1. La mejor defensa
es un buen ataque
Jorge González Milla
Seguridad en tu Startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
2. Hacking “ético”... ¿qué es?
Conocimientos en seguridad informática para encontrar
vulnerabilidades en redes o dispositivos.
Hacker != Delincuente
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
3. 99% protegido = 100%
Protección de afuera hacia adentro
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
4. Intrusion Detection System
host HIDS
network NIDS
IDS vs IPS
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
Intrusion Prevention System
NIPS network-based intrusion prevention system
WIPS wireless
NBA network
HIPS host-based intrusion prevention system
5. Sistema Pasivo
Software corriendo en un servidor, router,... ubicado en una red
HIDS [IDS]
Instalado sobre el sistema operativo para detectar ataques sobre ese
mismo servidor
NIDS [IDS]
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
IDS
6. Basado en red lan
Monitorización de la red en busca de paquetes sospechosos
WIDS [IPS]
Monitorización de la red Wi-Fi en busca de paquetes sospechosos
NIPS [IPS]
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
IPS
7. Análisis de comportamiento en lan
Examina el tráfico en la red e identifica las amenzas basándose en el
tráfico que generan, siendo éste inusual en la red(DDoS, malware...)
HIPS [IPS]
Basado en host
Instalado sobre un sistema en busca de actividad sospechosa
NBA [IPS]
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
IPS
8. Y ahora… Llega el ataque...
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
9. Pentesting
Pentesting o test de intrusión/penetración es la técnica utilizada para
comprobar la seguridad de los sistemas informáticos
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
10. ¿Por qué realizar un Pentesting?
Recuerde 99% seguro = 100% ¡vulnerable! ...
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
11. Fases del pentesting
Reconocimiento
Escaneo
Acceso
Reporte de vulnerabilidades
Mantener acceso (sólo para los malos)
Borrado de huellas (sólo para los malos)
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
12. Sitios 99% (o menos) seguros
http://goo.gl/FrVVhQ
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
http://goo.gl/hXD8Lo
13. Sitios 99% (o menos) seguros
http://goo.gl/FrVVhQ
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
https://goo.gl/2iTd2d
14. Referencias
Libros de seguridad informática
Un informático en el lado del mal
Una al día
DragonJar
Segu-info
Rooted CON
Def CON
Hackron
Flu-project
Navaja Negra
Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
31 marzo 2016
@betabeerspmi
#seguridadStartup
15. Seguridad en tu startup
@jgonzalezmilla
jorge@jmilla.es
#seguridadStartup
¿ALGUNA PREGUNTA?
GRACIAS!
Notes de l'éditeur
¿Que es el hacking “ético”?
Es una forma de referirse al acto en que una persona usa sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.
Se le ha aplicado la coletilla “ético” porque incluso la RAE está definiendo mal el término “Hacker”. Un Hacker no ético se define como “Cracker” o “Ciberdelincuente”.
[introducir contenido slide4 + conceptos slide5]
Conceptos básicos de IDS/IPS
“Intrusion detection” es el proceso de monitorizar los eventos que ocurren en la red o en una computadora y analizarlos para detectar intrusiones.
El IDS solamente reporta eventos, el IPS corta el trafico peligroso cuando detecta eventos peligrosos.
Hay dos tipos de IDS:
Host Intrusion Detection Systems (HIDSs)
Network Intrusion Detection Systems (NIDSs)
NIPS - network-based intrusion prevention system (): monitors the entire network for suspicious traffic by analyzing protocol activity.
WIPS - Wireless intrusion prevention systems (): monitor a wireless network for suspicious traffic by analyzing wireless networking protocols.
NBA - network behavior analysis (): examines network traffic to identify threats that generate unusual traffic flows, such as distributed denial of service (DDoS) attacks, certain forms of malware and policy violations.
HIPS - Host-based intrusion prevention system
Network Intrusion Detection Systems (NIDSs)
El IDS es pasivo, no para los ataques, solamente reporta problemas.
En la mayoría de los casos el IDS es un Appliance colocado en el perímetro de la red.
Tiene al mínimo 2 placas de red, una para analizar trafico, la otra para gestionar el IDS/Nic’s en promiscus mode
La Solución de IDS tiene dos componenetos: sensor y Management.
Detecta ataques con firmas (como AV).
Las firmas se actualizan de los servidores del vendor.
Hay ID’s que permiten que uno mismo escriba y agregue firmas.
Port mirror puede crear mucha carga sobre el switch, perdida de paquetes.
Es importante implementar HIDS para detectar ataques que no fueron detectaron por el NIDS ( Seguridad en profundidad)
Es un Agente instalado sobre en sistema operativo para detectar ataques sobre ese mismo servidor.
Reporta eventos a una consola central.
La consola tiene una base de datos de firmas de ataques.
En caso de detección de ataque la consola reporta al administrador vía mail, SMS etc
Network Intrusion Detection Systems (NIDSs)
El IDS es pasivo, no para los ataques, solamente reporta problemas.
En la mayoría de los casos el IDS es un Appliance colocado en el perímetro de la red.
Tiene al mínimo 2 placas de red, una para analizar trafico, la otra para gestionar el IDS/Nic’s en promiscus mode
La Solución de IDS tiene dos componenetos: sensor y Management.
Detecta ataques con firmas (como AV).
Las firmas se actualizan de los servidores del vendor.
Hay ID’s que permiten que uno mismo escriba y agregue firmas.
Port mirror puede crear mucha carga sobre el switch, perdida de paquetes.
Es importante implementar HIDS para detectar ataques que no fueron detectaron por el NIDS ( Seguridad en profundidad)
Es un Agente instalado sobre en sistema operativo para detectar ataques sobre ese mismo servidor.
Reporta eventos a una consola central.
La consola tiene una base de datos de firmas de ataques.
En caso de detección de ataque la consola reporta al administrador vía mail, SMS etc
Network Intrusion Detection Systems (NIDSs)
El IDS es pasivo, no para los ataques, solamente reporta problemas.
En la mayoría de los casos el IDS es un Appliance colocado en el perímetro de la red.
Tiene al mínimo 2 placas de red, una para analizar trafico, la otra para gestionar el IDS/Nic’s en promiscus mode
La Solución de IDS tiene dos componenetos: sensor y Management.
Detecta ataques con firmas (como AV).
Las firmas se actualizan de los servidores del vendor.
Hay ID’s que permiten que uno mismo escriba y agregue firmas.
Port mirror puede crear mucha carga sobre el switch, perdida de paquetes.
Es importante implementar HIDS para detectar ataques que no fueron detectaron por el NIDS ( Seguridad en profundidad)
Es un Agente instalado sobre en sistema operativo para detectar ataques sobre ese mismo servidor.
Reporta eventos a una consola central.
La consola tiene una base de datos de firmas de ataques.
En caso de detección de ataque la consola reporta al administrador vía mail, SMS etc
¿Que es el hacking “ético”?
Es una forma de referirse al acto en que una persona usa sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.
Se le ha aplicado la coletilla “ético” porque incluso la RAE está definiendo mal el término “Hacker”. Un Hacker no ético se define como “Cracker” o “Ciberdelincuente”.
Esta técnica se utiliza para comprobar la seguridad de los sistemas informáticos. Existen dos tipos:
1.Externo
Pentesting desde el exterior, se realiza sobre la infraestructura externa del cliente, es decir, sobre los
equipos expuestos a Internet(routers, firewalls,
servidores externos, etc).
2.Interno
Pentesting desde el interior,(aquí es donde más flaquean los sistemas) se realiza desde la red interna del cliente.
Modalidadesde hackingExisten tres tipos de pentesting:
1.Caja Negra
El pentester no tiene nada de información, no saben como funciona internamente el sistema, trabaja con la información que obtiene por sus propios métodos, al igual que lo haría un ciberdelincuente.
2.Caja Blanca
El pentester conoce todo el funcionamiento interno del sistema, y trabaja con información que puede tener acceso uno o varios empleados de la organización.
3.Caja Gris
El pentester puede tener algo de conocimiento sobre el funcionamiento de la organización
Encontrar máquinas mal configuradas que el cliente no había notado.
Verificar que sus mecanismos de seguridad funcionen.
Estar tranquilo.
Recuerde 99.9% seguro = 100% ¡vulnerable!
Datos de clientes más seguros.
Datos de la empresa más seguros.
1. Reconocimiento
Consiste en recolectar toda la información posible de la empresa. Hacking con buscadores, metadatos, información que haya por la red.
2. Escaneo
Esta fase es considerada pre-ataque, en España está prohibido hacer escaneo de servicios en los dispositivos (servidores,firewalls, pc's, etc).
Se detectan vulnerabilidades y puntos de entrada
3. Acceso
Esta fase es el ataque propiamente dicho. En esta fase se atacan las vulnerabilidades encontradas.
4. Reporte de vulnerabilidades
Preparar informe para presentar a la empresa auditada.
1. Reconocimiento
Consiste en recolectar toda la información posible de la empresa. Hacking con buscadores, metadatos, información que haya por la red.
2. Escaneo
Esta fase es considerada pre-ataque, en España está prohibido hacer escaneo de servicios en los dispositivos (servidores,firewalls, pc's, etc).
Se detectan vulnerabilidades y puntos de entrada
3. Acceso
Esta fase es el ataque propiamente dicho. En esta fase se atacan las vulnerabilidades encontradas.
4. Reporte de vulnerabilidades
Preparar informe para presentar a la empresa auditada.
1. Reconocimiento
Consiste en recolectar toda la información posible de la empresa. Hacking con buscadores, metadatos, información que haya por la red.
2. Escaneo
Esta fase es considerada pre-ataque, en España está prohibido hacer escaneo de servicios en los dispositivos (servidores,firewalls, pc's, etc).
Se detectan vulnerabilidades y puntos de entrada
3. Acceso
Esta fase es el ataque propiamente dicho. En esta fase se atacan las vulnerabilidades encontradas.
4. Reporte de vulnerabilidades
Preparar informe para presentar a la empresa auditada.
Encontrar máquinas mal configuradas que el cliente no había notado.
Verificar que sus mecanismos de seguridad funcionen.
Estar tranquilo.
Recuerde 99.9% seguro = 100% ¡vulnerable!
Datos de clientes más seguros.
Datos de la empresa más seguros.
Conceptos básicos de IDS/IPS
“Intrusion detection” es el proceso de monitorizar los eventos que ocurren en la red o en una computadora y analizarlos para detectar intrusiones.
El IDS solamente reporta eventos, el IPS corta el trafico peligroso cuando detecta eventos peligrosos.
Hay dos tipos de IDS:
Host Intrusion Detection Systems (HIDSs)
Network Intrusion Detection Systems (NIDSs)