Your SlideShare is downloading. ×
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]

1,924

Published on

www.guadalajaracon.org/conferencias/seguridad-fisica-mira-mama-como-jason-bourne/ …

www.guadalajaracon.org/conferencias/seguridad-fisica-mira-mama-como-jason-bourne/

Durante la presentación se responderá la pregunta fundamental: ¿qué proteger físicamente?, en la cual se describirán los diferentes tipos de activos a proteger y evidentemente a las personas que operan o resguardan dichos activos. Posteriormente se explicarán diferentes controles de seguridad física ya existentes como los incluidos en el estándar ISO27001.

Por otro lado, el presentador compartirá experiencias de evaluaciones de seguridad física que ha tenido previamente, por ejemplo, la creación de badges falsos, seguir a personas a través de elevadores (Piggybacking), control total de cámaras de seguridad (CCTV), incluso algunas fallas que ha visto en plantas industriales en las que ha trabajado.

A lo largo de la presentación se irán mostrando diversos videos grabados por el presentador, donde se muestran diversas formas de evaluación y/o evasión de mecanismos de seguridad física.

Finalmente, se presentarán algunos conceptos inusuales y poco vistos sobre seguridad física, con los que el autor se ha encontrado en diversas evaluaciones, por ejemplo, Urban Exploration.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,924
On Slideshare
0
From Embeds
0
Number of Embeds
15
Actions
Shares
0
Downloads
26
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. GuadalajaraCON1−−−− SEGURIDAD FISICASEGURIDAD FISICASEGURIDAD FISICASEGURIDAD FISICA −−−−MIRA MAMA, COMOMIRA MAMA, COMOMIRA MAMA, COMOMIRA MAMA, COMOJASON BOURNEJASON BOURNEJASON BOURNEJASON BOURNEAlejandro Hernández H. CISSP, GPENhttp://twitter.com/nitr0usmxhttp://chatsubo-labs.blogspot.comhttp://www.brainoverflow.org
  • 2. GuadalajaraCONSobre mSobre mSobre mSobre mí…Consultor de Seguridad Senior de IOActive10 años involucrado en SeguridadRompo cosasAh! Y soy CISSP…2
  • 3. GuadalajaraCON3
  • 4. GuadalajaraCONTabla de ContenidosTabla de ContenidosTabla de ContenidosTabla de ContenidosEsta presentación será un collage deconceptos, experiencias propias yclips de video¿Qué proteger físicamente?Controles de seguridad físicacomúnmente utilizadosMientras tanto en México…Técnicas de evaluación de seguridadfísica (infiltración, ingeniería socialcara-a-cara, etc.)Conceptos interesantes e inusuales4
  • 5. GuadalajaraCONINTRO VIDEO CLIPJason Bourne - Stealing the Blackbriar Files5
  • 6. GuadalajaraCON¿QuQuQuQué proteger fproteger fproteger fproteger físicamentesicamentesicamentesicamente????PersonasTerremotosIngeniería SocialEtc.Datos e informaciónDocumentos impresos (contratos, facturas, etc.)Post-itsEtc.Infraestructura tecnológicaCentro de datosRobots en plantas industrialesEtc.6
  • 7. GuadalajaraCONControlesControlesControlesControles comcomcomcomúnmentenmentenmentenmente utilizadosutilizadosutilizadosutilizados7
  • 8. GuadalajaraCON8ControlesControlesControlesControles comcomcomcomúnmentenmentenmentenmente utilizadosutilizadosutilizadosutilizados
  • 9. GuadalajaraCON9ControlesControlesControlesControles comcomcomcomúnmentenmentenmentenmente utilizadosutilizadosutilizadosutilizados
  • 10. GuadalajaraCONMientras tanto en MMientras tanto en MMientras tanto en MMientras tanto en Méxicoxicoxicoxico…Acceso de equipo de cómputo a edificiosBitácora en papel con hora de entrada/salida?Revisión de guardias de seguridad?Acceso físico“Estampita” de visitanteAcceso por estacionamientos?GENTE AMABLE (“Permítame ! Le abro la puerta”)Guardias con sobrepeso o somnolientosSeguridad de InfraestructuraContraseñas por default (CCTV, puertas de “Alta Seguridad”)Matriz de control de acceso deficientePuertas de madera…Etc. Etc. Etc.10
  • 11. GuadalajaraCON11BITCH PLEASE !!!
  • 12. GuadalajaraCONVIDEO CLIPJason Bourne - Evacuation PlanCierta información puede ser utilizada en tu contra12
  • 13. GuadalajaraCONInfiltración e Ingeniería SocialCreación de gafetes falsosBanners y colores corporativos en el sitio WebNombres/No de empleados (Open SourceIntelligence)Mica de papelería = $10.00 pesosImpresión de hoja de “autorización”Lo mismo de arriba, pero con firma de ‘CEO’ ;-DSeguridad personal al estar frente al guardia deseguridad (Ingeniería Social y DETERMINACIÓN)13TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 14. GuadalajaraCONInfiltración e Ingeniería SocialUno de 2011...14TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 15. GuadalajaraCON15Infiltración e Ingeniería SocialOtro de 2008…TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 16. GuadalajaraCONPiggybackingCuando una persona se‘pega’ a otra para pasarciertos puntos deseguridad, p.e. una puertasin pasar una tarjeta deacceso16TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 17. GuadalajaraCONLock PickingEl arte de abrir manipularlos elementos mecánicosde una cerradura pararealizar su apertura sinllave17TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 18. GuadalajaraCON18IOActive Lock Picking session @ Mt. Baker[Enero 2013]
  • 19. GuadalajaraCONVIDEO CLIPLock Picking 101Puertas y cajas fuertes también vulnerables19
  • 20. GuadalajaraCONVIDEO CLIPVina F in Gringo WarriorLock Picking y diversión en DEFCON (Gringo Warrior Game)20
  • 21. GuadalajaraCONVIDEO CLIPCyber Security. Evolved. (Deloitte UK)Combinación de técnicas anteriores21
  • 22. GuadalajaraCONDumpster DivingBúsqueda de información enbasureros (Estados de cuenta,documentos corporativos, firmas, etc.)22TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 23. GuadalajaraCONShoulder SurfingVer la pantalla y/o teclasescritas sin que lavíctima se dé cuenta23TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 24. GuadalajaraCONShoulder SurfingGuía de Íconos para Shoulder Surfing (hkm)http://www.hakim.ws/textos/iconos_del_taskbar.html24TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 25. GuadalajaraCON{key,video} LoggersHardware ‘extra’ para capturarteclas/video que la víctimaescribe/ve.25TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 26. GuadalajaraCONContraseñas pordefaultA veces se requiere delsoftware del fabricante(Demo?) para hablar elmismo lenguaje(protocolo)26TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 27. GuadalajaraCONVIDEO CLIPSpaceballs super password XDDispositivos de seguridad física también tienen contraseñaspor default27
  • 28. GuadalajaraCONVIDEO CLIPControl de 48 cámaras de Seguridad de un edificio de México DFDVRs y Cámaras CCTV también tiene contraseñas pordefault28
  • 29. GuadalajaraCONVIDEO CLIPAcceso a un Centro de Datos de “Alta Seguridad” en México DFutilizando el panel de administración (sin contraseña) deldispositivo biométricoLa mayoría de dispositivos biométricos están bien diseñados ydesarrollados… Pero son mal configurados/implementados.29
  • 30. GuadalajaraCON*PlugsComputadoras con diversas funcionalidadesconectadas físicamente a la energía eléctrica deuna organización (Edificio)USBs ‘maliciosas’30TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 31. GuadalajaraCONPlantas IndustrialesSeparación ‘física’ de redes de datos e industrialesPuertos USB (des)habilitados31TecnicasTecnicasTecnicasTecnicas dededede EvaluacionEvaluacionEvaluacionEvaluacion
  • 32. GuadalajaraCON32
  • 33. GuadalajaraCON33Jan 15th, 2013 DoD Looking to ‘Jump theGap’ Into Adversaries’ Closed NetworksIranian President Mahmoud Ahmadinejad visits the Natanzuranium enrichment facilities, where a “closed”computer network was infected by malwareintroduced via a small flash drive.http://www.defensenews.com/article/20130115/C4ISR01/301150010/DoD-Looking-8216-Jump-Gap-8217-Into-Adversaries-8217-Closed-Networks
  • 34. GuadalajaraCON34
  • 35. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusualesEn algún lugar cerca de Toluca…Puertas AntibombasGrandes montículos de arena alrededor (para qué?)35
  • 36. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusualesUrban ExplorationEvaluación NinjaOften shortened as urbex or UE. It may also bereferred to as Infiltration, Building Hacking,draining (when exploring drains), urban rock climbingExploration of man-made structures, usuallyabandoned ruins or not usually seen components ofthe man-made environment36
  • 37. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusualesUrban Exploration37
  • 38. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusualesUrban ExplorationEn México…38
  • 39. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusualesUrban Explorationhttp://www.infiltration.org39
  • 40. GuadalajaraCON40
  • 41. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusualesConceptos de uno delos mejores libros quehe leídoCríticas sin fundamentosen 3..2..141
  • 42. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusuales42
  • 43. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusuales43
  • 44. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusuales44
  • 45. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusuales45
  • 46. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusuales46Lo he visto muuuuchas veces enMéxico…
  • 47. GuadalajaraCONConceptos interesantes eConceptos interesantes eConceptos interesantes eConceptos interesantes e inusualesinusualesinusualesinusuales47
  • 48. GuadalajaraCONMoralejaMoralejaMoralejaMoraleja48… Ah! y usen los controles de seguridadadecuados…
  • 49. GuadalajaraCONAgradecimientosAgradecimientosAgradecimientosAgradecimientos49GuadalajaraCON !B33rc0n (hkm, calderpwn, Carlos Ayala, Daemon,dex)Chr1x a.k.a s0n0fg0d !CRAc LightOS, beck, alt3kx, crypk3y, nahual,nediam, Rolman, Sandino, tr3w, fear, ArielSánchez, bucio, wengyep, moften, Xava,dr_fdisk^, etc…
  • 50. GuadalajaraCON50−−−− GRACIASGRACIASGRACIASGRACIAS −−−−Alejandro Hernández H. CISSP, GPENhttp://twitter.com/nitr0usmxhttp://chatsubo-labs.blogspot.comhttp://www.brainoverflow.org

×