LA SABIDURÍA Y LA LOCURA DE LAS AUDITORIAS DE SEGURIDAD.

Descripción

Mapa Mental sobre LA SABIDURÍA Y LA LOCURA DE LAS AUDITORIAS DE SEGURIDAD., creado por sandra.lmilove el 16/09/2013.
sandra.lmilove
Mapa Mental por sandra.lmilove, actualizado hace más de 1 año
sandra.lmilove
Creado por sandra.lmilove hace alrededor de 11 años
159
0

Resumen del Recurso

LA SABIDURÍA Y LA LOCURA DE LAS AUDITORIAS DE SEGURIDAD.
  1. Se contratan a Hackers para que busquen agujeros en la seguridad que puedan ser un riesgo para las empresas.
    1. Auditorias de seguridad.
      1. Firmas compuestas por ex hackers.
      2. Hallan con frecuencia los mismos errores en distintas compañías.
        1. Se evalúa la seguridad para conocer su postura en el contexto de la seguridad.
          1. Con evaluaciones constantes se puede medir la mejoría en sus sistemas tras remediar errores.
        2. Pieter Zatko
          1. Ex hacker muy famoso, conocido como "Mudge".
            1. A principio de 1990, Mudge y un socio reunieron personas para trabajar en un almacen de Boston.
              1. Equipo de seguridad en informática, llamado l0pht
                1. Escribieron una herramienta.
                    1. Una de las herramientas más comunes de los hackers.
                      1. Craqueaba rápidamente muchas contraseñas.
                      2. La firma "Newton" decidió comprar al equipo l0pht para su compañía.
                        1. Mudge propuso hacer una auditoría en vez de vender la "compañía".
                            1. Siete personas.
                            2. Servidor Apache.
                              1. Vulnerable a un agujero en el omnipresente PHF
                                1. Cuenta "nobody"
                                  1. Mudge podría sobreescribir el contenido de httpd.conf.
                                    1. Podía acceder como superusuario.
                          1. Carlos era un integrante.
                            1. El cliente puede poner barreras, pero "los hackers no trabajan así".
                              1. Newton accedió a un ataque sin obstáculos.
                                1. Encontraron vulnerabilidades
                                  1. Checkpoint Firewall-1 tenía una configuración oculta predeterminada para permitir la entrada de paquetes UDP, TCP con puerto origen 53 a todos los números de puertos superiores a 53 de 1023.
                                    1. Con el mapeador de puertos encontraron el puerto dinámico que se le había asignado al sevicio mountd
                                      1. nfsshell
                                        1. Se pudo montar remotamente el sistema de archivos del sistema objetivo.
                          2. Ha dado conferencias sobre "Protección de la información" en lugares como la escuela de estrategia del ejército de Estados Unidos en Mty
                            1. Cómo penetrar en los ordenadores de los enemigos.
                              1. Deteriorar servicios sin ser detectados
                                1. Técnicas de destrucción de datos, etc.
                                2. Coautor
                                  1. l0phtCrack
                                  2. Cofundador del sitio online que puso l0phtCrack a disposición de cualquiera que estuviera interesado.
                                3. CARTA BLANCA
                                  1. Cada miembro del equipo de prueba recibe esta carta por si es sorprendido haciendo algo que parezca malo. Es un tipo de protección.
                                    1. El cliente debe establecer las reglas del juego.
                                      1. Poner límites.
                                        1. La empresa contratante debe confiar en la empresa de seguridad a la que encomienda la evaluación.
                                          1. Clausula de confidencialidad
                                            1. Clausula adicional para no alterar las operaciones de la compañia
                                      2. Mapeador de puertos.
                                        1. Asigna números de puertos dinámicos a programas concretos.
                                        2. Análisis Físico.
                                          1. En seguridad las buenas practicas no giran sólo en torno a la seguridad informática.
                                            1. Nunca hay que olvidar el papel tan importante de la ingeniería social.
                                          2. War dialing.
                                            1. Averigua el fabricante y el tipo de sistema que utiliza el cliente, a continuación, se pone un ordenador a realizar el bombardeo de marcado (war dialing) a intentar varias extensiones para localizar a empleados que nunca establecieron contraseñas.
                                              1. Cuando se encuentra un teléfono vulnerable los atacantes pueden escuchar cualquier mensaje de voz.
                                            2. Dusin Dykes.
                                              1. Primer consultor de seguridad en Callisma, Inc.
                                                1. Empresa farmacéutica, "Biotech"
                                                  1. Querían recibir todas las vulnerabilidades posibles.
                                                    1. Metodología con cuatro áreas
                                                      1. Entrada técnica en la red, ingeniería social, inmersión en contenedores y la entrada física.
                                                      2. Las transmisiones desde un punto inalámbrico (WAP) puede alcanzar distancias de hasta 100 m
                                                  2. Desarrolló su habilidad con libros de Basic y con los conocimientos de conocidos.
                                                  3. Windows
                                                    1. Las contraseñas de usuario se almacenan cifradas en una zona llamada Administrador de las Cuentas de Seguridad (SAM)
                                                      1. Hash unidireccional.
                                                        1. El algoritmo de cifrado convertirá la contraseña de texto plano a su forma cifrada pero que no se podrá convertir de la forma cifrada a texto plano.
                                                        2. Dos versiones de hash
                                                          1. LANMAN
                                                            1. Se calcula partiendo de la versión en letras mayúsculas de la contraseña del usuario y se divide en dos mitades de 7 caracteres cada una.
                                                            2. NTLM
                                                              1. No convierte la contraseña a caracteres en mayúsculas.
                                                        3. Controlador de Dominio Principal
                                                          1. Guarda la BD maestra de las cuentas de usuarios del dominio.
                                                          2. Keystoke logger
                                                            1. Dispositivo que graba cada tecla que se pulse en el teclado.
                                                              1. Keyghost
                                                                1. Se conecta entre el teclado y el ordenador y puede almacenar hasta medio millón de teclas pulsadas
                                                            Mostrar resumen completo Ocultar resumen completo

                                                            Similar

                                                            Elementos Básicos de Ingeniería Ambiental
                                                            Evilus Rada
                                                            Derivadas
                                                            erendira.aviles
                                                            LOS ANIMALES VERTEBRADOS
                                                            diazcardenasjack
                                                            Mapas Conceptuales
                                                            Zita Mayoral
                                                            PINTURAS FAMOSAS: Título y Autor...
                                                            Ulises Yo
                                                            Integración del Personal
                                                            Freddy López8597
                                                            DECIMALES
                                                            PROYECTO APRENDER
                                                            Teorías Antropológicas
                                                            tania veloz
                                                            Los Derechos de los niños
                                                            marcela_sosa17
                                                            UNIDAD 1-2-3. CONSTRUCTOS TEORICOS DEL APRENDIZAJE - PARADIGMAS DEL APRENDIZAJE-PSICOLOGIA Y APRENDIZAJE
                                                            veronica marin herrera