2. Describir el rol de un hacker ético
Describir que podemos hacer legalmente
como hackers éticos
Describir que no podemos hacer como
hackers éticos
2
3. Ethical hackers
Empleados por compañías para realizar pruebas de penetración
Prueba de penetración
Intento legal para irrumpir en la red de una compañía para
encontrar su eslabón mas débil
El analista reporta los hallazgos únicamente, no resuelve los
problemas
Prueba de seguridad
Mas que atentar en irrumpir, se incluye el análisis de la política
de seguridad de la compañía y los procedimientos
El analista ofrece soluciones para asegurar o proteger la red
3
4. Hackers
Ingresan a un sistema o a la red sin autorización
Algunas veces quebrantan la ley, pueden ir a la cárcel
Crackers
Irrumpen en los sistemas para robar o destruir información
Para el DOJ-USA hackers = crackers
Ethical hacker
Realiza la mayoría de las mismas actividades pero con la
autorización del dueño del sistema, de la red y de la información
4
5. Script kiddies ó packet monkeys
Hackers adolescentes sin experiencia
Copian el código y las técnicas de otros hackers reconocidos
Analistas de penetración escriben programas o scripts
utilizando estos lenguajes
Perl, C, C++, Python, JavaScript, VBS, SQL, Ruby y muchos otros
Script
Conjunto de instrucciones que se ejecutan en secuencia
5
6. Una clase o un libro no nos hace hackers o expertos
A lo mejor nos haga script-kiddies
Usualmente conlleva años de estudio y experiencia
adquirir respecto en la comunidad hacker
Es una afición, un estilo de vida, y una actitud
Una guía para saber como funcionan las cosas
6
7. Caja tigre (Tiger box)
Collección de OSs y herramientas de hacking
Usualmente una laptop
Ayuda la los analistas de seguridad y de
penetración a realizar ataques y pruebas de
vulnerabilidad
7
8. Modelo caja blanca (White Box)
El analista sabe todo sobre la tecnología y
topología de la red
Diagrama de Red
El analista está autorizado para entrevistar al
personal de TI y otros empleados de la compañía
Hace el trabajo del analista un poco mas fácil
8
10. Modelo de caja negra (Black Box)
Los empleados no saben sobre las pruebas
El analista no conoce los detalles de la red
▪ Le corresponde encontrar estos detalles
Se prueba si el personal de seguridad informática
puede detectar el ataque
10
11. Modelo de caja gris
Híbrido de los modelos de caja blanca y negra
Compañía provee información parcial al analista
11
12. Las leyes cubren el cambio de la tecnología tan
rápidamente como la tecnología misma
Encontrar que es legal en nuestro país
Las leyes cambian dependiendo del sitio
Estar enterado de que está permitido y que no
lo está.
12
13. Poseer ciertas herramientas es ilegal
Contacte autoridades antes de instalar
herramientas de hacking
Las palabras escritas están abiertas a
interpretación
Los gobiernos estan mas comprometidos con
el castigo a criminales informáticos.
13
14. Meterse a un sistema sin permiso es ilegal
Otras acciones ilegales
Instalar gusanos, virus, troyanos, keyloggers
Ataques de DoS
Impedir el acceso de los usuarios a los recursos de la
red
Tener cuidado que nuestras acciones no
afecten el trabajo normal de los clientes
14