Héctor López Fundador de la OMHE, Miembro de IAPP, ISACA, ACFE,

OPSEC, ACM, Antiphishing Working Group, ISSAhl@omhe.org

Disclaimer

• La presentación se brinda con fines de aprendizaje para desarrollar la cultura en seguridad informática y ayudar a prevenir los delitos informáticos en el País.

• La OMHE no se hace responsable del mal uso que se los asistentes puedan darle a la información.

Definir Riesgo Informático

• Riesgo es la capacidad de que una vulnerabilidad informática pueda ser explotada con éxito y esto cause pérdida, robo ó alteración de los activos de la empresa u organización.

• Riesgo es la probabilidad de que un incidente ocurra y esto pueda transformarse en un ataque al hardware , software ó humanware.

Activos a proteger

Servidores Computadoras escritorio Laptops y PDAs Switches y Routers Application software Development Tools Source Code VPN Access Backup Tapes

Email Integridad de información Todos los archivos en el

servidor Información del cliente Nodos de red DHCP Disponibilidad del sitio web Reputación Moral de los empleados

Antecedentes• Economía del hacking - El que sea más difícil de

hackear se salva. Analogía: Si te encuentras un oso en el bosque no necesitas correr más fuerte que el oso, solo correr más que tus compañeros.

• Stuxnet: Malware dirigido a atacar sistemas industriales, PLC, SCADA. Ej: Plantas de energía nuclear, sistemas de luz eléctrica.

• La economía actual se basa más en un sistema númerico que en una moneda física.

• Aplicaciones Bancarias 10 Millones lineas de código según Web Application Security Consurtum

Activos a proteger

Amenaza

Daños Potenciales

Attempts toaccess privateinformation

Fraude

AtaqueMalicioso

Delitos

Desastre Natural Sabotaje

Error de Usuario

Pérdida de la confidencialidad

Operación crítica detenida.

Publicación de información sensible

Servicio Interrumpido

Falla al cumplir con la calidadde servicio del contrato

Pérdida de activos Reportes alterados

LAN Y WAN

Un ataque siempre necesita de una víctima.

Los ataques se dan por diferentes motivos

generalmente buscando un beneficio económico.

Las empresas guardan su información en ambientes mixtos lo cual facilita al atacante la posibilidad de abusar de múltiples vulnerabilidades en:

1.- IP’s2.- Servicios: HTTP, DNS, DHCP, FTP.3.- Bases de datos.4.- Sistemas Operativos.5.- Hardware.

Para ganar acceso a un sistema ya sea este local ó remoto el proceso existe en encontrar un EXPLOIT ó desarrollarlo para explotar una vulnerabilidad en un servicio ó software existente.

Una vez que se obtiene un acceso lo que necesitamos es mantenerlo y escalar los privilegios en caso de no tener permisos de r00t.

Podemos desactivar las defensas de la víctima con el fin de penetrar con más poder: AV’s, Firewalls, IDS, IPS, verificadores de integridad de archivos, etc...

Al realizar un ataque con éxito debemos de borrar los logs en caso de que nuestro objetivo sea realizar un ataque invisible.

Algunas veces el objetivo de los

atacantes es utilizar nuestros recursos para una botnet controlada

por IRC ó la instalación de malware.

Cuando se realiza un sabotaje muchas veces solo les

bastará con destruir toda la información

del servidor.

Cuidado! Puedes ser un zombie y no saberlo.

Manejo de riesgos:

Políticas funcionales

Procedimientos Estandares Lineamientos Reglamento

Leyes, Regulaciones, Requerimientos, Metas y Objetivos

Políticas de la Organización

Esquema de seguridad en una aplicación web.

SCADASCADA stands for supervisory control and data acquisition. It generally refers to industrial control systems

Cyberwarfare

HOW TO ?

• Quién es más culpable? El que crea el arma, el que la usa ó el que la vende ? Es difícil llegar a una conclusión.

• Las herramientas de hacking pueden ser consideradas como armas literalmente.

• Las herramientas de seguridad informática necesitan ser reguladas de la manera correcta.

• Debemos de prohibir los recursos a este tipo de personas que no tienen conciencia sobre el daño que pueden causar.

• LEYES: Hacking Law 202c implementada en Alemania.

Qué es Backtrack 5 ?

Hacking Toolkit

Basada en

Backtrack 5 T00lKit

Aprender hacking sin problemas legales.

Conclusiones

• La seguridad NO es un producto - Es un PROCESO e involucra personas.

• Hay que ser preventivos en lugar de ser correctivos

• Liberar nuestras mentes e impulsar el Software Libre es la única solución en México para salir de la esclavitud.

RIP - Steve Jobs :(

Agradecimientos:

Héctor López VAMOS JUNTOS POR UN MÉXICO MÁS SEGURO

Libertad, Igualdad y Fraternidad :.hl@omhe.orgtwitter: hlixaya

www.omhe.org