HACKING ETICO.

PROFESOR: VALENTINA TOMBOLLINI ECHEVERRIA. ALUMNO: SEBASTIAN MOREAU FUENTES.

FECHA: 01 DE DICIEMBRE 2011.

Que es el hacking tico.

Son tcnicas, metodologas y herramientas estas son similares a las empleadas por los hackers, pero el nico objetivo es comprobar el estado real y actual de la seguridad en cualquier organizacin y/o empresa. Un proyecto de Hacking tico consiste en un ataque controlado a los sistemas informticos y/o de comunicaciones de una empresa u organizacin empleando los mismos medios que un usuario malicioso.

Quienes son los hacker ticos.

Son profesionales de la seguridad informtica que usan sus habilidades y destrezas para proporcionar defensas. (Defenderse de los Crackers).Consisten en descubrir las deficiencias relativas a seguridad y las vulnerabilidades de los sistemas informticos, analizarlas, calibrar su grado de riesgo y peligrosidad, y recomendar las soluciones ms apropiadas para cada una de ellas. Un proyecto de Hacking tico consiste en una penetracin controlada en los sistemas informticos de una empresa, de la misma forma que lo hara un hacker o pirata informtico pero de forma tica, previa autorizacin por escrito. El resultado es un informe donde se identifican los sistemas en los que se ha logrado penetrar y la informacin confidencial y/o secreta conseguida. Existen diferentes tipos de hacker ticos, aqu dar a conocer algunos de ellos y una breve descripcin de ellos:

Hacking tico Externo Caja Blanca

Se les facilita a profesionales informacin para poder realizar la intrusin (normalmente las direcciones IP a testar). Se analizan en profundidad y extensin todas las posibles brechas de seguridad al alcance de un atacante de los sistemas de comunicaciones sometidos a estudio.

Hacking tico Externo Caja Negra

Es esencialmente lo mismo que en el de Caja Blanca con la dificultad aadida de que no se nos facilita ningn tipo de informacin inicial.

Hacking tico de Aplicaciones Web

Los encargados simulan los intentos de ataque reales a las vulnerabilidades de una o varias aplicaciones determinadas, como pueden ser: sistemas de comercio electrnico, de informacin, o de acceso a bases de datos

Hacking tico de Sistemas de Comunicaciones

En este caso , se analiza la seguridad de las comunicaciones tales como: redes de datos, hardware de red, comunicaciones de voz, fraude en telecomunicaciones (uso fraudulento de centralitas, telefona pblica, acceso no autorizado a Internet, redes de transmisin de datos por radio, etc.).

Acceso remoto.

Se hace referencia a acceder desde una computadora a un recurso ubicado fsicamente en otra computadora, a travs de una red local o externa (como internet). En el acceso remoto se ven implicados protocolos para la comunicacin entre mquinas, y aplicaciones en ambas computadoras que permitan recibir, enviar los datos necesarios. Adems deben contar con un fuerte sistema de seguridad (tanto la red, como los protocolos y las aplicaciones). Remotamente se puede acceder prcticamente a cualquier recurso que ofrece una o ms computadoras. Se pueden acceder a archivos, dispositivos perifricos (como impresoras),configuraciones, etc. Por ejemplo, se puede acceder a un servidor de forma remota para configurarlo, controlar el estado de sus servicios, transferir archivos, etc.

Acuerdo de no divulgacin

Este acuerdo hace referencia, garantice al proveedor a texto expreso y en el marco del negocio que se va a celebrar, la seguridad de toda la informacin que se pone a disposicin del futuro cliente o socio, sea sta propia o de terceras personas.

Clausulas:

1.-Como las partes se proponen asociarse o mantener una estrecha relacin Comercial estable, uno de ellos o ambos, recprocamente- se comprometern a Tratar todos los datos y la informacin que reciban en forma confidencial. 2.- quien la recibe se comprometer a no divulgarla, a no usarla para un fin Distinto para el que fue entregada y a protegerla como protege su propia

Informacin confidencial. 3.- solo podr poner en conocimiento de esa informacin confidencial a sus Empleados y contratistas independientes que la necesiten para el trabajo especfico. 4.- la informacin que se proporciona no da derecho o licencia a la empresa que la Recibe sobre las marcas, derechos de autor o patentes que pertenezcan a quien la Proporciona. 5.- es conveniente que se defina especficamente a que persona jurdica se entrega la Documentacin, o sea si es slo a la contratante o el acuerdo tambin alcanza a sus Sucursales, afiliados, subsidiarias o entidades controladas o controlantes de la Misma.

6.- se puede pactar una clusula de indemnidad a favor de quien entrega la Informacin para el caso de que la otra parte incurra en responsabilidad frente a Terceros por divulgacin o mal uso de la misma. 7.- en el mismo sentido se establece la reparacin econmica ,multa y/o daos y Perjuicios, que sufrir quien viole la confidencialidad de la informacin, as como los Tribunales competentes y la legislacin aplicable para esos casos.

Anlisis de la competencia.
El anlisis de la competencia consiste en el estudio y anlisis de nuestros competidores, para que, posteriormente, en base a dicho anlisis, tomar decisiones o disear estrategias que nos permitan competir adecuadamente con ellos en el mercado.

Pasos para realizar un anlisis de competencia:

1.-

Determinar nuestras necesidades u objetivos de estudio.

En primer lugar determinamos cul es la necesidad, razn u objetivo del anlisis de nuestros competidores, qu es lo que queremos lograr con ello, analizar a nuestros competidores para conocer sus puntos dbiles, y as, poder sacar provecho de ellos 2.-

Identificar la informacin que necesitaremos recolectar.

Basndonos en nuestro objetivo de estudio, determinamos cul ser la informacin que necesitaremos recolectar de nuestra competencia.los puntos dbiles: La informacin que podramos recolectar podra ser la referente a sus procesos, su logstica, su capacidad de fabricacin, su capacidad de abastecimiento, etc.

3.-

Determinar fuentes de informacin y tcnicas o mtodos para recolectarla.

Determinamos de dnde obtendremos la informacin requerida, y qu mtodos usaremos para obtenerla, podemos comprar sus productos, para as poder analizarlos mejor; o podemos hacer uso de pequeas encuestas. 4.-

Recolectar y analizar la informacin.

Una vez que hemos determinado la informacin que necesitaremos, las fuentes de dnde la conseguiremos y los mtodos que usaremos para obtenerla, pasamos a recolectarla, y posteriormente a analizarla y sacar nuestras conclusiones.

5.- Tomar decisiones y disear estrategias.

En base a nuestro anlisis y a las conclusiones que hemos llegado, pasamos a tomar decisiones y a disear estrategias.

Auditoria de seguridad.
Una auditora de seguridad informtica o auditora de seguridad de sistemas de informacin , es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Tcnicos en Informtica para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

la auditora constan de las siguientes fases:

1.- Enumeracin de redes, topologas y protocolos 2.- Identificacin de los sistemas operativos instalados 3.- Anlisis de servicios y aplicaciones 4.- Deteccin, comprobacin y evaluacin de vulnerabilidades 5.- Medidas especficas de correccin 6.- Recomendaciones sobre implantacin de medidas preventivas.

Tipos de auditoria.

Auditora de seguridad interna

:nivel de seguridad y privacidad de las redes locales y corporativas de carcter interno

Auditora de seguridad perimetral: la red local o corporativa es estudiado

y se analiza el grado de seguridad que ofrece en las entradas exteriores

Test de intrusin:

es un mtodo de auditora mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada

Anlisis forense:

metodologa de estudio ideal para el anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema.

web: se

comprueba las vulnerabilidades como la inyeccin de cdigo sql, Verificacin de existencia y anulacin de posibilidades de Cross Site Scripting (XSS), etc.

Auditora de cdigo de aplicaciones:

Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de aplicacin, independientemente del lenguaje empleado