Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1.- DATOS DE LA ASIGNATURA Nombre de la asignatura : Carrera : Clave de la asignatura : SATCA: Hacking Ético. Ingeniería en Tecnologías de la Información y Comunicaciones. DGF1904 3-2-5 2.- PRESENTACIÓN Caracterización de la asignatura. Esta asignatura aporta al perfil del Ingeniero en Tecnologías de la Información y comunicaciones, las capacidades de aplicar conocimientos para Vulnerar y Auditar la implementación de seguridad en los distintos sistemas informáticos, además de las telecomunicaciones. Esta asignatura permite al estudiante de adquirir los conocimientos y habilidades para diseñar e implementar normas de seguridad y estándares para el aseguramiento de los activos informáticos de las organizaciones. Ante la apertura de los sistemas y negocios a la globalización con el uso del Internet, la asignatura de Hacking Ético permite que el estudiante conozca los distintos medios de ataques a los que estamos expuestos para minimizarlos y las directrices actuales que le ayudarán a proteger sus recursos permitiendo la implementación de Normas y Estándares internacionales para la continuidad del negocio. Esta asignatura se ha incluido en el IX semestre, debido a que requiere, para su completa comprensión, dominio de las siguientes asignaturas: Redes de computadoras, Sistemas Operativos, Tecnologías inalámbricas, Bases de datos. Intención didáctica. El temario está dividido en seis unidades, de las cuales la unidad uno y dos abordan los temas teóricos de esta materia, y las unidades restantes, aplican los conocimientos de las unidades anteriores. La unidad uno contempla los conceptos básicos de seguridad informática a ser vulnerada, además el cómo los datos son interpretados por las pcs, es decir como la información es procesada, almacenada, y transmitida, se aborda el tema de la seguridad en el ámbito general de la vida cotidiana revelando los errores comunes que la gente comente al tratar la información. La unidad dos aborda los temas de la seguridad de los dispositivos móviles así como los archivos en la pc. La unidad tres aborda los temas de la vulnerabilidad mediante contraseñas no seguras así como el resguardo de las mismas. La unidad cuatro nos sumerge en el mundo del cifrado tipos de algoritmos de cifrado existentes así como que tan fuertes son cada uno de ellos. La unidad cinco habla del hacking ético como principio de obtención de datos con consentimiento del usuario. La unidad seis aborda las herramientas y protocolos de seguridad, ya que es importante conocer las distintas herramientas que sirven para mostrar las vulnerabilidades de los sistemas de información de este modo se puede hacer un hacking ético. En general la asignatura aporta los conocimientos necesarios para que el ingeniero en tecnológicas de la información y comunicaciones pueda hacer uso de los distintos medios de testeo de passwords, además de encontrar huecos en la seguridad de los sistemas informáticos. 3.- COMPETENCIAS A DESARROLLAR Competencias específicas: Competencias genéricas: Competencias instrumentales Conocimientos básicos de la carrera. Capacidad de análisis y síntesis. Capacidad de organizar y planificar. Comunicación oral y escrita. Habilidades de manejo de la computadora. Habilidad para buscar y analizar información proveniente de fuentes diversas. Solución de problemas. Toma de decisiones. Competencias interpersonales Capacidad crítica y autocrítica. Trabajo en equipo. Habilidades interpersonales. Competencias sistémicas Capacidad de aplicar los conocimientos en la práctica. Habilidades de investigación. Capacidad de aprender. Capacidad de generar nuevas ideas (creatividad). Habilidad para trabajar en equipo 4.- HISTORIA DEL PROGRAMA Lugar y fecha de elaboración o revisión Participantes Evento Instituto tecnológico De Iztapalapa I I 19/ marzo/ 2018 Academia en tecnologías de la información y comunicaciones Integrantes: Quim. Enrique Cañeda Guzmán, Lic. María vaca parra, Ing. Michel López Celaya, Ing. Rafael Ruiz castillo, Ing. David ronquillo Arvizu, Ing. William Jiménez López, Matl. Armando montes rivera, Ing. Salvador Cuevas Bustos. Ing. Iván Alejandro Gómez Ayala. Taller institucional de creación de especialidades. 5.- OBJETIVO GENERAL DEL CURSO Conocer que es la seguridad informática y campos de aplicación, Identificar y explicar los riesgos a los que está expuesta la información, así como las normas que rigen la seguridad de la misma, Implementar algoritmos de criptografía clásica con el fin de proteger la información que se transmite a través de una aplicación. Vulnerar redes inalámbricas con wpa y wpa2, hacer uso de sql inyection, entrar a Windows son el password de usuario. 6.- COMPETENCIAS PREVIAS Manejar Sistemas de información, lenguajes orientados a objetos, bases de datos y redes alámbricas e inalámbricas 7. TEMARIO Unidad Temas Subtemas 1 Introducción a la seguridad y Vulnerabilidad informática 1.1. El valor de la información. 1.2. Definición y tipos de seguridad informática. 1.3. Objetivos de la seguridad informática. 1.4. Que es Vulnerable y por que 1.4. Posibles riesgos. 1.5. Técnicas de aseguramiento del sistema. 2 Ataque vs Aseguramiento de la información en los dispositivos de almacenamiento y móviles. 2.1. Cifrado de carpetas y archivos 2.2. Certificados y Firmas Digitales. 2.3. Uso de rohos, truecrip y mas 2.4. Recuperación de archivos, uso de Easyrecovery y getmydataback. 2.5. Vulnerabilidad en celulares (APK) 2.6. Como se guardan los datos seguros en un móvil. 2.7 Seguridad en redes sociales. 3 Conflictos de Seguridad 3.1 Causa Raíz de un incidente de seguridad. 3.2. Amenazas y Vulnerabilidades. 3.2.1 Passwords vulnerables. 3.2.2 Políticas de seguridad. 3.3 Prevención de incidentes de seguridad. 4 Criptosistemas, Autenticación e Integridad 4.1 Definición de Criptosistemas, Autenticación e Integridad. 4.2 Algoritmo DES, Data Encryption Standard. 4.3 Algoritmo IDEA, International Data Encryption Algorithm. 4.4 Algoritmo AES, Advanced Encryption Standard. 4.5 El problema de la integridad y la autenticación 4.6 Autenticación de mensajes con sistemas simétricos y asimétricos 4.7 Funciones hash para firma digital: MD5, SHA- 1, SHA-2 5 Ethical hacking 5.1Definicón 5.2 Hacker vs Cracker. 5.3 Delitos Informáticos 5.4 Amenazas comunes 5.4.1 Virus 5.4.2 Malware 5.4.3 Troyanos,Worms,etc (bugtraq) 5.4.4 Tipos de antivirus 5.5 Solución a Amenazas comunes 5.6 Auditoria de Redes Wireless (kalilinux,WifiSlax,parrot, ,anonymous) 5.7 Acceso a equipos con contraseña (uso de Hirents boot cd y similares) 5.8 Sql inyection. 5.9 Keyloggers 5.10 Ingeniería Social 6.1 Tipos de Herramientas de Seguridad. 6.2 Programas para quebrantar contraseñas (Password Crackers). 6.2.1 Esquema de Autenticación de Sistemas Actuales. 6.3. John The Ripper. 6.4 Sniffers. 6.4.1 Demostración práctica de SpyNet/PepeNet, NetXray, tcpdump, Ethereal o Wireshark. 6.5. nmap. Herramientas Protocolos Seguridad y de 6 8.- SUGERENCIAS DIDÁCTICAS El docente debe: Ser conocedor de la disciplina que está bajo su responsabilidad, Desarrollar la capacidad para coordinar y trabajar en equipo; orientar el trabajo del estudiante y potenciar en él la autonomía, el trabajo cooperativo y la toma de decisiones. Mostrar flexibilidad en el seguimiento del proceso formativo y propiciar la interacción entre los estudiantes. Tomar en cuenta el conocimiento de los estudiantescomo punto de partida y como obstáculo para la construcción de nuevos conocimientos. Propiciar actividades de meta cognición. Ante la ejecución de una actividad, señalar o identificar el tipo de proceso intelectual que se realizó. Propiciar actividades de búsqueda, selección y análisis de información en distintas fuentes. Ejemplo: buscar y contrastar definiciones de seguridad en internet y redes, en general, identificando puntos de coincidencia entre unas y otras definiciones e identificar sus características y aplicaciones en situaciones concretas. Fomentar actividades grupales que propicien la comunicación, el intercambio argumentado de ideas, la reflexión, la integración y la colaboración de y entre los estudiantes. Ejemplo: al socializar los resultados de las investigaciones y las experiencias prácticas solicitadas como trabajo extra clase. Relacionar los contenidos de esta asignatura con las demás del plan de estudios a las que ésta da soporte para desarrollar una visión interdisciplinaria en el estudiante. Ejemplos: identificar las tipologías de ataques a las redes y la manera de protegerlos a través de los elementos de red, las capas del modelo OSI a la que está dirigido, etc. Propiciar el desarrollo de capacidades intelectuales relacionadas con la lectura, la escritura y la expresión oral. Ejemplos: trabajar las actividades prácticas a través de guías escritas, redactar reportes e informes de las actividades de experimentación, exponer al grupo las conclusiones obtenidas durante las observaciones. Facilitar el contacto directo con materiales e instrumentos, al llevar al cabo actividades prácticas, para contribuir a la formación de las competencias para el trabajo experimental como: identificación, manejo y control de equipos y datos relevantes, planteamiento de hipótesis, trabajo en equipo. 9.- SUGERENCIAS DE EVALUACIÓN La evaluación debe ser continua y formativa por lo que se debe considerar el desempeño en cada una de las actividades de aprendizaje, haciendo especial énfasis en: Presentación de reportes de búsqueda de información en fuentes bibliográficas o digitales de reconocido valor, las cuales deben ir indicadas por el instructor. Participación en actividades para demostrar el entendimiento y comprensión de los conocimientos adquiridos a través de las investigaciones anteriores, tales como la elaboración de mesas panel, etc. Elaboración de proyectos de aplicación y sustentar su aplicación. Practicas del uso del software de auditoría de seguridad. 10.- UNIDADES DE APRENDIZAJE Unidad 1: Introducción a la seguridad y Vulnerabilidad informática Competencia específica a desarrollar Actividades de Aprendizaje Conocer que es la seguridad y vulnerabilidad informática y campos de aplicación Identificar y explicar los riesgos a los que está expuesta la información, así como las normas que rigen la seguridad de la misma. Investigar la definición de seguridad informática en fuentes no confiables y fuentes bien respaldadas. Comparar ambos resultados e identificar diferencias y similitudes. Investigar y discutir en equipos, como la información es representada, así como la transmisión de la misma. Investigar los posibles riesgos a los que se enfrentan las empresas al no tomar en cuenta aspectos de seguridad informática. Investigar y formular un resumen de los puntos más importantes de las normas ISO encontradas. Unidad 2: Ataque vs Aseguramiento de la información en los dispositivos de almacenamiento y móviles. Competencia específica a desarrollar Actividades de Aprendizaje Identificar y explicar los posibles problemas a los que la información se expone, así como los descuidos cometidos al “asegurar” la información. Crear un foro de discusión de las posibles causas de los incidentes informáticos, el docente deberá mencionar las principales causas al finalizar la discusión. Hacer cuadro comparativo de recuperadores. Hacer un diario de campo de las prácticas realizadas en la vulneración de celulares. Unidad 3: Conflictos de Seguridad. Competencia específica a desarrollar Actividades de Aprendizaje Identificar y explicar los posibles problemas a los que la información se expone, así como los descuidos cometidos al “asegurar” la información. Investigar y discutir sobre las políticas de seguridad existentes, así como los descuidos que se comenten en la asignación de un password. Implementar un manual de las posibles acciones para prevenir incidentes de seguridad. Unidad 4: Criptosistemas, Autenticación e Integridad. Competencia específica a desarrollar Actividades de Aprendizaje Implementar algoritmos de criptografía clásica con el fin de proteger la información que se transmite a través de una aplicación. Investigar los conceptos de la unidad, formular con lo investigado una definición propia de cada concepto. Investigar la clasificación de criptosistemas. Investigar los algoritmos utilizados para “esconder” la información y que ésta no sea legible de manera directa por cualquier persona. Buscar los problemas más suscitados de la Integridad y Autenticación y dar solución a estos. Implementar en un lenguaje de programación estos algoritmos. Unidad 5: Ethical hacking Competencia específica a desarrollar Actividades de Aprendizaje Vulnerar redes inalámbricas con wpa y wpa2, hacer uso de sql inyection, entrar a Windows son el password de usuario. Investigar y descargar las herramientas existentes para auditar la seguridad informática. Descargar el Hirentsboot cd, para descifrar los archivos .SAM de Windows xp, vista y 7. Investigar en Internet las distintas herramientas de hackeo de passwords. Hacer un cuadro sinóptico de los distintos esquemas de autenticación. Comprobar con la laptop de un compañero(a) de equipo, el uso de JTR. Implantar un keylloger en una pc y escribir datos, así como usar el teclado virtual de Windows para comprobar si los datos son almacenados. Unidad 6: Herramientas y Protocolos de Seguridad Competencia específica a desarrollar Actividades de Aprendizaje Implementar las distintas herramientas y protocolos que se pueden utilizar para comprobar la seguridad de un sistema de información. Quebrantar passwords en archivos de Word wxel pdf etc. Usar john the riper Creación de snifer Auditar con Wireshark , 11.- FUENTES DE INFORMACIÓN 1. Aguirre, Jorge R. “Libro Electrónico de Seguridad Informática y Criptografía”. ISBN 84-86451-69-8 (2006); Depósito Legal M-10039- 2003. Disponible en Internet en http://www.criptored.upm.es/guiateoria/gt_m001a.htm. 2. Lucena López, Manuel J. “Criptografía y Seguridad en Computadores”. Cuarta Edición. Versión 0.7.8. 9 de octubre de 2007. Criptografía y Seguridad en Computadores es un libro electrónico en castellano, publicado bajo licencia CreativeCommons. 3. Singh,Simon. “Los Códigos Secretos. El Arte y la Ciencia de la Criptografía desde e3 ntiguo Egipto a la Era de Interne3' .Editoral Debate, 2000. ISBN: 84-8306-278-X. 4. Angel Ángel, José de Jesús. “Criptografía para Principiantes”. Obtenido en la red mundial el 5 de noviembre de 2002. 2000. http://www.criptored.upm.es/descarga/criptobasica.zip. 5. Anónimo. “Máxima Seguridad en Linux”.Prentice Hall. 6. Hacking ético de Carlos Tory. 7. Seguridad Informática Mc GrawHill Fabian Roa 12.- PRÁCTICAS PROPUESTAS Aplicación de herramientas de monitoreo de red. Elaboración manual de los algoritmos de encriptación. Programación de los algoritmos criptográficos. Formulación de una política de seguridad. Instalación y pruebas de seguridad de una red inalámbrica. Realizar pruebas con Wifislax. Hacer una práctica derecuperación de archivos. Vulnerar una app para android sin software. Auditar un sistema web. Vulnerar una pc con contraseña Windows 7 ,8 y 10 practica de hirent boot cd. Realizar prácticas con parrot y kalilinux. Vulnerar una pc con contraseña Windows 7 ,8 y 10 con Konboot. Usar los códigos secretos para celulares. Cifrar archivos con la herramienta cryptool. Firmar archivos digitales con la herramienta cryptool. Restablecer un servidor con Windows server 2012 o 2016 con contraseña. Restablecer diferentes sistemas operativos con contraseña. Vulnerar wi-fi usando un celular. Vulnerar wi-fi usando parrot. http://www.criptored.upm.es/guiateoria/gt_m001a.htm http://www.criptored.upm.es/guiateoria/gt_m001a.htm http://www.criptored.upm.es/descarga/criptobasica.zip
Compartir