1. Perú 440 piso 7 Depto. T - Capital Federal, Buenos Aires // Tel. (+5411) 5218-2858/2859 // www.root-secure.com
2. Web 2.0 Information Disclosure "Webear puede costar caro” Ezequiel M. Sallis CISSP/CEH Claudio B. Caracciolo CEH/MCSE
3.
4. Perú 440 piso 7 Depto. T - Capital Federal, Bs As // Tel. (+5411) 5218-2858 // www.root-secure.com La primer Etapa de un Penetration Test o de un Ethical Hacking, es conocida como La Etapa de Reconocimiento. En dicha Etapa, la primer tarea se relaciona con una técnica conocida como Information Gathering, donde el objetivo de la misma es hallar la mayor cantidad de información posible sobre el objetivo… Si ustedes quisieran armar el Profile de una persona o de una empresa… por donde empezarían??
7. El usuario tiende a cargar información a través de estas herramientas Pero con mucha ingenuidad y con una visión generalmente, despreocupada o ausente de conciencia.
8. Open Source Intelligence (OSInt): Es una disciplina útil para procesar información, esta relacionada con encontrar, seleccionar y adquirir información de fuentes publicas, para que esta sea analizada y se pueda utilizar para acciones de inteligencia. Si bien esto puede solo parecer estar relacionado con esferas gubernamentales y militares, la disciplina de la inteligencia competitiva es el ejemplo de que esto también de aplica en el mundo de los negocios.
9. Agregar: Se refiere al proceso a través del cual se puede obtener información a la que no se tiene acceso mediante la utilización de datos a los que si se puede acceder. La información combinada tiene un nivel de sensibilidad mayor que las partes que la componen. Inferir: Se refiere al resultado de generar nueva información basándose en la ya existente y disponible.
10. Ingeniería Social Robo de Identidad - Fake Profile Stalking Bullying Espionaje Corporativo Las consecuencias de la ejecución efectiva de las técnicas antes mencionadas, ponen en evidencia el riesgo al que expone inocentemente un usuario a su organización o a si mismo, tan solo por no interactuar de manera adecuada en el mundo WEB 2.0.
11. No Need “for Old School Hacker Skills” No Need “for firewall evasion” No Need “for IDS evasion” No Need “for 0 Day Exploit”. No Need “for Buffer Over Flow”. WEB 2.0 + Usuario Final = “Webear cuesta caro”
17. Google Hack Calendar Flavor: “ Lunes 10/08 Cambiar Password” “ El Tipo de Seguridad me dijo que NO la anote debajo del teclado pero nunca hablo de NO Publicarla…”
21. Google Hack Calendar Flavor: Convocatoria Reunión Gerencia… “ Gerentes, Jefes y el resto de los habitantes de la Web”
22. Y por casa como andamos ??? THINK BEFORE YOU POST...!!!
23. La efectividad de los controles técnicos, depende en gran medida de la colaboración del Usuario. Revise su plan se seguridad y vea que prioridad ocupa la educación de sus usuarios... Lo que acabamos de ver no se soluciona con un parche de seguridad, debe trabajarse a través de la educación de los usuarios, de la capacitación… No para la vida en la empresa solamente, sino también para tratar las nuevas tecnologías “ Todos somos ignorantes pero no todos ignoramos las mismas cosas”
24. Webear puede costar caro Muchas Gracias por su Atención Perú 440 piso 7 Depto. T - Capital Federal, Buenos Aires // Tel. (+5411) 5218-2858/2859 // www.root-secure.com