SlideShare une entreprise Scribd logo

OPSEC - Amanece que no es poco

Télécharger en tant que PPTX, PDF
David Barroso
David Barroso

OPSEC es importante para todos nosotros. Presentación en NavajaNegra - Conectacon en octubre de 2015

Technologie
1  sur  65
OPSEC Amanece que no es poco David Barroso @lostinsecurity
OPSEC El proceso para evitar que potenciales adversarios obtengan información sobre capacidades o intenciones al identificar, controlar y proteger información que da esa evidencia.
¿Cómo me afecta? Investigamos en temas interesantes Creamos exploits Cuidamos de la seguridad de empresas y gobiernos Colaboramos con FyCSE Periodistas Terreno ‘no amigo’ Privacidad. ¡Son mis asuntos!
Threat modeling Qué queremos proteger (assets) Contra quién queremos protegerlo (adversary) Qué probabilidades hay de que tengamos que protegerlo Cómo de malas son las consecuencias si fallamos Cuánto esfuerzo quiero dedicar para protegerlo
¿Quién es mi adversario? USA Otra nación Criminales organizados Lone-wolfs Empleados Curiosos
Datos:  Tenemos hora y lugar  Buscamos móviles en 2-3 manzanas en +- 2 horas  18 personas con 30 móviles
Fuente: Matthew Cole – OPSEC Failures for Spies
Fuente: Matthew Cole – OPSEC Failures for Spies
Fuente: Matthew Cole – OPSEC Failures for Spies
CIA - Líbano Beirut: 2 dobles agentes de Hezbollah fingen trabajar para la CIA Beirut Pizza Hut Teléfonos que sólo llaman a ciertos teléfonos y que no son ‘móviles’
Silkroad Ross Ulbricht aka ‘Dread Pirate Roberts’ Usaba su gmail personal en varios foros, con el nombre ‘Altoid’ Publicó ofertas de trabajo para hacer silkroad y anunció silkroad420.wordpress.com Publicó en StackOverflow código PHP que usaba con su nombre real, que luego cambió a frosty@frosty.com. Una clave SSH en SilkRoad usaba frosty@frosty.com Su cuenta de Google+ tenía material relacionado
Sabu (Lulzsec) Usaba IRC siempre para comunicarse, y siempre con TOR. Pero una vez se conectó sin TOR. Usaba tarjetas robadas para comprar piezas de coches y las mandaba a su casa. Lulzsec: usaban sus nombre reales, se conectaban desde sus casas, compartian información etc.
Duqu y The Equation Group
OPSEC frustates the adversary https://www.youtube.com/watch?v=sWu_yIA3nxA
Las reglas de OPSEC por The Grugq No reveles detalles de una operación No reveles planes No confíes en nadie Separa negocios de placer No la cagues Sé paranoico STFU – Cállate Necesidad de saber Nunca dejes que alguien te pueda extorsionar
Más Reglas COMPARTIMENTALIZACIÓN Escóndete en la red: Hidden services, Tor, etc. Cifra todo. Air gap No te fíes de soluciones de cifrado comerciales Mejor cifrado público (TLS vs Bitlocker) . Ejemplo: LUKS, Veracrypt
Recomendaciones Qubes 3.0 (01/10/2015)
Correo electrónico No uses correo electrónico Cuidado con los metadatos E2E encryption: hay que matar a PGP si es posible, sino, usar 4096 bits Alternativa: opmsg+mutt (PFS - https://github.com/stealth/opmsg) Cuentas de usar y tirar Viejo truco de los borradores
Mensajería No uses mensajería instánea Síncrona: OTR – cuidado con libpurple Asíncrona y anónima: Pond https://pond.imperialviolet.org Móvil: Signal / TextSecure. Incluso Threema.
Comunicaciones Privacidad != Anonimato VPN + Tor (ojo con los nodos de salida) Portal https://github.com/grugq/portal (OpenWRT + Tor) ICMP / DNS Tunneling
PGP / GnuPG
Viajes Ordenador y teléfono de viaje Mínima información necesaria + cifrado Línea local (burner SIM) Siempre contigo (EvilMaid, ThunderStrike, etc.) Dispositivos idealmente ‘disposables’
Redes sociales Dirección de correo única Nombre único No usar las mismas fotografías o imagenes Cuidado con las ‘pestañas’ en los pantallazos, o el código hexadecimal Borrar historial (modo incógnito en Chrome y cerrar tabs) STFU Contraseñas robustas, cuidado con el 2nd factor COMPARTIMENTALIZACION
The most OPSEC man https://www.youtube.com/watch?v=przQ1ih5FGg
Más información Linux Workstation Security checklist https://github.com/lfit/itpol/blob/master/linux-workstation- security.md OSX Yosemite Security and Privacy Guide https://github.com/drduh/OS-X-Yosemite-Security-and- Privacy-Guide Privacy & Security Conscious Browsing https://gist.github.com/atcuno/3425484ac5cce5298932 OPSEC for hackers http://es.slideshare.net/grugq/opsec- for-hackers
Más información Masquerade: How a helpful man-in-the-middle can help you evade monitoring http://www.portalmasq.com/ COMSEC: Beyond encryption https://grugq.github.io/presentations/COMSEC%20beyond%20e ncryption.pdf Hacker OPSEC http://grugq.github.io/ OPSEC for security researchers https://securelist.com/blog/research/66911/opsec-for-security- researchers/ Social Media Self – Defense http://blog.totallynotmalware.net/?p=15
¿Preguntas? “Never write if you can speak, never speak if you can nod, never nod if you can blink” Martin Lomasney (1859-1933) David Barroso @lostinsecurity

Recommandé

Deep web vanessa y sofia
Deep web vanessa y sofiaDeep web vanessa y sofia
Deep web vanessa y sofiamelgie bueno mendoza
 
Medidas de seguridad contra amenazas informaticas.
Medidas de seguridad contra amenazas informaticas.Medidas de seguridad contra amenazas informaticas.
Medidas de seguridad contra amenazas informaticas.AlejandroHuGarres
 
Deep web
Deep webDeep web
Deep webFernando Benavides
 
Act5
Act5Act5
Act5juajuani
 
Deep Web
Deep WebDeep Web
Deep WebAriadna Alvarado
 
Deep web
Deep webDeep web
Deep webAriadna Alvarado
 
S2 hack-robtex
S2 hack-robtexS2 hack-robtex
S2 hack-robtexLuis Fernando Aguas Bucheli
 
S2-Hack-Robtex
S2-Hack-RobtexS2-Hack-Robtex
S2-Hack-RobtexLuis Fernando Aguas Bucheli
 

Recommandé

Deep web vanessa y sofia
Deep web vanessa y sofiaDeep web vanessa y sofia
Deep web vanessa y sofiamelgie bueno mendoza
 
Medidas de seguridad contra amenazas informaticas.
Medidas de seguridad contra amenazas informaticas.Medidas de seguridad contra amenazas informaticas.
Medidas de seguridad contra amenazas informaticas.AlejandroHuGarres
 
Deep web
Deep webDeep web
Deep webFernando Benavides
 
Act5
Act5Act5
Act5juajuani
 
Deep Web
Deep WebDeep Web
Deep WebAriadna Alvarado
 
Deep web
Deep webDeep web
Deep webAriadna Alvarado
 
S2 hack-robtex
S2 hack-robtexS2 hack-robtex
S2 hack-robtexLuis Fernando Aguas Bucheli
 
S2-Hack-Robtex
S2-Hack-RobtexS2-Hack-Robtex
S2-Hack-RobtexLuis Fernando Aguas Bucheli
 
Breve descripción de TOR: por la privacidad, la seguridad y contra la censura
Breve descripción de TOR: por la privacidad, la seguridad y contra la censuraBreve descripción de TOR: por la privacidad, la seguridad y contra la censura
Breve descripción de TOR: por la privacidad, la seguridad y contra la censuraJordi Garcia Castillon
 
Definiciones diana
Definiciones dianaDefiniciones diana
Definiciones dianaDianavillanueva05
 
Ejercicios de seguridad informática.
Ejercicios de seguridad informática.Ejercicios de seguridad informática.
Ejercicios de seguridad informática.SamuelSanJuanFalagn
 
Stringpeople expo
Stringpeople expoStringpeople expo
Stringpeople expoHacking Bolivia
 
La internet profunda o invisiblee
La internet profunda o invisibleeLa internet profunda o invisiblee
La internet profunda o invisibleetecatone
 
Cómo atacar TOR
Cómo atacar TORCómo atacar TOR
Cómo atacar TORDavid Thomas
 
SWAY INFORMATICA I 1°H
SWAY INFORMATICA I 1°HSWAY INFORMATICA I 1°H
SWAY INFORMATICA I 1°HSaúl Garcia
 
Los secretos de la internet , la deepweb
Los secretos de la internet , la deepwebLos secretos de la internet , la deepweb
Los secretos de la internet , la deepwebSoffy Jellyfish De Kaulitz
 
Trabajo listo internet hendry
Trabajo listo internet hendryTrabajo listo internet hendry
Trabajo listo internet hendryalfonsobsk
 
Deep web biloshgzka
Deep web biloshgzkaDeep web biloshgzka
Deep web biloshgzkaAlumnos Instituto Grilli
 
Deep web
Deep webDeep web
Deep webUNIVERSIDAD PRIVADA DE TACNA
 
La deep web presentacion
La deep web presentacionLa deep web presentacion
La deep web presentacionxjojoa
 
T2 Paola Briguet Bonifaz
T2 Paola Briguet BonifazT2 Paola Briguet Bonifaz
T2 Paola Briguet BonifazPaolaBriguet
 
Dedalo's presentation about nsa surveillance programs
Dedalo's presentation about nsa surveillance programsDedalo's presentation about nsa surveillance programs
Dedalo's presentation about nsa surveillance programsDedalo-SB
 
Deep web
Deep webDeep web
Deep webrenatosanmartin
 
La Deep Web
La Deep WebLa Deep Web
La Deep WebTony Gómez
 
Qué es pgp
Qué es pgpQué es pgp
Qué es pgpeloisa91
 
Seguridad
SeguridadSeguridad
SeguridadJavys Licona
 
Deep Web
Deep WebDeep Web
Deep WebTelesforo Zabala
 
noelephillips2015
noelephillips2015noelephillips2015
noelephillips2015Noele Phillips
 
Education_Effectiveness
Education_EffectivenessEducation_Effectiveness
Education_EffectivenessBill Hoberg
 
Social Media 201
Social Media 201Social Media 201
Social Media 201Annie Lynsen
 

Contenu connexe

Tendances

Breve descripción de TOR: por la privacidad, la seguridad y contra la censura
Breve descripción de TOR: por la privacidad, la seguridad y contra la censuraBreve descripción de TOR: por la privacidad, la seguridad y contra la censura
Breve descripción de TOR: por la privacidad, la seguridad y contra la censuraJordi Garcia Castillon
 
Ejercicios de seguridad informática.
Ejercicios de seguridad informática.Ejercicios de seguridad informática.
Ejercicios de seguridad informática.SamuelSanJuanFalagn
 
La internet profunda o invisiblee
La internet profunda o invisibleeLa internet profunda o invisiblee
La internet profunda o invisibleetecatone
 
SWAY INFORMATICA I 1°H
SWAY INFORMATICA I 1°HSWAY INFORMATICA I 1°H
SWAY INFORMATICA I 1°HSaúl Garcia
 
Trabajo listo internet hendry
Trabajo listo internet hendryTrabajo listo internet hendry
Trabajo listo internet hendryalfonsobsk
 
La deep web presentacion
La deep web presentacionLa deep web presentacion
La deep web presentacionxjojoa
 
T2 Paola Briguet Bonifaz
T2 Paola Briguet BonifazT2 Paola Briguet Bonifaz
T2 Paola Briguet BonifazPaolaBriguet
 
Dedalo's presentation about nsa surveillance programs
Dedalo's presentation about nsa surveillance programsDedalo's presentation about nsa surveillance programs
Dedalo's presentation about nsa surveillance programsDedalo-SB
 
Qué es pgp
Qué es pgpQué es pgp
Qué es pgpeloisa91
 

Tendances (19)

Breve descripción de TOR: por la privacidad, la seguridad y contra la censura
Breve descripción de TOR: por la privacidad, la seguridad y contra la censuraBreve descripción de TOR: por la privacidad, la seguridad y contra la censura
Breve descripción de TOR: por la privacidad, la seguridad y contra la censura
 
Definiciones diana
Definiciones dianaDefiniciones diana
Definiciones diana
 
Ejercicios de seguridad informática.
Ejercicios de seguridad informática.Ejercicios de seguridad informática.
Ejercicios de seguridad informática.
 
Stringpeople expo
Stringpeople expoStringpeople expo
Stringpeople expo
 
La internet profunda o invisiblee
La internet profunda o invisibleeLa internet profunda o invisiblee
La internet profunda o invisiblee
 
Cómo atacar TOR
Cómo atacar TORCómo atacar TOR
Cómo atacar TOR
 
SWAY INFORMATICA I 1°H
SWAY INFORMATICA I 1°HSWAY INFORMATICA I 1°H
SWAY INFORMATICA I 1°H
 
Los secretos de la internet , la deepweb
Los secretos de la internet , la deepwebLos secretos de la internet , la deepweb
Los secretos de la internet , la deepweb
 
Trabajo listo internet hendry
Trabajo listo internet hendryTrabajo listo internet hendry
Trabajo listo internet hendry
 
Deep web biloshgzka
Deep web biloshgzkaDeep web biloshgzka
Deep web biloshgzka
 
Deep web
Deep webDeep web
Deep web
 
La deep web presentacion
La deep web presentacionLa deep web presentacion
La deep web presentacion
 
T2 Paola Briguet Bonifaz
T2 Paola Briguet BonifazT2 Paola Briguet Bonifaz
T2 Paola Briguet Bonifaz
 
Dedalo's presentation about nsa surveillance programs
Dedalo's presentation about nsa surveillance programsDedalo's presentation about nsa surveillance programs
Dedalo's presentation about nsa surveillance programs
 
Deep web
Deep webDeep web
Deep web
 
La Deep Web
La Deep WebLa Deep Web
La Deep Web
 
Qué es pgp
Qué es pgpQué es pgp
Qué es pgp
 
Seguridad
SeguridadSeguridad
Seguridad
 
Deep Web
Deep WebDeep Web
Deep Web
 

En vedette

Education_Effectiveness
Education_EffectivenessEducation_Effectiveness
Education_EffectivenessBill Hoberg
 
تحتمس 400 بشرطة
تحتمس 400 بشرطةتحتمس 400 بشرطة
تحتمس 400 بشرطةAhmed Fawzy
 
udpated resume
udpated resumeudpated resume
udpated resumeLisa Espy
 
Riesgos físicos
Riesgos físicosRiesgos físicos
Riesgos físicosLUISA USME
 
Robert .T. Raine's Resume 2016
Robert .T. Raine's Resume 2016Robert .T. Raine's Resume 2016
Robert .T. Raine's Resume 2016Robert Raine
 
Extorsiones mediante DDoS
Extorsiones mediante DDoSExtorsiones mediante DDoS
Extorsiones mediante DDoSDavid Barroso
 
Un gentil viaje al interior de las extorsiones mediante DDoS
Un gentil viaje al interior de las extorsiones mediante DDoSUn gentil viaje al interior de las extorsiones mediante DDoS
Un gentil viaje al interior de las extorsiones mediante DDoSDavid Barroso
 
Governance and Risk in Cloud Computing Model
Governance and Risk in Cloud Computing ModelGovernance and Risk in Cloud Computing Model
Governance and Risk in Cloud Computing ModelJohn Sanders
 
Press event: how to involve media in communication?
Press event: how to involve media in communication?Press event: how to involve media in communication?
Press event: how to involve media in communication?mertey
 
El replanteamiento de la ciberseguridad
El replanteamiento de la ciberseguridadEl replanteamiento de la ciberseguridad
El replanteamiento de la ciberseguridadDavid Barroso
 
KAP 업종별기술세미나 11년 6월 #01
KAP 업종별기술세미나 11년 6월 #01KAP 업종별기술세미나 11년 6월 #01
KAP 업종별기술세미나 11년 6월 #01chasarang
 
OPSEC for hackers
OPSEC for hackersOPSEC for hackers
OPSEC for hackersgrugq
 

En vedette (20)

noelephillips2015
noelephillips2015noelephillips2015
noelephillips2015
 
Education_Effectiveness
Education_EffectivenessEducation_Effectiveness
Education_Effectiveness
 
Social Media 201
Social Media 201Social Media 201
Social Media 201
 
تحتمس 400 بشرطة
تحتمس 400 بشرطةتحتمس 400 بشرطة
تحتمس 400 بشرطة
 
udpated resume
udpated resumeudpated resume
udpated resume
 
Anil CV 2
Anil CV 2Anil CV 2
Anil CV 2
 
Vl Lab01
Vl Lab01Vl Lab01
Vl Lab01
 
Riesgos físicos
Riesgos físicosRiesgos físicos
Riesgos físicos
 
Who am i
Who am iWho am i
Who am i
 
Orientation Fall 2016
Orientation Fall 2016Orientation Fall 2016
Orientation Fall 2016
 
Robert .T. Raine's Resume 2016
Robert .T. Raine's Resume 2016Robert .T. Raine's Resume 2016
Robert .T. Raine's Resume 2016
 
Consumer Querimetrix
Consumer QuerimetrixConsumer Querimetrix
Consumer Querimetrix
 
Extorsiones mediante DDoS
Extorsiones mediante DDoSExtorsiones mediante DDoS
Extorsiones mediante DDoS
 
Un gentil viaje al interior de las extorsiones mediante DDoS
Un gentil viaje al interior de las extorsiones mediante DDoSUn gentil viaje al interior de las extorsiones mediante DDoS
Un gentil viaje al interior de las extorsiones mediante DDoS
 
Governance and Risk in Cloud Computing Model
Governance and Risk in Cloud Computing ModelGovernance and Risk in Cloud Computing Model
Governance and Risk in Cloud Computing Model
 
Press event: how to involve media in communication?
Press event: how to involve media in communication?Press event: how to involve media in communication?
Press event: how to involve media in communication?
 
El replanteamiento de la ciberseguridad
El replanteamiento de la ciberseguridadEl replanteamiento de la ciberseguridad
El replanteamiento de la ciberseguridad
 
KAP 업종별기술세미나 11년 6월 #01
KAP 업종별기술세미나 11년 6월 #01KAP 업종별기술세미나 11년 6월 #01
KAP 업종별기술세미나 11년 6월 #01
 
OPSEC for hackers
OPSEC for hackersOPSEC for hackers
OPSEC for hackers
 
Pragmatics
PragmaticsPragmatics
Pragmatics
 

Similaire à OPSEC - Amanece que no es poco

Privacidad - Datos - Anonimato - Seguridad
Privacidad - Datos - Anonimato - SeguridadPrivacidad - Datos - Anonimato - Seguridad
Privacidad - Datos - Anonimato - SeguridadPlanet Linux Caffe
 
Criptografia y Esteganografia
Criptografia y EsteganografiaCriptografia y Esteganografia
Criptografia y Esteganografiacamila-gomez12
 
Derecho A La Privacidad Y El Buen NombreexposicióN
Derecho A La Privacidad Y El Buen NombreexposicióNDerecho A La Privacidad Y El Buen NombreexposicióN
Derecho A La Privacidad Y El Buen NombreexposicióNguestfa9e5
 
Derecho A La Privacidad Y El Buen NombreexposicióN
Derecho A La Privacidad Y El Buen NombreexposicióNDerecho A La Privacidad Y El Buen NombreexposicióN
Derecho A La Privacidad Y El Buen NombreexposicióNguillermoleonospina
 
Actividad 6 unidad 4
Actividad 6 unidad 4Actividad 6 unidad 4
Actividad 6 unidad 4mikefz16
 
Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...
Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...
Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...Daniel Torres
 
Ada 4 lechuga uriel verdejo hiromi_marfilcristopher_castillo karla_ 1_f.
Ada 4 lechuga uriel verdejo hiromi_marfilcristopher_castillo karla_ 1_f.Ada 4 lechuga uriel verdejo hiromi_marfilcristopher_castillo karla_ 1_f.
Ada 4 lechuga uriel verdejo hiromi_marfilcristopher_castillo karla_ 1_f.HiromiVerdejo
 
La Privacidad En Internet
La Privacidad En InternetLa Privacidad En Internet
La Privacidad En InternetAndrea Meijomil
 
Delitos inform+íticos
Delitos inform+íticosDelitos inform+íticos
Delitos inform+íticosIgnacio Diaz
 
Red social infojuridica
Red social infojuridicaRed social infojuridica
Red social infojuridicaakarolain
 
Conexioninversa simposium-toluca
Conexioninversa simposium-tolucaConexioninversa simposium-toluca
Conexioninversa simposium-tolucaBIT Technologies
 

Similaire à OPSEC - Amanece que no es poco (20)

Privacidad - Datos - Anonimato - Seguridad
Privacidad - Datos - Anonimato - SeguridadPrivacidad - Datos - Anonimato - Seguridad
Privacidad - Datos - Anonimato - Seguridad
 
Actividad 6
Actividad 6Actividad 6
Actividad 6
 
Criptografia y Esteganografia
Criptografia y EsteganografiaCriptografia y Esteganografia
Criptografia y Esteganografia
 
U4 Actividad 5
U4 Actividad 5U4 Actividad 5
U4 Actividad 5
 
Derecho A La Privacidad Y El Buen NombreexposicióN
Derecho A La Privacidad Y El Buen NombreexposicióNDerecho A La Privacidad Y El Buen NombreexposicióN
Derecho A La Privacidad Y El Buen NombreexposicióN
 
Derecho A La Privacidad Y El Buen NombreexposicióN
Derecho A La Privacidad Y El Buen NombreexposicióNDerecho A La Privacidad Y El Buen NombreexposicióN
Derecho A La Privacidad Y El Buen NombreexposicióN
 
Derecho A..
Derecho A..Derecho A..
Derecho A..
 
DERECHO A
DERECHO ADERECHO A
DERECHO A
 
Actividad 6 unidad 4
Actividad 6 unidad 4Actividad 6 unidad 4
Actividad 6 unidad 4
 
Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...
Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...
Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...
 
Internet, privacidad, seguridad e identidad digital 2.0
Internet, privacidad, seguridad e identidad digital 2.0Internet, privacidad, seguridad e identidad digital 2.0
Internet, privacidad, seguridad e identidad digital 2.0
 
Ada 4 lechuga uriel verdejo hiromi_marfilcristopher_castillo karla_ 1_f.
Ada 4 lechuga uriel verdejo hiromi_marfilcristopher_castillo karla_ 1_f.Ada 4 lechuga uriel verdejo hiromi_marfilcristopher_castillo karla_ 1_f.
Ada 4 lechuga uriel verdejo hiromi_marfilcristopher_castillo karla_ 1_f.
 
Seguridad
SeguridadSeguridad
Seguridad
 
Ada2 b2
Ada2 b2Ada2 b2
Ada2 b2
 
La Privacidad En Internet
La Privacidad En InternetLa Privacidad En Internet
La Privacidad En Internet
 
Delitos inform+íticos
Delitos inform+íticosDelitos inform+íticos
Delitos inform+íticos
 
Peligros en la red
Peligros en la redPeligros en la red
Peligros en la red
 
Red social infojuridica
Red social infojuridicaRed social infojuridica
Red social infojuridica
 
Ultimo
UltimoUltimo
Ultimo
 
Conexioninversa simposium-toluca
Conexioninversa simposium-tolucaConexioninversa simposium-toluca
Conexioninversa simposium-toluca
 

Plus de David Barroso

Infección en BIOS, UEFI y derivados
Infección en BIOS, UEFI y derivadosInfección en BIOS, UEFI y derivados
Infección en BIOS, UEFI y derivadosDavid Barroso
 
En la época post-Snowden, ¿es la seguridad importante?
En la época post-Snowden, ¿es la seguridad importante?En la época post-Snowden, ¿es la seguridad importante?
En la época post-Snowden, ¿es la seguridad importante?David Barroso
 
Ataques dirigidos contra activistas
Ataques dirigidos contra activistasAtaques dirigidos contra activistas
Ataques dirigidos contra activistasDavid Barroso
 
Common Browser Hijacking Methods
Common Browser Hijacking MethodsCommon Browser Hijacking Methods
Common Browser Hijacking MethodsDavid Barroso
 
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosYersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosDavid Barroso
 
Recursos de la economía sumergida
Recursos de la economía sumergidaRecursos de la economía sumergida
Recursos de la economía sumergidaDavid Barroso
 
Respuesta ágil ante incidentes
Respuesta ágil ante incidentesRespuesta ágil ante incidentes
Respuesta ágil ante incidentesDavid Barroso
 
[FTP|SQL|Cache] Injections
[FTP|SQL|Cache] Injections[FTP|SQL|Cache] Injections
[FTP|SQL|Cache] InjectionsDavid Barroso
 
iPhone + Botnets = Fun
iPhone + Botnets = FuniPhone + Botnets = Fun
iPhone + Botnets = FunDavid Barroso
 

Plus de David Barroso (9)

Infección en BIOS, UEFI y derivados
Infección en BIOS, UEFI y derivadosInfección en BIOS, UEFI y derivados
Infección en BIOS, UEFI y derivados
 
En la época post-Snowden, ¿es la seguridad importante?
En la época post-Snowden, ¿es la seguridad importante?En la época post-Snowden, ¿es la seguridad importante?
En la época post-Snowden, ¿es la seguridad importante?
 
Ataques dirigidos contra activistas
Ataques dirigidos contra activistasAtaques dirigidos contra activistas
Ataques dirigidos contra activistas
 
Common Browser Hijacking Methods
Common Browser Hijacking MethodsCommon Browser Hijacking Methods
Common Browser Hijacking Methods
 
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosYersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
 
Recursos de la economía sumergida
Recursos de la economía sumergidaRecursos de la economía sumergida
Recursos de la economía sumergida
 
Respuesta ágil ante incidentes
Respuesta ágil ante incidentesRespuesta ágil ante incidentes
Respuesta ágil ante incidentes
 
[FTP|SQL|Cache] Injections
[FTP|SQL|Cache] Injections[FTP|SQL|Cache] Injections
[FTP|SQL|Cache] Injections
 
iPhone + Botnets = Fun
iPhone + Botnets = FuniPhone + Botnets = Fun
iPhone + Botnets = Fun
 

Dernier

GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 

Dernier (20)

GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 

OPSEC - Amanece que no es poco

  • 1. OPSEC Amanece que no es poco David Barroso @lostinsecurity
  • 2.
  • 3.
  • 4. OPSEC El proceso para evitar que potenciales adversarios obtengan información sobre capacidades o intenciones al identificar, controlar y proteger información que da esa evidencia.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17. ¿Cómo me afecta? Investigamos en temas interesantes Creamos exploits Cuidamos de la seguridad de empresas y gobiernos Colaboramos con FyCSE Periodistas Terreno ‘no amigo’ Privacidad. ¡Son mis asuntos!
  • 18. Threat modeling Qué queremos proteger (assets) Contra quién queremos protegerlo (adversary) Qué probabilidades hay de que tengamos que protegerlo Cómo de malas son las consecuencias si fallamos Cuánto esfuerzo quiero dedicar para protegerlo
  • 19. ¿Quién es mi adversario? USA Otra nación Criminales organizados Lone-wolfs Empleados Curiosos
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27. Datos:  Tenemos hora y lugar  Buscamos móviles en 2-3 manzanas en +- 2 horas  18 personas con 30 móviles
  • 28. Fuente: Matthew Cole – OPSEC Failures for Spies
  • 29. Fuente: Matthew Cole – OPSEC Failures for Spies
  • 30. Fuente: Matthew Cole – OPSEC Failures for Spies
  • 31.
  • 32. CIA - Líbano Beirut: 2 dobles agentes de Hezbollah fingen trabajar para la CIA Beirut Pizza Hut Teléfonos que sólo llaman a ciertos teléfonos y que no son ‘móviles’
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45. Silkroad Ross Ulbricht aka ‘Dread Pirate Roberts’ Usaba su gmail personal en varios foros, con el nombre ‘Altoid’ Publicó ofertas de trabajo para hacer silkroad y anunció silkroad420.wordpress.com Publicó en StackOverflow código PHP que usaba con su nombre real, que luego cambió a frosty@frosty.com. Una clave SSH en SilkRoad usaba frosty@frosty.com Su cuenta de Google+ tenía material relacionado
  • 46. Sabu (Lulzsec) Usaba IRC siempre para comunicarse, y siempre con TOR. Pero una vez se conectó sin TOR. Usaba tarjetas robadas para comprar piezas de coches y las mandaba a su casa. Lulzsec: usaban sus nombre reales, se conectaban desde sus casas, compartian información etc.
  • 47. Duqu y The Equation Group
  • 48.
  • 50. Las reglas de OPSEC por The Grugq No reveles detalles de una operación No reveles planes No confíes en nadie Separa negocios de placer No la cagues Sé paranoico STFU – Cállate Necesidad de saber Nunca dejes que alguien te pueda extorsionar
  • 51. Más Reglas COMPARTIMENTALIZACIÓN Escóndete en la red: Hidden services, Tor, etc. Cifra todo. Air gap No te fíes de soluciones de cifrado comerciales Mejor cifrado público (TLS vs Bitlocker) . Ejemplo: LUKS, Veracrypt
  • 52.
  • 54. Correo electrónico No uses correo electrónico Cuidado con los metadatos E2E encryption: hay que matar a PGP si es posible, sino, usar 4096 bits Alternativa: opmsg+mutt (PFS - https://github.com/stealth/opmsg) Cuentas de usar y tirar Viejo truco de los borradores
  • 55. Mensajería No uses mensajería instánea Síncrona: OTR – cuidado con libpurple Asíncrona y anónima: Pond https://pond.imperialviolet.org Móvil: Signal / TextSecure. Incluso Threema.
  • 56. Comunicaciones Privacidad != Anonimato VPN + Tor (ojo con los nodos de salida) Portal https://github.com/grugq/portal (OpenWRT + Tor) ICMP / DNS Tunneling
  • 58.
  • 59.
  • 60. Viajes Ordenador y teléfono de viaje Mínima información necesaria + cifrado Línea local (burner SIM) Siempre contigo (EvilMaid, ThunderStrike, etc.) Dispositivos idealmente ‘disposables’
  • 61. Redes sociales Dirección de correo única Nombre único No usar las mismas fotografías o imagenes Cuidado con las ‘pestañas’ en los pantallazos, o el código hexadecimal Borrar historial (modo incógnito en Chrome y cerrar tabs) STFU Contraseñas robustas, cuidado con el 2nd factor COMPARTIMENTALIZACION
  • 62. The most OPSEC man https://www.youtube.com/watch?v=przQ1ih5FGg
  • 63. Más información Linux Workstation Security checklist https://github.com/lfit/itpol/blob/master/linux-workstation- security.md OSX Yosemite Security and Privacy Guide https://github.com/drduh/OS-X-Yosemite-Security-and- Privacy-Guide Privacy & Security Conscious Browsing https://gist.github.com/atcuno/3425484ac5cce5298932 OPSEC for hackers http://es.slideshare.net/grugq/opsec- for-hackers
  • 64. Más información Masquerade: How a helpful man-in-the-middle can help you evade monitoring http://www.portalmasq.com/ COMSEC: Beyond encryption https://grugq.github.io/presentations/COMSEC%20beyond%20e ncryption.pdf Hacker OPSEC http://grugq.github.io/ OPSEC for security researchers https://securelist.com/blog/research/66911/opsec-for-security- researchers/ Social Media Self – Defense http://blog.totallynotmalware.net/?p=15
  • 65. ¿Preguntas? “Never write if you can speak, never speak if you can nod, never nod if you can blink” Martin Lomasney (1859-1933) David Barroso @lostinsecurity