Why Cyberspies always win

12,809 views

Published on

Esta es la presentación que di en OWASP EU 2013 sobre algunas reflexiones sobre por qué el pentesting y la seguridad informática fallan hoy en día y los "malos" o "ciberespías" siempre ganan. Son reflexiones personales sobre Pentesting by Design, diseño de soluciones de seguridad y planificación empresarial. Mis ideas.

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
12,809
On SlideShare
0
From Embeds
0
Number of Embeds
10,656
Actions
Shares
0
Downloads
88
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Why Cyberspies always win

  1. 1. Why Cyberspies always win!Why Cyberspies always win! Chema Alonso (@ChemaAlonso)
  2. 2. "I know not with what weapons World War III will be fought, but World War IV will be fought with sticks and stones.” Albert Einstein
  3. 3. Aurora Operation
  4. 4. Espías Chinos Malos, Malos.. “China is the most dangerous superpower on Earth.” Eric Schmidt (Google)
  5. 5. Operation StuxNet
  6. 6. Duqu & Flame
  7. 7. • 1000+ modules • Acid Cryptofiler
  8. 8. APT1
  9. 9. NetTraveler • 2004 • 22 Gb
  10. 10. Advanced CyberThreat
  11. 11. ¿Quiénes son los culpables? • ¿Usuarios? • ¿Tecnología? • ¿Informáticos? • ¿Jefes?
  12. 12. ¿El usuario es el culpable?
  13. 13. Vulnerabilidad Permanente “Siempre existe una vulnerabilidad entre la silla y el teclado” Sergio de los Santos
  14. 14. Nos olvidamos de Penny!Nos olvidamos de Penny!
  15. 15. ¿Realmente son entendibles? • OTP • 2-Factor • VPN’s • WPS • Oauth • … Y un largo etc…
  16. 16. Algo no hemos hecho bien…
  17. 17. Endless World!
  18. 18. OSINT
  19. 19. El Ataque Dirigido
  20. 20. OSINT
  21. 21. OSINT
  22. 22. OSINT
  23. 23. Today
  24. 24. Pero….
  25. 25. MetaShield Protector
  26. 26. Esquema Nacional de Seguridad • "5.7.6 Limpieza de documentos En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento. Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información. El incumplimiento de esta medida puede perjudicar: a) Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento. b) Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento. c) A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer."
  27. 27. IBEX 35 100 % Empresas con metadatos Empresas sin metadatos
  28. 28. Money
  29. 29. No more free bugs
  30. 30. {Tu tiempo} Tu bug es oro
  31. 31. "If you spend more on coffee than on IT security, then you will be hacked.“ (Security Czar) Clarke, 2002
  32. 32. Resilent Military Systems
  33. 33. Diseño de Sistemas
  34. 34. Pentesting Continuo “Si un pentester no puede hacer una prueba de pentesting cuando lo necesite, entonces ya has perdido, porque los malos sí que la van a hacer cuando quieran” Chema Alonso
  35. 35. People request…
  36. 36. Gwapo http://www.youtube.com/watch?v=c9MuuW0HfSA
  37. 37. Diseño de Sistemas
  38. 38. Pentesting “Driven” By FOCA
  39. 39. PCI-DSS
  40. 40. Insuficiente • Web Apps cambian mucho • SW ciclo de parhes mensuales • Decenas de publicaciones hacking mensuales
  41. 41. Pentesting Done by FOCA: FOCA as a Service
  42. 42. FOCA approved!
  43. 43. Executive Summary • Seguridad adaptada a usuarios • Nuestro sistema informático es Internet • Pentesting by Desing • Pentesting Continuo • Show me the money….
  44. 44. Y si no…
  45. 45. FOCA Rulz! ¿Preguntas? Chema Alonso chema@11paths.com @ChemaAlonso

×