Hackers: ¿Quienes son? ¿Qué los motiva? ¿Cómo protegernos?

¿Quiénes son? ¿Cómo actúan? ¿Cómo protegernos?

Hackers

http://jfz.co

Juan Fernando Zuluaga C.

actualicese.com

INFORMACION CONTABLE Y TRIBUTARIA AL DIA

Temario

• Hackers, Crackers, Ciberterroristas… ¿de quienes debemos cuidarnos?

• ¿Cómo operan los ladrones en internet?• ¿Cómo protegernos?• Adenda:– ¿Cómo crear una contraseña imposible de

hackear?

¿Contra quién nos estamos

enfrentando?

Creemos que nos enfrentamos a esto…

Esto es más aproximado a la realidad

United Nations International Crime & Justice Research Institute

Cyber Crimes ProgrammesThe Hackers Profiling Project (HPP)

Perfil Rango Impacto Objetivo

PrincipiantesAmateur

Nulo Usuario Final

Programador principiante Bajo Pymes Fallos

específicos

Cracker

Hobbie

Medio Alto Empresas

Hacker Ético Medio Clientes Tecnologías específicas

Hacker silencioso - paranoico Medio Alto Mientras lo necesite

Hacktivistas Alto Compañías emblemáticas Gobiernos

CiberGuerreros

Profesional

Alto Compañías emblemáticas Usuario Final

Espía Industrial Alto Empresas Corporaciones

Gobierno /Militares Alto Gobiernos y

compañíasTerroristas e Individuos

El Principiante“Quiero ser un hacker, pero aún no sé lo suficiente”

El Principiante“Quiero ser un hacker, pero aún no sé lo suficiente”

Características 9 – 16 años

¿Trabaja en Grupo? Sí

Ataca a… Usuarios Finales

Motivación Por moda, “es chévere” -> para fanfarronear

¿Sigue la “Ética Hacker”? No. No conocen sus principios.

¿Daña sistemas? Si, voluntariamente o no

¿Se considera a sí mismo un criminal?

Si, pero creen que jamás serán capturados

Programador“Quiero desahogarme y ganar notoriedad”

Programador“Quiero desahogarme y ganar notoriedad”


¿Trabaja en Grupo? Sí, pero actúan solos

Ataca a… Pequeñas empresas y fallos globales específicos

Motivación Para ventilar su rabia / atraer atención de los medios

¿Sigue la “Ética Hacker”? No. Crean su propia ética.

¿Daña sistemas? No, pero borran y modifican datos.

¿Se considera a sí mismo un criminal? Sí, pero justifican sus actos.

CrackerEl destructor, tierra arrasada

CrackerEl destructor, tierra arrasada


¿Trabaja en Grupo? No. Actúan solos.

Ataca a… Compañías

Motivación Para demostrar poder/ atraer atención de los medios

¿Sigue la “Ética Hacker”? No. Para ellos, la ética hacker no existe.

¿Daña sistemas? Si. Siempre y voluntariamente.


Sí, pero tiene bases morales para justificarse.

Hacker ÉticoEl hacker de sombrero blanco

Hacker ÉticoEl hacker de sombrero blanco


¿Trabaja en Grupo? Rara vez

Ataca a… Proveedores de tecnología

Motivación Por curiosidad (para aprender)/ propósitos altruistas

¿Sigue la “Ética Hacker”? Si. Y la defienden.

¿Daña sistemas? Nunca. Puede pasar pero incidentalmente.


Sí, pero consideran sus actividades moralmente aceptables.

Hacker Silencioso y ParanoicoUn atacante muy especializado y peligroso

Hacker Silencioso y ParanoicoUn atacante muy especializado y peligroso


¿Trabaja en Grupo? No.

Ataca a… Depende de su antojo

Motivación Por curiosidad (para aprender)/ propósitos egoistas

¿Sigue la “Ética Hacker”? No. Tienen su propia ética hacker (que coincide bastante con la real)

¿Daña sistemas? No.


Sí. Pero se sienten culpables con sus víctimas y a los técnicos a los cuales

afectaron.

HacktivistasAnonymous – Luchan por una causa

Gobierno de Siria Sony Playstation Network

HacktivistasAnonymous – Luchan por una causa


¿Trabaja en Grupo? Sí.

Ataca a… Compañias emblemáticas / Gobiernos

Motivación Política

¿Sigue la “Ética Hacker”? No, pero la entienden y la tratan de implementar pero no pueden.

¿Daña sistemas? Sí.


Sí. Pero creen que nunca serán capturados.

CiberdelincuenteEstá detrás de dinero

CiberdelincuenteEstá detrás de dinero



Ataca a… Compañías emblemáticas / usuarios finales

Motivación Ganancias

¿Sigue la “Ética Hacker”? No

¿Daña sistemas? Sí. Y también borran/modifican/roban datos.

¿Se considera a sí mismo un criminal? Sí. Pero lo hacen sin escrúpulos.

Espía Industrial

Espía Industrial



Ataca a… Grandes compañías

Motivación Ganancias

¿Sigue la “Ética Hacker”? No, pero siguen unas reglas “tácitas” de negocios.

¿Daña sistemas? No. Sólo roban y venden datos.

¿Se considera a sí mismo un criminal? Sí. Pero lo hacen sin escrúpulos.

Agente del Gobierno / Hacker MilitarCIA, Mossad, FBI, etcétera

Agente del Gobierno / Hacker MilitarCIA, Mossad, FBI, etcétera



Ataca a… A cualquiera. Otros gobiernos, empresas o individuos.

Motivación Espionaje / Contraespionaje / Test de vulnerabilidad / Monitoreo

¿Sigue la “Ética Hacker”? No. De hecho, traicionan la ética hacker.

¿Daña sistemas?Si (incluyendo

borrado/modificación/robo de datos) / NO cuando es encubierto


No lo son, dado que trabajan para el mismo gobierno.

Los que nos roban los datos son los

Ciberdelincuentes

Pero ellos no son quienes nos sacan el dinero de la cuenta

Dimitry Golubov• Alias SCRIPT• Nacido en

Odessa, Ucrania, en 1982.

• Desarrolló sus actividades en el puerto del Mar Negro durante la década del 90

Renukanth Subramaniam• Alias JiLsi• Nacido en

Colombo, Sri Lanka.

• Fundador de Darkmarket

• Preso en Londres. Sale en 2012.

Markus Kellerer• Alias Matrix001• Nacido en

Alemania• Administrador de

Darkmarket• Clase media-alta,

familia tradicional

Max Butler• Alias Max Vision /

Iceman• Nacido en Meridian

/ Ohio• Trabajaba en Santa

Clara/ California para una empresa y el FBI

• Descubrió un hueco de seguridad pero dejó un backdoor.

Adewale Taiwo• Alias FeddyBB• Nacido en Abuja/

Nigeria• Era un gran

Ingenierio Químico

• En forma clandestina robaba Tarjetas de Crédito

Cagatay Evyapan• Alias Cha0• Nacido en

Ankara/ Turquía• Experto en

Ingeniería Social• Infraestructura

avanzada (incluso para gobiernos)

¿Qué tienen en común estos hackers?

El síndrome de Asperger

Simon Baron-Cohen

• Profesor en sicopatología del desarrollo

• Universidad de Cambridge

• Estudioso del autismo• Diagnosticó a varios

hackers con el Sindrome de Asperger

Conclusión preliminar:

Quienes roban nuestros datos no necesariamente son

quienes roban nuestro dinero

¿Cómo lo hacen?Las 4 formas como los

ciberdelincuentes roban nuestros datos

Ataques de fuerza

brutaEncontrar vulnerabilidades probando

todas las combinaciones posibles

Los ataques de fuerza bruta son raros…

• … pero aún se usan para romper claves fáciles de adivinar

• Una clave corta con sólo números puede ser crackeada en cuestión de minutos.

• Una clave con letras y números de 16 dígitos puede tomar millones de años en ser crackeada con este método.

¿Cuánto se demorarían en crackear mi clave? (probemos una fácil)

http://howsecureismypassword.net/

casa1234

3 horas(muy fácil de adivinar)

¿Cuánto se demorarían en crackear mi clave? (ahora, una de 16 dígitos)

http://howsecureismypassword.net/

micasaesmuybonita

143 millones de años (!!!!)

Aplique el sentido común: ¿usaría una llave así para su auto?

Conclusión: Para evitar los ataques de fuerza bruta, escoja

una clave larga

Software malicioso

Troyanos, Keyloggers, Software espía

Troyanos

• Software que se instala en nuestro computador

• Se pueden instalar sin darnos cuenta

• La mayor fuente de troyanos son las descargas de websites poco confiables

Keyloggers

• Software que graba todo lo que vamos escribiendo en el computador y lo envía al hacker

• Se enfoca en conseguir emails, contraseñas y números de tarjetas de crédito

Software Espía

• Programas que graban toda nuestra actividad en el computador: programas, websites visitados, claves digitadas…

• Al igual que los troyanos y los keyloggers, se instalan sin que nos demos cuenta

Consejos: 1. No bajar software de fuentes desconocidas.

2. Instalar un buen antivirus.

3. No abrir adjuntos sin verificar.

Engaños

Phishing, Correos Mentirosos, websites fachada, falsos premios

Phishing

• Recibimos un correo MUY PARECIDO al del banco

• En él se nos pide hacer click en algún enlace

• Dicho enlace lleva a un website fraudulento donde nos roban la clave

Consejos para evitar el Phishing

1. Nunca entrar a la página de un banco utilizando un enlace. SIEMPRE DIGITARLA.

2. Siempre chequear el candado cuando esté digitando información como Tarjeta de Crédito.

3. Si tiene dudas, diríjase a http://www.delitosinformaticos.gov.co

Correos de mentiras

• Bill Gates NO ESTÁ REPARTIENDO su fortuna• Hotmail NO SE VA A CERRAR• Ningún Príncipe de Nigeria necesita

su cuenta para consignarle 21.5 millones de dólares

Ingeniería Social

Te investigan hasta que dan con tus datos o con la forma de sacártelos

Así operan…

• Siempre tienen un pretexto para contactarnos• Nos solicitan amistad vía Redes Sociales• Generan un vínculo• Tienen paciencia• Su discurso está muy bien estructurado• De alguna forma, terminan pidiéndonos datos

adicionales.

Si he sido víctima de ciberdelincuente… ¿qué hacer?

Denuncie en http://delitosinformaticos.gov.co/node/20

Para denunciar, recuerde:

• Tomar fotos a su pantalla (utilice la tecla PRT-SCRN en Windows)

• Guardar todos los correos usados• No borre el historial del navegador de Internet• Documente bien el caso: llamadas, horas de

contacto con el victimario, detalles de su comunicación con él.

Importante: Las transacciones virtuales

llegaron para quedarse

No podemos dejar de usarlas por miedo. Es preferible aprender y

perderle el miedo.

Antes de terminar…

¿Cómo hacer una contraseña segura?

Simple:Busque una foto divertida y extraiga 4

palabras sobre ella

*Esta es una adaptación de la genial idea de XKCD.com

http://xkcd.com/936/

metro rojo china volando

Veamos qué tan segura es…

Esto indica que un ataque de “fuerza bruta” vía Internet tomaría 1.02 millones de trillones de trillones de siglos para adivinar su contraseña!

Veamos otros…

oso afanado amarillo taxi

Esto indica que un ataque de “fuerza bruta” vía Internet tomaría 60 millones de trillones de trillones de siglos para adivinar su contraseña!

2 pasos para crear su contraseña de 4 palabras aleatorias

1. Busque una imagen graciosa

(puede usar http://jfz.tumblr.com )2. Compruebe que es segura en

http://howsecureismypassword.net

http://jfz.co

Juan Fernando Zuluaga C.

¿Quiénes son? ¿Cómo actúan? ¿Cómo protegernos?

Hackers

Hackers: ¿Quienes son? ¿Qué los motiva? ¿Cómo protegernos?

Technology

Transcript of Hackers: ¿Quienes son? ¿Qué los motiva? ¿Cómo protegernos?