Академический Документы
Профессиональный Документы
Культура Документы
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 2
¿Cómo llegué hasta acá?
Empecé en ORT en el 1998.
Elegí Informática.
En 8vo me empezó a interesar la Seguridad
Informática.
Aprendí jugando en casa y un poco en ORT
(perdón Adrián!).
Entre a la UTN (Ingeniería en Sistemas).
A los 18 empecé como consultor junior en Cybsec.
A los 23 me recibí (Dios bendiga el trabajo part-
time).
A los 24 fundé Onapsis con un amigo.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 3
El hacker
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 4
Entonces… qué es un hacker?
● Alguien con pasión por entender la tecnología, aprender su
funcionamiento y sobrepasar sus “límites”.
● Ser un hacker no es ser un criminal.
● En Seguridad Informática, los hackers se dividen en:
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 10
El Hacking Ético
● Es el arte de simular el comportamiento de un potencial
atacante informático, con el objetivo de detectar (y explotar)
las vulnerabilidades existentes en la plataforma
tecnológica de una Organización.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 11
Tipo de Evaluaciones
● Modelo: Externos vs. Internos.
● Enfoque: Caja negra / Caja gris / Caja blanca.
● Objetivo:
● Infraestructura
● Aplicaciones Web
● Wireless
● Factor Humano – Ingeniería social
● Sistemas críticos (SCADA, ERPs, etc)
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 12
Buscando
Vulnerabilidades
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 13
Análisis Inicial: Threat Modeling
● Metodología formalizada para identificar amenazas en el diseño de
una aplicación y priorizar actividades de evaluación.
● Pensar como un atacante!
● Etapas:
● Recolección de Información
● Modelado de Arquitectura
● Identificación de Amenazas
● Documentación de Hallazgos
● Priorización de Evaluación
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 14
Evaluación de la Aplicación
● Una vez identificadas las amenazas, se evalúan los
componentes afectados para ver si realmente existen.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 15
etecté una vulnerabilidad.. Qué hago?
● Como investigadores independientes, tienen distintas
opciones:
● Reportarla al fabricante y luego publicar.
● Full-disclosure.
● Venderla:
● Mercado gris: Organizaciones que compran vulns.
● Mercado negro: “Organizaciones” que compran
vulns.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 16
Qué hacemos nosotros?
● Detectamos vulnerabilidades en Aplicaciones de Negocio CRITICAS.
● Las reportamos al fabricante.
● Esperamos que provea la
solución y la publicamos.
● Implementamos un módulo
en Onapsis X1.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 17
De nuestro “garage”…
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 18
… a Alemania
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 19
Onapsis en las noticias
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 20
Qué necesitas?
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 21
Convirtiéndote en un Whitehat
● Es un proceso gradual.
● Lo MAS importante: PASION.
● Nadie nace sabiendo!
● Investigar. Investigar. Investigar.
● Mejorar skills de programación y redes.
● Jugar Wargames en Internet.
● Ir a la Ekoparty! :P
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 22
Preguntas?
mnunez@onapsis.com
Work@Onapsis
jobs@onapsis.com
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 23
Muchas Gracias!
www.onapsis.com
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 24