Hackers
HACKERS: UNA AMENAZA INVISIBLE Msc. Ing. Juan Pablo Barriga Sapiencia “A un buen hacker lo conocen todos, al mejor no l
Views 205 Downloads 3 File size 1MB
Recommend stories
- Author / Uploaded
- Juan Carlos Velarde-Alvarez Mansilla
Citation preview
HACKERS: UNA AMENAZA INVISIBLE Msc. Ing. Juan Pablo Barriga Sapiencia
“A un buen hacker lo conocen todos, al mejor no lo conoce nadie”
HTTP://WWW.INFORMADOR.COM.MX
TIPOS DE HACKERS (CEHV7)
Cuenta con más de 25 años de experiencia en el mundo de la seguridad informática, en el que aprendió de forma autodidacta a descubrir las vulnerabilidades de los complejos sistemas operativos y dispositivos de telecomunicaciones.
Su 'hobbie', que consistía en estudiar métodos, tácticas y estrategias para burlar la seguridad infomática, le llevó a pasar una larga temporada en la cárcel en los años 90. Tras esta negativa experiencia, creó su propia empresa dedicada a la consultoría y asesoramiento en materia de seguridad.
"Hago craking todos los días, pero ahora con permiso y además me pagan".
La principal amenaza se encuentra en los dispositivos móviles. Por ejemplo, el entorno de los Android tiene aspectos peligrosos. Es una amenaza en sí mismo.
Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores
Todos son vulnerables. Lo importante es que se actualicen. Microsoft no es más vulnerable pero sí más apetitoso. Un ataque a un sistema que usan muchas personas tiene más relevancia.
KEVIN MITNICK – CONDOR
Kevin Poulson Poulson logró fama en 1990 por hackear las líneas telefónicas de la radio KIIS-FM de Los Angeles, para asegurarse la llamada número 102 y ganar así un Porsche 944 S2. Fue apresado tras atacar una base de datos del FBI en 1991. Hoy es periodista y editor de la revista Wired y en 2006 ayudó a identificar a 744 abusadores de niños vía MySpace.
Adrian Lamo Conocido como “El hacker vagabundo” por realizar todos sus ataques desde cibercafés y bibliotecas. Su trabajo más famoso fue la inclusión de su nombre en la lista de expertos de New York Times y penetrar la red de Microsoft. Actualmente trabaja como periodista.
Stephen Wozniak Comenzó su carrera como hacker de sistemas telefónicos. Más tarde formó Apple Computer con su amigo Steve Jobs y en hoy apoya a comunidades educativas de escasos recursos con moderna tecnología.
Loyd Blankenship - El mentor Era miembro del grupo hacker Legion of Doom, que se enfrentaba a Masters of Deception. Es el autor del manifiesto hacker “La conciencia de un hacker” que escribió en prisión luego de ser detenido en 1986. Actualmente es programador de videojuegos.
Sven Jaschan Creador del virus Sasser, quien fue detenido en mayo de 2004 tras una denuncia de sus vecinos que perseguían la recompensa incitada por la empresa Microsoft, ya que el virus afectaba directamente la estabilidad de Windows 2000, 2003 Server y Windows XP.
Alexei Belán. Según informó el FBI, Belán tiene entre su curriculum delictual el haber hackeado entre enero del 2012 y abril del 2013 las redes de computadores de tres grandes tiendas de internet en los estados de Nevada y California. Asimismo, Belán es sospechoso de robar una enorme base de datos con información sobre millones de usuarios, así como sus datos personales incluyendo contraseñas. Tras aquello, el agresor la subió a su servidor y comenzó a buscar compradores
http://en.wikipedia.org/wiki/List_of_hackers
Retos e innovación
Intereses económicos
Conocimiento
Vandalismo
Notoriedad
Hacking Ético
…
Hacktivismo???
MOTIVACIONES
“Lejos quedó la época en la que los hackers, crackers y cibercriminales buscaban la fama –ahora hay nuevos actores. Es importante entender el cambio en los motivos que les llevan a actuar y los perfiles, ya que dictan lo que cada tipo de hacker es en última instancia, a quién se dirigen y cómo intentan hacer negocio”, apunta Corey Nachreiner, director de estrategia de seguridad de WatchGuard
Que dice la Wikipedia:
Hacktivismo (un acrónimo de hacker y activismo) se entiende normalmente "la utilización no-violenta de herramientas digitales ilegales o legalmente ambiguas persiguiendo fines políticos. Estas herramientas incluyen desfiguraciones de webs, redirecciones, ataques de denegación de servicio, robo de información, parodias de sitios web, sustituciones virtuales, sabotajes virtuales y desarrollo de software".1 A menudo se entiende por la escritura de código para promover una ideología política, generalmente promoviendo políticas tales como la libertad de expresión, derechos humanos y la ética de la información. Los actos de hacktivismo son llevados a cabo bajo la creencia de que la utilización del código tendrá efectos de palanca similares al activismo regular o la desobediencia civil. Se basa en la idea de que muy poca gente puede escribir código, pero el código afecta a mucha gente.
HACKTIVISMO
LulzSec Riéndose de tu seguridad desde 2011!” responsable de varios ataques de alto perfil, incluyendo el robo de más de 1.000.000 de cuentas de usuario de Sony en 2011, que según anuncia la compañía, nada más fueron 37,500 cuentas. www.lulzsecurity.org
Anonymous El conocimiento es libre Somos Anónimos Somos Legión No perdonamos No olvidamos ¡Esperanos!
http://en.wikipedia.org/wiki/List_of_hacker_groups
HACKERS GROUPS
¿COMO LO HACEN?
Reconocimiento (Activo Pasivo)
Escaneo
Acceso
Mantener el Acceso
Borrar Huellas
FASES DE UN HACKEO
No tengo secretos que ocultar.
La seguridad no me permite mantener el buen rendimiento mis sistemas.
Ética profesional
Desconocimiento
Con un firewall y un antivirus ya esta listo (y no son originales)
Configuración por defecto
PROBLEMAS SEGURIDAD
Google, Bing
Taringa!
Zero Day
Scribd
Facebook
Contraseñas débiles
Slideshare
Software GFI Languard, Acunetix, etc.
Información etiquetada como “Confidencial” “Secreto”
PROBLEMAS DE SEGURIDAD
Inglés
Programación
Redes
S.O.
Hacking
Seguridad Informática
Seguridad de Información
Auditoría de Sistemas
Informática Forense
¿QUE DEBO SABER?
Análisis de vulnerabilidades
Test de Penetración
Hacking Ético
Identificación de Puertos Abiertos y Servicios
Tiene un objetivo definido
Todo es un objetivo
Vulnerabilidades conocidas (Aplicación y S.O.)
Se tiene en cuenta el entorno (IDS, Firewall, ISP)
Ataques de ingeniería social y DDoS
Clasificación de Vulnerabilidades
Busca comprometer el sistema objetivo
Mas complejidad y profundidad en el análisis
No hay explotación de vulnerabilidades, ni intrusión en el sistema.
Hay explotación de vulnerabilidades e intrusión en el sistema objetivo.
Hay explotación de vulnerabilidades e intrusión en el sistema objetivo.
TIPOS DE ANÁLISIS
Reconocimiento Pasivo Ingeniería Social, Google hacking, Facebook, etc.
Reconocimiento Activo Nmap
Análisis de Vulnerabilidades Acunetix, GFI Languard, Nessus
Explotación de Vulnerabilidades Exploits, Claves débiles, configuración por defecto.
Presentación de Informe
FASES DEL ANÁLISIS DE SEGURIDAD
Datos
Aplicación
Equipo
Red Interna
Perimetro Lógico
Perímetro Físico
Controles Administrativos
DEFENSA EN PROFUNDIDAD
C
Confidencialidad
Integridad
Disponibilidad
I
¿POR QUÉ ES TAN DIFÍCIL?
D
Leyes y regulaciones
Evolución de la tecnología
Crecimiento de las estaciones de trabajo
Complejidad en la administración de los sistemas
Mantener todo actualizado
Virus nuevos
Zero day Exploits
……………
¿POR QUÉ ES TAN DIFICIL?
http://actualidad.rt.com/actualidad/view/107732-japon-hackersjovenes-ciberguerra
CIBERGUERRA
EVENTOS – CONCUROS -HACKMEETING
Hasta la próxima
GRACIAS
DEFACEMENT HTTP://ZONE-H.COM/ARCHIVE