2. ¿Quién soy yo?
24/1/2016 WWW.QUANTIKA14.COM 2
•Fundador de empresas de seguridad informática
QuantiKa14.
•Fundador de EXO Security, localización de personas.
•Dueño del bar K’talo en la calle niebla 25, Sevilla.
•Fundador y miembro del proyecto WordPressA.
•Creador del proyecto Triana Browser.
•Autor del blog www.botentriana.wordpress.com
•Especialista en bots y BigData.
3. Seguridad en el sur…
•Sevilla: 1.100
•Cádiz: 393
•Huelva: 161
•Córdoba: 313
•Málaga: 972
•Jaén: 190
•Almería: 269
Datos de BigData QuantiKa14.
24/1/2016 WWW.QUANTIKA14.COM 3
4. Seguridad en el sur…
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
2012 2013 2014 2015
Creación de empresas Seguridad
Informática
Andalucia Madrid Barcelona
•Aumento del crecimiento en Andalucía.
•Constante crecimiento en Madrid y Barcelona.
24/1/2016 WWW.QUANTIKA14.COM 4
6. Firma de contrato
•Empleados y directivos deben
firmar un contrato.
•Proveedores, colaboradores y
asociados firman o son avisados.
•Firma de contrato de
confidencialidad y secreto.
•Notificación previa de acciones
que pueden perjudicar
gravemente a la empresa.
•Formas y métodos de pago.
24/1/2016 WWW.QUANTIKA14.COM 6
7. Formas y métodos de pagos
•50 % en la firma del contrato.
•25% a los 20 días de la firma del
contrato.
•25% en la entrega del informe.
24/1/2016 WWW.QUANTIKA14.COM 7
8. OBJETIVOS
•Simular un ataque informático de
caja negra.
•Hacerlo en 40 días máximo.
•Informar de posibles fugas de
información o de accesos no
autorizados.
24/1/2016 WWW.QUANTIKA14.COM 8
11. MECH3RO PACK
•Pack de scripts creados por Jorge
Websec para la recogida de datos.
BOTENTRIANA.WORDPRESS.COM
•Python 2.7.9
•Librerías: mechanize y
beautifulSoup.
24/1/2016 WWW.QUANTIKA14.COM 11
13. Listado de empleados
•Listado de trabajadores en la
empresa usando M3chero.
•Buscadores.
•Prensa.
•Harvesting email con email
collector Metasploit.
•LinkedIn.
24/1/2016 WWW.QUANTIKA14.COM 13
14. ASOCIACIÓN DE SEGURIDAD PRIVADA
Identificamos las asociaciones.
Eventos.
Páginas webs.
Obtenemos listado de
empleados del
departamento de
seguridad.
El objetivo es obtener el
listado de empleados.
15. La técnica de los 3 años
•Una cuenta de Hotmail, Outlook, Gmail, Yahoo, etc… duran 3 años
hasta ser borrados por inactividad.
•¿La cuenta de tu infancia es la misma que usas para las redes
sociales?
24/1/2016 WWW.QUANTIKA14.COM 15
16. MECH3RO II : validar cuenta de email
•Dentro de Mech3ro Pack encontraremos “email_validator.py”para
validar cuentas email masivamente.
24/1/2016 WWW.QUANTIKA14.COM 16
17. Mech3ro III: validar cuentas de
Twitter y FB
•Las cuentas de la lista que no existan por tiempo inactivo o porque el
usuario los haya borrado, creamos una nueva lista diferente.
•La nueva lista la usará “validator_twitter_fbyTwt.py” para asociar una
cuenta de correo a una cuenta de Facebook y Twitter.
•Las que den positivas en las cuentas de RRSS solo hará falta crear de
nuevo la cuenta y darle a recordar contraseña.
24/1/2016 WWW.QUANTIKA14.COM 17
19. OBJETIVO CUMPLIDO
• Conseguimos acceso a varias cuentas de Facebook y Twitter.
• Haciéndonos pasar por uno de los empleados de seguridad le pedimos a otro que hemos
perdido el listado y nos lo manda.
20. ¿Localizar a empleados?
•El uso de Internet siempre deja
rastros de tu actividad en la vida
real.
•Sabiendo usar los datos que se
exponen en las diferentes
plataformas podemos saber
donde te mueves.
24/1/2016 WWW.QUANTIKA14.COM 20
Doxing: investigar, analizar, recopilar información de
una persona en Internet. Asociar una identidad
virtual a una física.
21. MECH3RO IV: Meetup
24/1/2016 WWW.QUANTIKA14.COM 21
Bot de Meetup
ACCEDE A MEETUP
http://www.meetup.com/es-
ES/find/events/?allMeetups=true&radius=62&userFre
eform=Sevilla
Bot de Meetup 2
ACCEDE A CADA EVENTO
22. MECH3RO V: CRUZAR DATOS I
24/1/2016 WWW.QUANTIKA14.COM 22
Usuarios que van a evento de
MeetUp
Diego
Martínez
Ricardo
Gonzalez
Juan
Jiménez
23. Un poquito de Ingeniería social…
•Sabíamos los eventos próximos
que visitarían.
•Sabiendo sus redes sociales
sabíamos sus gustos,
publicaciones y comentarios.
•Sabíamos que la empresa había
implementado un sistema de
acceso hace poco por una
subvención. ¿Biometría?
24/1/2016 WWW.QUANTIKA14.COM 23
24. ¿Qué averiguamos?
•Existe un sistema de acceso a diferentes salas.
•Una empleada guarda claves de accesos a diferentes salas en un txt en
su ordenador. [¿Quién?]
•Los empleados suelen frecuentar diferentes bares de la zona donde se
encuentra el edificio de la empresa. [Podemos identificar según los
clientes Wifi]
24/1/2016 WWW.QUANTIKA14.COM 24
25. Bares de la zona…
•Café de Indias -> Wifi muy genérico ESSID:“CAFÉ-INDIAS-WIFI”.
•Mac Donald -> Demasiado genérico.
•Bar “el eructo feliz” -> ESSID:”ERUCTOFELIZ-WIFI”.
24/1/2016 WWW.QUANTIKA14.COM 25
De esta forma podíamos identificar en que eventos se encuentran
empleados de la empresa.