hacking etico

SEMINARIO DE INVESTIGACIN APLICADA

Tcnicas de Hacking tico

Renn Quevedo Gmez, CISSP, CISM, ISO 27001 LA, CEH, ECSA, CHFI.

S E P T I E M B R E - O C T U B R E D E 2 0 1 4

TCNICAS DE HACKING TICO

Duracin

1 semana

Horario

5:30 pm a 10:00 pm

Modalidad

Presencial

TCNICAS DE HACKING TICO

Metodologa

Discusiones tericas

Casos de estudio Prcticos

3 Talleres (20% c/u)

1 Trabajo Final (40%)

Los enunciados de los talleres y del Trabajo Final sern enviados vacorreo electrnico al inicio de cada sesin y debern ser entregadosresueltos al finalizar la sesin (por el mismo medio) .

El estudiante debe asistir por lo menos al 80% de las sesiones yobtener una calificacin final mayor a 3.5

TCNICAS DE HACKING TICOADVERTENCIA

Todas las tcnicas que se describen y ensean en este seminario son confines pedaggicos, las acciones que el estudiante ejecute con esteconocimiento son su responsabilidad, ni la universidad ni el docente sehacen responsables por las mismas.

Maneje este conocimiento dentro de los parmetros del a tica y elprofesionalismo.

Nunca use estas tcnicas y conocimiento para realizar acciones al margen dela ley ni para causar dao a personas o empresas, vender informacin, hacerlabores de espionaje o acceso abusivo a los sistemas.

Kali Linux

- Distribucin de Linux diseada para el Hacking tico.

- Antigo Backtrack

- Distribucin Gratuita

- Herramientas de descubrimiento y enumeracin, anlisis de vulnerabilidades, ejecucin de exploits, cracking de contraseas, ingeniera social, etc.

- Ser la base para la ejecucin de laboratorios en este seminario.

TEMARIO

CONCEPTOS GENERALES

DESCUBRIMIENTO Y ENUMERACIN

ANLISIS DE VULNERABILIDADES

PRUEBAS DE PENETRACIN

GENERACIN DE REPORTES

TEMARIO

CONCEPTOS GENERALES




ANALISIS Y PENTES A APPLICACIONES WEB

HACKING TICO

Intrusiones por RetoIntrusiones de Individuos

mal IntencionadosRedes Organizadas

La misma evolucin del hacking expone dos trminos que deben tenerse claramente entendidos:

Hacker

Cracker

HACKING TICO

Robo de Identidad

Acciones Fraudulentas

Cyber-Crimen

Cyber-Guerra

Cracker

Accesos por Conocimiento.

Fines Pedaggicos.

Hackig tico.

Hacker

ROL DEL HACKER TICO EL PAPEL DE UN HACKER TICO PUEDE

ASIMILARSE AL PAPEL DE UN AUDITOR:

Evaluar el estado de seguridad de un sistema o infraestructura tecnolgica.

Analizar los resultados obtenidos de la auditora tcnica.

Reportar asertivamente los hallazgos a las partes interesadas.

Desempear el papel de experto en un equipo auditor.

TRMINOLOGAAmenaza

Accin o Evento que puede afectar la seguridad. (Potencial)

Vulnerabilidad

Debilidad que puede ocasionar un comportamiento no esperado que afecta la seguridad de los sistemas.

Exploit

Camino definido para Vulnerar la seguridad de un sistema de TI utilizando una vulnerabilidad.

Ataque

Cualquier accin que viola la seguridad.

Qu es Vulnerar la Seguridad?

SEGURIDAD

Integridad

Confidencialidad

Disponibilidad

TRMINOLOGA

Anlisis de Vulnerabilidad

Anlisis de sistemas informticos en bsqueda de vulnerabilidades conocidas, con el fin de listarlas y clasificarlas de acuerdo a su criticidad (alto, medio, bajo). No es caracterstico de un anlisis de vulnerabilidad explotar las vulnerabilidades encontradas.

PenTest (Penetration Test):

Ejecucin controlada de exploits de vulnerabilidades encontradas en un anlisis de vulnerabilidad previo.

VRA

EXPLOITS

PENTEST

CLASIFICACIN DE PRUEBAS DE PENETRACIN


INTERNAS EXTERNAS

Pruebas de Penetracin

Caja Negra Caja Gris Caja Blanca

POR EL ORIGEN DE LAS PRUEBAS

POR EL CONOCIMIENTO DEL OBJETIVO

METODOLOGA DE LAS PRUEBAS DE PENETRACIN

Descubrimiento y Enumeracin

Anlisis de Vulnerabilidades

Explotar Vulnerabilidades

Reportar y Recomendar


Escaneo Lograr AccesoMantener

AccesoBorrar Huellas

Etapas de un Hacking mal-intencionado

Etapas de un Hacking tico

Normas y Leyes Aplicables

CIRCULAR 052

PCI DSS

ISO 27001

Estas normas sustentan la aplicacin y ejecucin de Pruebas de Penetracin y Anlisis de Vulnerabilidades.

Circular 052 de 2007 Superintendencia Financiera de Colombia

Actualmente: Circular 042 de 2012

Requerimientos Mnimos de Seguridad y Calidad para la realizacin de operaciones bancarias.

El numeral 7 detalla las requerimientos para el anlisis de vulnerabilidades, el numeral 4 en uno de sus subitems especifica las caractersticas de las pruebas de penetracin.

PCI DSSEn noviembre de 2013 se public la versin 3.

Estndar desarrollado para proteger la informacin de los tarjethabientes. (proporciona la lnea base de los requerimiento tcnicos y operacionales)

Involucra a todas las partes involucradas en el proceso de compra por medio de tarjetas de crdito (no solo los bancos).

METODOLOGAS DE PENTEST Y ANLISIS DE VULNERABILIDADES

Existen metodologas para la ejecucin de pruebas, algunas de ellas opensource, algunas otras comerciales. Sin embargo las metodologas OpenSource tienen una alta calidad y son punto de referencia para muchas tareasde Hacking tico.

Estas metodologas pueden ser accedidas sin costo en internet.

OSSTMM (Open Source Security TestingMethodology Manual)

Seguridad de la Informacin existente en medios pblicos (publicada en internet).

Seguridad de los procesos en los que interviene el personal de la organizacin (ingeniera social).

Seguridad de los sistemas expuestos en Internet.

Seguridad de los sistemas de comunicaciones de voz.

Seguridad de las comunicaciones Inalmbricas.

Seguridad desde el punto de vista tcnico.

OWASP (Open Web ApplicationSecurity Project)

Gua para construir aplicaciones y servicios web seguros.

Gua de Pruebas (testing guide)

Top Ten

TEMARIO

CONCEPTOS GENERALES




Generacin de Reportes


Son los preparativos del Pentest, en esta etapa se intenta obtener el mayor nmero de informacin posible.

Tipos de Descubrimiento

Activos Pasivos


Google Hacking

Ingeniera Social

Barrido de IP

Escaneo de Puertos

Qu informacin se busca:

- Dominios y Subdominios

- Servicios Publicados

- Informacin Personal

- Correos Electrnicos

- Archivos con Informacin Sensible (Contraseas, Usuarios, Bases de datos)

Google Hacking

- Tcnica de Hacking utilizada para obtener informacin (Information Gathering).

- Usa las altas capacidades de google para buscar informacin.

- Las bsquedas sobre google pueden refinarse para lograr encontrar informacin especfica por medio de l uso de operadores lgicos y operadores avanzados.

Construccin de Consultas en Google

AND (No se requiere, es redundante para google)Ejemplo: Laurel and Hardy = laurel hardy OR : se usa el smbolo pipe | NOT: Se usa el prefijo : - antes de la palabra que se quiere

omitir de la bsqueda Forzar Inclusin: el prefijo: + evita que el buscador de google

omita palabras comunes, pej: +and.

Ejemplo: username | userid | user

Construccin de Consultas en Google Operadores Avanzados

intitle: encuentra strings en el ttulo de una pgina.

inurl: Encuentra strings en la url de una pgina.

Filetype: encuentra tipos especficos de archivos basados en la extensin.

Site: restringe la bsqueda a un sitio o dominio particular

Link: busca links en un sitio o url

Ejemplo: inurl:admin intext:username= AND email= AND password= OR pass= filetype:xls

inurl:"nph-proxy.cgi" "Start browsing through this CGI-based proxyxamppdirpasswd.txt filetype:txt

Google Hacking Bsqueda de Archivos de Configuracin o de Log

Conociendo la estructura y palabrasclave de archivos de configuracin o delog de la infraestructura a analizar sepuede usar el motor de Google paraencontrar informacin.

Ejemplo: Cisco: intext:enable password 7

Php: inurl:php.ini filetype:iniadmin account info filetype:log

Google Hacking Bsqueda de Pginas de Login

Las pginas de login permitenestablecer el tipo de producto queest usando un objetivo particular:webmail, bases de datos,administradores de contenido, etc.

Ejemplo: phpMyAdminrunning on

inurl:main.php

Google Hacking Bsqueda de Archivos de soporte

Las instalaciones de basesde datos estnacompaadas por archivosde configuracin, scripts dedebug o archivos de pruebaque pueden proporcionarinformacin relevante

Ejemplo: filetype:inc intext:mysql_connect

Google Hacking Archivos de Error

Los archivos de error puedenproporcionar informacinrelevante con respecto a losproductos instalados en unsitio (sistema operativo, basesde datos, Servidores Web, etc).

Ejemplo: intitle:"Error Occurred""The error

occurred in"filetype:cfm

Google Hacking Volcado de Bases de datos

Por medio de bsquedas enGoogle pueden encontrarsevolcados de bases de datosenteras. Esto proporcionainformacin de estructuras debases de datos, nombres detablas, nombres de campos,nombres de usuarios e inclusocontraseas

Ejemplo: "#mysql dump" filetype:sql

Herramientas de Descubrimiento

Ubicacin de URLs Internas:

http://news.netcraft.com

http://www.webmaster-a.com/link-extractor-internal.php

Extraccin de Informacin:

http://www.network-tools.com

http://whois.domaintools.com/

http://whatismyipaddress.com/traceroute-tool

Herramientas de Descubrimiento Bsqueda de Informacin Personal

http://pipl.com

http://wink.com

http://123people.com

https://www.peoplelookup.com

Bsqueda en pginas de Empleo

www.elempleo.com

Herramientas de DescubrimientoRECON-NG

Permite Obtener informacin y hacer reconocimiento de red

Dmitry

Permite buscar informacin rpidamente sobre un sitio especfico

NetDiscover

Facilita el descubrimiento de red de modo pasivo y activo

Zenmap

Versin Grfica de Nmap

Escaneos Bsicos de nmap -sT (TCP connect Scanning):

Usa el principio de los Sockets de unix para conectarse, que est basado en una funcin connect( ), este mtodo intenta hacer una conexin tal y como la hara un computador, por esto es fcilmente detectable por los firewalls

-sS (SYN Scanning)

Basado en el Three Way Handshake

Three Way HandShake

SYN

SYN / ACK

ACK

SYN (Peticin de Sincronizacin) ACK (Aceptacin/ Reconocimiento) FIN (Peticin de finalizacin) RST (Peticin de finalizacin inmediata)

Nmap -sS (Syn Scan)

SYN

SYN / ACK

RST

SYN

RST

SI el puerto est abierto se recibe un syn/ack

Nmap -sS

SYN

Si no hay respuesta significa que el puerto puede estar filtrado, se usan otras tcnicas como manejo de tiempos y de fragmentacin de paquetes.

Posibles estados de los puertos: Abierto Cerrado Filtrado

Ejemplos de Ejecucin

Nmap sP xxxx.xxxx.xxxx.xxxx

Ping Scan

nmap -sS -O xxxx.xxxx.xxxx.xxxx

Syn Scan y deteccin de Sistema Operativo

Nmap sS P0 A v

Deteccin de sistema operativo y deshabilita Pings

TALLER 1

EL TALLER DEBE SER REALIZADO EN PAREJAS Y ENVIADO AL CORREO ELECTRNICO DEL PROFESOR AL FINALIZAR LA SESIN, TIENE UN VALOR DEL 20% DEL SEMINARIO

TEMARIO

CONCEPTOS GENERALES





Ciclo de Anlisis de Vulnerabilidad y Remediacin

Escaneo

Reporte

ClasificacinRemediacin

Retest

El ciclo de anlisis devulnerabilidades y pruebas depenetracin es un ciclo continuo,que debe tratarse como se havenido tratando la gestin deherramientas de antivirus.

Common Vulnerability and Exposures

La corporacin Mitre pone a disposicin un diccionario pblico de vulnerabilidades y les asigna un cdigo el cual ha sido adoptado como estndar incluso para normas locales como la circular 052 de la Superintendencia Financiera de Colombia.

http://cve.mitre.org/

Ejemplo del Diccionario CVE

Clasificacin de Vulnerabilidades

El CVSS (Common Vulnerability Scoring System) de NIST define los niveles de criticidadde las vulnerabilidades informticas.

Ayuda a determinar la prioridad y la urgencia de las tareas de remediacin.

CVSS (Common Vulnerability ScoringSystem)

Es un sistema de puntaje de vulnerabilidades diseado para proporcionar un mtodo estandarizado y abierto para calificar vulnerabilidades de TI.

Puntaje Estandarizado

Permite tener un puntaje independiente de las plataformas

Permite crear una poltica nica de gestin de vulnerabilidades

Marco Abierto

Otros mtodos de calificacin pueden ser confusos

Los parmetros para obtener un puntaje estn disponibles para libre consulta

Priorizacin del riesgo

Los puntajes reflejan el riesgo real de la organizacin.

Los usuarios pueden saber que tan importante es una vulnerabilidad con respecto a otras.

Composicin del CVSS

Captura las caractersticas de una vulnerabilidad que son constantes con respecto al tiempo y al ambiente.

Grupo de mtricas Base

Captura las caractersticas de una vulnerabilidad que cambian en el tiempo como el estado de la remediacin o que tan explotable es.

Grupo de Mtricas Temporal

El ambiente juega una influencia directa en el clculo de riesgo.

Grupo de Mtricas

Ambiental

Grupo Base

Vector de Acceso [AV]

Complejidad de Acceso [AC]

Autenticacin [Au]

Impacto a la Confidencialidad

[C]

Impacto a la Disponibilidad

[A]

Impacto a la Integridad [I]

Grupo Base

Vector de Acceso

Local [L]

AdjacentNetwork [A]

Network [N]

Complejidad de Acceso

High [H]

Medium [M]

Low [L]

Autenticacin

Mulitple [M]

Single [S]

None [N]

Grupo Base

Impacto a la Confidencialidad

None [N]

Partial [P]

Complete [C]

Impacto a la Integridad

None [N]

Partial [P]

Complete [C]

Impacto a la Disponibilidad

None [N]

Partial [P]

Complete [C]

Grupo Temporal

Explotabilidad[E]

Nivel de Remediacin

[RL]

Confianza del Informe [RC]

Grupo Temporal

Explotabilidad

Unproven [U]

Proof Of Concept [POC]

Functional [F]

High [H]

Not Defined [ND]

Nivel De Remediacin

Oficial Fix [OF]

Temporary Fix[TF]

Workaround [W]

Unavailable [U]

Not Defined [ND]

Confianza del Informe

Unconfirmed[UC]

Uncorroborated[UC]

Confirmed [C]

Not Defined

Grupo del Entorno

Dao CollateralPotencial [CDP]

Distribucin Objetivo [TD]

Requerimientos de Seguridad

[CR,IR,AR]

Grupo del Entorno

Dao Colateral Potencial

None [N]

Low [L]

Low Medium [LM]

Medium-High [MH]

High [H]

Not Defined [ND]

Objetivo de Distribucin

None [N]

Low [L] (, < 75%)

High [H] (>75%)

Not Defined [ND]

Requerimientos de Seguridad (CR, AR, IR)

None [N]

Low [L]

Medium [M]

High [H]

Not Defined [ND]

Afecta los puntajes Base

Resumen

Base AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]Temporal E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,ND]

EntornoCDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]/CR:[L,M,H,ND]/ IR:[L,M,H,ND]/AR:[L,M,H,ND]

Ejemplo:AV:L/AC:M/Au:N/C:N/I:P/A:C.

Vector de Acceso: LComplejidad de Acceso: MAutenticacin: NConfidencialidad: NIntegridad: PDisponibilidad: C

CALCULADORA CVSS:

http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2

INSTALACIN DE NESSUS EN KALI

TALLER 2

EL TALLER DEBE SER REALIZADO EN PAREJAS Y ENVIADO AL CORREO ELECTRNICO DEL PROFESOR AL FINALIZAR LA SESIN, TIENE UN VALOR DEL 20% DEL SEMINARIO

TEMARIO

CONCEPTOS GENERALES





PENTEST

VRA

EXPLOITS

PENTEST

Ataques Controlados

Generalmente no se incluyen ataques de Denegacin de servicio

El objetivo es simular las acciones de un hacker malintencionado y dejar evidencia del nivel de penetracin logrado

Rompimiento de Contraseas

Rompimiento de contraseas

Fuerza BrutaAtaques de Diccionario

Tablas Precomputadas

Tablas Arcoiris

FUERZA BRUTA

Probar todas las posibles llaves o contraseas hasta que la se encuentra la correcta. La efectividad de esta tcnica est atada a la longitud de la contrasea y a la capacidad de

procesamiento del sistema que realiza el ataque Los intentos se generan con las posibles combinaciones de un conjunto de caracteres sin

tener ningn criterio para escogerlos.

Ataque de Diccionario

Es una evolucin del ataque de fuerza bruta. Se utiliza un diccionario de palabras que cumplen ciertas condiciones:

Palabras conocidas en un idioma Combinaciones de caracteres Longitud especfica de las contrasea

La efectividad est atada a la complejidad de la contrasea y a la Calidad del Diccionario.

Tablas Precomputadas

Se basa en la bsqueda de una contrasea correspondiente a un Hash.

Depende de la Calidad de la tabla, Una buena tabla precomputada requiere Teras de espacio.

Contrasea MD5

1 c4ca4238a0b923820dcc509a6f75849b

1234567890 e807f1fcf82d132f9bb018ca6738a19f

abc123 e99a18c428cb38d5f260853678922e03

password 5f4dcc3b5aa765d61d8327deb882cf99

Tablas Arco Iris RainbowTables

Es una Solucin al problema de espacio de las tablas precomputadas. Consiste en una tabla de textos planos y hashes Asociados a dicho texto (no

es el hash del texto) que facilita la manera de obtener el password a determinado hash.

Se cambia almacenamiento por procesamiento

Tablas Arco Iris Ejemplo de Cnstruccin

Texto Claro Hash

123 c2c400743edd1f7b223c95cd9fcdd3f0

456 a9196ffec2e43657eabb10782586dbc5

789 6f3ef77ac0e3619e98159e9b6febf557

111 f3a11faa34ed836dccd87f39d4c86472

Se construye por medio de funciones de HASH y funciones de reduccin.

Las funciones de reduccin estn diseadas para obtener textos

Tablas Arco Iris Ejemplo de Construccin

x h1= H(x) RIh2=

H(R1(h1)) R2h3=

H(R2(h2)) R3h4=H(R3(h

3))

123202cb962ac59075b964b07152d234b70 202

854d6fae5ee42911677c739ee1734486 486

7d04bbbe5494ae9d2f5a76aa1c00fa2f 4bb

c2c400743edd1f7b223c95cd9fcdd3f0

456250cf8b51c773f3f8dc8b4be867a9a02 250

6c9882bbac1c7093bd25041881277658 658

2f37d10131f2a483a8dd005b3d14b0d9 7d1

a9196ffec2e43657eabb10782586dbc5

78968053af2923e00204c3ca7c6a3150cf7 680

fccb3cdc9acc14a6e70a12f74560c026 026

2c62105ee18ecd5f0ee37bc8c35718eb 210

6f3ef77ac0e3619e98159e9b6febf557

111698d51a19d8a121ce581499d7b701668 698

99bcfcd754a98ce89cb86f73acc04645 645

5e9f92a01c986bafcabbafd145520b13 f92

f3a11faa34ed836dccd87f39d4c86472

Tablas Arco Iris Ejemplo de Cnstruccin

Supongamos el hash: 6c9882bbac1c7093bd25041881277658 Aplicamos la funcin de reduccin R2 -> 658 Aplicamos el Hash y Obtenemos 2f37d10131f2a483a8dd005b3d14b0d9A este hash aplicamos la funcin R3 de reduccin obteniendo 7d1 y de nuevo calculamosel hash que resulta en a9196ffec2e43657eabb10782586dbc5, que si est en la RainbowTable.

Texto Claro Hash

123 c2c400743edd1f7b223c95cd9fcdd3f0

456 a9196ffec2e43657eabb10782586dbc5

789 6f3ef77ac0e3619e98159e9b6febf557

111 f3a11faa34ed836dccd87f39d4c86472

Metasploit - Meterpreter

Open Source

Se usar en los talleres demostrativos.

Ya existe una versin Profesional con licencia comercial Rapid-7

TALLER 3

EL TALLER DEBE SER REALIZADO EN GRUPOS Y ENVIADO AL CORREO ELECTRNICO DEL PROFESOR AL FINALIZAR LA SESIN, TIENE UN VALOR DEL 20% DEL SEMINARIO

TEMARIO

CONCEPTOS GENERALES





CREACIN DE REPORTES

Presentacin de Resultados de manera:

Asertiva Ordenada Clara Completa Considerando el perfil, conocimiento e intereses del Lector.

REPORTES USUALES

Reportes Tcnicos

Dirigidos a Grupos Encargados de la Remediacin, a Lderes Tcnicos del proyecto, Analistas de TI o de Seguridad,etc.

Compilado del detalle tcnico deben ser exahustivos.

Son una Herramienta para toma de decisiones de tipo Tcnico.

Reportes Ejecutivos

Presentacin Resumida de Resultados Relevantes.

Dirigidos a Gerentes y Directores.

Se debe minimizar el uso del lenguaje tcnico especializado

Debe ser comprensible para un lector sin conocimientos en el tema.

REPORTE TCNICO

INTRODUCCIN

OBJETIVOS

ALCANCE

METODOLOGA

RESULTADOS

CONCLUSIONES Y RECOMENDACIONES

ANEXOS

INTRODUCCIN Y OBJETIVOS

Introduccin

Describir los antecedentes y entorno del proyecto.

Partes interesadas

Breve descripcin de la empresa o del consutor

Objetivos

Objetivos del Proyecto

Tener en cuenta requerimientos normativos, pej: Circular 042 o la norma PCI.

ALCANCE

Se deben especificar los tipos de pruebas realizados: Anlisis de Vulnerabilidad Pentest Interno o Externo Caja Negra o Caja Blanca Con Credenciales o sin ellas

Lugar de ejecucin Nmero de activos, aplicaciones o redes involucradas Tiempo de ejecucin Periodicidad de las pruebas

METODOLOGA

Se especifican las etapas y una descripcin de el objetivo de cada una: Descubrimiento y Enumeracin Anlisis de Vulnerabilidades Pruebas de Penetracin

Especificar las Herramientas Utilizadas: Nessus, Nikto, Accunetix, etc.

Se mencionan las metodologas o guas utilizadas: Metodologa del EC-Council OSSTMM OWASP

RESULTADOS

Detalle tcnico de los resultados obtenidos en cada etapa Inventario y descripcin de informacin obtenida en la etapa de descubrimiento Inventario de Vulnerabilidades encontradas con descripcin, cdigo CVE, puntaje

CVSS, informacin adicional, links de referencia, recomendaciones de remediacin. Evidencia de resultados de penetracin.

APOYARSE EN LOS ANEXOS

Grficas: Distribucin de Vulnerabilidades de

acuerdo a su criticidad. Servidores mas vulnerables Puertos mas Vulnerables Vulnerabilidades mas comunes Clasificacin por tipo de Vulnerabilidad:

Parches de Sistema operativo Configuraciones por Defecto Vulnerabilidades de Productos, entre

otros


Anlisis de Resultados Discusin de los aspectos mas relevantes Principales problemas o situaciones crticas Recomendaciones de Remediacin -> no es una lista de

lo que entregan los reportes de las herramientas, es el resultado de un anlisis global de los resultados y una gua de cul es el mejor camino a seguir. (Acciones mas contundentes y de menor costo).

ANEXOS

Compilado del detalle tcnico

Tablas dinmicas

Archivos de Excel

INFORME EJECUTIVO

INTRODUCCIN

OBJETIVOS

ALCANCE

METODOLOGA

RESULTADOS


Contiene las mismas secciones que elinforme ejecutivo, pero se presentanresultados resumidos y ejecutivos.

Es recomendable usar nombres deaplicaciones en lugar de direcciones ip odescribir los servidores de acuerdo a losservicios que presta, pej.

Tambin se usan grficas estadsticaspero de aspectos generales como lacantidad de vulnerabilidades, nmerode equipos comprometidos, facilidad dela explotacin, etc

Los resultados se deben presentar en trminos del nivel de riesgo y del tipo de consecuencias para la organizacin.

TALLER 4

EL TALLER DEBE SER REALIZADO INDIVIDUALMENTE Y ENVIADO AL CORREO ELECTRNICO DEL PROFESOR AL FINALIZAR LA SESIN, TIENE UN VALOR DEL 40% DEL SEMINARIO

hacking etico

Documents