HACKING ÉTICO, ETHICAL HACKING . . . INTRODUCCIÓN ! ! !

De Juan Carlos García -
Nuestros servicios consisten en descubrir las deficiencias relativas a seguridad y las vulnerabilidades de los sistemas informáticos, analizarlas, calibrar su grado de riesgo y peligrosidad, y recomendar las soluciones más apropiadas para cada una de ellas.
Un proyecto de Hacking Ético consiste en una penetración controlada en los sistemas informáticos de una empresa, de la misma forma que lo haría un hacker o pirata informático pero de forma ética, previa autorización por escrito. El resultado es un informe donde se identifican los sistemas en los que se ha logrado penetrar y la información confidencial y/o secreta conseguida.
Cada proyecto se estudia individualmente y se realiza una propuesta de servicios que puede combinar diversos ámbitos de auditoría (interna, externa, de sistemas, de aplicaciones web, etc) en función de las necesidades específicas de cada cliente.
Las distintas modalidades son los siguientes:
Hacking Ético Externo Caja Blanca
Se nos facilita información para poder realizar la intrusión (normalmente las direcciones IP a testar). Se analizan en profundidad y extensión todas las posibles brechas de seguridad al alcance de un atacante de los sistemas de comunicaciones sometidos a estudio. Opcionalmente, el ámbito de actuación se puede ampliar a máquinas no perimetrales. El resultado es un informe amplio y detallado de las vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.
Hacking Ético Externo Caja Negra
Es esencialmente lo mismo que en el de Caja Blanca con la dificultad añadida de que no se nos facilita ningún tipo de información inicial.
Hacking Ético Interno
El ámbito de esta auditoría es la red interna de la empresa, para hacer frente a la amenaza de intento de intrusión, bien por un empleado que pueda realizar un uso indebido o una persona con acceso a los sistemas o un hacker que hubiera conseguido penetrar en la red. Para este servicio se hace necesaria la presencia de nuestros especialistas en las instalaciones de la empresa que se va a auditar. El resultado es un informe amplio y detallado de las vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.
Hacking Ético de Aplicaciones Web
Se simulan los intentos de ataque reales a las vulnerabilidades de una o varias aplicaciones determinadas, como pueden ser: sistemas de comercio electrónico, de información, o de acceso a bases de datos. No es necesaria la entrega del código fuente de la aplicación. El resultado es un informe amplio y detallado de las vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.
Hacking Ético de Sistemas de Comunicaciones
En esta auditoría se analiza la seguridad de las comunicaciones tales como: redes de datos, hardware de red, comunicaciones de voz, fraude en telecomunicaciones (uso fraudulento de centralitas, telefonía pública, acceso no autorizado a Internet, redes de transmisión de datos por radio, etc.) principalmente para estudiar la disponibilidad de los sistemas, la posibilidad de una interceptación o introducción no autorizada de información. El resultado es un informe amplio y detallado de las vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.
Hacking Ético VoIP
Las empresas que están migrando su telefonía tradicional a VoIP por las múltiples ventajas que ofrece no deberían ignorar los riesgos de seguridad que aparecen cuando convergen las redes de voz y datos. Los ataques que pueden sufrir los sistemas VoIP son múltiples: robo de servicio, interceptación de comunicaciones, denegación de comunicaciones telefónicas, etc. Al mismo tiempo, al modificar nuestras redes de datos para permitir el uso de VoIP podemos estar abriendo inadvertidamente vías de ataque a nuestros sistemas informáticos. A través de nuestro servicio de Hacking Ético VoIP es posible identificar los puntos débiles en su infraestructura de comunicaciones para minimizar estos riesgos.
Test de Denegación de Servicio (DoS)
Este test refleja el grado de solidez o resistencia de un servicio ante la agresión de un atacante local o remoto que intente deshabilitarlo. En nuestro informe final se indican los resultados obtenidos y una descripción de las situaciones específicas en las que se haya conseguido dicha denegación, si fuera el caso.
CyberAggressor
Se trata de un servicio de hacking ético con metodología propia de ESA Security dirigido a aquellas empresas e Instituciones con misiones críticas en sectores como: Defensa, Fuerzas y Cuerpos de Seguridad del Estado, Telecomunicaciones, Producción de Energía, Banca, etc. y en general todos aquellos sectores en los que la confidencialidad y seguridad de sus sistemas de Tecnologías de la Información tienen una importancia crítica.
Esta auditoría simula de la forma más realista posible la amenaza de intrusión por parte de adversarios tales como Hackers o Hacktivistas e intrusiones informáticas de espionaje industrial. Para ello un equipo de expertos de ESA Security, formado por personas con habilidades multidisciplinares (en auditoría de seguridad informática, test de intrusión, programación de exploits, seguridad en comunicaciones y técnicas avanzadas de hacking), realiza ataques controlados usando la misma metodología, tácticas, herramientas, etc. que las usadas por la amenaza potencial.
ESA Security ha diseñado y desarrollado el servicio CyberAggressor para participar en el ejercicio JWID (Joint Warrior Interoperability Demonstration). Los Cuarteles Generales y el EMACON han seleccionado este servicio para ser utilizado en los ejercicios que realizan anualmente las fuerzas de la OTAN para demostrar la validez de las nuevas tecnologías en los sistemas de defensa, patrocinados sucesivamente por uno de los ejércitos americanos, y con participación desde 1996 de países de la OTAN, entre ellos, España.
Beneficios
• Conocimiento del grado de vulnerabilidad de los sistemas de información, que es imprescindible para aplicar las medidas correctoras.
• Reducción de aquellos riesgos que, en caso de materializarse las amenazas que les originan, pueden representar pérdidas ingentes de capital, bien por facturación fallida, por reposición de los daños causados, por pérdida de oportunidad de negocio, por reclamación de clientes, por sanciones legales etc.
• Ahorro de tiempo y dinero al afrontar y corregir situaciones nefastas antes de que ocurran y nos obliguen a resolverlas con prisas y a cualquier precio.
• Mejora de la imagen y revalorización de la confianza en la empresa de los accionistas, inversores, empleados, proveedores y clientes al mostrarles que se toman medidas diarias para garantizar la continuidad del negocio

Entradas populares de este blog

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

De Juan Carlos García -
Cómo: Proteger ASP.NET de inyecciones SQL Publicado: 21 de Diciembre de 2005 Post:eado:19 de  MARZO 2012 Motivo:   Aumento de Hacking en Aplicaciones Web de manera Brutal desde el 2005 y aumentando Este artículo se aplica a y a como securizar para evitar ser hackeado, si, o si !!! ASP.NET versión 1.1 ASP.NET versión 2.0 y para lo que habeís hecho desde el 2005, estudiarlo bien majetes porque seguís sin securizar el puto código de la parte servidor ... !!! Por dios, ya está bien de poner a los usuarios y trabajadores en peligro .. !! Es tan difícil poner un poquito de atención. Resumen: En este artículo se describen una serie de métodos que ayudan a proteger la aplicación ASP.NET de inyecciones SQL. Entre las distintas técnicas se incluyen la restricción de entradas, el uso de parámetros SQL con tipos seguros para el acceso a datos y el uso de una cuenta con menos privilegios que tenga permisos restringidos en la base de datos. La inyección SQL puede producirse cuando una apl
Leer más

CERTIFICACIONES DE SEGURIDAD

De Juan Carlos García -
Imagen
CERTIFICACIONES DE SEGURIDAD For Fun and Profit Nuevo curso, toca mirar todo lo que tenemos y más … Eso si, caro caro caro(..) Seguridad General—Nivel Basico Brainbench Basic Security Certifications : Ofrece varias certificaciones, un examen por certificación ·          Brainbench Firewall Administration Concepts ·          Brainbench Internet Security ·          Information Technology Security Fundamentals ·          ITAA Information Security Awareness ·          Brainbench Microsoft Security ·          Brainbench Network Authentication ·          Brainbench Network Security ·          Security Industry Knowledge (U.S.) Fuente: Brainbench CDRE -- Certified Disaster Recovery Engineer Conocimientos básicos de recuperación de desastres (DR) y continuidad de negocio (BC) metodologías de planificación. A CDRE reconoce los riesgos y vulnerabilidades de la vida real a una infraestructura de TI, sabe cómo proteger los activos contra las a
Leer más

HACKING MADRID_"EASY" XSS and Cross Site Tracing XST

De Juan Carlos García -
Imagen
XSS-XST COMENZANDO DESDE 0 Y..Cross Site Tracing !!!  A MI ABUELA ... DESCANSE EN PAZ .. El primer ordenador lo recibí en tu casa con 11 años, en reyes, te acuerdas ?  .. Yo jamás olvidaré nada de nada !!! GRACIAS !!!  Al referirnos al Cross-Site-Scripting podemos encontrar bastante material didáctico acerca del tema, algunos de ellos describen los modos de ataques como directos e indirectos, pero realmente creo que podemos simplificar y enfocar de una forma mas directa en dos simples componentes que son: 1. Ataque al usuario. 2. Ataque a la aplicación   Por otro lado tendríamos "persistentes" y "No persistentes" .. es decir, entre wikipedia y OWASP , madre mía la de toería que teneís .. pero lo que quiero directamente es que comenceís a buscar objetivos y a "practicar" "éticamente" . Bien, si no sabes HTML ni JavaScript directamente ya sabes lo que tienes que hacer para poder realizar estos ataques tan singulares que e
Leer más