Hackeo Ético:
Disclaimer
La presentación se brinda con fines de aprendizaje para desarrollar la cultura en seguridad informática y ayudar a prevenir los delitos informáticos en el País.
NO nos hacemos responsable del mal uso que se los asistentes puedan darle a la información.
Filosofía: Misión: La OMHE es una organización de profesionales multidisciplinarios comprometida a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país.
Visión: Ser una organización reconocida a nivel nacional que impulse y desarrolle la seguridad informática y de igual manera promueva la educación en la misma.
Definir Riesgo Informático: Riesgo es la capacidad de que una vulnerabilidad informática pueda ser explotada con éxito y esto cause pérdida, robo ó alteración de los activos de la empresa u organización.
Riesgo es la probabilidad de que un incidente ocurra y esto pueda transformarse en un ataque al hardware, software ó humanware.
Antecedentes: Economía del hacking - El que sea más difícil de hackear se salva.
Analogía: Si te encuentras un oso en el bosque no necesitas correr más fuerte que el oso, solo correr más que tus compañeros.
Stuxnet: Malware dirigido a atacar sistemas industriales, PLC, SCADA. Ej: Plantas de energía nuclear, sistemas de luz eléctrica.
La economía actual se basa más en un sistema númerico que en una moneda física.
Activos a proteger
Servidores
Computadoras escritorio
Laptops y PDAs
Switches y Routers
Application software
Development Tools
Source Code
VPN Access
Backup Tapes
Integridad de información
Todos los archivos en el servidor
Información del cliente
Nodos de red
DHCP
Disponibilidad del sitio web
Reputación
Moral de los empleados
Penetration Testing: Conjunto de pruebas organizadas de forma controlada para probar la seguridad informática y mecanismos de control en un sistema.
Las pruebas de penetración son diferentes a un análisis de vulnerabilidades y la diferencia es el realmente entrar y comprometer el sistema ó la información.
Las empresas guardan su información en ambientes mixtos lo cual facilita al atacante la posibilidad de abusar de múltiples vulnerabilidades en:
1.- IP’s
2.- Servicios: HTTP, DNS, DHCP, FTP.
3.- Bases de datos.
4.- Sistemas Operativos.
5.- Hardware.
Al realizar un ataque con éxito debemos de borrar los logs en caso de que nuestro objetivo sea realizar un ataque invisible.
Cuando se realiza un sabotaje muchas veces solo les bastará con destruir toda la información del servidor.
Algunas veces el objetivo de los atacantes es utilizar nuestros recursos para una botnet controlada por IRC ó la instalación de malware.
Armitage ataque estratégico: La estrategia siempre puede ayudarnos a planear de una manera sincronizada y por tiempos como vamos a atacar y deshabilitar una víctima
Armitage permite usar una interfaz gráfica y una base de datos sólida para almacenar y darle continuidad a un set de ataques.
La seguridad NO es un producto - Es un PROCESO e involucra personas.
Hay que ser preventivos en lugar de ser correctivos
Liberar nuestras mentes e impulsar el Software Libre es la única solución en México para salir de la esclavitud.
Ponencia 2
Estado del arte de la adopción de normas de seguridad de la información en El Salvador:
Sistema Nacional de Calidad
Marco Legal
Diario Oficial No. 158, Tomo 392 del 26 de agosto 2011
Vigente a partir del 04 de septiembre 2011
Objetivos del Sistema Nacional de Calidad
Integrar la Infraestructura Nacional de la Calidad;
Promover la competitividad de los sectores en general, de bienes y servicios;
Contribuir a proteger los derechos de los consumidores y el goce a un Medio Ambiente sano, garantizando la seguridad y calidad de los productos, incluidos los alimentos y servicios, equipo e instalaciones, procurando la salud de las personas y la salud animal y vegetal.
Principios del Sistema Nacional de Calidad
Transparencia
Trato Nacional
Equivalencia
Participación
Armonización
Innovación
Sustentabilidad
Consejo Nacional de Calidad
Sector Público:
Hacienda;
Educación;
Agricultura y Ganadería;
Salud Pública;
Obras Públicas,
Medio Ambiente;
Turismo;
Directores de Organismos.
Sector Privado:
Pequeña y Mediana Empresa;
Sector Profesional.
Sector Académico:
Universidades Privadas.
ONG´s vinculadas a la Defensoría del Consumidor.Sector Científico y Tecnológico
Normalización
Actividad que establece, con respecto a problemas reales o potenciales, disposiciones para usos comunes y repetidos, dirigidas a la obtención de un nivel óptimo de ordenamiento en un contexto dado.
Norma Técnica
Documento establecido por consenso y aprobado por un organismo reconocido, que provee, para el uso común y repetitivo reglas, directrices o características para actividades o sus resultados, dirigido a alcanzar el nivel óptimo de orden en un contexto dado.
Consenso
Acuerdo general caracterizado por la ausencia de oposición sostenida a las decisiones emitidas por alguna parte importante de los interesados y por un proceso que supone tener en cuenta la opinión de todas las partes interesadas y reconciliar cualquier argumento conflictivo
Reglamento
Técnico
Contiene los requisitos técnicos ya sea directamente, por referencia ó incorporando el contenido de una norma, especificación técnica o código de buena práctica.
Ponencia 3
Buenas prácticas y Normas ISO para la Gestión de Sistema de Seguridad de la Información(SGSI"):
Seguridad: La protección conferida a un sistema de información automatizado con el fin de alcanzar los objetivos aplicables de la preservación de la integridad, disponibilidad y confidencialidad de los recursos de los sistemas informáticos.
Gestión: Es la ausencia y ejercicio de responsabilidades sobre un proceso de la seguridad de la información(es decir sobre un conjunto de actividades.)
Riesgo: Efecto de incertidumbre sobre los objetos.
Aceptación del Riesgo: decisión de aceptar un riesgo y determinar el nivel del riesgo.
Nivel del Riesgo: Magnitud de un riesgo 2.61 expresados de una combinación de secuencias 2.15 y sus probabilidades 2.4
¿Qué Trabajamos en la Seguridad?
Vulnerabilidad.
Con tanto temas de IP. Como los gestionamos.
Firewalls
Voz sobre IP. (Telemática)
CallCenters.
Telefonía Celular
Servidores.
Base de Datos.
Lenguajes de Programación.
Redes inalámbricas.
Dispositivos de Transmisión Telemétrica.
De aquí la importancia de la implementar un sistema de gestión de la seguridad de la información:
Interdependiente.
Sistémico.
Que abone a la información.
Que ayude a la rendición de las cuenta.
Estructura de la norma 27001
Referencias normativas
Términos y definiciones
Sistema de gestión de la seguridad de la información
Responsabilidad de la información.
Auditorías internas SGSI
Revisión del SGSI por la dirección
Mejora continua
Anexo a. Objetivos de control y controles
Anexo b. Principios OCDE y de esta norma
Correspondencia entre ISO9001:2000, ISO 14001:2004 y esta norma
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Planificar.
Definir el enfoque de evaluación del riesgo de la organización.
Establecer metodología de cálculo del riesgo.
Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo.
Identificar los riesgos asociados al alcance establecido.
Analizar y evaluar los riesgos encontrados.
Planificar.
Identificar y evaluar las opciones de tratamiento de los riesgos.
Aplicar controles.
Aceptarlo de acuerdo a los criterios de aceptación.
Evitarlo.
Transferirlo.
Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.
Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI.
Preparar el Enunciado de Aplicabilidad.
Hacer.
Plan de tratamiento del riesgo.
Implementar el plan de tratamiento del riesgo.
Implementar controles seleccionados.
Definir la medición de la efectividad de los controles a través de indicadores de gestión.
Implementar programas de capacitación.
Manejar las operaciones y recursos del SGSI.
Implementar procedimientos de detección y respuesta a incidentes de seguridad.
Revisar.
Procedimientos de monitoreo y revisión para:
Detectar oportunamente los errores.
Identificar los incidentes y violaciones de seguridad.
Determinar la eficacia del SGSI.
Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad.
Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad.
Realizar revisiones periódicas.
Revisar.
Medición de la efectividad de los controles.
Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable.
Realizar auditorías internas al SGSI.
Realizar revisiones gerenciales.
Actualizar los planes de seguridad a partir de resultados del monitoreo.
Registrar las acciones y eventos con impacto sobre el SGSI.
En resumen:
Enmarca los elementos mínimos que se deben cumplir.
Está basada en la PDCA.
Es parte del gobierno corporativo de IT.
Esta norma es parte de otras normas y tienen elementos transversales.
La Nanotecnología como una tecnología emergente y convergente en la era digital: caso Costa Rica:
Tecnología convergentes y emergentes:
Unificación de la ciencia y tecnología en el nivel de la nano escala.
10-9m= 1nm.
Convergencia de la tecnología: combinación sinérgica de la ciencia y la tecnología.
¿Por qué es bueno lo pequeño?
Liviano.
Se puede desarmar.
Barato.
Energéticamente más eficiente.
Diferentes propiedades a pequeña escala.
¿Por qué las propiedades se mejoran?
*Gran relación área superficial respecto al volumen.
*Alta fracción de superficie atómica que está en el medio.
*Propiedades de los materiales que dependen del tamaño.
¿Por qué nano? A pesar de que los nanos materiales tiene múltiples aplicaciones…
Nano-partículas: Son pequeños cristales entre más pequeños más se comportan como una molécula.
Definición de Nanotecnología: La nanotecnología consiste en modificar átomos o moléculas para fabricar productos.
*La nanotecnología trabaja a nivel atómico y molecular.
Richard Feynman: teórico cuántico y premio nobel, en 1954 fue el primero en hablar en nanotecnología.
"¿Qué pasaría si nosotros pudiéramos arreglar los átomos uno por uno de la manera en que nosotros queremos?
¿Cómo hacer algo muy pequeño?
Top-down (‘de arriba abajo’) y bottom-up (‘de abajo arriba’) son estrategias de procesamiento de información características de las ciencias de la información, especialmente en lo relativo al software. Por extensión se aplican también a otras ciencias sociales y exactas.
Ponencia 5
Microsoft Loves Linux :
Tipos de Nubes:
La computación en la nube
¿Por qué considerar la nube?
Velocidad
Escalabilidad
Economía
Confiable
Eficiente
¿Qué es Azure?
Azure es una plataforma de nube abierta y flexible que permite compilar, implementar y administrar aplicaciones rápidamente, en una red global de centros de datos administrados por Microsoft. Puede compilar aplicaciones en cualquier lenguaje, herramienta o marco.
Puede integrar sus aplicaciones de nube públicas con el entorno de TI existente.
Azure ofrece un contrato de nivel de servicio de procesos del 99,95 %
Permite ejecutar soluciones en la misma nube que se utiliza en Skype, Office 365, Bing y Xbox Live.
Abierta
Servidores ilimitados. Almacenamiento ilimitado.
Gran capacidad
Impresión 3D:
¿Qué es la impresión en 3D?
El concepto de impresión está demostrando no tener límites; hoy las posibilidades han rebasado a la tinta y el papel. Esta tecnología también llamada, fabricación por edición, consiste en lo siguiente: un objeto es diseñado en una computadora, luego el boceto es enviado de modo virtual a una máquina , esta lee el modelo y comienza a imprimirlo capa por capa hasta completar un figura tridimensional.
Métodos y Técnicas impresión en 3D.
Partes de la Impresora 3D:
Hotend
Cama caliente
Ejes , X, Y, Z
Electrónica
¿Cómo funciona la impresora 3D?
Se crea un diseño 3D con un programa de computadora como CAD, Solidworks, 3ds max, etc.
Estos datos se envían a la impresora que creara la pieza en el material plastic
No hay comentarios:
Publicar un comentario