ETHICAL HACKING OBJETIVOS OBJETIVO GENERAL Reconocer los aspectos importantes sobre el cuidado de la informacin conocido como ethical

hacking OBJETIVOS ESPECIFICOS Abordar los conceptos importantes con respecto al hacking tico Explicar el proceso considerado para la evaluacin de un sistema de informacin Exponer la importancia de la evaluacin de un sistema para descubrir vulnerabilidades. Evaluar la apropiacin de conceptos en el grupo.

INTRODUCCION La comunicacin de datos es un tema delicado y se torna an ms delicado con el tiempo. Aunque las nuevas tecnologas ofrecen grandes ventajas en cuanto a la transmisin de datos con dispositivos que en el pasado no se podan imaginar, sin embargo existe un lado oscuro que viene junto con los avances tecnolgicos (Poteat, 2005) Por lo cual es necesario tomar medidas que permitan a las organizaciones mantener protegida la informacin que manejan. Por lo tanto, es necesario que los profesionales encargados de la reas de manejo de datos manejen de manera apropiada temas relevantes para poder garantizar la privacidad y conservar la integridad no slo de la informacin que manejan sino de la dificultades morales que se presentan al tener conocimientos que al mismo tiempo que buscan prevenir accesos no autorizados puedan ser usados para obtener un beneficio propio. Es importante tener claros los conceptos en los cuales se ve implicado un comportamiento de la informacin para que as pueda presentar un paisaje claro a la hora de reconocer los riesgos de mantenerse en contacto con el mundo a travs de las tecnologas que a la vez que nos ofrecen ventajas para nuestro crecimiento personal puede generar complicaciones que no pueden ser percibidas con facilidad. CONCEPTOS Los conceptos bsicos a tener en cuenta son la confidencialidad, la integridad y la disponibilidad, conocida como la triada CID (en ingls es CIA por Confidentiality, Integrity and Availability). La confidencialidad asegura que la informacin no sea accedida por personas o procesos no autorizados, la integridad debe cumplir con los siguientes propsitos: 1. Prevenir la modificacin de la informacin por usuarios no autorizados. 2. Prevenir la modificacin no autorizada o no intencional por usuarios autorizados 3. Preservar consistencia interna y externa

La disponibilidad asegura que los usuarios autorizados del sistema tenga acceso todo el tiempo y sin interrupcin a la informacin del mismo. Factores adicionales que deben ser tenidos en cuenta: Autenticidad Identificacin Autenticacin Responsabilidad Poltica organizacional de seguridad En la visin del ethical hacking deben reconocerse otros conceptos: Amenaza Vulnerabilidad Riesgo Ataque Objetivo de evaluacin Exploit HISTORIA DEL HACKING Comienza en 1960 cuando en el MIT los estudiantes intentaron aprender los marcos principales de los sistemas de computacin para mejorar sus habilidades. Los telfonos fueron atacados por John Draper conocido como Capitan Crunch, usando un serie de pitidos empaquetados para generar acceso a llamadas a travs de las redes de larga distancia de AT&T . En 1980, los hackers comienzan a compartir informacin y a robar contraseas en boletines electrnicos. Fundan clubes de hacking. En 1982, jvenes del estado de Wisconsin conocidos como la banda del 414 (414 gang) atacan los registros del Hospital contra el cncer Sloan-Kettering. Dos aos despus hace su debut la revista para hacker 2600 editada por Eric Corley con el alias Emmanuel Goldstein. En 1988 esparcen un gusano Morris Internet generan una extendida denegacin de servicio (DoS); el programa fue escrito por Robert Tappan Morris, estudiante de doctorado de la Universidad de Cornell, infect aproximadamente 6000 computadores. En 1990, un hacker conocido como Kevin Poulson ingresa a sistema de telfonos de una estacin de radio para asegurar el triunfo en un concurso de llamadas donde los premios era un Porsche entre otros. En 1993 realizan la primera conferencia de hacking llamada Def Con, ubicada en las Vegas.

OBJETIVOS DEL ETHICAL HACKING Un hacker tico intenta reproducir los intentos y acciones de un hacker malicioso sin causar dao. Dirige test de penetracin para determinar que hacen los atacantes para buscar informacin en los sistemas, descubrir como mantiene acceso en los sistemas y como pueden ser exitosos en sus propsitos sin ser detectados. El hacker tico acta con el permiso de la organizacin a la cual est evaluando porque intenta defender y fortalecer las debilidades de su sistema de informacin para que no pueda ser vulnerado. Para alcanzar mejores resultados en la evaluacin de los sistemas de informacin las organizaciones no informan a los equipos de trabajo encargados del mantenimiento del sistema sobre las actividades realizadas por el hacker. Esto es conocido como una operacin de estudio conocida como el doble ciego.

HACKERS, CRACKERS Y OTROS TRMINOS. En historia del descubrimiento de las vulnerabilidades en un sistema de informacin el termino hacker no tena connotaciones negativas; los hacker eran personas con una motivacin intelectual fuerte, que llevados por la curiosidad y buscando mejorar su aprendizaje acerca de los sistemas de computadoras trataron de desarrollar maneras para reconocer el funcionamiento de las mismas y sus falencias y as fortalecer la ejecucin de los sistemas que estudiaban. Sin embargo con el tiempo personas que empezaron a usar sus conocimientos para daar y vulnerar los sistemas comenzaron a ser conocidos como hacker, por lo cual para distinguirlos de los anteriores les dieron la denominacin de crackers. Los trminos hacker y cracker se convirtieron en trminos indistinguibles el uno del otro por lo que se le aadi el adjetivo tico para remarcar las capacidades que tienen los profesionales en el campo para propsitos defensivos e incrementar las posturas de seguridad de los sistemas de informacin. Otras denominaciones que podemos encontrar sobre los hackers son los phreaker quienes utilizan sus conocimientos para robar nmeros de tarjetas telefnicas, hacer llamadas gratis, atacar las PBX y acceder ilegalmente a dispositivos de comunicacin. Otros son los wrackers que son los hackers novatos que atacan las WAN y wireless. Uno ms es el script/kiddie que generalmente son personas jvenes sin conocimientos de programacin que usan lneas de cdigo que se encuentran libremente en Internet u otras fuentes. Por ltimo, los cyber-terrorist quienes trabajan para un gobierno o grupo comprometidos en la realizacin de sabotajes, espionaje, robos financieros y ataques a infraestructura critica de una nacin. PASOS PARA HACKING MALICIOSO 1. Reconocimiento a. Pasivo

b. Activo 2. Escaneo 3. Ganar acceso a. Nivel de sistema operativo b. Nivel de aplicacin c. Nivel de red d. Denegacin de servicio (DoS) 4. Mantener acceso a. Subir programas b. Descargar programas c. Alterar programas 5. Cubrir, limpiar huellas, e instalar back doors

PROPUESTA EVALUATIVA Como mtodo de evaluacin se propone un test con 8 preguntas abordando algunos de los aspectos importantes de la exposicin.

BIBLIOGRAFIA Eric Clark. 2005. Hacking as a form of "self-improvement". In Proceedings of the 10th annual SIGCSE conference on Innovation and technology in computer science education (ITiCSE '05). ACM, New York, NY, USA, 397-397. DOI=10.1145/1067445.1067601 http://doi.acm.org/10.1145/1067445.1067601 Krutz, R., & Vines, R. D. (2007). The CEH prep guide: The comprehensive guide to certified ethical hacking. Indianapolis, Indiana: Wiley Publishing Inc. DOI: www.wiley.com Poteat, Vance E. 2005. Classroom ethics: hacking and cracking. J. Comput. Sci. Coll. 20, 3 (February 2005), 225-231. Recuperado de: http://delivery.acm.org/10.1145/1050000/1040225/p225poteat.pdf?ip=190.90.21.2&id=1040225&acc=PUBLIC&key=4D9619BEF5D5941 F%2E7C220EC1DD534839%2E046931734A5192ED%2E4D4702B0C3E38B35& CFID=310807379&CFTOKEN=19782523&__acm__=1396361960_ae931600309b 359256216befb5b60966 William Mitchell, Dawn Wilkins, Kim Taylor, Sheila Colclasure, and Kent C. D. Weiand. 2004. Panel discussion: ethical awareness as preparation for a career in computing. In Proceedings of the 2nd annual conference on Mid-south college computing (MSCCC '04). Mid-South College Computing Conference, Little Rock, Arkansas, United States, 36-37. Recuperado de: http://delivery.acm.org/10.1145/1050000/1041536/p36mitchell.pdf?ip=190.90.21.2&id=1041536&acc=ACTIVE%20SERVICE&key=4D9 619BEF5D5941F%2E7C220EC1DD534839%2E046931734A5192ED%2E4D4702 B0C3E38B35&CFID=310807379&CFTOKEN=19782523&__acm__=1396362423 _58a1cbe03945c47f5fdec6b3c5ed9066