Pen-test: After party sneak in

Transcript

1. Pen-test After-party home sneak in

2. Agenda • La fiesta, la problemática • Que es pen-test?

   • Y qué tipo de seguridad existe? • Las fases • Conclusion

3. La fiesta, la problemática Imagina esto… El viernes uno de

   tus amigos va a dar la fiesta del siglo (puede ser lan-party, rave, o lo que más te guste). Tu en la fiesta.

4. La fiesta, la problemática Solo que... tus papas se acaban

   de dar cuenta de cuantos megas estás gastando en tu teléfono y te ponen un castigo tremendo el cual incluye NO llegar después de las 9pm a casa este viernes.

5. La fiesta, la problemática Sabes que tienes que ir a

   esa fiesta, pero… como entrar de vuelta a tu casa sin que se den cuenta? Es hora de un poco de Pen-Test!

6. Que es Pen-test? Pen-test o Penetration testing es el nombre

   que se le da al probar con autorización previa, un sistema, aplicación o infraestructura de redes para detectar vulnerabilidades, defectos, configuraciones inadecuadas, e incluso comportamientos riesgosos del usuario final. Normalmente el fin es mejorar la seguridad y proteger la información que se maneja. En pocas palabras… Hackear un sistema antes de que alguien más lo haga.

7. Que tipo de seguridad existe? Existen dos tipos de seguridad

   informática: • Física Trata del entorno de los equipos. Que se encuentren en un lugar adecuado y pensado expresamente para mantener su integridad física. • Lógica Trata sobre la adecuada configuración del sistema para evitar el acceso a los recursos y configuración del mismo de personas no autorizadas ya sea local o remotamente.

8. Que tipo de seguridad existe? La seguridad lógica tiene como

   objetivos proteger: • Confidencialidad • Integridad • Disponibilidad • No repudio

9. Las fases 1. Reconnaissance. 2. Scanning. 3. Amenazas y vulnerabilidades.

   4. Exploitation. 5. Post-exploitation. 6. Cubriendo las huellas y reporteo.

10. 1. Reconnaissance • Interacción previa a comprometer los sistemas. Pasiva

    Activa • Sentarse cerca • A la hora de la comida • A la hora del cafe • Ingenieria social • Interaccion directa • Redes sociales • URLs • Google hack • Google earth

11. 2. Scanning • Obteniendo información. Network/target Casa • Hosts •

    Puertos • Sistemas • Ventanas • Puertas • Hoyos en la reja • Cualquier otra forma de entrar a la casa

12. 3. Amenazas y vulnerabilidades • Quien quiere entrar? • Por

    que? • Por donde? • Qué sistemas existen y que les conocemos? Network/target Casa • Competencia • Lo que quiero proteger y lo que representa. • Port scan • System scan • Ping • etc. • Quien me puede cachar? • Le se algun truco a la puerta o ventana? • Conozco de alguna otra forma de entrar?

13. 4. Exploitation • Obteniendo el acceso. Network/target Casa • Explotando

    una vulnerabilidad: Metasploit. • Entregando un backdoor: fishing, troyanos, gusanos, y cosas peores. • Abriendo puertos. • Ataques: XSS, SQL injection, DDoS, MIM. • Etc. • Hay que probar los accesos que tenemos pensados para que no vayan a fallar a la hora de la hora.

14. 5. Post-exploitation • Mantener el acceso. Network/target Casa • Backdoors.

    • Logs. • Conexiones. • Quítate los zapatos para no hacer ruido. Pero, no vayas a pisar un lego y tu grito de dolor despierte a tus papás.

15. 6. Reporteo y cubriendo huellas • Crear un reporte con

    el análisis de las vulnerabilidades y cómo eliminarlas. • Cubre tus huellas para que no sepan cómo entraste realmente. Network/target Casa • Logs swipe. • History. • Forensics. • Que no sepan que encontraste la manera de brincar el castigo.

16. Recapitulando… Las fases Pen-Test Entrando a casa Reconnaissance Tanteando el

    terreno Scanning Checando la casa Modelación de amenazas y análisis de vulnerabilidades. Identificando las entradas. Exploitation Probando las teorías Post-exploitation Asegurando que no te cachen entrando a casa Reporteo y cubriendo las huellas Cubriendo las huellas

17. Conclusion Para poder desarrollarse en el área de la seguridad

    informática, es básico conocer de redes y sistemas operativos. Sin embargo, lo que más te va a ayudar es tener una mente abierta y ágil para estar un paso más adelante de un posible atacante.

18. THANK YOU!