La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ethical Hacking para ATM’s Lucía Castro Víctor.

Publicada porFrancisco José Palma Figueroa Modificado hace 8 años

Presentaciones similares

Presentación del tema: "UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ethical Hacking para ATM’s Lucía Castro Víctor."— Transcripción de la presentación:

1 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ethical Hacking para ATM’s Lucía Castro Víctor Cabezas Diana Checa

2 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Objetivos Verificar la existencia de controles de seguridad implementados en una red interna e infraestructura de los ATM Identificar vulnerabilidades y debilidades que permitan conocer el impacto potencial y las posibilidades de ocurrencia, con la finalidad de proveer recomendaciones de mejora y corrección de vulnerabilidades acorde a las mejores prácticas en seguridad informática y redes. Proveer una visión del nivel de seguridad informática de los cajeros ATM a ser evaluados. Determinar si los controles implementados ante eventos de seguridad son los adecuados. Identificar los agentes de amenazas específicos, es decir caminos de acceso para penetrar a los cajeros ATM evaluados de tal forma que se puedan neutralizar o, por lo menos, minimizar el riesgo que generan 2 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC

3 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Objetivos Confirmar que las medidas de seguridad implementadas sean las adecuadas y si son capaces de resistir diversos ataque. Efectuar recomendaciones específicas y generales que permitan adelantar los procesos de mejora y corrección de vulnerabilidades con el propósito de implementar mecanismos de seguridad informática acorde con las mejores prácticas en seguridad. Proporcionar información sobre la estructura de sus sistemas realizando las mismas acciones que un atacante, pero bajo una evaluación ética y controlada. En ningún momento se genera algún tipo de cambio sobre los sistemas y/o información si hay algún tipo de acceso. 3 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC

4 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Detalles de la Prueba Seguridad de los Equipos Infraestructura Evaluar que el cableado de red y eléctrico del cajero ATM no se mantenga expuesto dentro de las instalaciones Seguridad Sistema Operativo Evaluar si es posible acceder a la BIOS del equipo, verificar si se utiliza una contraseña para evitar cambios no autorizados como modificar el orden de los dispositivos de inicio, con lo cual un atacante lograría iniciar el cajero ATM con otro sistema operativo. USB Evaluar que los puertos USB se encuentren inactivos, recomendable que estén bloqueados por el agente endpoint instalado en dicho cajero ATM 4 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC

5 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Detalles de la Prueba Seguridad de los Equipos Usuarios Defecto Que usuario por defecto se encuentre listo (Administrator, Guest) Firewall de Microsoft Windows Activo Mediante el uso del comando de Windows “netsh” se analiza la configuración del “Windows Firewall”,. Además, verificar si el agente en este caso Symantec Endpoint Protection se encuentra operativo (Hace que bloqueen las conexiones desde y hacia el cajero ATM, además bloquean el acceso a dispositivos de almacenamiento externo como son USB y CD/DVD. Actualizaciones Seguridad Con el uso del comando “ systeminfo.exe” se verifica la versión del sistema operativo y la existencia de actualizaciones de seguridad. 5 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC

6 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Detalles de la Prueba Seguridad de los Equipos Seguridad Comunicaciones Mediante el comando “ipconfig /all” se puede validar si el equipo ATM está conectado a la misma red de la institución y se debe comprobar que no se puede ingresar a ninguna subnet. Transmisión de datos Se realizaba una transacción con una tarjeta de pruebas, para verificar si la data es transmitida en forma cifrada. Que la data como: número de tarjeta, monto de la transacción se transmitan en texto plano, más no el PIN el cual debe ser transmitido cifrado. Escaneo de puertos y análisis de vulnerabilidades Si es posible realizar alguna conexión desde o hacia el cajero ATM, verificar que no hayan puertos disponibles abiertos para realizar el análisis de vulnerabilidades, en caso contrario no se podría. 6 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC

7 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1. Acceso al Bios 7 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC 2. Acceso a dispositivos USB- CD/DVD

8 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 3. Verificación Windows Firewall – comando “netsh” 8 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC 4. Acceder por Internet Explorer

9 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 5. Actualizaciones de Seguridad – “systeminfo” 9 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC 6. Seguridad Comunicación – TCP/IP

10 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 7. Transmisión de Datos – usando Wireshark 10 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC 8. Escaneo de Puertos

11 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 11 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC 9. Seguridad Física Skimmers [Lector de bandas magnéticas] Teclado / Cámara [recolectora de PIN

Descargar ppt "UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ethical Hacking para ATM’s Lucía Castro Víctor."

Presentaciones similares

CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
Revisiones de Control enfocadas a la Evaluación de Control Interno

Revisiones de Control enfocadas a la Evaluación de Control Interno
GFI LANguard Network Security Scanner Version 8 .0 !

GFI LANguard Network Security Scanner Version 8 .0 !
T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)

T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)
Control Interno Informático. Concepto

Control Interno Informático. Concepto
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Diseñar un sistema que permita al usuario desde un teléfono móvil acceder a su computador personal (o servidor) a través de WAP para administrar algunos.

Diseñar un sistema que permita al usuario desde un teléfono móvil acceder a su computador personal (o servidor) a través de WAP para administrar algunos.
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.

Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
CONCEPTOS INFORMATICA, TELEMATICA Y REDES

CONCEPTOS INFORMATICA, TELEMATICA Y REDES
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Enrique Cardenas Parga

Enrique Cardenas Parga
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
HINARI – Acceso a los artículos: Problemas y Soluciones.

HINARI – Acceso a los artículos: Problemas y Soluciones.
Seguridad de la Información

Seguridad de la Información
AUDITORÍA DE SISTEMAS UNIDAD 2.

AUDITORÍA DE SISTEMAS UNIDAD 2.
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software
LINEAMIENTOS ESPECÍFICOS DE SEGURIDAD DE LA INFORMACIÓN PARA 1.

LINEAMIENTOS ESPECÍFICOS DE SEGURIDAD DE LA INFORMACIÓN PARA 1.

Presentaciones similares

Anuncios Google