Hacking for a Living

Mariano Nuñez Di Croce
mnunez@onapsis.com

Septiembre 28, 2010 ORT SpirIT

¿Quién soy yo?
 Co-fundador / Director de Investigación y Desarrollo en Onapsis.  Inicialmente dedicado a Penetration Testing y

Vulnerability Research.  Descubrí vulnerabilidades en Microsoft, Oracle, SAP, IBM, …  Speaker/Trainer en
HITB Black (Dubai), Sec-T Hat (Las

Vegas/Amsterdam/Barcelona),

(Estocolmo),

Hack.lu (Luxemburgo), DeepSec (Viena), Ekoparty (BsAs)... ¿Qué es Onapsis?  Empresa especializada en la seguridad de ERPs y Aplicaciones de Negocio Críticas (SAP®, Siebel®, Oracle® E-Business SuiteTM , JD Edwards® …).

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

2

¿Cómo llegué hasta acá?
 Empecé en ORT en el 1998.  Elegí Informática.  En 8vo me empezó a interesar la Seguridad Informática.  Aprendí jugando en casa y un poco en ORT (perdón Adrián!).  Entre a la UTN (Ingeniería en Sistemas).  A los 18 empecé como consultor junior en Cybsec.  A los 23 me recibí (Dios bendiga el trabajo parttime).  A los 24 fundé Onapsis con un amigo.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 3

El hacker

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

4

Entonces… qué es un hacker?
● Alguien con pasión por entender la tecnología, aprender su funcionamiento y sobrepasar sus “límites”. ● Ser un hacker no es ser un criminal. ● En Seguridad Informática, los hackers se dividen en: White-hats: Hacking ético. Tienen como objetivo evaluar y asegurar los sistemas de información. Black-hats: El lado oscuro de la fuerza. Objetivos criminales y de beneficio personal.

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

10

El Hacking Ético
● Es el arte de simular el comportamiento de un potencial atacante informático, con el objetivo de detectar (y explotar) las vulnerabilidades existentes en la plataforma tecnológica de una Organización. ● El objetivo final es elevar el nivel de seguridad de la plataforma. ● Certificaciones!!?? CEH - Certified Ethical Hacker.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 11

Tipo de Evaluaciones
● Modelo: Externos vs. Internos. ● Enfoque: Caja negra / Caja gris / Caja blanca. ● Objetivo: ● Infraestructura ● Aplicaciones Web ● Wireless ● Factor Humano – Ingeniería social ● Sistemas críticos (SCADA, ERPs, etc)

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

12

Buscando Vulnerabilidades

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

13

Análisis Inicial: Threat Modeling
● Metodología formalizada para identificar amenazas en el diseño de una aplicación y priorizar actividades de evaluación. ● Pensar como un atacante! ● Etapas: ● Recolección de Información ● Modelado de Arquitectura ● Identificación de Amenazas ● Documentación de Hallazgos ● Priorización de Evaluación

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

14

Evaluación de la Aplicación
● Una

vez identificadas las amenazas, se evalúan los

componentes afectados para ver si realmente existen. ● Pueden utilizarse diferentes técnicas: ● Análisis Estático ● Análisis Dinámico ● Fuzzing ● Diffing de Parches

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

15

etecté una vulnerabilidad.. Qué hago?
● Como investigadores independientes, tienen distintas opciones: ● Reportarla al fabricante y luego publicar. ● Full-disclosure. ● Venderla: ● Mercado gris: Organizaciones que compran vulns. ● Mercado negro: “Organizaciones” que compran vulns.

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

16

Qué hacemos nosotros?
● Detectamos vulnerabilidades en Aplicaciones de Negocio CRITICAS. ● Las reportamos al fabricante. ● Esperamos que provea la solución y la publicamos. ● Implementamos un módulo en Onapsis X1.

● Nuestros clientes pueden verificar si son o no vulnerables.
Hacking for a Living www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved 17

De nuestro “garage”…

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

18

… a Alemania

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

19

Onapsis en las noticias

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

20

Qué necesitas?

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

21

Convirtiéndote en un Whitehat
● Es un proceso gradual. ● Lo MAS importante: PASION. ● Nadie nace sabiendo! ● Investigar. Investigar. Investigar. ● Mejorar skills de programación y redes. ● Jugar Wargames en Internet. ● Ir a la Ekoparty! :P

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

22

Preguntas?
mnunez@onapsis.com

Work@Onapsis
jobs@onapsis.com

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

23

Muchas Gracias!

www.onapsis.com

Hacking for a Living

www.onapsis.com – © 2010 Onapsis S.R.L. – All rights reserved

24

Sign up to vote on this title
UsefulNot useful