Etica Hacking

Ing. Javier Len Cabrera jleonc@eiidi.com

El hacking tico Information Gathering Footprinting Scanning Enumaration. Google Hacking

Porque los militares de todo el mundo estudian las tcticas, las herramientas, las estrategias, la tecnologa, de su enemigo. Porque mientras mas sepan que es capaz su enemigo de hacer, tendr una idea mas exacta de los mecanismo de proteccin que necesitan para defenderse.

Que es un hacker tico

Podemos conceptuarlo como un profesional de la seguridad que aplican sus conocimientos de hacking con fines defensivos.

Conocedor de aspectos legales.

UN ARMA DE DOBLE FILO

Depende de usted en que lado de la pelea quiere estar, en las blancas o en las negras, pero recuerde que los delitos informticos ya no se toman a la ligera como antes. Probar una nueva herramienta o presionar START en una vieja herramienta le puede llevara un lugar que jams deseo estar, la crcel, por lo que como su madre deca: sea bueno y que la fuerza lo acompae.

Seguridad de la informacin
La informacin es uno de los recursos principales de las organizaciones. La seguridad de la informacin se encarga de protegerla de una amplia gama de amenazas, a fin de garantizar la continuidad comercial del negocio.

Elementos esenciales de la seguridad.

Confidencialidad tiene que ver con la ocultacin de informacin o recursos. Autenticidad - es la identificacin y garanta del origen de la informacin. Integridad - Se refiere a cambios no autorizados en los datos. Disponibilidad Posibilidad de hacer uso de la informacin y recursos deseados.

Ethical Hacking

Seguridad Informtica

Seguridad de la Informacin

Tipos de Ataques
Denegacin Interceptacin Modificacin Fabricacin

Atacante

Que hace una atacante.

1 Reconocimiento.- Esta es la fase en la que el atacante recopila informacin sobre el mismo objetivo.

2 Exploracin.- En esta fase, el atacante comienza a investigar el destino de las vulnerabilidades que pueden ser explotadas. . 3 Obtencin de acceso.- Si se detecta la vulnerabilidad, el atacante puede explotar para obtener acceso al sistema. .
4 Mantenimiento del Acceso.- Una vez que el atacante obtiene acceso, por lo general mantiene su acceso para cumplir con el propsito de su entrada. . 5 Borrado de Huellas.- La mayora.de los atacantes intentan borrar sus

huellas para que no se puede detectar o sancionadas en la ley penal.. .

Simulacros / Pruebas de penetracin

Contratos, Seguridad y permanecer fuera de crcel.

El cliente debe entender por completo los tipos de prueba que va se va a realizar. Contrato solido donde indique los alcances de las pruebas, tareas especificas que se realizaran, esto debe ser revisado y aprobado por el gerente y el abogado de la compaa No se puede exagerar la importancia del contrato. Hay casos de contraseas vulneradas en el proceso, sin el consentimiento debido lo que conlleva problema legales.

Aspectos legales.
Ley de comercio electrnico, firmas electrnicas y mensajes de datos
Art. 2.- Reconocimiento jurdico de los mensajes de datos.Los mensajes de datos tendrn igual valor jurdico que los documentos escritos. Su eficacia, valoracin y efectos se someter al cumplimiento de lo establecido en esta Ley y su reglamento. Captulo I DE LAS INFRACCIONES INFORMTICAS Art. 57.- Infracciones informticas.- Se considerarn infracciones informticas, las de carcter administrativo y las que se tipifican, mediante reformas al Cdigo Penal, en la presente ley.

Libro II Cdigo Penal Titulo II: delitos contra las garantas constitucionales y la igualdad racial

Capitulo V: delitos contra la inviolabilidad del secreto. Art. 202 A): El que empleando cualquier medio electrnico, informtico o afn, violentare claves o sistemas de seguridad para acceder u obtener informacin protegida, contenida en sistemas de informacin para vulnerar el secreto, confidencialidad o reserva o simplemente vulnerar la seguridad, ser reprimido con prisin de seis meses a un ao y multa de quinientos a mil dlares de los estado unidos de Norteamrica.

Si la informacin obtenida se refiere a seguridad nacional, o secretos comerciales o industriales, la pena ser de uno a tres aos y multa de mil a mil quinientos dlares de los estados unidos de Norteamrica. La divulgacin o la utilizacin fraudulenta de la informacin protegida, as como los secretos comerciales o industriales sern sancionadas con pena de reclusin menor de tres a seis aos y multa de dos mil a diez mil dlares de los estados unidos de Norteamrica
Si la divulgacin o la utilizacin fraudulenta se realizan por parte de la persona o personas encargadas de la custodia o utilizacin legitima de la informacin, estas sern sancionadas con la pena de reclusin menor de seis a nueve anos y multa de dos mil a diez mil dlares de los estados unidos de Norteamrica

Art. 202 B): Obtencin y utilizacin no autorizada de informacin.- La personas o personas que obtuvieren informacin sobre datos personales para despus cederla, publicarla, utilizarla o transferirla a cualquier titulo, sin la autorizacin de su titular o titulares, sern sancionadas con pena de dos meses a dos anos y multa de mil a dos mil dlares de los estados unidos de Norteamrica.

Titulo III: de los delitos contra la administracin pblica. Capitulo V: de la violacin de los deberes de funcionarios pblicos, de la usurpacin atributos y de los abusos de autoridad.

Art. 262: Sern reprimidos con tres a seis anos de reclusin menor, todo empleado publico y toda persona encargada del servicio publico, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, ttulos, programas, datos, bases de datos, informacin o cualquier mensaje de datos contenido en un sistemas de informacin o red electrnica, de que fueren depositario, en su calidad de tales, o que les hubiere sido encomendados sin razn de su cargo.

Titulo IV: de los delitos contra la fe pblica Capitulo III: De la falsificacin de los documentos en general. Art. 353 A): Falsificacin Electrnicas.- Son reos de falsificaron electrnica la persona que sin animo de lucro o para causar un perjuicio a un tercero, utilizando cualquier medio; alteren o modifiquen mensajes de datos o la informacin incluida en estos, que se encuentre contenida en cualquier soporte material, sistema de informacin o telemtica, ya sea alterando un mensaje de datos en alguno de sus elementos o requisitos sern reprimidos de acuerdo al cdigo vigente..

Titulo V: de los delitos contra la seguridad pblica Captulo VII: del incendio y otras destrucciones, de los deterioros y danos.
Art. 415 A) Danos Informticos.- El que dolosamente de cualquier modo o utilizando cualquier mtodo, destruya, altere, inutiliza, suprima o dae, de forma temporal o definitiva, los programas, datos, base de datos, informacin o cualquier mensaje de datos contenido en un sistema de informacin o red electrnica, ser reprimido con prisin de seis meses a tres aos y una multa de sesenta a Ciento cincuenta dlares de Norteamrica La pena de prisin ser de tres a cinco anos y una multa de doscientos a seiscientos dlares de Norteamrica cuando se trate de programas datos base de datos, informacin cualquier mensaje de datos contenido en un sistema de informacin o de red electrnica, destinada aprestar un servicio publico o vinculada con la defensa nacional.

Art. 415 B) Si no se tratare de un delito mayor, la destruccin, la alteracin o inutilizacin de la infraestructura o instalaciones fsicas necesarias para la transmisin, recepcin o procesamiento de mensajes de datos, ser reprimida con prisin de ocho mese a cuatro aos y multa de doscientos a seiscientos dlares de los Estados Unidos de Norte Amrica

Reformas

Company Logo

Fraude Informtico
Art.. Apropiacin Ilcita.- Sern reprimidos con prisin de seis meses a cinco aos y multa de quinientos a mil dlares de los Estados Unidos de Norteamrica, los que utilizaren fraudulentamente sistemas de informacin o redes electrnicas, para facilitar la apropiacin de un bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o derechos de una persona, en perjuicio de sta o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrnicas, programas informticos, sistemas informticos, telemticos o mensajes de datos.

Titulo X. De los delitos contra la propiedad. Cap. II. del robo. Cap. V de las estafas y otras defraudaciones.

Fraude Informtico
Art.. La pena ser de prisin de uno a cinco aos y multa de mil a dos mil dlares de los Estados Unidos de Norteamrica, si el delito se hubiere cometido empleando los siguientes medios:
1. Inutilizacin de sistemas de alarma o guarda; 2. Descubrimiento o descifrado de claves secretas o encriptadas; 3. Utilizacin de tarjetas magnticas o perforadas; 4. Utilizacin de controles o instrumentos de apertura a distancia; 5. Violacin de seguridades electrnicas, informticas u otras semejantes.

Titulo X. De los delitos contra la propiedad. Cap. II. del robo. Cap. V de las estafas y otras defraudaciones.

Violaciones al Derecho a la Intimidad (Contravencin)

A continuacin del numeral 19 del Art. 606 adase el siguiente: ..... Los que violaren el derecho a la intimidad, en los trminos establecidos en la Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos.

LIBRO III. CODIGO PENAL TITULO I. CAP. III. DE LAS CONTRAVENCIONES DE TERCERA CLASE.

Pornografa Infantil
Art. 528.7.- Quien produjere, publicare o comercializare imgenes pornogrficas, materiales visuales, audiovisuales, informticos, electrnicos o de cualquier otro soporte fsico o formato u organizare espectculos en vivo, con escenas pornogrficas en que participen los mayores de catorce y menores de dieciocho aos ser reprimido con la pena de seis a nueve aos de reclusin menor ordinaria, el comiso de los objetos y de los bienes productos del delito, la inhabilidad para el empleo profesin u oficio.

Ttulo VIII, Captulo III.1, De los delitos de explotacin sexual.

Hacktivismo
Se refiere puntualmente a realizar actos de Hacking por una causa, la cual, por ejemplo, puede ser poltica, religiosa, social o cualquier otra cruzada que usted pueda concebir.

Estos grupos podran efectuar daos mucho ms serios que simplemente hacer un deface de una pginaWeb, y por lo tanto preocupan a las principales agencias de seguridad del mundo.

Tipos de Hackers
Grey Hats: Son aquellos Hackers que han trabajado tanto en forma defensiva como ofensiva, dependiendo de la situacin. Black Hats (Crakers):considerados los chicos malos. Son aquellos que utilizan sus habilidades para realizar actividades ilegales y cumplir con propsitos maliciosos.

Un White Hat o consultor independiente, quien disfruta de un mayor reconocimiento desde la comunidad y adems se mantiene constantemente informado de las actividades de los Black Hats.

El Hacker tico
El Ethical Hackers se encuentran motivados por diferentes razones, pero su propsito final es el mismo que el de un Cracker. Un Ethical Hacker intentara determinar que puede ver un intruso sobre una organizacin objetivo y que podra hacer un Cracker con esta informacin. De la misma forma un Ethical Hacker realizara todas sus tareas con el objetivo final de segurizar la red protegiendo los recursos ms preciados para la organizacin aportando soluciones de fondo. Siempre deber mantener en mente el pensamiento de un intruso malicioso para poder desarrollar correctamente sus actividades.

Puede ser el Hacking tico?

Esta pregunta asegura que un hackeo no puede ser tico, debido a que cualquier intrusin (a un sistema, una casa, un edificio) no puede pensarse como una accin tica. La segunda postura es SI!, en el marco apropiado y con los permisos necesarios, un Ethical Hacker utilizar las mismas herramientas que un Cracker utilizara en busca de las vulnerabilidades presentes en una organizacin para solucionarlas.

Cmo convertirnos en un Ethical Hacker?

Mas all de los conocimientos tcnicos necesarios para convertirse en un Ethical Hacker tambin ser necesario poseer algunas cualidades como paciencia, persistencia y una inmensa perseverancia. La mayora de los ataques exitosos requerirn de una gran concentracin durante periodos prolongados de tiempo.

Perfil de conocimientos de un Ethical Hacker

Para que un Ethical Hacker pueda mantenerse un paso por delante en trminos de seguridad, dentro de su bagaje de conocimientos deber incluir un profundo conocimiento de las plataformas ms populares, incluyendo adems reas como networking, programacin, algo de electrnica, hardware y software.

Qu es Vulnerability Research?
Bsicamente es el proceso de descubrimiento de vulnerabilidades y debilidades de diseo que pueden llevar a realizar un ataque a un sistema. Existen muchos sitios y herramientas que ayudaran a un Ethical Hacker a mantener una lista acualizada de vulnerabilidades y posibles exploits asociados a ellas.

www.securityfocus.com. Se considera esencial para un Ethical Hacker que este se mantenga lo mas actualizado que pueda respecto anuevos virus, troyanos y diferentes tcnicas para poder realizar sus tareas de defensa de la mejor formaposible.

Por qu los Hackers necesitan hacer un Vulnerability Research?

La razn principal de esto es poder realizar su trabajo de forma efectiva. Un Ethical Hacker debe estar al tanto de todas las tcnicas existentes para poder estudiarlas y brindar los controles y contramedidas necesarias que eviten la posible intrusin de un atacante malicioso. De la misma forma, necesitaran mantenerse actualizados para poder aumentar la efectividad de sus ataques a la hora de realizar un anlisis de seguridad sobre una organizacin.

Sitios Web de Vulnerability Research

United States Computer Emergency Readiness Team, el USCERT es uno de los centros de informacin ms importante para el estudio y reporte de los problemas de seguridad en Internet. En el sitio web del US-CERT se puede encontrar: Reportes de incidentes Reportes de vulnerabilidades Repotes de Phishing Publicaciones tcnicas en temas relativos a seguridad

www.securitytracker.com
Security Tracker es un sitio que nos permite llevar el rastro de las ultimas vulnerabilidades en seguridady se nutre principalmente del monitoreo de otros sitios de seguridad. Permite realizar bsquedas de acuerdo al fabricante, sistema operativo, causa, impacto, y otros par-metros. Posee una gran base de datos de vulnerabilidades.
Adems, posee una lista de correo, la cual enva a sus destinatarios las ltimas vulnerabilidades y noticias del ambiente.

www.microsoft.com/security/default.mspx
Aqu podr encontrar no solamente las vulnerabilidades publicadas por este fabricante sino que adems podr obtener toneladas de documentacin acerca de cualquiera de los productos de Microsoft incluyendo mejores prcticas, guas de configuracin y hardening de equipos, herramientas de deteccin de malware, seguridad en desarrollo de aplicaciones y mucho ms.

http://www.securiteam.com
Este sitio de bsqueda de vulnerabilidades contara con las ltimas noticias y reviews en cuanto a este tema.

Tambin le ser posible encontrar herramientas y exploits para las vulnerabilidades reportadas, en muchos casos exploits desarrollados por su propio equipo de trabajo. Atravs de esta pgina tambin obtendremos acceso a listas de correo y blogs dedicados exclusivamente al research de vulnerabilidades.

www.packetstormsecurity.com

Podemos encontrar papers, exploits y herramientas de todo tipo

http://secunia.com
Sitio de bsqueda de vulnerabilidades el cual se encarga del monitoreo de y actualizacin de vulnerabilidades de ms de 9500 productos.

www.securityfocus.com
Uno de los sitios de seguridad informtica ms conocidos y de mayor importancia. Posee varias listas de correo electrnico, de las que se destaca Bugtraq, una de las listas ms utilizadas por Hacker para publicar vulnerabilidades.

www.milw0rm.com
Sitio web con un gran contenido de vulnerabilidades y un gran archivo que data desde el ao 1995. Posee un listado de todos las funciones de Hash crackeadas hasta el momento.

www.hackerstorm.com
Nos permite realizar bsquedas en la base de datos, los datos incluyen descripcin, solucin, tipo de ataque, referencias externas y crditos. Adems, es posible que contenga una herramienta relacionada a la vulnerabilidad si es que se encuentra disponible.

zone-h.org
Este sitio reporta ataques Web y cyber crmenes como un ente independiente. A partir de este sitio usted podr observar toneladas de pginas Web que sufrieron un desfase.

Como manejar un Proceso de Ethical Hacking

Los pasos incluidos para conducir un Ethical Hacking incluirn asistir al cliente acerca de los recursos necesarios para llevarlo a cabo con xito y en lo posible ayudarlo a definir alcances y limites de acuerdo a sus necesidades.
Antes de realizar cualquier Ethical Hacking se debe presentar y firmar la documentacin legal correspondiente que incluye el acuerdo de confidencialidad entre las partes interesadas, para luego agendar el test y llevarlo a cabo de acuerdo a los tiempos estipulados.

Una vez realizado el test se proceder a analizar los resultados obtenidos y se generara un informe, el cual ser entregado al cliente con las explicaciones del caso.

Cmo hacerlo?
Estos test poseen al menos tres fases bien definidas que son:
Preparacin Se firma un contrato formal que contiene la clausula de no divulgacin y tambin para proteger al Hacker tico ante cualquier problema que se pudiera tener por la evaluacin, incluye actividades a realizar y alcances del test, tiempos y recursos disponibles. Conducir Preparamos el reporte de la evaluacin tcnica basndonos en el testeo de vulnerabilidades. Conclusin Aqu se comunica a la organizacin de las fallas y acciones correctivas.