SlideShare uma empresa Scribd logo

Exposicion univ simon_bolivar

Transferir como PPT, PDF
Grupo Educativo Cepea
Grupo Educativo Cepea
1 de 25
SEGURIDAD INFORMATICA: Aplicaciones en la Red Ing. Jorge Trujillo Ramirez Consultor de Seguridad Informática 1
LOS CASOS DEL CIBERCRIMEN Muchas empresas luchan por su cuenta contra los ataques 85% de los ataques demoran entre 2 semenas o meses en ser descubiertos 2
INTRODUCCION – Cuando se habla de la seguridad en aplicaciones Web normalmente, no se habla de las vulnerabilidades de los sistemas operativos o servidores Web. – A menudo, se habla de las vulnerabilidades del propio software y/o aplicaciones desarrolladas por la empresa o por un tercero. – La seguridad en las aplicaciones Web se encuentran ligadas, exclusivamente, con la lógica, código fuente y contenido de una aplicación. 3
– Las vulnerabilidades que afectan a las aplicaciones Web pueden ser explotadas en distintas plataformas, en contraste de lo que ocurre con otros tipos de vulnerabilidades dependientes de la plataforma donde estos se ejecutan o corren. 4
e) Tipos de Aplicaciones: - Web Site Público (información destinada al público) - Intranet (ERP/CRM/Productividad) - Extranet (Productividad/B2B/B2C) 5
VULNERABILIDAD WEB – Para proteger exitosamente una aplicación Web es necesario conocer los tipos de ataques existentes y la vulnerabilidad que éstos explotan para entender sus posibles variaciones. – SecurityFocus, organización dedicada a la seguridad informática, analizó 60,000 incidentes de seguridad en aplicaciones Web ocurridos durante el 2011. – Se determinó que los ataques hacia aplicaciones Web más utilizados aprovechan las vulnerabilidades de las seguridad publicadas y/o conocidas. 6
VULNERABILIDAD WEB a) Zone-h contabiliza 2.500 intrusiones Web con éxito cada día en 2011. b) Se atacan todas las tecnologías c) Los ataques se han escalado desde el sistema operativo a la aplicación. d) Ataques no masivos. e) Motivos: – Económicos – Venganza – Reto – Just For Fun 7
VULNERABILIDAD WEB – Hoy no se registran nuevos tipos de vulnerabilidades tan sólo variaciones de las conocidas. Normalmente, los ataques se realizan en la capa de aplicación por los puertos (80 y 443) – Esto es confirmado por organizaciones internacionales comprometidas con la seguridad Web: - OWASP www.owasp.org - WebAppSec www.webappsec.org 8
VULNERABILIDAD WEB OW AS PT OP TE N http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 9
TIPOS DE ATAQUE Cross Site Scripting (XSS) XSS ocurre cuando portales web de contenido dinámico muestran variables de entrada suplidas por el usuario sin una propia validación. Esta vulnerabilidad permite a un atacante la inyección de código que será ejecutado por el navegador Web de la persona que visualiza la página, (la víctima) http://www.xssed.org/ 10
TIPOS DE ATAQUE Manipulación del Path La manipulación de path (Path Trasversal) afecta a aplicaciones que toman entrada de los usuarios y la utilizan en un path para acceder al sistema de archivos. Si el atacante ingresa caracteres especiales que modifican el path la aplicación, podrá permitir el acceso no autorizado a recursos del sistema. 11
TIPOS DE ATAQUE Manipulación del Path www.sitio.com/imprimir.php?file=archivo1.txt www.sitio.com/imprimir.php?file=../../etc/passwd www.sitio.com/imprimir.php?file=../../scripts/db.inc 12
APLICACIONES : WEBGOAT Aplicación Web, deliberadamente, creada para ser insegura basada en J2EE y desarrollada por OWASP. Actualmente existen más de 30 lecciones que incluyen vulnerabilidades como XSS, Control de Accesos, SQL Injection, Cookies débiles y Manipulación de Parámetros. 13
APLICACIÓN: DAMN VULNERABLE WEB Es una aplicación (PHP/MySQL) de entrenamiento en seguridad Web que se destaca por ser de liviano peso. Permite entrenamiento en seguridad Web en SQL Injection, XSS (Cross Site Scripting), LFI (Local File Inclusion), RFI (Remote File Inclusion), Command Execution, Upload Script y Login Brute Force. 14
TIPOS DE ATAQUES MAN-IN-THE-MIDDLE Es un ataque activo en el cual un sujeto intercepta y modifica los mensajes transmitidos entre dos computadores, este tipo de ataque puede ser mitigado con firmar digitales y números de secuencia. 15
TIPOS DE ATAQUE SNIFFING Es un tipo de ataque que consiste en interceptar y acceder a los datos y otra información contenida en un flujo de una sistema de comunicación. Es un ataque pasivo donde un intruso monitorea la red, utilizando dispositivos o programas que le permiten ver los datos que viajan a través de la red, con la intención de obtener información de la víctima para, posteriormente, realizar un ataque. Una contramedida para este tipo de ataques es encriptación de los datos transmitidos. 16
TIPOS DE ATAQUES FUERZA BRUTA Es una manera de intentar acceder a un sistema de manera exhaustiva. Existen distintos sub-tipos de ataque: DICCIONARIO Se intenta acceder mediante la utilización de una lista de palabras de diccionario más otras palabras relacionadas con la persona y empresa. WAR DIALING Método donde el atacante apoyado de un programa, marca una gran cantidad de números telefónicos con el objetivo de encontrar uno en donde exista un modem en lugar de un teléfono. Estos módems pueden proveer fácil acceso. Una contramedida para este tipo de ataques es no publicar los números y limitar el acceso a módems. 17
TIPOS DE ATAQUE DENEGACIÓN DE SERVICIOS (DOS) Tipo de ataque en el cual un atacante deja degradado o inoperante un sistema, algunos ejemplos son: –Ping de la muerte –Smurf Attack –Scannig 18
Prevención y detección de ataques. SPOOFING Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing IP Spoofing Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso. 19
TIPOS DE ATAQUES WEB SPOOFING En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorizar todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa. 20
TIPOS DE ATAQUES IP SPLICING-HIJACKING Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado. 21
Prevención y detección de ataques.  Herramientas disponibles: 22
DEMOSTRACION –CASO I : Servidor de Correo –CASO II: Algo extraño en la Red 23
CORRECIONES Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:  El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados. La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando. El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero. El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas. 24
MUCHAS GRACIAS 25

Recomendados

Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos FrancisBuisaCalle
 
Fire eye web_mps_ds
Fire eye web_mps_dsFire eye web_mps_ds
Fire eye web_mps_dsIlyanna
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaIngeniería Nica
 
Guía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGuía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGustavo Damián Cucuzza
 
01 ataques informaticos
01 ataques informaticos01 ataques informaticos
01 ataques informaticosYokastha Duarte
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Yenny Vasquez
 

Recomendados

Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos FrancisBuisaCalle
 
Fire eye web_mps_ds
Fire eye web_mps_dsFire eye web_mps_ds
Fire eye web_mps_dsIlyanna
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaIngeniería Nica
 
Guía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGuía de amenazas a la seguridad informática
Guía de amenazas a la seguridad informáticaGustavo Damián Cucuzza
 
01 ataques informaticos
01 ataques informaticos01 ataques informaticos
01 ataques informaticosYokastha Duarte
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Yenny Vasquez
 
Tic protección de datos y equipos
Tic protección de datos y equiposTic protección de datos y equipos
Tic protección de datos y equiposMartín Pachetta
 
Antivirus
Antivirus Antivirus
Antivirus Laura Zt
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYAranda Software
 
Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Alex Avila
 
Guia ransomware-eset
Guia ransomware-esetGuia ransomware-eset
Guia ransomware-esetPablo Cuestas
 
Tipos de ataques informáticos
Tipos de ataques informáticosTipos de ataques informáticos
Tipos de ataques informáticosPablo Cardenas Catalan
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidadesJesus Vilchez
 
Amenazas de seguridad informática
Amenazas de seguridad informáticaAmenazas de seguridad informática
Amenazas de seguridad informáticaPaula Valeria Bautista Maldonado
 
Seguridad informatica(estefania alejandro)
Seguridad informatica(estefania alejandro)Seguridad informatica(estefania alejandro)
Seguridad informatica(estefania alejandro)estefyaleja
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticosOscar Eduardo
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redmamuga
 
Trabajo 2 de tecnología
Trabajo 2 de tecnologíaTrabajo 2 de tecnología
Trabajo 2 de tecnologíaJuanitaOcampo
 
Archivo de virus word
Archivo de virus wordArchivo de virus word
Archivo de virus wordjosecasalvarez
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información ngerardoafp
 
Entendiendo el ransomware
Entendiendo el ransomwareEntendiendo el ransomware
Entendiendo el ransomwareJaime Andrés Bello Vieda
 
Tipos de Ataques Informaticos
Tipos de Ataques InformaticosTipos de Ataques Informaticos
Tipos de Ataques Informaticossm2099
 
Actividades antivirus
Actividades antivirusActividades antivirus
Actividades antivirusmaryurrea9625
 
5 unidad reporte de seguridad
5 unidad reporte de seguridad5 unidad reporte de seguridad
5 unidad reporte de seguridadLuis Angel Trujillo Mancilla
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de SeguridadJaime Leon
 
Final andres rodriguez_ieee
Final andres rodriguez_ieeeFinal andres rodriguez_ieee
Final andres rodriguez_ieeearodri7703
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 

Mais conteúdo relacionado

Mais procurados

Tic protección de datos y equipos
Tic protección de datos y equiposTic protección de datos y equipos
Tic protección de datos y equiposMartín Pachetta
 
Antivirus
Antivirus Antivirus
Antivirus Laura Zt
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYAranda Software
 
Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Alex Avila
 
Guia ransomware-eset
Guia ransomware-esetGuia ransomware-eset
Guia ransomware-esetPablo Cuestas
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidadesJesus Vilchez
 
Seguridad informatica(estefania alejandro)
Seguridad informatica(estefania alejandro)Seguridad informatica(estefania alejandro)
Seguridad informatica(estefania alejandro)estefyaleja
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticosOscar Eduardo
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redmamuga
 
Trabajo 2 de tecnología
Trabajo 2 de tecnologíaTrabajo 2 de tecnología
Trabajo 2 de tecnologíaJuanitaOcampo
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información ngerardoafp
 
Tipos de Ataques Informaticos
Tipos de Ataques InformaticosTipos de Ataques Informaticos
Tipos de Ataques Informaticossm2099
 
Actividades antivirus
Actividades antivirusActividades antivirus
Actividades antivirusmaryurrea9625
 

Mais procurados (18)

Tic protección de datos y equipos
Tic protección de datos y equiposTic protección de datos y equipos
Tic protección de datos y equipos
 
Antivirus
Antivirus Antivirus
Antivirus
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
 
Tipos De Ataques Clase 03
Tipos De Ataques Clase 03Tipos De Ataques Clase 03
Tipos De Ataques Clase 03
 
Guia ransomware-eset
Guia ransomware-esetGuia ransomware-eset
Guia ransomware-eset
 
Tipos de ataques informáticos
Tipos de ataques informáticosTipos de ataques informáticos
Tipos de ataques informáticos
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidades
 
Amenazas de seguridad informática
Amenazas de seguridad informáticaAmenazas de seguridad informática
Amenazas de seguridad informática
 
Seguridad informatica(estefania alejandro)
Seguridad informatica(estefania alejandro)Seguridad informatica(estefania alejandro)
Seguridad informatica(estefania alejandro)
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticos
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una red
 
Trabajo 2 de tecnología
Trabajo 2 de tecnologíaTrabajo 2 de tecnología
Trabajo 2 de tecnología
 
Archivo de virus word
Archivo de virus wordArchivo de virus word
Archivo de virus word
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información n
 
Entendiendo el ransomware
Entendiendo el ransomwareEntendiendo el ransomware
Entendiendo el ransomware
 
Tipos de Ataques Informaticos
Tipos de Ataques InformaticosTipos de Ataques Informaticos
Tipos de Ataques Informaticos
 
Actividades antivirus
Actividades antivirusActividades antivirus
Actividades antivirus
 

Semelhante a Exposicion univ simon_bolivar

Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de SeguridadJaime Leon
 
Final andres rodriguez_ieee
Final andres rodriguez_ieeeFinal andres rodriguez_ieee
Final andres rodriguez_ieeearodri7703
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Hackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasHackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasSEINHE
 
Administracion de redes reporte de seguridad
Administracion de redes reporte de seguridadAdministracion de redes reporte de seguridad
Administracion de redes reporte de seguridadJacob Reyes
 
Administracion de redes reporte de seguridad
Administracion de redes reporte de seguridadAdministracion de redes reporte de seguridad
Administracion de redes reporte de seguridadJacob Reyes
 
Administracion de redes reporte de seguridad
Administracion de redes reporte de seguridadAdministracion de redes reporte de seguridad
Administracion de redes reporte de seguridadJacob Reyes
 
Presentacion de powerpoint d leo! subir
Presentacion de powerpoint d leo! subirPresentacion de powerpoint d leo! subir
Presentacion de powerpoint d leo! subir005676
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Administracion de redes reporte de seguridad
Administracion de redes reporte de seguridadAdministracion de redes reporte de seguridad
Administracion de redes reporte de seguridadJacob Reyes
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaKERNEL404
 
Ingenieria
IngenieriaIngenieria
IngenieriaFLOIDK
 
Trabajo practico de informatica 4
Trabajo practico de informatica 4Trabajo practico de informatica 4
Trabajo practico de informatica 4Shay Chocobar
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaPaolaSM21
 

Semelhante a Exposicion univ simon_bolivar (20)

5 unidad reporte de seguridad
5 unidad reporte de seguridad5 unidad reporte de seguridad
5 unidad reporte de seguridad
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridad
 
Final andres rodriguez_ieee
Final andres rodriguez_ieeeFinal andres rodriguez_ieee
Final andres rodriguez_ieee
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Tema 13
Tema 13Tema 13
Tema 13
 
Hackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicasHackers en los sistemas de las administraciones públicas
Hackers en los sistemas de las administraciones públicas
 
Administracion de redes reporte de seguridad
Administracion de redes reporte de seguridadAdministracion de redes reporte de seguridad
Administracion de redes reporte de seguridad
 
Administracion de redes reporte de seguridad
Administracion de redes reporte de seguridadAdministracion de redes reporte de seguridad
Administracion de redes reporte de seguridad
 
Administracion de redes reporte de seguridad
Administracion de redes reporte de seguridadAdministracion de redes reporte de seguridad
Administracion de redes reporte de seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Presentacion de powerpoint d leo! subir
Presentacion de powerpoint d leo! subirPresentacion de powerpoint d leo! subir
Presentacion de powerpoint d leo! subir
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Administracion de redes reporte de seguridad
Administracion de redes reporte de seguridadAdministracion de redes reporte de seguridad
Administracion de redes reporte de seguridad
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Seguridad inf.
Seguridad inf.Seguridad inf.
Seguridad inf.
 
Ingenieria
IngenieriaIngenieria
Ingenieria
 
Trabajo practico de informatica 4
Trabajo practico de informatica 4Trabajo practico de informatica 4
Trabajo practico de informatica 4
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 

Mais de Grupo Educativo Cepea

Michaelporterylacompetitividad eduardo grippa
Michaelporterylacompetitividad eduardo grippaMichaelporterylacompetitividad eduardo grippa
Michaelporterylacompetitividad eduardo grippaGrupo Educativo Cepea
 
Management y competitividad en las organizaciones e exito (1)eduardo grippa
Management y competitividad en las organizaciones e exito (1)eduardo grippaManagement y competitividad en las organizaciones e exito (1)eduardo grippa
Management y competitividad en las organizaciones e exito (1)eduardo grippaGrupo Educativo Cepea
 
Actualizacion en redaccion silvana velasco
Actualizacion en redaccion silvana velascoActualizacion en redaccion silvana velasco
Actualizacion en redaccion silvana velascoGrupo Educativo Cepea
 
4peterdrucker y el management (1) edurado grippa
4peterdrucker y el management (1) edurado grippa4peterdrucker y el management (1) edurado grippa
4peterdrucker y el management (1) edurado grippaGrupo Educativo Cepea
 
Dinamicadelacomunicación [reparado]
Dinamicadelacomunicación [reparado]Dinamicadelacomunicación [reparado]
Dinamicadelacomunicación [reparado]Grupo Educativo Cepea
 
Administración%20 documentaria%20y%20gestion%20de%20archivo[1]
Administración%20 documentaria%20y%20gestion%20de%20archivo[1]Administración%20 documentaria%20y%20gestion%20de%20archivo[1]
Administración%20 documentaria%20y%20gestion%20de%20archivo[1]Grupo Educativo Cepea
 
Acreditación de la calidad de la gestión educativa
Acreditación de la calidad de la gestión educativaAcreditación de la calidad de la gestión educativa
Acreditación de la calidad de la gestión educativaGrupo Educativo Cepea
 

Mais de Grupo Educativo Cepea (20)

Agenda virtual
Agenda virtualAgenda virtual
Agenda virtual
 
Michaelporterylacompetitividad eduardo grippa
Michaelporterylacompetitividad eduardo grippaMichaelporterylacompetitividad eduardo grippa
Michaelporterylacompetitividad eduardo grippa
 
Management y competitividad en las organizaciones e exito (1)eduardo grippa
Management y competitividad en las organizaciones e exito (1)eduardo grippaManagement y competitividad en las organizaciones e exito (1)eduardo grippa
Management y competitividad en las organizaciones e exito (1)eduardo grippa
 
Jenny beingolea
Jenny beingoleaJenny beingolea
Jenny beingolea
 
Coach teatral
Coach teatralCoach teatral
Coach teatral
 
Actualizacion en redaccion silvana velasco
Actualizacion en redaccion silvana velascoActualizacion en redaccion silvana velasco
Actualizacion en redaccion silvana velasco
 
4peterdrucker y el management (1) edurado grippa
4peterdrucker y el management (1) edurado grippa4peterdrucker y el management (1) edurado grippa
4peterdrucker y el management (1) edurado grippa
 
Productividad edurado grippa
Productividad edurado grippaProductividad edurado grippa
Productividad edurado grippa
 
Ra2
Ra2Ra2
Ra2
 
Dinamicadelacomunicación [reparado]
Dinamicadelacomunicación [reparado]Dinamicadelacomunicación [reparado]
Dinamicadelacomunicación [reparado]
 
Inteligencia emocional
Inteligencia emocionalInteligencia emocional
Inteligencia emocional
 
Expo siga cepea_20042013
Expo siga cepea_20042013Expo siga cepea_20042013
Expo siga cepea_20042013
 
Administración%20 documentaria%20y%20gestion%20de%20archivo[1]
Administración%20 documentaria%20y%20gestion%20de%20archivo[1]Administración%20 documentaria%20y%20gestion%20de%20archivo[1]
Administración%20 documentaria%20y%20gestion%20de%20archivo[1]
 
Acreditación de la calidad de la gestión educativa
Acreditación de la calidad de la gestión educativaAcreditación de la calidad de la gestión educativa
Acreditación de la calidad de la gestión educativa
 
Matriz de evaluación ebr
Matriz de evaluación ebrMatriz de evaluación ebr
Matriz de evaluación ebr
 
Marco de buen desempeño docente
Marco de buen desempeño docenteMarco de buen desempeño docente
Marco de buen desempeño docente
 
Sineace
SineaceSineace
Sineace
 
La escuela que queremos
La escuela que queremos La escuela que queremos
La escuela que queremos
 
Directiva académica 2013
Directiva académica 2013Directiva académica 2013
Directiva académica 2013
 
Quéses ps universidad
Quéses ps universidadQuéses ps universidad
Quéses ps universidad
 

Exposicion univ simon_bolivar

  • 1. SEGURIDAD INFORMATICA: Aplicaciones en la Red Ing. Jorge Trujillo Ramirez Consultor de Seguridad Informática 1
  • 2. LOS CASOS DEL CIBERCRIMEN Muchas empresas luchan por su cuenta contra los ataques 85% de los ataques demoran entre 2 semenas o meses en ser descubiertos 2
  • 3. INTRODUCCION – Cuando se habla de la seguridad en aplicaciones Web normalmente, no se habla de las vulnerabilidades de los sistemas operativos o servidores Web. – A menudo, se habla de las vulnerabilidades del propio software y/o aplicaciones desarrolladas por la empresa o por un tercero. – La seguridad en las aplicaciones Web se encuentran ligadas, exclusivamente, con la lógica, código fuente y contenido de una aplicación. 3
  • 4. Las vulnerabilidades que afectan a las aplicaciones Web pueden ser explotadas en distintas plataformas, en contraste de lo que ocurre con otros tipos de vulnerabilidades dependientes de la plataforma donde estos se ejecutan o corren. 4
  • 5. e) Tipos de Aplicaciones: - Web Site Público (información destinada al público) - Intranet (ERP/CRM/Productividad) - Extranet (Productividad/B2B/B2C) 5
  • 6. VULNERABILIDAD WEB – Para proteger exitosamente una aplicación Web es necesario conocer los tipos de ataques existentes y la vulnerabilidad que éstos explotan para entender sus posibles variaciones. – SecurityFocus, organización dedicada a la seguridad informática, analizó 60,000 incidentes de seguridad en aplicaciones Web ocurridos durante el 2011. – Se determinó que los ataques hacia aplicaciones Web más utilizados aprovechan las vulnerabilidades de las seguridad publicadas y/o conocidas. 6
  • 7. VULNERABILIDAD WEB a) Zone-h contabiliza 2.500 intrusiones Web con éxito cada día en 2011. b) Se atacan todas las tecnologías c) Los ataques se han escalado desde el sistema operativo a la aplicación. d) Ataques no masivos. e) Motivos: – Económicos – Venganza – Reto – Just For Fun 7
  • 8. VULNERABILIDAD WEB – Hoy no se registran nuevos tipos de vulnerabilidades tan sólo variaciones de las conocidas. Normalmente, los ataques se realizan en la capa de aplicación por los puertos (80 y 443) – Esto es confirmado por organizaciones internacionales comprometidas con la seguridad Web: - OWASP www.owasp.org - WebAppSec www.webappsec.org 8
  • 9. VULNERABILIDAD WEB OW AS PT OP TE N http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 9
  • 10. TIPOS DE ATAQUE Cross Site Scripting (XSS) XSS ocurre cuando portales web de contenido dinámico muestran variables de entrada suplidas por el usuario sin una propia validación. Esta vulnerabilidad permite a un atacante la inyección de código que será ejecutado por el navegador Web de la persona que visualiza la página, (la víctima) http://www.xssed.org/ 10
  • 11. TIPOS DE ATAQUE Manipulación del Path La manipulación de path (Path Trasversal) afecta a aplicaciones que toman entrada de los usuarios y la utilizan en un path para acceder al sistema de archivos. Si el atacante ingresa caracteres especiales que modifican el path la aplicación, podrá permitir el acceso no autorizado a recursos del sistema. 11
  • 12. TIPOS DE ATAQUE Manipulación del Path www.sitio.com/imprimir.php?file=archivo1.txt www.sitio.com/imprimir.php?file=../../etc/passwd www.sitio.com/imprimir.php?file=../../scripts/db.inc 12
  • 13. APLICACIONES : WEBGOAT Aplicación Web, deliberadamente, creada para ser insegura basada en J2EE y desarrollada por OWASP. Actualmente existen más de 30 lecciones que incluyen vulnerabilidades como XSS, Control de Accesos, SQL Injection, Cookies débiles y Manipulación de Parámetros. 13
  • 14. APLICACIÓN: DAMN VULNERABLE WEB Es una aplicación (PHP/MySQL) de entrenamiento en seguridad Web que se destaca por ser de liviano peso. Permite entrenamiento en seguridad Web en SQL Injection, XSS (Cross Site Scripting), LFI (Local File Inclusion), RFI (Remote File Inclusion), Command Execution, Upload Script y Login Brute Force. 14
  • 15. TIPOS DE ATAQUES MAN-IN-THE-MIDDLE Es un ataque activo en el cual un sujeto intercepta y modifica los mensajes transmitidos entre dos computadores, este tipo de ataque puede ser mitigado con firmar digitales y números de secuencia. 15
  • 16. TIPOS DE ATAQUE SNIFFING Es un tipo de ataque que consiste en interceptar y acceder a los datos y otra información contenida en un flujo de una sistema de comunicación. Es un ataque pasivo donde un intruso monitorea la red, utilizando dispositivos o programas que le permiten ver los datos que viajan a través de la red, con la intención de obtener información de la víctima para, posteriormente, realizar un ataque. Una contramedida para este tipo de ataques es encriptación de los datos transmitidos. 16
  • 17. TIPOS DE ATAQUES FUERZA BRUTA Es una manera de intentar acceder a un sistema de manera exhaustiva. Existen distintos sub-tipos de ataque: DICCIONARIO Se intenta acceder mediante la utilización de una lista de palabras de diccionario más otras palabras relacionadas con la persona y empresa. WAR DIALING Método donde el atacante apoyado de un programa, marca una gran cantidad de números telefónicos con el objetivo de encontrar uno en donde exista un modem en lugar de un teléfono. Estos módems pueden proveer fácil acceso. Una contramedida para este tipo de ataques es no publicar los números y limitar el acceso a módems. 17
  • 18. TIPOS DE ATAQUE DENEGACIÓN DE SERVICIOS (DOS) Tipo de ataque en el cual un atacante deja degradado o inoperante un sistema, algunos ejemplos son: –Ping de la muerte –Smurf Attack –Scannig 18
  • 19. Prevención y detección de ataques. SPOOFING Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing IP Spoofing Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso. 19
  • 20. TIPOS DE ATAQUES WEB SPOOFING En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorizar todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa. 20
  • 21. TIPOS DE ATAQUES IP SPLICING-HIJACKING Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado. 21
  • 22. Prevención y detección de ataques.  Herramientas disponibles: 22
  • 23. DEMOSTRACION –CASO I : Servidor de Correo –CASO II: Algo extraño en la Red 23
  • 24. CORRECIONES Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:  El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados. La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando. El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero. El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas. 24

Notas do Editor

  1. Today’s typical way of fighting cybercrime is that every company is pretty much on their own. They fight the attacks with their own tools separately and attempt to minimize the damage. The result is that over 85% of breaches took way too long to discover. Much damage can be done in that length of time.