Download - Vulnerabilidades web
Vulnerabilidades Web:Irrumpiendo por la puerta de entrada
Hack-ITInformation Technology
Luciano Laporta PodazzaCEO Hack-ITwww.Hack-IT.com.ar
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Qué es la seguridad?
¿Quienes componen a la misma?
Hackers, crackers, lamers... la farándula del internet.
Amenazas
Protegiendonos
Conclusión
EOF(End Of File)
Lanzamiento de elementos contundentes hacia el disertante
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
* Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.
* Confidencialidad: La información sólo debe ser legible para los autorizados.
* Disponibilidad: Debe estar disponible cuando se necesita.
* Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Quienes la componen?
Seguridad...
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hackers.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Entonces...
¿Quienes son los “Hackers” realmente?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Richard M. Stallman(Creador del concepto de Software Libre y GNU)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Linus Torvalds(Kernel Linux)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
John Von Neumann (Teoría de Juegos, Álgebra de von Neumann, Arq. De Von Neumann, Autómata Celular)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Ada Byron(Primera programadora, lenguaje ADA)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Vinton Gray "Vint" Cerf(Arquitecto del Internet)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Guglielmo Marconi(Radio)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Wolfgang Amadeus Mozart(Músico)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Albert Einstein(Teoría de la relatividad, movimiento browniano, efecto fotoeléctrico)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Dan KaminskyDNS Cache Poisoning, Rootkit Sony
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Entonces...
Si ellos son los Hackers, ¿Quienes son los otros?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
CrackersViolan la seguridad de software(cracks, keygens, etc). Ingresan a sistemas con fines destructivos
PhreakersViolan los sistemas telefónicos con diversos fines(fraude, anonimato, llamadas gratis, etc)
CardersRoban información de tarjetas de crédito para cometer actos ilícitos.
DefacersIngresan a sitios web para cambiar la pagina principal por algún mensaje personalizado.
Script KiddiesUsan scripts, exploits, etc; para atacar sistemas, sin tener conocimiento de cómo funcionan realmente.
LamersLo más repudiable de Internet, persona falta de habilidades técnicas, sociabilidad o madurez considerada un incompetente en una materia.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Gary McKinonn
6 años contra la extradición a los Estados unidos.70 años de cárcel2 millones de dólaresNASA, ejército estadounidense, marina estadounidense, departamento de defensa estadounidense, fuerzas aéreas estadounidenses, Pentágono.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
●Los Hackers CONSTRUYEN y NUNCA DESTRUYEN.
●Para ser “Hacker” hay que dar el ejemplo y lograr el reconocimiento.
●Aplican sus descubrimientos e investigaciones para el BIEN y no para el MAL.
●Son personas que por sobre todas las cosas tiene mucha moral y ética.
●No son conformistas, siempre van más allá.
●Aman lo heróico y lo difícil.
Y un largo etc...
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Amenazas
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Y un largo etc...
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Amenazas●XSS (Cross Site Scripting)●SQL Injection●CSRF (Cross Site Request Forgery)●RFI (Remote File Inclusion)●LFI (Local File Inclusion)●Insecure Direct Object Reference(directory enumeration)●Cifrados propios e inseguros●Falta de Cifrado en lugares sensibles de la aplicación●LDAP Injection●XML Injection●Debugging ON●Buffer Over Flow●HTTP Parameter Pollution
●Y un extremadamente LARGUÍSIMO etcétera...●DNS enumeration
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Protegiendonos
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Herramientas y métodos de protección
●Antivirus●WAF(Web Application Firewall)●Auditorías(penetration testing)●Cifrado.●Filtrado de datos (user input)●Sentido Común
●Etc...●Familia ISO 27000
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Web Application Firewall
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Auditorías
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Cifrado Simétrico y Asimétrico
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
A clever person solves a problem. A wise person avoids it.Albert Einstein.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
●Filtrado HTML/Javascript/CSS(XSS).●White lists en vez de Black lists.●Filtrado en variables de consulta(SQL).●Fuerte tipado de variables(caractér, número, etc)●+Diseño / - Parches.●Esperar lo inesperado(desconfiar del comportamiento del usuario).●Ingeniería Social.●Directory enumeration(admin path finding).●En lo posible, verificar contenidos de los archivos que suben los usuarios en busqueda de anomalías(código malicioso).●Roles/Privilegios(Base de datos, Sistema Web, etc).●ReCAPTCHA!(o Akismet en su defecto...)●Cifrado de passwords!(MD5 no!)●Bloqueo de sesiones por IP●Tokens(CSRF)●No usar cifrados propios!●Otro largo etc...
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Conclusiones
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Estoy seguro?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Porqué?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Existe alguna solución a esto?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-IT“Internet Security Server”
(...CHIVO...)
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Internet
Conexión Cifrada
Router/Firewall
Firewall
Servidor Seguro
Solución Antivirus
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Black List
Filtro de Spam
Conexión Cifrada
Servidor de Actualizaciones
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
IDS/IPS
Servidor de Logs
Negros quemandose las pestañas leyendo logs y analizándolos
Servidor de Backup
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Y Finalmente....
El usuario final!!!
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Porqué la sorpresa?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
<---- Soy Brad Pitt si haces click aquí me saco la estrellita!!!
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
●La seguridad es una utopía.
●No hay sistema 100% seguro(y el que diga lo contrario es un chanta).
●La seguridad es como una cadena: “Será tan fuerte como su eslabón más débil”(en este caso el usuario sin consciencia).
●Es más fácil destruir que construir.
●Los Hackers CONSTRUYEN y todos los demás DESTRUYEN.
●La seguridad no empieza y termina en una computadora...
●Celulares, satélites, cerraduras, sistemas políticos,económicos,sociales, etc...
Conclusiones
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
En resumen la solución definitiva contra la inseguridad es la EDUCACIÓN
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Preguntas frecuentes por Eric Raymond
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Me enseñas a hackear?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Aun si pudiera hacerlo, el hackeo es una actitud y habilidad que debes aprender por ti mismo. Te darás cuenta de que los hackers de verdad quieren ayudarte, pero no te respetarán si comienzas a rogarles que te alimenten en la boca con todo lo que saben.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Donde puedo aprender a hackear?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Leyendo en internet sobre Unix/Linux/BSD, aprendiendo (redes, programación, todo sobre lo que tengas curiosidad). Sumandote a un grupo de usuarios de Linux o software libre (LUG), ayudando a tu prójimo, etc.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Como le robo la contraseña a otra persona?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Eso es cracking. Desaparece, idiota.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
¿Cómo puedo acceder/leer/monitorear el correo de otra persona?
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Eso es cracking. Piérdete, imbécil.
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
EOF (End Of File)
¡Muchas gracias por su atención!
¡Arroje ahora elementos contundentes al disertante!
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF
Luciano Laporta PodazzaCEO Hack-IT
www.Hack-IT.com.ar
blog.Hack-IT.com.ar lista.Hack-IT.com.ar
Happy Hacking!!! :)
Licencia:
Hack-ITInformation Technology
Conceptos Amenazas Protegiendonos Conclusión EOF