¡Para detener al Hacker hay que pensar como él!

Conferencia en UNITEC, enero de 2005

Alejandro Domínguez (alexdfar@yahoo.com)

Jaime Devereux (CEH)

Santiago Monterrosa (CEH)

Ethical Hacking &

Contramedidas

www.unitec.mx

Objetivos y temas a tratar en la plática

Objetivos

Mostrar qué se está haciendo para evaluar la seguridad de las

redes corporativas utilizando los servicios de un Hacker Ético

Dar una perspectiva general sobre los riesgos actuales en la

seguridad de TI

Proveer algunos lineamientos para mejorar la seguridad de TI

Demostrar lo sencillo y peligroso que puede ser el hackeo …

Temas

Parte 1: ¿Un Hacker Ético?

Parte 2: Hackear o no hackear ...

Parte 3: EC Council y Certified Ethical Hacker

Parte 4: Sesión de preguntas y ¿respuestas?

Parte 1: ¿ Un Hacker Ético ?

Introducción

Todos los días, penetran intrusos a las redes y

servidores de todo el mundo

El nivel de sofisticación de estos ataques es muy

variable

Se cree que la mayoría de los ataques se deben a

passwords débiles

Aunque muchas de las intrusiones utilizan técnicas

más avanzadas

Este último tipo de ataques, por su propia naturaleza,

son difíciles de detectar

Algunas estadísticas

El 90% de las redes en empresas y

los gobiernos tuvieron violaciones

de seguridad informática en 2002

El número de ataques y las

consecuentes pérdidas, son mucho

mayores que lo que se reporta en

los medios

La mayoría de los incidentes se

ocultan para proteger la reputación

de las empresas

Aun las empresas que contratan

investigadores, no permiten que

nadie externo a la organización sepa

la cuantía de los daños causadosFuente: 2002 CSI/FBI Computer Crime and Security Survey

Más estadísticas

Empresas del Fortune 1,000 perdieron más

de 45,000 MDD por robos de información en

2002

La mayoría de los ataques fueron a

empresas de tecnología

67 ataques individuales promediaron 15 MDD

en pérdidas

Se estima que el virus LoveLetter causó

daños por 10,000 MDD

Los daños reportados del virus Melissa

fueron de 385 MDD

El costo de los desastres por virus está entre

US$100,000 y US$1 millón por empresaFuente: ICSA.Net, 23 October 2000, http://www.securitystats.com/reports.asp , Computer Virus Prevalence Survey

Amenazas a los datos

Las amenazas provienen de:

Personal interno

El personal interno es el más peligroso pues

conoce bien el ambiente

Hackers/Crackers

Los Hackers/Crackers pueden entrar a los

sistemas sólo para explorar la infraestructura

o pueden hackear por razones maliciosas

Espionaje industrial

El espionaje industrial comprende obtener

información confidencial de corporaciones o

entidades gubernamentales para el beneficio

de terceros

Código malicioso

Tipos de ataque

Ataques externos

por Internet Ataques internos

por la Intranet

59% de los ataques se hacen por Internet38% de los ataques los hacen empleados internamente

Compañía

Entablar amistad con alguien interno

Los hackers intentan trabajar con

alguien interno o infiltrar a alguien

en la organización

Un análisis del Departamento del

Tesoro de USA indica que más

del 60 por ciento de las

intrusiones reportadas involucran

a alguien dentro de la empresa

La función de la persona interna

infiltrada es encontrar alguna

debilidad desconocida para los

administradores del sistema

Ataques externos más frecuentes

Existe un mayor uso de Internet

Las técnicas y herramientas que se crean día a día permiten de nuevas oportunidades de ataque

Source: 2000 CSI/FBI Computer Crime and Security Survey

Frequent Points of Attack

38

59

0 20 40 60 80

Internal

systems

Internet

connection

Percent of respondents

password

guessing

self-replicating

code

password

cracking

exploiting

known

vulnerabilities

disabling

audits

back

doors

hijacking

sessions

sniffer /

sweepers

stealth

diagnostics

packet forging /

spoofing

GUI

Herramientas de hackers

Intruso

promedio

1980 1985 1990 1995

Co

mp

leji

dad

téc

nic

a re

lati

va

Fuente: GAO Report to Congress, 1996

Evolución de herramientas de ataque

La tendencia continua

Windows

Remote

Control

Stacheldraht

Trinoo

Melissa

PrettyPark

1998 1999 2000

?

DDoS Insertion Tools

Herramientas

de hackers

Kiddie

Scripter

2001

Co

mp

leji

dad

téc

nic

a re

lati

va

Parte 2: Hackear o no hackear …

Habilidades de los hackers

Un hacker capaz tiene los siguientes conocimientos:

Ingeniería de Internet

TCP/IP, NFS, Redes inalámbricas, GPRS

Administración de sistemas

Windows 2000, Linux, Solaris, Palm OS etc.

Administración de redes

SNMP, Tivoli, HP OpenView, Switches, Routers etc.

Ingeniería en reversa

Decompilers, circuit breakers

Computación distribuida

J2EE, RPC, Corba, Web Services

Criptografía

SSL, PKI, Certificados digitales

Ingeniería Social

Convencimiento, seducción, simpatía, engaño, etc.

Programación

C++, Java, Perl, JavaScript, HTML, ASP

Bases de datos

SQL Server, Oracle, DB2, MySQL

Herramientas de Hacking

Hay herramientas disponibles en muchos sitios Web disfrazados

Las herramientas son cada día

más sofisticadas y poderosas

en cuanto a:

Eficiencia

Distribución

Furtividad

Automatización

Facilidad de uso

Sitio Hacker Underground www.cleo-and-nacho.com

Hacer Clic aquí

Los sitios/portales

Su sitio/portal no necesita ser tan famoso como Yahoo o eBay para que sea atacado

Los hackers

Necesitan un lugar para ocultar su

rastro

Necesitan tu máquina como

trampolín para atacar otros sitios

Necesitan de diversos recursos

para llevar a cabo sus actividades

En Google …

Se pueden bajar herramientas de hacker fácilmente de Internet

La funcionalidad de las herramientas

se incrementa día a día

El conocimiento de los hackers

disminuye

El número de hackers aumenta

Algún día hasta un niño de primaria

podrá meterse a sus sistemas

Las amenazas

Las herramientas de hackeo son cada vez más sofisticadas y poderosas en términos de

Eficiencia

Formas de ataque

Camuflaje

Facilidad de manejo

Amigabilidad

The Threats

Las amenazas

Las debilidades en seguridad de tus equipos se pueden identificar con herramientas de escaneo

La seguridad de cualquier red en Internet

depende de la seguridad de todas las demás

redes

Ninguna red es realmente segura

Cómo se meten

Pasos generales

Localizan una víctima mediante

un programa de escaneo

Identifican la vulnerabilidad del

equipo de la victima

Atacan la máquina host de la

victima por medio de las

vulnerabilidades identificadas

Establecen una puerta trasera,

para poder tener acceso en el

futuro

Prevención General

Pruebe e instale service packs y hotfixes

Corra y mantenga el software antivirus

Instale un sistema de detección de intrusos en el

perímetro de la red

No dejar pasar mensajes con extensión *.exe,

*.vbs o *.dll en archivos adjuntos

Reinstale los sistemas infectados

¿ Cómo se infectan los sistemas?

Caballos de Troya

Animaciones

Screen savers

Video juegos

Política:Controlar elcódigo maligno enel equipo de losusuarios

Inserción manual

● Compartiendo información

● Acceso físico

Todos estamos en esto juntos

UsuariosProveedores

de

Servicios

Proveedoresde Softwarey Equipos

Seguridad de laRed

Parte 3 EC Council y Certified Ethical

Hacker

¿Qué es un Ethical Hacker?

Es un profesional de seguridad que busca

constantemente enriquecer su conocimiento y

experiencia

Se forma a partir de conocimientos y bases

sólidas de seguridad

Queda respaldado por la industria no solo con

base en su experiencia o el conocimiento teórico,

sino por una certificación (Certified Ethical

Hacker, EC Council)

¿Qué no es un Ethical Hacker?

No es un hacker improvisado

No se dice experto para ser luego un adorno más

en su vitrina de trofeos

No es un individuo que cambia de carrera para

convertirse en EH de la noche a la mañana

No esta atado a una tecnología o herramienta

específica

¿Cómo ayuda un EH a la organización?

Un EH certificado reconoce el valor de su

conocimiento

Constantemente aprende medidas preventivas

para proteger tus activos de información

Aboga por las mejores prácticas y medidas de

solución en seguridad de sistemas informáticos a

partir de su conocimiento

Utiliza una metodología dinámica que se adapta

a la realidad del mundo

Certificación de seguridad – CEH

¿ Qué hacer ?

Identifique a la gente adecuada

Involúcrelos en las Políticas de Seguridad

Capacítelos y certifíquelos

Capacitación

Dónde obtener certificación

CISSP: Certification for Information Security

Professional (http://www.isc2.org)

CEH: Certified Ethical Hacker

(http://www.eccouncil.org)

CHFI: Certified Hacker Forensic Investigator

(http://www.eccouncil.org)

Algunos nombres

Hacking

Es Romper Seguridad

Forensic

Es Descubrir las huellas

Recovery

Es Recuperar la información perdida

Penetration Test

Es Saber como realizar pruebas de penetración

Audit

Es Garantizar estrategia de seguridad adecuada

basada en normas

¿Estándares?

En 2005 EC-Council se establecerá como cuerpo

de desarrollo de estándares de seguridad de TI a

nivel mundial

Una organización podrá certificar su

infraestructura de TI con base en estándares EC-

Council

Podrá aplicar auditoria de seguridad a su

infraestructura certificada

Parte 4 : ¿ Alguna pregunta ?

Gracias

Gracias por su tiempo