SlideShare une entreprise Scribd logo

Información pública organización

Alberto García Illera
Alberto García Illera

Busca en el asistente de Google Related: Busca páginas relacionadas Info: Busca en la información de Google Link: Busca enlaces entrantes/salientes All: Busca en todo Google Define: Busca la definición de un término Search: Busca en la barra de búsqueda de Google I'm Feeling Lucky: Redirige a la primera entrada de resultados Ver más operadores en: https://goo.gl/h8r1s AL LÍO! Buscando vulnerabilidades

Relations avec les actionnaires
1  sur  120
Alberto García Illera agarcia@informatica64.com Auditor de Seguridad
El valor de la información - I  La finalidad del atacante ha variado con el tiempo  No se busca fama  Se busca «hacer dinero»  El malware se diseña para ser tan silencioso como se pueda
El valor de la información - II  Venderla en el mercado  Pasarla a la competencia.  Anticipación en el mercado  Análisis de estrategias  Robo de clientes  Desprestigio  Hacer extorsión  Almacenarla para uso futuro
El valor de la información - III Product Price Credit card details From $2-$90 Physical credit cards From $190 + cost of details Card cloners From $200-$1000 Fake ATMs Up to $35,000 Bank credentials From $80 to 700$ (with guaranteed balance) Bank transfers and cashing checks From 10 to 40% of the total $10 for simple account without guaranteed balance Online stores and pay platforms From $80-$1500 with guaranteed balance Design and publishing of fake online stores According to the project (not specified) Purchase and forwarding of products From $30-$300 (depending on the project) Spam rental From $15 SMTP rental From $20 to $40 for three months VPN rental $20 for three months
Conocimiento Vs Complejidad
D(D)oS  Actualmente es la punta de lanza de los ataques cuya finalidad es únicamente causar daños  Generalmente, se utilizan equipos comprometidos (Zombies)  Muy difícil de detener si se realiza correctamente  Algunos métodos:  SYN / UDP Flood  DNS Amplification Attack  Redes P2P  Smurf / Echo + Chargen (Old school way)
 Conceptos de auditoría informática  Objetivos Footprinting  Metodología de búsqueda  Herramientas  Objetivos Fingerprinting  Metodología de búsqueda  Herramientas
Bug  Un error de software o computer bug, que significa bicho de computadora, es el resultado de un fallo de programación introducido en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870. Fuente: Wikipedia en Español
Exploit  Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.  Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:  Vulnerabilidades de desbordamiento de pila o buffer overflow.  Vulnerabilidades de condición de carrera (Race condition).  Vulnerabilidades de error de formato de cadena (format string bugs).  Vulnerabilidades de Cross Site Scripting (XSS).  Vulnerabilidades de inyección SQL (SQL injection). Fuente: Wikipedia en Español
Debian
Ministerio Vivienda España
Comunidades Ubuntu
Microsoft
Microsoft
Zone-H
Jazztel
Partidos Políticos
Real Madrid
River Plate
Fortificación  Proceso a priori  Automatizable  Dependiente del Rol (DNS, WEB, WIRELESS)  Aplicación de tres principios:  Mínimo Punto de Exposición  Mínimo Privilegio Posible  Defensa en Profundidad
Defensa en Profundidad Datos ACL(Acces control List), cifrado, VLAN Aplicación Fortificación de aplicación, antivirus Servidor Firewall, Antimalware, HIDS,… Red Interna Segmentación, IPSec, IDSs Perímetro Firewalls, VPN, NAP, 802.1x Segurdiad Física Guardas, cerraduras, Sistemas de vigilancia Politicas, Procedimientos & Concienciación Formaición a usuarios
Test de Intrusión (Penetration Test)  El objetivo es encontrar fallos de seguridad en un sistema  Se busca conocer el “riesgo” en que se encuentra un sistema  No es una auditoría completa  No se buscan todos los fallos  Se busca detectar tendencias
Test de Intrusión (Penetration Test)  Aspectos importantes antes de empezar  Ámbito de ejecución  Franjas de tiempo  Objetivos/Activos
Auditoría Seguridad  Es completa  El objetivo es generar un status de seguridad  Incluye Tests de penetración y Recomendaciones  Hay que definir el punto de partida  Auditoría de Caja Blanca  Auditoría de Caja Negra  Auditoría de Caja gris
Auditoría caja blanca  Los auditores cuentan  Pros: con información sobre  Minucioso los objetivos  Mejores recomendaciones  Código fuente  Mayor alcance  Configuración  Documentación  Contras:  Credenciales  Requiere más esfuerzo por ambas partes  No se simula un ataque de verdad
Auditoría caja negra  Los auditores simulan el  Pros: procedimiento de un  Simula un ataque de verdad atacante  Mínimo esfuerzo del cliente  No se cuenta con  Contras: información previa más  Mayor esfuerzo de los que la disponible auditores públicamente  No se puede asegurar el 100%  Recomendaciones generales
Auditoría caja gris  Los auditores simulan el  Pros: procedimiento de un  Mayor rentabilidad atacante  Estimación realista de las amenazas  Se cuenta con información previa al  Contras: estilo de las auditorías de  No se simula un ataque caja blanca real
Seguridad  La seguridad depende de 3 factores:  Procesos:  Procedimientos y operaciones en nuestros entornos  Personas  Poca formación  Tecnología:  Estándares (TCP/IP)  Desarrollos personales  Productos de los fabricantes (IIS,Apache)  ¿Qué se audita?
Auditorías de Seguridad de Código  Se realiza al código fuente de una aplicación  Caja Negra: Fuzzers  Caja Blanca: Analisis estático de Código  FxCop  CodeAnalysis  http://en.wikipedia.org/wiki/List_of_tools_for_static_co de_analysis  OWASP: https://www.owasp.org/index.php/Source_Code_Analys is_Tools
 Objetivo: Recoger toda la información pública del objetivo de la auditoría desde internet  Datos de Servidores  Datos de Clientes  Datos personas  Proveedores  Tecnologías utilizadas  Servicios ofrecidos  …
“If I had eight hours to chop down a tree, I‟d spend the first six of them sharpening my axe.” -Abraham Lincoln
Fases de un ataque 1 Reconocimiento 5 2 Limpiar huellas Escaneo 4 3 Mantener acceso Intrusión
Footprinting  La fase de footprinting suele ser la más importante en un proceso de intrusión  Consiste en la búsqueda y obtención de la máxima información pública posible acerca del objetivo  Datos de servidores  Datos de clientes  Datos personales  Proveedores  Tecnologías utilizadas  Servicios ofrecidos  Contactos (Personas - Teléfonos)  …
 Conoce a tu enemigo  IP y nombre de dominio  Whois  Netcraft (vida de un dominio)  Ubicación (Medio fingerprinting)  Trace Route  Visual Route  Correos electrónicos  Cabeceras
Buscando en el baúl de los recuerdos  Empresas con algún tipo de relación  Reconocimiento pasivo  Grupos de noticias, listas de correo, foros, blogs, etc  Ofertas de trabajo IT  Contenido cacheado
“Ayudando”  Nombre de usuario  Avatar (Y foto)  Hardware y configuración
“Ayudando un poquito más”  Nombre Completo  Lugar de residencia  Página web personal
Siguiendo la pista a una persona en Internet AL LÍO!
Redes sociales  Útil para preparar ataques de ingeniería social  Gustos personales  Relaciones humanas  Personal de una organización
Algunas redes sociales  Redes Sociales Profesionales  Redes Sociales Personales  Ofertas de Empleo
Automatizando la búsqueda  Se podría automatizar la búsqueda en distintas páginas web, redes sociales, comunidades online, etc (social media)  O utilizar lo que ya hay   http://namechk.com/  http://knowem.com/
Registros DNS REGISTRO UTILIDAD A Traduce nombre de dominio a dirección IP MX Servidores de correo NS Servidores DNS CNAME Alias de dominio SOA Servidor DNS primario para la zona SRV Indica los servicios que se ofrecen PTR Traduce una dirección IP en un dominio TXT Información textual SPF Sender Policy Framework
DNS Cache Snooping – I  Se puede realizar una petición DNS indicando al servidor que no sea recursiva  Si el servidor responde afirmativamente, dicho dominio ha sido solicitado recientemente  Utilidades:  Software utilizado: Actualizaciones  Chantaje / Descrédito: Dominios de conteido “adulto”  Búsqueda de redes sociales / laborales  Relaciones con ciertos dominios
DNS Cache Snooping – II root@bt:~# dig @SERVIDOR A DOMINIO +norecurse  Automatizándolo: DNSCacheSnooping.py
Cotilleando los dominios visitados (¿destapando trapos sucios?) AL LÍO!
Whois  Proporciona diversa información  Información de personal de la empresa  Correo electrónico  Teléfonos de contacto  Localización  Etcétera  Robtex -> http://www.robtex.com  Ripe -> http://www.db.ripe.net  Herramienta whois
 Descarga de la web actual (fingerprinting)  Teleport Pro  Wget –r  Descarga de webs anteriores  Archive.org  Descarga de ficheros y análisis de metadatos  Ficheros Ofimáticos (y ficheros incrustados)  Fotografías (EXIF Metadata)
Metadatos  Son los “datos de los datos”, incluyendo información relativa a los propios documentos, autor, modifcaciones, etc  Información obtenida:  Rutas a archivos – Servidores internos  Equipos internos  Impresoras  Versiones de software utilizadas  Servicios ofrecidos
Herramientas  Estado del arte en la búsqueda de metadatos  Libextractor  Librería para la extracción de metadatos de distintos formatos  Exiftool  Centrada en los metadatos de las imágenes, EXIF, XMP, IPTC, etc…  Metagoofil  Busca documentos en google y haciendo uso de Libextractor obtiene los metadatos.  Carece de interfaz y análisis de los metadatos, no extrae todos los metadatos deseados.
FOCA  Extracción de metadatos  Documentos ofimáticos  Imágenes  Búsqueda de información en Internet  Reconocimiento de tecnologías utilizadas
Foqueando dominios AL LÍO!
Realizando fingerprinting global con Anubis AL LÍO!
GOOGLE HACKING
Google Hacking  Búsqueda de información sensible y/o vulnerabilidades mediante los resultados cacheados por los buscadores  http://www.exploit-db.com/google-dorks/  Múltiples buscadores:  Google  Bing  Exalead  Shodan
Operadores de búsqueda Operador Descripción site: Restringir resultados a un único dominio o servidor inurl:/allinurl: Todos los términos deben aparecer en la URL intitle:/allintitle: Todos los términos deben aparecer en el título cache: Visualiza la caché de Google ext:/filetype: Busca ficheros de la extensión / tipo especificada info: Encontrar más información acerca de una página link: Encontrar páginas que enlazan al dominio especificado inanchor: Página enlazada por alguien utilizando el término especificado
Modificadores de búsqueda Operador Descripción - Operador de búsqueda para ocultar resultados ~ Sinónimos [#]..[#] Rango de números * Comodín para especificar algo dentro de otra búsqueda cuando se utilizan comillas + Resultados exactos OR Operador booleano | Igual que el anterior
Ejemplos “curiosos”  "vnc desktop" inurl:5800  inurl:indexFrame.shtml Axis  inurl:hp/device/this.LCDispatcher  “A.B.C*” (Dirección IP)
Google Hacking For People  inurl:ester.pent  inurl:ester1337  intitle:ester1337  inurl:user inurl:irongeek -site:irongeek.com  inurl:account "irongeek“  site:facebook.com inurl:group (ISSA | Information Systems Security Association)  site:linkedin.com inurl:company (NSA | National Security Agency)  Vilmente “robado” a Adrian Crenshaw (www.irongeek.com)
Google Hacking DB  Exploit DB Google Dorks http://www.exploit-db.com/google-dorks/  Old School http://www.hackersforcharity.org/ghdb/
Buscando todo tipo de información en Google AL LIO!
Ejemplos con Google  Busqueda de backups  Busqueda de CMS concreto  Búsqueda de subdominios  Directorios abiertos  Intitle:index of  Busqueda de paneles de admin  FileType  Site  InUrl  InTitle  Ext
Bing  Al igual que Google, tiene algunos modificadores de búsqueda  Principalmente, se utiliza el operador “ip:”  Permite obtener dominios en la misma dirección IP
Infraestructura de red con Shodan  Buscador de servicios  Permite encontrar multitud de hardware  Servidores Web  Centralitas VoIP  Electrónica de red  Sistemas SCADA  …  Maltego plugins
Usando Shodan para buscar información y automatizándolo AL LÍO!
 Introducción fingerprinting  Técnicas de Escaneo  ICMP Scanning  SYN/ACK, NULL, FIN, XMAS  Fingerprinting OS  Fingerprinting WebServer  Evasión
 El objetivo es el mismo que la técnica footprinting. Conseguir INFORMACIÓN.  Se consigue la información de manera indirecta, en base a las respuestas del sistema operativo.  Se requiere una interactuación directa con la víctima.  Entra dentro del proceso de auditoría de caja blanca y negra.
 Listado de puertos de un equipo  Lista de servicios que oferta  Productos y versiones  Configuraciones  Vulnerabilidades de seguridad en aplicaciones  Sistemas operativos  Topología de red  Etc.. Cualquier herramienta o técnica que ayude a recabar este tipo de información será considerada como de fingerprinting.
 Un puerto abierto no es malo  Analizar qué tipo de puertos hay abiertos (TCP, UDP)  TCP es un protocolo orientado a conexión  Conexiones fiables  Garantía de llegada y recepción de paquetes  http, smtp, ftp, etc..  UDP no es un protocolo orientado a conexión  No hay garantías de recepción  No exige fases de establecimiento y conexión  Streaming, Voz, Messenger, etc..
Escaneo “Connect” Puerto Abierto  Utiliza las llamadas al sistema para conectar, por lo que no requiere privilegios  Mayor probabilidad de que la conexión quede registrada Puerto Cerrado puesto que se completa
Escaneo “SYN” Puerto Abierto  Menor probabilidad de que la conexión quede registrada puesto que no llega a completarse, además de ser más rápido Puerto Cerrado  Requiere privilegios de administrador
Escaneo “ACK” Puerto No Filtrado  Proporciona mapeo de reglas de firewall  Sólo válido para firewalls “stateful” Puerto Filtrado
Escaneo „ftp-bounce‟ Puerto Abierto  Requiere privilegios para conectarse al FTP  Permite escanear un host remoto utilizando para ello el servidor FTP Puerto Cerrado
Escaneo “Idle” Análisis IPID Análisis IPID  Se basa en la predictibilidad del Spoofeo SYN incremento de IPID  Actualmente es difícil encontrar una pila TCP/IP vulnerable  La IP del atacante nunca queda registrada por el objetivo
Escaneo UDP Puerto Abierto Puerto Cerrado Puerto Filtrado/Abierto  Requiere privilegios de administrador  Suele tardar mucho más que un escaneo TCP  Límite de mensajes ICMP: Port Unreachable
Usando las opciones “generales” de Nmap Utilización de Zenmap AL LÍO!
Escaneo „ping‟ Host Encendido  Las tramas ICMP son comunes, por lo que tienen mayor probabilidad de pasar desapercibido  No proporciona gran información  No distingue entre host apagado e Host Apagado / Filtrado ICMP filtrado  Se puede realizar a nivel 2 – ARP  Se pueden utilizar también paquetes TCP con diversas “flags”
Nos proporciona http://sbdtools.googlecode.com/files/Nmap5%20cheatsheet%20esp%20v1.pdf
Análisis de código  Existe mucha información contenida en el propio código de cualquier aplicación.  Los comentarios de código de páginas web pueden ofrecer Ips internas, nombre de los desarrolladores, rutas de zonas internas o incluso contraseñas.  Esto mismo ocurre con aplicaciones en flash, java…
Jugando con el TTL  Su utilidad es evitar que un paquete entre en bucle  Campo de 8 bits de la cabecera del protocolo IP  Disminuido en uno por cada host antes de procesarlo  Si el TTL llega a 0 antes de alcanzar su destino se devuelve un datagrama ICMP con el código 11: Time Exceeded
Traceroute  Utiliza el TTL para conocer la distancia en saltos entre dos host  Proporciona información adicional sobre la latencia  En Windows se utilizan mensajes ICMP  En Linux se utilizan datagramas UDP
Traceroute AL LÍO!
 http://www.isaca.org/Template.cfm?Section=C ode_of_Ethics1  https://www.isc2.org/cgi/content.cgi?category =12
 Método para detectar un sistema operativo en base a la información ofrecida por el Stack TCP/IP de cada SO  Métodos activo – pasivo  Activo.- Respuestas de los paquetes enviados por el SO  Pasivo.- Observación de tramas  El descubrimiento es posible gracias a que cada SO implementa la pila de diferente manera  Cambiando la pila TCP/IP de Linux: http://his.sourceforge.net/proy_his/papers/nmap /nmap.es.html
 Piensa por ejemplo en una auditoría de servidores.  Encuentras un servicio alojado en un puerto determinado  Sabes qué aplicación puede estar usando ese puerto  Si supieses bajo qué SO trabaja, te ahorrarás trabajo
 El SO se puede actualizar:  Diferentes versiones de la pila  Bug crítico – Diferentes parches (Diferentes SO)  Hardening TCP/IP
 Modo activo  Uso de Telnet  Envío de cabeceras HTTP para obtener respuestas sobre el Banner del servidor
 Suelen ocultar banner de la aplicación o SO  Se pueden configurar para ello  El SO también se puede configurar
▫ Los ataques de DoS son hoy en día carne de cañón para un atacante. Causan perdidas económicas bastante significativas. Para aumentar (Esta técnica no nos resuelve el problema) la resistencia a estos ataques hay unas claves en el registro que debemos añadir o modificar.  HKLMSystemCurrentControlSetServicesTcpipP arameters ▫ Más información:  Q315669 “HOW TO: Harden The TCP/IP Stack in Windows 2000 Against Denial of Service”
EnableICMPRedirect DWORD 0 EnableSecurityFilters DWORD 1 SynAttackProtect DWORD 2 EnableDeadGWDetect DWORD 0 EnablePMTUDiscovery DWORD 0 KeepAliveTime DWORD 300.000 DisableIPSourceRouting DWORD 2 TcpMaxConnectResponse Retransmissions DWORD 3 NoNameReleaseOn Demand DWORD 1 PerformRouterDiscovery DWORD 0 TCPMaxPortsExhausted DWORD 5
 Nombre de valor: SynAttackProtect  Clave: TcpipParameters  Tipo del valor: REG_DWORD  Intervalo válido: 0,1  Valor predeterminado: 0  Este valor del Registro hace que el Protocolo de control de transporte (TCP) ajuste la retransmisión de SYN- ACKS. Cuando configura este valor, las respuestas de conexión superan el tiempo de espera antes durante un ataque SYN (un tipo de ataque por denegación de servicio).
 Para discernir si existe un ataque o no, el SO utiliza estas otras tres claves de registro:  TcpMaxPortsExhausted  TCPMaxHalfOpen  TCPMaxHalfOpenRetried
 Nombre de valor: EnableDeadGWDetect  Clave: TcpipParameters  Tipo del valor: REG_DWORD  Intervalo válido: 0, 1 (falso, verdadero)  Valor predeterminado: 1 (verdadero)  Cuando la detección de puertas de enlace inactivas está habilitada, TCP puede pedir al Protocolo Internet (IP) que cambie a una puerta de enlace de reserva si hay varias conexiones que tienen dificultades
 Nombre de valor: EnablePMTUDiscovery  Clave: TcpipParameters  Tipo del valor: REG_DWORD  Intervalo válido: 0, 1 (falso, verdadero)  Valor predeterminado: 1 (verdadero)  Microsoft recomienda configurar el valor EnablePMTUDiscovery como 0. Si lo hace, se utilizará una MTU de 576 bytes para todas las conexiones que no sean hosts en la subred local. Si no configura este valor como 0, un atacante podría forzar que el valor MTU fuera muy pequeño y sobrecargar la pila.
 Nombre de valor: KeepAliveTime  Clave: TcpipParameters  Tipo del valor: REG_DWORD (tiempo en milisegundos)  Intervalo válido: 1-0xFFFFFFFF  Valor predeterminado: 7.200.000 (dos horas)  Este valor controla la frecuencia con la que TCP intenta comprobar si una conexión inactiva sigue intacta enviando un paquete de mantenimiento de conexiones activas. Si el equipo remoto sigue siendo accesible, confirmará el paquete de mantenimiento de conexiones activas. La configuración recomendada para este valor es 300.000(5 minutos).
 Modo pasivo  Ven la información que se intercambia con el Host  Efectiva con Host que no vemos de forma directa (Firewalls)  Hay tipos de fingerprint que se basan en respuestas ICMP. Pero… Y si no hay respuesta ICMP?
Salida de un paquete específico de Linux:  TTL:64  Windows: 5840  TCP Options: Sets MSS, Timestamps, sackOK, wscale and 1 nop  Packet Length:60
Salida ObenBSD:  TCP Options: Usa las mismas opciones que Linux menos el indicativo nop, OpenBSD usa 5 nops  IP ID: Random. Se necesitaría más de un paquete para poder identificar con éxito  Total Packet Length: 64 Bytes. Indicador de clave
 P0f  Creada por Michael Zalewski  Nmap  Nessus
HTTP Firewall SQL request Database (cleartext or SSL) Web app DB Web app Web Web Client Server Web app DB Web app HTTP reply (HTML, Javascript, •Apache Plugins: Database VBscript, etc) •IIS •Perl connection: •Netscape •C/C++ •ADO, etc… •JSP, etc •ODBC, etc.
 Similar a la detección de SO  Enviar peticiones HTTP  Esperar información  Evaluar la información recibida
 Objetivo muy, muy atractivo  Muchos y muy fáciles de encontrar  Gran cantidad de vulnerabilidades  No todos los Servidores Web tienen todos los parches (Actualizaciones descentralizadas)
 Cómo es posible la identificación?  La implementación del HTTP RFC es diferente para cada Servidor Web  El RFC está “ahí”, pero cada uno lo implementa a su manera  Mismas preguntas !=Respuestas==Huella  Proceso automatizable
 Metodología empleada  Semántica.- Interpretación de las respuestas  Sintáctica.- Orden y contexto en los elementos devueltos  Léxica.- Palabras especiales, frases, puntuaciones, etc.. Estableciendo métricas en base a esta metodología, se hace posible la identificación
 Búsqueda Léxica  Ejemplo para el código de error 404: Apache usa “Not Found” Microsoft IIS/5.0 usa “Object Not Found”.  Diferencia de palabras  Content-Length  Content-length  Mirar campo Server:
 Búsqueda Sintáctica  Buscar variaciones en campos  Ejemplo con campo Date  Servidores Apache: Anterior al campo Server  Servidores IIS.- Después del campo Server
 Búsqueda Semántica  Nos basamos en la interpretación de un Servidor Web a una petición específica  Ejemplo sin peticiones  Mandar palabra “Hola” sin ningún verbo  Apache.- No manda cabeceras, Invalid URI, etc…  IIS.- Manda un tipo de error 400 (Bad Request)  Se pueden cambiar las peticiones para evaluar las respuestas  “GET”  "GET / HTTP/999.99”  "GET / HTTP/9.Q“  "HEAD /////////// HTTP/1.0"
HPP Y HPC  Métodos para la evasión de IDS/WAF  También útiles para realizar finguerprinting de servidores WEB debido a la diferente respuesta de los servicios en función de su origen y versión.  www.example.com/?id=3&id=5  www.example.com/?id=%003
HTTP PARAMETER POLUTION
HTTP PARAMETER CONTAMINATION

Recommandé

UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 
Banking security threats_abp_2014
Banking security threats_abp_2014Banking security threats_abp_2014
Banking security threats_abp_2014Jose Luis Torrente
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosNenita Joys
 
Apt malware
Apt malwareApt malware
Apt malwareJose Molina
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios Rafael Seg
 
Plan de estudios
Plan de estudiosPlan de estudios
Plan de estudiosRafael Seg
 

Recommandé

UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 
Banking security threats_abp_2014
Banking security threats_abp_2014Banking security threats_abp_2014
Banking security threats_abp_2014Jose Luis Torrente
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosNenita Joys
 
Apt malware
Apt malwareApt malware
Apt malwareJose Molina
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios Rafael Seg
 
Plan de estudios
Plan de estudiosPlan de estudios
Plan de estudiosRafael Seg
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)krush kr
 
Expo hacking etico
Expo hacking eticoExpo hacking etico
Expo hacking eticoVicente Lingan
 
Pc zombie
Pc zombiePc zombie
Pc zombieAle Matheu
 
Pc zombie
Pc zombiePc zombie
Pc zombieAle Matheu
 
Investigacion de seguridad
Investigacion de seguridadInvestigacion de seguridad
Investigacion de seguridadJulio Cesar
 
Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Antonio Leonel Rodriguez b.
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015n3xasec
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
REVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasREVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasSophiaLopez30
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Revista de informatica
Revista de informaticaRevista de informatica
Revista de informaticaGleydis1
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaIngeniería Nica
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidasUniversidad Tecnológica de México - UNITEC
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informaticaEmanuelcru
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Jack Daniel Cáceres Meza
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscioneAlex Pin
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxJeryBrand
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 

Contenu connexe

Tendances

Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)krush kr
 
Investigacion de seguridad
Investigacion de seguridadInvestigacion de seguridad
Investigacion de seguridadJulio Cesar
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015n3xasec
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
REVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasREVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasSophiaLopez30
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...mauromaulinir
 
Revista de informatica
Revista de informaticaRevista de informatica
Revista de informaticaGleydis1
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informaticaEmanuelcru
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Jack Daniel Cáceres Meza
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscioneAlex Pin
 

Tendances (19)

Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)
 
Expo hacking etico
Expo hacking eticoExpo hacking etico
Expo hacking etico
 
Pc zombie
Pc zombiePc zombie
Pc zombie
 
Pc zombie
Pc zombiePc zombie
Pc zombie
 
Investigacion de seguridad
Investigacion de seguridadInvestigacion de seguridad
Investigacion de seguridad
 
Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataques
 
REVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasREVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las Computadoras
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
Revista de informatica
Revista de informaticaRevista de informatica
Revista de informatica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidas
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informatica
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team Operations
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscione
 

Similaire à Información pública organización

Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxJeryBrand
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 
Penetration testing
Penetration testingPenetration testing
Penetration testinggh02
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere Seguridad
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Jose Molina
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoKatherine Reinoso
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Intrusion Prevention Systems
Intrusion Prevention SystemsIntrusion Prevention Systems
Intrusion Prevention SystemsConferencias FIST
 
Unidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infUnidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infivannesberto
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Haruckar
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2danny1712
 

Similaire à Información pública organización (20)

Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptx
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas Elastix
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadar
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevo
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Intrusion Prevention Systems
Intrusion Prevention SystemsIntrusion Prevention Systems
Intrusion Prevention Systems
 
Unidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infUnidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero inf
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 

Información pública organización

  • 2. El valor de la información - I  La finalidad del atacante ha variado con el tiempo  No se busca fama  Se busca «hacer dinero»  El malware se diseña para ser tan silencioso como se pueda
  • 3. El valor de la información - II  Venderla en el mercado  Pasarla a la competencia.  Anticipación en el mercado  Análisis de estrategias  Robo de clientes  Desprestigio  Hacer extorsión  Almacenarla para uso futuro
  • 4. El valor de la información - III Product Price Credit card details From $2-$90 Physical credit cards From $190 + cost of details Card cloners From $200-$1000 Fake ATMs Up to $35,000 Bank credentials From $80 to 700$ (with guaranteed balance) Bank transfers and cashing checks From 10 to 40% of the total $10 for simple account without guaranteed balance Online stores and pay platforms From $80-$1500 with guaranteed balance Design and publishing of fake online stores According to the project (not specified) Purchase and forwarding of products From $30-$300 (depending on the project) Spam rental From $15 SMTP rental From $20 to $40 for three months VPN rental $20 for three months
  • 6. D(D)oS  Actualmente es la punta de lanza de los ataques cuya finalidad es únicamente causar daños  Generalmente, se utilizan equipos comprometidos (Zombies)  Muy difícil de detener si se realiza correctamente  Algunos métodos:  SYN / UDP Flood  DNS Amplification Attack  Redes P2P  Smurf / Echo + Chargen (Old school way)
  • 7. Conceptos de auditoría informática  Objetivos Footprinting  Metodología de búsqueda  Herramientas  Objetivos Fingerprinting  Metodología de búsqueda  Herramientas
  • 8. Bug  Un error de software o computer bug, que significa bicho de computadora, es el resultado de un fallo de programación introducido en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870. Fuente: Wikipedia en Español
  • 9. Exploit  Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.  Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:  Vulnerabilidades de desbordamiento de pila o buffer overflow.  Vulnerabilidades de condición de carrera (Race condition).  Vulnerabilidades de error de formato de cadena (format string bugs).  Vulnerabilidades de Cross Site Scripting (XSS).  Vulnerabilidades de inyección SQL (SQL injection). Fuente: Wikipedia en Español
  • 20. Fortificación  Proceso a priori  Automatizable  Dependiente del Rol (DNS, WEB, WIRELESS)  Aplicación de tres principios:  Mínimo Punto de Exposición  Mínimo Privilegio Posible  Defensa en Profundidad
  • 21. Defensa en Profundidad Datos ACL(Acces control List), cifrado, VLAN Aplicación Fortificación de aplicación, antivirus Servidor Firewall, Antimalware, HIDS,… Red Interna Segmentación, IPSec, IDSs Perímetro Firewalls, VPN, NAP, 802.1x Segurdiad Física Guardas, cerraduras, Sistemas de vigilancia Politicas, Procedimientos & Concienciación Formaición a usuarios
  • 22. Test de Intrusión (Penetration Test)  El objetivo es encontrar fallos de seguridad en un sistema  Se busca conocer el “riesgo” en que se encuentra un sistema  No es una auditoría completa  No se buscan todos los fallos  Se busca detectar tendencias
  • 23. Test de Intrusión (Penetration Test)  Aspectos importantes antes de empezar  Ámbito de ejecución  Franjas de tiempo  Objetivos/Activos
  • 24. Auditoría Seguridad  Es completa  El objetivo es generar un status de seguridad  Incluye Tests de penetración y Recomendaciones  Hay que definir el punto de partida  Auditoría de Caja Blanca  Auditoría de Caja Negra  Auditoría de Caja gris
  • 25. Auditoría caja blanca  Los auditores cuentan  Pros: con información sobre  Minucioso los objetivos  Mejores recomendaciones  Código fuente  Mayor alcance  Configuración  Documentación  Contras:  Credenciales  Requiere más esfuerzo por ambas partes  No se simula un ataque de verdad
  • 26. Auditoría caja negra  Los auditores simulan el  Pros: procedimiento de un  Simula un ataque de verdad atacante  Mínimo esfuerzo del cliente  No se cuenta con  Contras: información previa más  Mayor esfuerzo de los que la disponible auditores públicamente  No se puede asegurar el 100%  Recomendaciones generales
  • 27. Auditoría caja gris  Los auditores simulan el  Pros: procedimiento de un  Mayor rentabilidad atacante  Estimación realista de las amenazas  Se cuenta con información previa al  Contras: estilo de las auditorías de  No se simula un ataque caja blanca real
  • 28. Seguridad  La seguridad depende de 3 factores:  Procesos:  Procedimientos y operaciones en nuestros entornos  Personas  Poca formación  Tecnología:  Estándares (TCP/IP)  Desarrollos personales  Productos de los fabricantes (IIS,Apache)  ¿Qué se audita?
  • 29. Auditorías de Seguridad de Código  Se realiza al código fuente de una aplicación  Caja Negra: Fuzzers  Caja Blanca: Analisis estático de Código  FxCop  CodeAnalysis  http://en.wikipedia.org/wiki/List_of_tools_for_static_co de_analysis  OWASP: https://www.owasp.org/index.php/Source_Code_Analys is_Tools
  • 30. Objetivo: Recoger toda la información pública del objetivo de la auditoría desde internet  Datos de Servidores  Datos de Clientes  Datos personas  Proveedores  Tecnologías utilizadas  Servicios ofrecidos  …
  • 31. “If I had eight hours to chop down a tree, I‟d spend the first six of them sharpening my axe.” -Abraham Lincoln
  • 32. Fases de un ataque 1 Reconocimiento 5 2 Limpiar huellas Escaneo 4 3 Mantener acceso Intrusión
  • 33. Footprinting  La fase de footprinting suele ser la más importante en un proceso de intrusión  Consiste en la búsqueda y obtención de la máxima información pública posible acerca del objetivo  Datos de servidores  Datos de clientes  Datos personales  Proveedores  Tecnologías utilizadas  Servicios ofrecidos  Contactos (Personas - Teléfonos)  …
  • 34. Conoce a tu enemigo  IP y nombre de dominio  Whois  Netcraft (vida de un dominio)  Ubicación (Medio fingerprinting)  Trace Route  Visual Route  Correos electrónicos  Cabeceras
  • 35. Buscando en el baúl de los recuerdos  Empresas con algún tipo de relación  Reconocimiento pasivo  Grupos de noticias, listas de correo, foros, blogs, etc  Ofertas de trabajo IT  Contenido cacheado
  • 36. “Ayudando”  Nombre de usuario  Avatar (Y foto)  Hardware y configuración
  • 37. “Ayudando un poquito más”  Nombre Completo  Lugar de residencia  Página web personal
  • 38. Siguiendo la pista a una persona en Internet AL LÍO!
  • 39. Redes sociales  Útil para preparar ataques de ingeniería social  Gustos personales  Relaciones humanas  Personal de una organización
  • 40. Algunas redes sociales  Redes Sociales Profesionales  Redes Sociales Personales  Ofertas de Empleo
  • 41.
  • 42. Automatizando la búsqueda  Se podría automatizar la búsqueda en distintas páginas web, redes sociales, comunidades online, etc (social media)  O utilizar lo que ya hay   http://namechk.com/  http://knowem.com/
  • 43.
  • 44. Registros DNS REGISTRO UTILIDAD A Traduce nombre de dominio a dirección IP MX Servidores de correo NS Servidores DNS CNAME Alias de dominio SOA Servidor DNS primario para la zona SRV Indica los servicios que se ofrecen PTR Traduce una dirección IP en un dominio TXT Información textual SPF Sender Policy Framework
  • 45. DNS Cache Snooping – I  Se puede realizar una petición DNS indicando al servidor que no sea recursiva  Si el servidor responde afirmativamente, dicho dominio ha sido solicitado recientemente  Utilidades:  Software utilizado: Actualizaciones  Chantaje / Descrédito: Dominios de conteido “adulto”  Búsqueda de redes sociales / laborales  Relaciones con ciertos dominios
  • 46. DNS Cache Snooping – II root@bt:~# dig @SERVIDOR A DOMINIO +norecurse  Automatizándolo: DNSCacheSnooping.py
  • 47. Cotilleando los dominios visitados (¿destapando trapos sucios?) AL LÍO!
  • 48. Whois  Proporciona diversa información  Información de personal de la empresa  Correo electrónico  Teléfonos de contacto  Localización  Etcétera  Robtex -> http://www.robtex.com  Ripe -> http://www.db.ripe.net  Herramienta whois
  • 49. Descarga de la web actual (fingerprinting)  Teleport Pro  Wget –r  Descarga de webs anteriores  Archive.org  Descarga de ficheros y análisis de metadatos  Ficheros Ofimáticos (y ficheros incrustados)  Fotografías (EXIF Metadata)
  • 50.
  • 51.
  • 52. Metadatos  Son los “datos de los datos”, incluyendo información relativa a los propios documentos, autor, modifcaciones, etc  Información obtenida:  Rutas a archivos – Servidores internos  Equipos internos  Impresoras  Versiones de software utilizadas  Servicios ofrecidos
  • 53. Herramientas  Estado del arte en la búsqueda de metadatos  Libextractor  Librería para la extracción de metadatos de distintos formatos  Exiftool  Centrada en los metadatos de las imágenes, EXIF, XMP, IPTC, etc…  Metagoofil  Busca documentos en google y haciendo uso de Libextractor obtiene los metadatos.  Carece de interfaz y análisis de los metadatos, no extrae todos los metadatos deseados.
  • 54. FOCA  Extracción de metadatos  Documentos ofimáticos  Imágenes  Búsqueda de información en Internet  Reconocimiento de tecnologías utilizadas
  • 56. Realizando fingerprinting global con Anubis AL LÍO!
  • 58. Google Hacking  Búsqueda de información sensible y/o vulnerabilidades mediante los resultados cacheados por los buscadores  http://www.exploit-db.com/google-dorks/  Múltiples buscadores:  Google  Bing  Exalead  Shodan
  • 59. Operadores de búsqueda Operador Descripción site: Restringir resultados a un único dominio o servidor inurl:/allinurl: Todos los términos deben aparecer en la URL intitle:/allintitle: Todos los términos deben aparecer en el título cache: Visualiza la caché de Google ext:/filetype: Busca ficheros de la extensión / tipo especificada info: Encontrar más información acerca de una página link: Encontrar páginas que enlazan al dominio especificado inanchor: Página enlazada por alguien utilizando el término especificado
  • 60. Modificadores de búsqueda Operador Descripción - Operador de búsqueda para ocultar resultados ~ Sinónimos [#]..[#] Rango de números * Comodín para especificar algo dentro de otra búsqueda cuando se utilizan comillas + Resultados exactos OR Operador booleano | Igual que el anterior
  • 61. Ejemplos “curiosos”  "vnc desktop" inurl:5800  inurl:indexFrame.shtml Axis  inurl:hp/device/this.LCDispatcher  “A.B.C*” (Dirección IP)
  • 62. Google Hacking For People  inurl:ester.pent  inurl:ester1337  intitle:ester1337  inurl:user inurl:irongeek -site:irongeek.com  inurl:account "irongeek“  site:facebook.com inurl:group (ISSA | Information Systems Security Association)  site:linkedin.com inurl:company (NSA | National Security Agency)  Vilmente “robado” a Adrian Crenshaw (www.irongeek.com)
  • 63. Google Hacking DB  Exploit DB Google Dorks http://www.exploit-db.com/google-dorks/  Old School http://www.hackersforcharity.org/ghdb/
  • 64. Buscando todo tipo de información en Google AL LIO!
  • 65. Ejemplos con Google  Busqueda de backups  Busqueda de CMS concreto  Búsqueda de subdominios  Directorios abiertos  Intitle:index of  Busqueda de paneles de admin  FileType  Site  InUrl  InTitle  Ext
  • 66. Bing  Al igual que Google, tiene algunos modificadores de búsqueda  Principalmente, se utiliza el operador “ip:”  Permite obtener dominios en la misma dirección IP
  • 67. Infraestructura de red con Shodan  Buscador de servicios  Permite encontrar multitud de hardware  Servidores Web  Centralitas VoIP  Electrónica de red  Sistemas SCADA  …  Maltego plugins
  • 68. Usando Shodan para buscar información y automatizándolo AL LÍO!
  • 69.
  • 70. Introducción fingerprinting  Técnicas de Escaneo  ICMP Scanning  SYN/ACK, NULL, FIN, XMAS  Fingerprinting OS  Fingerprinting WebServer  Evasión
  • 71. El objetivo es el mismo que la técnica footprinting. Conseguir INFORMACIÓN.  Se consigue la información de manera indirecta, en base a las respuestas del sistema operativo.  Se requiere una interactuación directa con la víctima.  Entra dentro del proceso de auditoría de caja blanca y negra.
  • 72. Listado de puertos de un equipo  Lista de servicios que oferta  Productos y versiones  Configuraciones  Vulnerabilidades de seguridad en aplicaciones  Sistemas operativos  Topología de red  Etc.. Cualquier herramienta o técnica que ayude a recabar este tipo de información será considerada como de fingerprinting.
  • 73. Un puerto abierto no es malo  Analizar qué tipo de puertos hay abiertos (TCP, UDP)  TCP es un protocolo orientado a conexión  Conexiones fiables  Garantía de llegada y recepción de paquetes  http, smtp, ftp, etc..  UDP no es un protocolo orientado a conexión  No hay garantías de recepción  No exige fases de establecimiento y conexión  Streaming, Voz, Messenger, etc..
  • 74. Escaneo “Connect” Puerto Abierto  Utiliza las llamadas al sistema para conectar, por lo que no requiere privilegios  Mayor probabilidad de que la conexión quede registrada Puerto Cerrado puesto que se completa
  • 75. Escaneo “SYN” Puerto Abierto  Menor probabilidad de que la conexión quede registrada puesto que no llega a completarse, además de ser más rápido Puerto Cerrado  Requiere privilegios de administrador
  • 76. Escaneo “ACK” Puerto No Filtrado  Proporciona mapeo de reglas de firewall  Sólo válido para firewalls “stateful” Puerto Filtrado
  • 77. Escaneo „ftp-bounce‟ Puerto Abierto  Requiere privilegios para conectarse al FTP  Permite escanear un host remoto utilizando para ello el servidor FTP Puerto Cerrado
  • 78. Escaneo “Idle” Análisis IPID Análisis IPID  Se basa en la predictibilidad del Spoofeo SYN incremento de IPID  Actualmente es difícil encontrar una pila TCP/IP vulnerable  La IP del atacante nunca queda registrada por el objetivo
  • 79. Escaneo UDP Puerto Abierto Puerto Cerrado Puerto Filtrado/Abierto  Requiere privilegios de administrador  Suele tardar mucho más que un escaneo TCP  Límite de mensajes ICMP: Port Unreachable
  • 80. Usando las opciones “generales” de Nmap Utilización de Zenmap AL LÍO!
  • 81. Escaneo „ping‟ Host Encendido  Las tramas ICMP son comunes, por lo que tienen mayor probabilidad de pasar desapercibido  No proporciona gran información  No distingue entre host apagado e Host Apagado / Filtrado ICMP filtrado  Se puede realizar a nivel 2 – ARP  Se pueden utilizar también paquetes TCP con diversas “flags”
  • 83. Análisis de código  Existe mucha información contenida en el propio código de cualquier aplicación.  Los comentarios de código de páginas web pueden ofrecer Ips internas, nombre de los desarrolladores, rutas de zonas internas o incluso contraseñas.  Esto mismo ocurre con aplicaciones en flash, java…
  • 84. Jugando con el TTL  Su utilidad es evitar que un paquete entre en bucle  Campo de 8 bits de la cabecera del protocolo IP  Disminuido en uno por cada host antes de procesarlo  Si el TTL llega a 0 antes de alcanzar su destino se devuelve un datagrama ICMP con el código 11: Time Exceeded
  • 85. Traceroute  Utiliza el TTL para conocer la distancia en saltos entre dos host  Proporciona información adicional sobre la latencia  En Windows se utilizan mensajes ICMP  En Linux se utilizan datagramas UDP
  • 86.
  • 88.
  • 89.
  • 90.
  • 91.
  • 92. http://www.isaca.org/Template.cfm?Section=C ode_of_Ethics1  https://www.isc2.org/cgi/content.cgi?category =12
  • 93. Método para detectar un sistema operativo en base a la información ofrecida por el Stack TCP/IP de cada SO  Métodos activo – pasivo  Activo.- Respuestas de los paquetes enviados por el SO  Pasivo.- Observación de tramas  El descubrimiento es posible gracias a que cada SO implementa la pila de diferente manera  Cambiando la pila TCP/IP de Linux: http://his.sourceforge.net/proy_his/papers/nmap /nmap.es.html
  • 94. Piensa por ejemplo en una auditoría de servidores.  Encuentras un servicio alojado en un puerto determinado  Sabes qué aplicación puede estar usando ese puerto  Si supieses bajo qué SO trabaja, te ahorrarás trabajo
  • 95. El SO se puede actualizar:  Diferentes versiones de la pila  Bug crítico – Diferentes parches (Diferentes SO)  Hardening TCP/IP
  • 96. Modo activo  Uso de Telnet  Envío de cabeceras HTTP para obtener respuestas sobre el Banner del servidor
  • 97.
  • 98. Suelen ocultar banner de la aplicación o SO  Se pueden configurar para ello  El SO también se puede configurar
  • 99. Los ataques de DoS son hoy en día carne de cañón para un atacante. Causan perdidas económicas bastante significativas. Para aumentar (Esta técnica no nos resuelve el problema) la resistencia a estos ataques hay unas claves en el registro que debemos añadir o modificar.  HKLMSystemCurrentControlSetServicesTcpipP arameters ▫ Más información:  Q315669 “HOW TO: Harden The TCP/IP Stack in Windows 2000 Against Denial of Service”
  • 100. EnableICMPRedirect DWORD 0 EnableSecurityFilters DWORD 1 SynAttackProtect DWORD 2 EnableDeadGWDetect DWORD 0 EnablePMTUDiscovery DWORD 0 KeepAliveTime DWORD 300.000 DisableIPSourceRouting DWORD 2 TcpMaxConnectResponse Retransmissions DWORD 3 NoNameReleaseOn Demand DWORD 1 PerformRouterDiscovery DWORD 0 TCPMaxPortsExhausted DWORD 5
  • 101. Nombre de valor: SynAttackProtect  Clave: TcpipParameters  Tipo del valor: REG_DWORD  Intervalo válido: 0,1  Valor predeterminado: 0  Este valor del Registro hace que el Protocolo de control de transporte (TCP) ajuste la retransmisión de SYN- ACKS. Cuando configura este valor, las respuestas de conexión superan el tiempo de espera antes durante un ataque SYN (un tipo de ataque por denegación de servicio).
  • 102. Para discernir si existe un ataque o no, el SO utiliza estas otras tres claves de registro:  TcpMaxPortsExhausted  TCPMaxHalfOpen  TCPMaxHalfOpenRetried
  • 103. Nombre de valor: EnableDeadGWDetect  Clave: TcpipParameters  Tipo del valor: REG_DWORD  Intervalo válido: 0, 1 (falso, verdadero)  Valor predeterminado: 1 (verdadero)  Cuando la detección de puertas de enlace inactivas está habilitada, TCP puede pedir al Protocolo Internet (IP) que cambie a una puerta de enlace de reserva si hay varias conexiones que tienen dificultades
  • 104. Nombre de valor: EnablePMTUDiscovery  Clave: TcpipParameters  Tipo del valor: REG_DWORD  Intervalo válido: 0, 1 (falso, verdadero)  Valor predeterminado: 1 (verdadero)  Microsoft recomienda configurar el valor EnablePMTUDiscovery como 0. Si lo hace, se utilizará una MTU de 576 bytes para todas las conexiones que no sean hosts en la subred local. Si no configura este valor como 0, un atacante podría forzar que el valor MTU fuera muy pequeño y sobrecargar la pila.
  • 105. Nombre de valor: KeepAliveTime  Clave: TcpipParameters  Tipo del valor: REG_DWORD (tiempo en milisegundos)  Intervalo válido: 1-0xFFFFFFFF  Valor predeterminado: 7.200.000 (dos horas)  Este valor controla la frecuencia con la que TCP intenta comprobar si una conexión inactiva sigue intacta enviando un paquete de mantenimiento de conexiones activas. Si el equipo remoto sigue siendo accesible, confirmará el paquete de mantenimiento de conexiones activas. La configuración recomendada para este valor es 300.000(5 minutos).
  • 106. Modo pasivo  Ven la información que se intercambia con el Host  Efectiva con Host que no vemos de forma directa (Firewalls)  Hay tipos de fingerprint que se basan en respuestas ICMP. Pero… Y si no hay respuesta ICMP?
  • 107. Salida de un paquete específico de Linux:  TTL:64  Windows: 5840  TCP Options: Sets MSS, Timestamps, sackOK, wscale and 1 nop  Packet Length:60
  • 108. Salida ObenBSD:  TCP Options: Usa las mismas opciones que Linux menos el indicativo nop, OpenBSD usa 5 nops  IP ID: Random. Se necesitaría más de un paquete para poder identificar con éxito  Total Packet Length: 64 Bytes. Indicador de clave
  • 109. P0f  Creada por Michael Zalewski  Nmap  Nessus
  • 110. HTTP Firewall SQL request Database (cleartext or SSL) Web app DB Web app Web Web Client Server Web app DB Web app HTTP reply (HTML, Javascript, •Apache Plugins: Database VBscript, etc) •IIS •Perl connection: •Netscape •C/C++ •ADO, etc… •JSP, etc •ODBC, etc.
  • 111. Similar a la detección de SO  Enviar peticiones HTTP  Esperar información  Evaluar la información recibida
  • 112. Objetivo muy, muy atractivo  Muchos y muy fáciles de encontrar  Gran cantidad de vulnerabilidades  No todos los Servidores Web tienen todos los parches (Actualizaciones descentralizadas)
  • 113. Cómo es posible la identificación?  La implementación del HTTP RFC es diferente para cada Servidor Web  El RFC está “ahí”, pero cada uno lo implementa a su manera  Mismas preguntas !=Respuestas==Huella  Proceso automatizable
  • 114. Metodología empleada  Semántica.- Interpretación de las respuestas  Sintáctica.- Orden y contexto en los elementos devueltos  Léxica.- Palabras especiales, frases, puntuaciones, etc.. Estableciendo métricas en base a esta metodología, se hace posible la identificación
  • 115. Búsqueda Léxica  Ejemplo para el código de error 404: Apache usa “Not Found” Microsoft IIS/5.0 usa “Object Not Found”.  Diferencia de palabras  Content-Length  Content-length  Mirar campo Server:
  • 116. Búsqueda Sintáctica  Buscar variaciones en campos  Ejemplo con campo Date  Servidores Apache: Anterior al campo Server  Servidores IIS.- Después del campo Server
  • 117. Búsqueda Semántica  Nos basamos en la interpretación de un Servidor Web a una petición específica  Ejemplo sin peticiones  Mandar palabra “Hola” sin ningún verbo  Apache.- No manda cabeceras, Invalid URI, etc…  IIS.- Manda un tipo de error 400 (Bad Request)  Se pueden cambiar las peticiones para evaluar las respuestas  “GET”  "GET / HTTP/999.99”  "GET / HTTP/9.Q“  "HEAD /////////// HTTP/1.0"
  • 118. HPP Y HPC  Métodos para la evasión de IDS/WAF  También útiles para realizar finguerprinting de servidores WEB debido a la diferente respuesta de los servicios en función de su origen y versión.  www.example.com/?id=3&id=5  www.example.com/?id=%003

Notes de l'éditeur

  1. Last few based on Tom Eston’s notes
  2. Demo Time!!!