introducion a "ethical hacker" y a la prevencion para la seguridad en la oficina

Aury M. Curbelo, PhDAury M. Curbelo, PhDacurbelo@gmail.com

Definir el concepto de “Hacker”Definir los tipos de hackers.D fi i l f i d lDefinir las funciones de los hackers.Describir las estrategiasDescribir las estrategias utilizadas para el robo de información.Describir las herramientas para la prevención del robo d f óde información.

Wikipedia (2008)◦ Hacker surgió de los programadores del

Massachusetts Institute of Technology (MIT), que en los años 60, utilizaban hacks, se llamaron a sí , ,mismos hackers, para indicar que podían hacer programas mejores y aun más eficaces, o que hacían cosas que nadie había podido hacerhacían cosas que nadie había podido hacer.◦ Los hackers no son piratas. Los que roban

información son los crackers.

http://es.wikipedia.org/wiki/Hacker

Wikipedia (2008)◦ Un cracker es alguien que viola la

seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión concracker realiza la intrusión con fines de beneficio personal o para hacer daño.

http://es.wikipedia.org/wiki/Cracker

BLACK HAT:◦ Es aquel individuo que utiliza sus conocimientos

l ó d lpara penetrar sistemas sin la autorización del dueño.◦ En algunos casos es causante de daños y perdidas g y p

severas. ◦ Algunos prefieren llamarlo cracker.

http://www.bsecure.com.mx/~conference/presentaciones/pdf/mente_rafanunez.pdf

WHITE HAT:◦ puede dedicarse a la penetración de sistemas.

La diferencia es que ahora trabaja con un código de◦ La diferencia es que ahora trabaja con un código de ética y con un contrato. ◦ Generalmente los whitehat vienen de dos ramas, los

reformados, o los educados desde cero. ◦ También llamados Ethical Hackers.

http://www.bsecure.com.mx/~conference/presentaciones/pdf/mente_rafanunez.pdf

De acuerdo a Claudio Caracciolo (2006)◦ La función del ethical hacker es hacer un análisis de

seguridad para las compañías, y a partir de ese análisis de seguridad entregarles un informe g gdetallado de las soluciones que la empresa puede implementar. ◦ Como ethical hacker no se le solucionan los◦ Como ethical hacker no se le solucionan los

problemas, solo se le muestra cuál es su nivel de exposición, sus vulnerabilidades y se le indica qué

l d h d é f j les lo que puede hacer y de qué forma mejorarlo. ◦ Se deja todo armado para que la compañía con su

equipo lo pueda organizar.

http://www.universia.edu.uy/index.php?option=com_content&task=view&id=1768

◦ Kevin Mitnick- El Departamento de J ti i fi él "th tJusticia se refiere a él como "the most wanted computer criminal in United States history.“

Adrian Lamo atacó Microsoft y elAdrian Lamo- atacó Microsoft y el New York Times. Usaba conecciones de Internet en coffee shops, Kinkos y Bibliotecas . Era conocido como "The Homeless Hacker".

http://faq.programmerworld.net/the-web/top-5-criminal-hackers.html

Jonathan James- a la edad de 16 años fue enviado a prisión, atacó el Departamento de Defensa de USA Con este ataque pudoUSA. Con este ataque pudo capturar usernames y password, además de correos electrónicos altamente confidenciales.Atacó a NASA y robó un software

$cuyo valor era de sobre $1.7 millones.

http://www.pbs.org/wgbh/pages/frontline/shows/hackers/interviews/anon.html

Robert Tappan Morris◦ Es hijo de un ex cientifico de la

Agencia Nacional de Seguridad de USA llamado Robert Morris. ◦ Es el creador del “Morris worm” ◦ “Morris Worm”- fue el primer

gusano reconocido que segusano reconocido que se propagado a través de la Internet.

•Fue la primera persona en ser llevada a juicio bajo el Acta deFue la primera persona en ser llevada a juicio bajo el Acta de “Computer Fraud and Abuse Act” del 1986. •Alrededor de 6,000 maquinas fueron afectadas.•Actualmente es profesor en MIT.p

http://www.pbs.org/wgbh/pages/frontline/shows/hackers/interviews/anon.html

Kevin Poulsen◦ Se le conoce como “Dark Dante”◦ Atacó las líneas de teléfono en

“Angeles radio's KIIS-FM”Angeles radio s KIIS FM ◦ Con está acción se ganó un

Porche. At ó l b d d t d l FBI◦ Atacó la base de datos del FBI◦ Ahora es editor de la revista

Wired.Su artículo más famoso fue cuando pudo identificar a 744 ofensores sexuales en los

fil d Mperfiles de Myspace. http://www.pbs.org/wgbh/pages/frontline/shows/hackers/interviews/anon.html

Susan Thunder◦ Era una experta en ingeniería social. ◦ Estuvo relacionada con Kevin Mitnick.◦ Su especialidad era atacar sistemas militares◦ Su especialidad era atacar sistemas militares. ◦ Estrategias

Conocía a los militaresSe acostaba con ellos y les roba la información. Obtuvo inmunidad para testificar encontra de Kevin Mitnick.Actualmente es una experta en seguridad.

http://home.c2i.net/nirgendwo/cdne/ch14web.htm

Raven Alder-◦ Fue la primera mujer en presentar en el “DefCon hacker

conference in Las Vegas” (http://www.defcon.org/ ) ◦ Se le conoce como “Chick Hacker”

Conocida por : Tracing spoofed distributed denialf i kof service attacks

Area(s) de expertise: ISP backbone networking, protocol decoding andprotocol decoding and design, Linux/BSD security, and cryptography

http://www.zdnet.com.au/insight/soa/Hackers-Under-the-hood/0,139023731,139116620-2,00.htm

S iScanningReconocimiento

Obteniendo acceso

Limpiando las huellas/evidencias

Manteniendo acceso

Reconocimiento Pasivo (footprinting)Reconocimiento Pasivo (footprinting)◦ –Whois◦ –Consultas DNS◦ – http://www.dnsstuff.com–Búsqueda de información en sitios web

Uso de Google como herramienta de◦ –Uso de Google como herramienta de reconocimiento◦ – http://www.google.com

Reconocimiento ACTIVO (scanning)◦ Fingerprinting –

NmapNmap◦ Scanning Web

(Nikto)D i ió d◦ Determinación de vulnerabilidades (Nessus, Retina)

http://www.darknet.org.uk/2006/04/top-15-securityhacking-tools-utilities/tools-utilities/

http://sectools org/http://sectools.org/

http://www.cirt.net/nikto2

http://www.nessus.org/nessus/

Footprinting◦ Metodología para obtener información.◦ Encontrar el URL de la compañía◦ Búsqueda de personas◦ Búsqueda de personas◦ “Competitive Intelligence”

¿Cuando la compañía comenzó? ¿Cómo se desarrolló?

Footprinting is the active blueprinting of the security profile of an organization. It involves gathering information about your customer's network to create a unique profilecustomer s network to create a unique profile of the organization's networks and systems.It's an important way for an attacker to gainIt s an important way for an attacker to gain information about an organization passively, that is, without the organization's knowledge.

http://searchsecuritychannel.techtarget.com/tip/0,289483,sid97_gci1235335,00.html

Identifying active machines, discovering open ports and access points, fingerprinting the operating system, and uncovering services on portsports.

http://searchsecuritychannel.techtarget.com/tip/0,289483,sid97_gci1235335,00.html

Check for live systems with a wide range of IP addresses

Check for open Ports

Fingerprint OS

D k diDraw network diagrams Of vulnerable hosts

Identify vulnerabilities of the OS:Identify vulnerabilities of the OS: Bypass proxies

Surf anonymouslySurf anonymously

Password Guessing Types of password attacksPassword Guessing Types of password attacks

T l f d tt k P d S iffi

Password cracking

Tools for password attacks Password Sniffing

E l i f P i ilPassword crackingcountermeasures

Escalation of Privileges

Execution of applicationsd l Execution of applicationsHiding Files

Covering TracksCovering Tracks

Password guessingTypes of password cracking and toolsPassword Cracking CountermeasuresPrivilege EscalationKeystroke Loggers ***Hidi FilHiding FilesSteganography ***Covering TracksCovering Tracks

Wikipedia (2008)◦ Un keylogger (registrador de teclas) es una

herramienta de diagnóstico utilizada en el desarrollo de software que se encarga de registrar q g glas pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a través de internettravés de internet.

http://es.wikipedia.org/wiki/Keylogger

HardwareSoftware

KeyGhost USB Keylogger

KeyShark Hardware Keylogger

http://www.scos.nl/pages/keyghost.htm

http://www.telephonecallrecorder.com/keykatcher-64k-p-46.html

www.keyghost.comTh H d K LThe Hardware Key Logger is a tiny hardware device that can be attached between a keyboard and abetween a keyboard and a computer.It keeps a record of all key strokes typed on thestrokes typed on the keyboard. The recording process is totally transparent to the endtransparent to the end user.

http://www amecisco com/downloadhttp://www.amecisco.com/downloads.htmIt is a desktop activity logger that is powered by a kernel mode driver. Thi d i bl it t il tlThis driver enables it to run silently at the lowest level of windows 2000/XP operating systems

http://www.keylogger.net/It is a stealth keylogger and invisible surveillance tool that records every keystroke to an encrypted log file The log file can be sentencrypted log file. The log file can be sent secretly with email to a specified address.

Picture Source:http://www.shareup.com/Ghost_Keylogger-screenshot-1672.html

www.spector.comSpector is a spy ware that records everything thatSpector is a spy ware that records everything that

one does on the internet.Spector automatically takes hundreds of snapshots

every hour, very much like a surveillance camera. S k b ki h f h iSpector works by taking a snapshot of whatever is

on the computer screen and saves it away in a hidden location on the systems hard drive.

www.spector.comIt shows what the surveillance target surfs on the internet and records allIt shows what the surveillance target surfs on the internet and records all e-mails, chats, instant messages, websites visited, keystrokes typed and automatically sends this recorded information to the desired email address.

http://www.waresight.com/local-keylogger.shtml

http://www.actualkeylogger.com/

http://www.infovis.net/printMag.php?num=101&lang=1

Wikipedia (2008)◦ La esteganografía es una disciplina que trata sobre

técnicas que permiten ocultar mensajes u objetos, dentro de otros, llamados portadores, de modo que , p , qno se perciba su existencia.

"Esteganografía es la práctica de esconder información sensible en algoEsteganografía es la práctica de esconder información sensible en algo que no parece diferente de lo habitual. A menudo se confunde con la criptografía, porque ambas son similares en cuanto que tratan de proteger información importante" Kriptopolisproteger información importante . Kriptopolis

http://www.kriptopolis.org/articulos/esteganografia

Image Hide es un programa para esconder imagénes.

http://www.dancemammal.com/imagehide.htm

http://www.techtv.comhttp://www.petitcolas.net/fabien/steganography/mp3stegp/index.html

MP3Stego es un programa estenográfico, que permite ocultar información escrita dentro de otros contenidos En su caso dentro deinformación escrita dentro de otros contenidos. En su caso dentro de archivos MP3.Para ello el programa oculta la información dentro de los archivos durante el proceso de compresión. La información oculta primero es comprimida posteriormente encriptada y finalmente incorporada alcomprimida, posteriormente encriptada y finalmente incorporada al archivo MP3 final.

http://www.darkside.com.au/snow/Snow is a whitespace steganography program that is used toSnow is a whitespace steganography program that is used to conceal messages in ASCII text by appending whitespace to the end of lines.Because spaces and tabs are generally not visible in text viewers the message is effectively hidden from casualviewers, the message is effectively hidden from casual observers. If the built in encryption is used, the message cannot be read even if it is detected.

http://www.netiq.com/support/sa/camerashyinfo.aspC Sh "l ú h áfCamera/Shy es "la única herramienta esteganográfica que

busca y presenta, de forma automática, contenido descifrado desde la Web“P i d i id lPermite acceder a ciertos contenidos que permanecen ocultos

para el resto de los navegadores. Estos contenidos debieron ser previamente ocultados por el

b t l i á if h bit l l iwebmaster en alguna imágenes gif habituales en cualquier página web. Los destinatarios ideales del programa son aquellos usuarios

fi l t t t f tifinales que se encuentren tras cortafuegos corporativos o nacionales y quieran establecer comunicaciones no censuradas son el exterior.

Los usuarios de Camera/Shy que desee acceder a los contenidos que otros hayan ocultado en suslos contenidos que otros hayan ocultado en sus páginas, deberá acceder a las URLs:Entrar la contraseña que el productor de la imagen le haya indicado (de hecho, la contraseña es doble.Camera/Shy presenta dos cajas de texto, una para introducir la contraseña en sí y otra para laintroducir la contraseña en sí y otra para la denominada "firma" -signature- recomendándose que se trate de palabras largas o frases completas,

d t l t ióen orden a aumentar la protección.

http://prdownloads.sourceforge.net/camerashy/CameraShy.exe?download

Es una herramienta en línea para enviar mensajes secretos dentro de una imagen.

http://www viciao2k3 net/services/cryptimg/http://www.viciao2k3.net/services/cryptimg/

http://www.outguess.org/download.php

Stegdetect es una herramienta queStegdetect es una herramienta que detecta la existencia de mesajes dentro de las fotosde las fotos.

http://www.sarc-wv.com/stegalyzeras.aspx

Más información y descarga de Spimage:h // hi k li i d /d l d /i d h lhttp://thinkalien.indo.ms/downloads/index.html

Software para ocultar solo mensajes, FREE Spy p j pyMessage:http://www.softwaredepo.com/spy-msg.html

Ocultar ficheros con técnicas de esteganografía.http://vtroger.blogspot.com/2006/09/ocultar-fi h t i d ht lficheros-con-tcnicas-de.html

http://vtroger.blogspot.com/2008/01/esteganografia-avanzada.html

Incapacidad para el manejo de información clasificadaclasificada. ◦ Si el personal no clasifica y maneja adecuadamente la

información, esto facilita la presencia de errores y ataques de ingeniería social.

Pérdida o destrucción de información clasificada. ◦ Se puede perder o dañar la información.Atrasos en proyectos relacionados a seguridad de

f óp y g

información. ◦ En estos días, la velocidad en los negocios es relevante.

Si a causa de una falta de concientización el personal no cumple con lo establecido en materia de seguridad escumple con lo establecido en materia de seguridad, es probable que los proyectos se retrasen impactando negativamente a la organización.

http://bsecure.com.mx/articulo-59-6626-381.html

Incapacidad para responder a incidentes.◦ No se debe improvisar ante los incidentes◦ No se debe improvisar ante los incidentes. ◦ Si no hay conciencia de los incidentes no se reportarán, lo

que hará que se eleven los riesgos.Desgaste del personal al no entender los beneficios. ◦ Si los empleados no entienden la importancia de la

seguridad, para el equipo de seguridad será una tarea complicada.

Todo tipo de impactos (financieros legales deTodo tipo de impactos (financieros, legales, de imagen, etc.) a la organización. ◦ Dependiendo de cada caso, podrían tratarse de impactos

mínimos, pero también podrían ser desastrosos, si se violara alguna ley o regulación que ocasione la pérdida deviolara alguna ley o regulación que ocasione la pérdida de una concesión o genere graves consecuencias para el futuro de la empresa.

http://bsecure.com.mx/articulo-59-6626-381.html

Desarrolle una cultura de seguridad.◦ Cursos cortos a sus empleados◦ Cartelones de información (Posters)◦ Protectores de pantalla (screen savers) con◦ Protectores de pantalla (screen savers) con

mensajes sobre seguridad.◦ Campaña por varios meses

l l◦ Incentivos y premios-reconocimiento al personal que asista a cursos.

http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=2358

1. El creciente uso de dispositivos móviles demandará mayor atención para proteger losdemandará mayor atención para proteger los datos que residen en ellos.

2. La necesidad de los usuarios por realizar transacciones bancarias a través de equipostransacciones bancarias a través de equipos móviles y por Internet exigirá a los bancos una mejor protección de los datos, en particular contra los ataques de phishing y de robo de id id didentidad.

3. Se requerirá mayor integración entre la seguridad física y electrónica (IT), mediante la incorporación de tecnologías de monitoreo sensorial y remotode tecnologías de monitoreo sensorial y remoto, sensores de movimiento, aplicaciones inteligentes de video, GPS y RFID.

http://bsecure.com.mx/articulo-57-6616-380.html

4. Los sectores público y privado establecerán controles más estrictos sobre los documentos y datos que enviarán de manera electrónica o por correo postalmanera electrónica o por correo postal.

5. El uso creciente de las redes sociales incrementará las posibilidades de queincrementará las posibilidades de que sucedan violaciones a la privacidad a través de sitios como Hi5, MySpace, , y p ,LinkedIn o Facebook.

http://bsecure.com.mx/articulo-57-6616-380.html