Client-side Ingenieria social

691
-1

Published on

En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
691
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Client-side Ingenieria social

  1. 1. Client  Side  Exploit    -­‐Ingeniería  Social  Aplicada-­‐   Claudio B. Caracciolo @holesec Octubre-2011
  2. 2. Quien Soy Yo?Director de Servicios Profesionales en Root-SecurePresidente de ISSA Argentina, miembro de ISSA InternacionalMiembro de OWASPMiembro del Comité Académico de Segurinfo y del CASIEspecializado en Test de Intrusión y Metodologías de Defensa.Apasionado de la Ingeniería SocialAutor junto a sus socios del libro:
  3. 3. Temario Temario TemarioSituación ActualAtaques de Ingeniería Social - Nueva EraAtaques de Client SideConclusiones
  4. 4. Situación Actual
  5. 5. Situación Actual
  6. 6. Situación Actual
  7. 7. Manifiesto hacker escrito por “The Mentor”
  8. 8. Algunas cosas nunca cambian:- La seguridad durante muchos años dependió de factores relacionadoscon la seguridad física y las personas.- En esta última década, los ataques fueron volviendo a sus bases yhemos tenido los mismos problemas de toda la vida: •  Fuga de Información. •  Ataques de Denegación de Servicios por grupos de Hacktivistas. •  Ataques a los clientes de forma directa.
  9. 9. Algunas cosas nunca cambian: Si puedo afectar a un usuario que es administrador de la red y comprometer su equipo, sin duda obtendré acceso a los servidores. Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al sistema de la empresa y modificar la información que deseo, hacer lastransacciones que me interesan, o filtrar información? Para que podríainteresarme tratar de encontrar debilidades en los servidores de la DB?  
  10. 10. Ingeniería Social de la Nueva Era
  11. 11. Dale Carnegieü  Interésese seriamente por lo demásü  Sonríaü  Para cualquier persona, su nombre es el sonido más agradableü  Anime a los demás a que hablen de sí mismosü  Hable pensando en lo que interese a los demásü  Haga que la otra persona se sienta importante.
  12. 12. Qué es la Ingeniería Social? Old Schoolü  Es el aprovechamiento de losconocimientos de las personas y de laignorancia para convencerlas de que ejecutenacciones o actos que puedan revelarinformación.ü  No se utilizan herramientas.ü  Suelen ser Fallas del factor humano o enlos procedimientos de la empresa. Con el término "ingeniería social" se define el conjunto de técnicaspsicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.    
  13. 13. Que es la Ingeniería Social? New SchoolA  diferencia  de  la  vieja  escuela,  el  ingeniero  social  primero  busca  información  en  Internet  relacionada  a  su  víc:ma:   ü  Blogs  y  Fotologs   ü  Redes  sociales  (Ocio  y  profesionales)   ü  Rss   ü  Foros  y  Wiki   ü  Juegos  online  El  mundo  Web  2.0  pone  a  disposición  del  ingeniero  social  nuevas  herramientas  para  el  logro  de  su  come:do:   ü  El  e-­‐mail   ü  La  mensajería  instantánea  (Chat)   ü  Las  redes  sociales   ü  Las  redes  de  intercambio  de  archivo  (P2P)   ü  Los  foros  
  14. 14. El Campus de Ecuador esta muy peligroso y hasta yo fuí víctima, quisieron clonarme para hacer Phishing
  15. 15. Lamentablementesacado de un foro.
  16. 16. Ataques Client Side
  17. 17. Evolución PredecibleA medida que los controles de seguridad asociados a determinadastecnologías van madurando, los atacantes dirigen su mirada hacia aquellosque aun no son lo suficientemente efectivos.La evolución de los ataques externos a través del tiempo, indica que losatacantes explotaban debilidades por lo menos en dos niveles bien definidos: Nivel de Infraestructura Nivel de Aplicación
  18. 18. Evolución Predecible Independientemente de lo anterior… conocen algún control de seguridad técnico, en el que lacolaboración del factor humano no sea necesaria para un funcionamiento efectivo?
  19. 19. Evolución PredecibleTodo indica que el actual objetivo de los ataques, no apunta únicamente avulnerabilidades de infraestructura o aplicación, sino que suman al quesiempre conocimos como el eslabón mas débil de la cadena de laseguridad.La explotación del usuario final y la interacción regular de este conaplicativos de uso diario vulnerables y muchas veces olvidados, es la quehoy podría permitirle a un atacante, acceder a los sistemas de informaciónde su empresa desde el exterior. Es por eso que debemos prestar atención a un nuevo nivel: Nivel de Cliente  
  20. 20. Client Side ExploitFocalizado en aprovechar vulnerabilidades en el usuario de los sistemas deinformación, como así también en los programas cliente que este utiliza enel día a día de su labor: •  Navegador de Internet •  Suite de Ofimática •  Visor de archivos PDF •  Clientes de reproducción multimedia •  Otros
  21. 21. Client Side ExploitEstado de Situación Actual vs Técnicas de Ataque •  Protección Perimetral (From Outside to Inside vs. Inside to Outside) •  Detección y Prevención de Intrusos vs. Cifrado y Ofuscación •  Endpoint Security vs. Ofuscación e Inyección de Procesos •  Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos
  22. 22. Ahí viene la DEMO!!!
  23. 23. El problema no es la tecnología, nunca lo fue. No pasa por usarla o no usarla. Simplemente es cuestión de usarla bien.   La creatividad es el arma máspotente que un atacante puede tener.
  24. 24. “La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa...” Albert Einstein. s diferente. ntos, pensamo Somos distiMuchas Gracias!! ccaracciolo@root-secure.com Twitter: holesec
  25. 25. No se pierdan la charla del Dr. Miguel Sumer EliasA las 20 hs. Aquí en #cpin
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×