Ponencia realizada por Eduardo Arriols y Roberto López en las jornadas de seguridad organizadas por Quantika14 en Sevilla.
La charla expone como de forma realmente sencilla es posible atacar los sistemas informáticos de una empresa normal para poder sacar toda la información confidencial que tenga.
En cada prueba se realizaban demos que podéis ver en el vídeo de la jornada: http://www.youtube.com/watch?v=7MZkIsrLTX8
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
Los sistemas informáticos de tu empresa al descubierto
1. Jornadas de Seguridad Informática, Delitos
Informáticos y Protección de Datos.
Sevilla 2013
Los sistemas informáticos de tu
empresa al descubierto
www.quantika14.com
Jornadas de Seguridad Informática
2013
1
Eduardo Arriols y Roberto López
2. Quienes somos
www.quantika14.com
Jornadas de Seguridad Informática
2013
2
Estudiantes de Ing. Informática en la Escuela Politécnica Superior de la
Universidad Autónoma de Madrid. Apasionados del mundo de la
seguridad informática y el hacking.
Fundadores del proyecto HighSec dedicado a enseñar y promover la
educación en seguridad ofensiva de forma practica.
Eduardo Arriols
@_Hykeos
Roberto López
@leurian
3. Ciberseguridad
www.quantika14.com
Jornadas de Seguridad Informática
2013
3
“Procedimientos aplicados para la gestión y protección del uso,
procesamiento, almacenamiento y transmisión de datos e información
a través de las Tecnologías de Información y Comunicación (TIC)”
9. ¿Qué es un bug?
www.quantika14.com
Jornadas de Seguridad Informática
2013
9
El primer bug de
ordenador fue un
insecto real descubierto
en 1945 en Harvard, una
polilla atrapada en la
calculadora ‘Mark II’
que hizo que la
maquina se apagara.
10. Agujero de Seguridad Exploit
www.quantika14.com
Jornadas de Seguridad Informática
2013
10
Agujero de Seguridad (Vulnerabilidad)
Fallo que permite mediante su explotación violar la seguridad de
un sistema informático
Exploit
Programa que utiliza una vulnerabilidad para tomar el control de
un sistema
13. Test de Intrusión
www.quantika14.com
Jornadas de Seguridad Informática
2013
13
Método para
evaluar la seguridad
de un sistema o red
de sistemas de
información
simulando el ataque
por un intruso
18. SQL Injection
www.quantika14.com
Jornadas de Seguridad Informática
2013
18
Efectos
Obtención de la base de datos
Posibilidad de tomar el control del servidor
Modificar la pagina web
Victimas
Base de datos de la página web
21. DDoS
Distributed Denial of Service
www.quantika14.com
Jornadas de Seguridad Informática
2013
21
Efectos
Caída de servicio
Mala Imagen Perdida de
reputación
Sensación de Inseguridad
Perdida de dinero (En algunos casos)
Victimas
Paginas Web
Tienda Online
Banco
Otros servicios Online
27. Configuraciones por defecto
www.quantika14.com
Jornadas de Seguridad Informática
2013
27
Efectos
Acceso sin contraseña
Acceso no autorizado (Clave por defecto)
Acceder a las imágenes de las cámaras IP
Cometer delitos contra la integridad de las personas (SCADA)
…
Victimas
Servidores
Routers
Cámaras IP
Sistemas SCADA
…
33. www.quantika14.com
Jornadas de Seguridad Informática
2013
33
Fake AP + DNS Spoof + Phishing
Obteniendo credenciales de empleados
Efectos
Interceptación de las comunicaciones
Obtención de credenciales
Infectarte de malware
Ser victima de un exploit
…
Victimas
PCs personales
Dispositivos móviles
34. Man In The Middle
Interceptando Comunicaciones
www.quantika14.com
Jornadas de Seguridad Informática
2013
34
35. Man In The Middle
Interceptando Comunicaciones
www.quantika14.com
Jornadas de Seguridad Informática
2013
35
Efectos
Tus comunicaciones en la red son interceptadas
Alterar el trafico de la victima
Evitar el cifrado SSL/TLS
Robo de sesión
Victimas
Servidores
PCs personales
Dispositivos móviles
36. Man In The Middle
Interceptando Comunicaciones
www.quantika14.com
Jornadas de Seguridad Informática
2013
36
44. Recomendaciones
www.quantika14.com
Jornadas de Seguridad Informática
2013
44
Software Actualizado
Software de Seguridad
Antivirus Actualizado
IDS / IPS
Firewalls
Sentido Común
Auditoria para las
empresas
Políticas de Seguridad
Pentest by Design
45. Momento SPAM
www.quantika14.com
Jornadas de Seguridad Informática
2013
45
HighSec es una comunidad y punto de reunión para todas las
personas interesadas en el mundo de la seguridad.
Su principal función es enseñar de forma practica las principales
técnicas en seguridad ofensiva realizadas en un test de intrusión
y auditorias mediante retos y documentación propia.
@highsec0
www.highsec.es