Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Pen-test: After party sneak in

Denisse Vega
November 10, 2015
Technology
0
25

Pen-test: After party sneak in

-Spanish-
Universidad de Nogales
Applying Information Security basic concepts to a sneak in.

Denisse Vega

November 10, 2015
Tweet

More Decks by Denisse Vega

See All by Denisse Vega
Agilizando Controles PCI
dvcoach
0
14
AGILE_DevOps_Team_Culture.pdf
dvcoach
0
29
Dashboards & KPIs
dvcoach
0
52
Workshop: Trabajo colaborativo remoto
dvcoach
0
89
Equipos remotos vs equipos distribuidos: Claves para el éxito
dvcoach
1
57
Los pecados capitales del trabajo en equipo
dvcoach
1
120
Security challenges in the IoT #CPMX8
dvcoach
0
27
Evolución del Project Manager en la era Agil
dvcoach
0
71
Penetration Testing
dvcoach
1
29

Other Decks in Technology

See All in Technology
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.7k
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
180
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
950
Application Development WG Intro at AppDeveloperCon
salaboy
0
200
FlutterアプリにおけるSLI/SLOを用いたユーザー体験の可視化と計測基盤構築
ostk0069
0
110
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
600
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
700
AI前提のサービス運用ってなんだろう?
ryuichi1208
8
1.4k
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
2
230

Featured

See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
110
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
RailsConf 2023
tenderlove
29
900
The Pragmatic Product Professional
lauravandoore
31
6.3k
Designing for humans not robots
tammielis
250
25k
Git: the NoSQL Database
bkeepers
PRO
427
64k
What's new in Ruby 2.0
geeforr
343
31k
Bash Introduction
62gerente
608
210k

Transcript

  1. Pen-test After-party home sneak in

  2. Agenda • La fiesta, la problemática • Que es pen-test?

    • Y qué tipo de seguridad existe? • Las fases • Conclusion

  3. La fiesta, la problemática Imagina esto… El viernes uno de

    tus amigos va a dar la fiesta del siglo (puede ser lan-party, rave, o lo que más te guste). Tu en la fiesta.

  4. La fiesta, la problemática Solo que... tus papas se acaban

    de dar cuenta de cuantos megas estás gastando en tu teléfono y te ponen un castigo tremendo el cual incluye NO llegar después de las 9pm a casa este viernes.

  5. La fiesta, la problemática Sabes que tienes que ir a

    esa fiesta, pero… como entrar de vuelta a tu casa sin que se den cuenta? Es hora de un poco de Pen-Test!

  6. Que es Pen-test? Pen-test o Penetration testing es el nombre

    que se le da al probar con autorización previa, un sistema, aplicación o infraestructura de redes para detectar vulnerabilidades, defectos, configuraciones inadecuadas, e incluso comportamientos riesgosos del usuario final. Normalmente el fin es mejorar la seguridad y proteger la información que se maneja. En pocas palabras… Hackear un sistema antes de que alguien más lo haga.

  7. Que tipo de seguridad existe? Existen dos tipos de seguridad

    informática: • Física Trata del entorno de los equipos. Que se encuentren en un lugar adecuado y pensado expresamente para mantener su integridad física. • Lógica Trata sobre la adecuada configuración del sistema para evitar el acceso a los recursos y configuración del mismo de personas no autorizadas ya sea local o remotamente.

  8. Que tipo de seguridad existe? La seguridad lógica tiene como

    objetivos proteger: • Confidencialidad • Integridad • Disponibilidad • No repudio

  9. Las fases 1. Reconnaissance. 2. Scanning. 3. Amenazas y vulnerabilidades.

    4. Exploitation. 5. Post-exploitation. 6. Cubriendo las huellas y reporteo.

  10. 1. Reconnaissance • Interacción previa a comprometer los sistemas. Pasiva

    Activa • Sentarse cerca • A la hora de la comida • A la hora del cafe • Ingenieria social • Interaccion directa • Redes sociales • URLs • Google hack • Google earth

  11. 2. Scanning • Obteniendo información. Network/target Casa • Hosts •

    Puertos • Sistemas • Ventanas • Puertas • Hoyos en la reja • Cualquier otra forma de entrar a la casa

  12. 3. Amenazas y vulnerabilidades • Quien quiere entrar? • Por

    que? • Por donde? • Qué sistemas existen y que les conocemos? Network/target Casa • Competencia • Lo que quiero proteger y lo que representa. • Port scan • System scan • Ping • etc. • Quien me puede cachar? • Le se algun truco a la puerta o ventana? • Conozco de alguna otra forma de entrar?

  13. 4. Exploitation • Obteniendo el acceso. Network/target Casa • Explotando

    una vulnerabilidad: Metasploit. • Entregando un backdoor: fishing, troyanos, gusanos, y cosas peores. • Abriendo puertos. • Ataques: XSS, SQL injection, DDoS, MIM. • Etc. • Hay que probar los accesos que tenemos pensados para que no vayan a fallar a la hora de la hora.

  14. 5. Post-exploitation • Mantener el acceso. Network/target Casa • Backdoors.

    • Logs. • Conexiones. • Quítate los zapatos para no hacer ruido. Pero, no vayas a pisar un lego y tu grito de dolor despierte a tus papás.

  15. 6. Reporteo y cubriendo huellas • Crear un reporte con

    el análisis de las vulnerabilidades y cómo eliminarlas. • Cubre tus huellas para que no sepan cómo entraste realmente. Network/target Casa • Logs swipe. • History. • Forensics. • Que no sepan que encontraste la manera de brincar el castigo.

  16. Recapitulando… Las fases Pen-Test Entrando a casa Reconnaissance Tanteando el

    terreno Scanning Checando la casa Modelación de amenazas y análisis de vulnerabilidades. Identificando las entradas. Exploitation Probando las teorías Post-exploitation Asegurando que no te cachen entrando a casa Reporteo y cubriendo las huellas Cubriendo las huellas

  17. Conclusion Para poder desarrollarse en el área de la seguridad

    informática, es básico conocer de redes y sistemas operativos. Sin embargo, lo que más te va a ayudar es tener una mente abierta y ágil para estar un paso más adelante de un posible atacante.

  18. THANK YOU!