como WebGoat o participación en concursos de hacking 24

Seguridad Web Vulnerabilidades más encontradas Vulnerabilidades de SQL inyection. Con obtención de usuarios y contraseñas. Incorrecto manejo de sesiones. Posibilidad de saltarse la autenticación y obtener una sesión privilegiada en la aplicación. Incorrecta configuración del servidor. Listado de directorios. Obtención de información sensible del servidor. Acceso a ficheros de logs. Versiones no actualizadas o con vulnerabilidades. Versiones de PHP, del gestor de contenidos, etc. 25

Herramientas de auditoría Web Aplicaciones comerciales Características comunes Propósito múltiple (no exclusivas por vulnerabilidad). Capacidad de auditoria ante cualquier tipo de aplicativo. Incorporan utilidades para pruebas manuales. Aspectos Configurables. Proporcionan abundante documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Un elevado precio. 26

Herramientas de auditoría Web Acunetix Web Vulnerability Scanner, IBM Rational Scan y HP WebInspect 27

Herramientas de auditoría Web Aplicaciones gratuitas Características comunes La mayoría son para un propósito especifico. Tienen limitaciones para algún tipo de aplicativo. Incorporan utilidades para pruebas manuales. Mayor capacidad de configuración. Proporcionan menos documentación. Suelen ser herramientas lentas. Tienen muchos falsos positivos. Son gratis. 28

Herramientas de auditoría Web WebScarab, Paros BurpSuit y w3af 29

Herramientas de auditoría Web Plataformas de aprendizaje: WEBGOAT https://www.owasp.org/index.php/proyecto_webgoat_owasp 30

Otras fuentes de información CONCURSOS Y RETOS Hack This Site http://www.hackthissite.org/ BadStore http://www.badstore.net/ 31

Servicios de INTECO 32

Servicios de INTECO-CERT Servicios de información Servicios de protección Servicios de formación Servicios de respuesta y soporte FORMACIÓN ON-LINE 33

Servicios de INTECO-CERT Toda la información en: Portal WEB de INTECO-CERT: http://cert.inteco.es Buzón de contacto: contacto@cert.inteco.es Buzón de incidentes: incidencias@cert.inteco.es Buzón de fraude electrónico: fraude@cert.inteco.es Buzón de asesoría legal: legal@cert.inteco.es Buzón de jornadas: jornadas@cert.inteco.es INTECO-CERT tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 34

Servicios de la OSI 35

Servicios de la OSI Toda la información en: Portal WEB de la Oficina de Seguridad del Internauta: http://www.osi.es Buzón de consultas: consultas@osi.es Soporte por Chat: www.osi.es/es/te-ayudamos/soporte-por-chat Teléfono: 901 111 121 La OSI tiene vocación de servicio público sin ánimo de lucro y ofrece sus servicios de forma totalmente gratuita 36

Muchas gracias Preguntas? 37

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback