Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Onapsis Ortspirit Hacking Fora Living Print

    Загружено:

    campusvirtualort
    274 просмотров24 страницы

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    PPT, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PPT, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    274 просмотров24 страницы

    Onapsis Ortspirit Hacking Fora Living Print

    Загружено:

    campusvirtualort

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PPT, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 24

    Hacking for a Living

    Mariano Nuñez Di Croce


    mnunez@onapsis.com

    Septiembre 28, 2010


    ORT SpirIT
    ¿Quién soy yo?
     Co-fundador / Director de Investigación y Desarrollo
    en Onapsis.
     Inicialmente dedicado a Penetration Testing y
    Vulnerability Research.
     Descubrí vulnerabilidades en Microsoft, Oracle, SAP, IBM,

     Speaker/Trainer en Black Hat (Las
    Vegas/Amsterdam/Barcelona), HITB (Dubai), Sec-T (Estocolmo),
    ¿Qué es
    Hack.lu Onapsis?
    (Luxemburgo), DeepSec (Viena), Ekoparty (BsAs)...

     Empresa especializada en la seguridad de ERPs y Aplicaciones de


    Negocio Críticas (SAP®, Siebel®, Oracle® E-Business SuiteTM , JD Edwards® …).

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 2
    ¿Cómo llegué hasta acá?
     Empecé en ORT en el 1998.
     Elegí Informática.
     En 8vo me empezó a interesar la Seguridad
    Informática.
     Aprendí jugando en casa y un poco en ORT
    (perdón Adrián!).
     Entre a la UTN (Ingeniería en Sistemas).
     A los 18 empecé como consultor junior en Cybsec.
     A los 23 me recibí (Dios bendiga el trabajo part-
    time).
     A los 24 fundé Onapsis con un amigo.
    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 3
    El hacker

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 4
    Entonces… qué es un hacker?
    ● Alguien con pasión por entender la tecnología, aprender su
    funcionamiento y sobrepasar sus “límites”.
    ● Ser un hacker no es ser un criminal.
    ● En Seguridad Informática, los hackers se dividen en:

    White-hats: Hacking ético. Tienen como objetivo


    evaluar y asegurar los sistemas de información.

    Black-hats: El lado oscuro de la fuerza. Objetivos


    criminales y de beneficio personal.

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 10
    El Hacking Ético
    ● Es el arte de simular el comportamiento de un potencial
    atacante informático, con el objetivo de detectar (y explotar)
    las vulnerabilidades existentes en la plataforma
    tecnológica de una Organización.

    ● El objetivo final es elevar el nivel de seguridad de la


    plataforma.

    ● Certificaciones!!?? CEH - Certified Ethical Hacker.

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 11
    Tipo de Evaluaciones
    ● Modelo: Externos vs. Internos.
    ● Enfoque: Caja negra / Caja gris / Caja blanca.
    ● Objetivo:
    ● Infraestructura
    ● Aplicaciones Web
    ● Wireless
    ● Factor Humano – Ingeniería social
    ● Sistemas críticos (SCADA, ERPs, etc)

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 12
    Buscando
    Vulnerabilidades

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 13
    Análisis Inicial: Threat Modeling
    ● Metodología formalizada para identificar amenazas en el diseño de
    una aplicación y priorizar actividades de evaluación.
    ● Pensar como un atacante!

    ● Etapas:
    ● Recolección de Información
    ● Modelado de Arquitectura
    ● Identificación de Amenazas
    ● Documentación de Hallazgos
    ● Priorización de Evaluación

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 14
    Evaluación de la Aplicación
    ● Una vez identificadas las amenazas, se evalúan los
    componentes afectados para ver si realmente existen.

    ● Pueden utilizarse diferentes técnicas:


    ● Análisis Estático
    ● Análisis Dinámico
    ● Fuzzing
    ● Diffing de Parches

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 15
    etecté una vulnerabilidad.. Qué hago?
    ● Como investigadores independientes, tienen distintas
    opciones:
    ● Reportarla al fabricante y luego publicar.
    ● Full-disclosure.
    ● Venderla:
    ● Mercado gris: Organizaciones que compran vulns.
    ● Mercado negro: “Organizaciones” que compran
    vulns.

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 16
    Qué hacemos nosotros?
    ● Detectamos vulnerabilidades en Aplicaciones de Negocio CRITICAS.
    ● Las reportamos al fabricante.
    ● Esperamos que provea la
    solución y la publicamos.
    ● Implementamos un módulo
    en Onapsis X1.

    ● Nuestros clientes pueden verificar si son o no vulnerables.

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 17
    De nuestro “garage”…

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 18
    … a Alemania

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 19
    Onapsis en las noticias

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 20
    Qué necesitas?

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 21
    Convirtiéndote en un Whitehat
    ● Es un proceso gradual.
    ● Lo MAS importante: PASION.
    ● Nadie nace sabiendo!
    ● Investigar. Investigar. Investigar.
    ● Mejorar skills de programación y redes.
    ● Jugar Wargames en Internet.
    ● Ir a la Ekoparty! :P

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 22
    Preguntas?
    mnunez@onapsis.com

    Work@Onapsis
    jobs@onapsis.com

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 23
    Muchas Gracias!

    www.onapsis.com

    Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 24

    Вам также может понравиться