• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Client side explotation
 

Client side explotation

on

  • 561 views

 

Statistics

Views

Total Views
561
Views on SlideShare
561
Embed Views
0

Actions

Likes
0
Downloads
2
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Client side explotation Client side explotation Presentation Transcript

    • UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de LojaCLIENT SIDE EXPLOTATION Mayra Criollo Mercy Jiménez Diana Poma
    • CLIENT SIDE EXPLOTATION Actualmente se hace mayor uso de los servicios basados en sistemas informáticos alojados o no en el internet, en las empresas, en los centros educativos, etc. Todas las entidades manejan información privada de uso interno, la misma que desean proteger al momento que viaja por medio de la red ya sea de internet o no.
    • CLIENT SIDE EXPLOTATION En el ámbito de la informática se identifica algunos tipos de ataques como la pérdida de la información, ya sea por hackers, espionaje, empleados o ex-empleados enojados con la empresa y un sinnúmero de casos que se pueden dar. Estos tipos de ataques afectan en gran medida a las entidades, económicamente y socialmente.
    • CLIENT SIDE EXPLOTATION Fácilmente podemos darnos cuenta que aplicando el ataque de ingeniería social existen muchas personas que pueden divulgar mucha información confidencial a personas externas ya sea por amistad o por simple conversa, Esta información le sirve al atacante para realizar cualquier actividad maliciosa.
    • CLIENT SIDE EXPLOTATION La explotación por el lado del cliente es una de las prácticas habituales utilizadas hoy en día para el acceso no autorizado a información sensible o importante. Para los atacantes es más sencillo entrar por el lado del usuario, debido a su falta de conocimiento en cuanto a la seguridad informática.
    • CLIENT SIDE EXPLOTATION Existen muchos usuarios que realizan descargas de sitios peligrosos o a su vez mediante el mail abren correos spam que les llevan a descargas de software que por debajo en realidad se ejecuta algún tipo de ataque. Claudio Caraciolo menciona algunos tipos de ataques que se realizan del lado del cliente como OSINT, Information Gathering, Ethical Hacking.
    • OSINT Es un acrónimo (Open Source Intelligence) usado para referirse a los recursos libremente accesibles con información de inteligencia. La recopilación y análisis de la información contenida en esas fuentes puede permitir alcanzar inteligencia utilizable[1] La información combinada tiene un nivel de sensibilidad mayor que las partes que la componen. [2]
    • OSINTIncluye una variedad amplia de información y de fuentes: Medios - periódicos, compartimientos, radio, televisión, e información computarizada. Datos públicos - informes del gobierno, datos oficiales tales como presupuestos y demographics, etc. Observación y divulgación - observadores de tiro aficionados del aeroplano, monitores de radio y observadores basados en los satélites entre muchas otras.[3]
    • OSINT Profesional y académico - conferencias, simposios, asociaciones profesionales, etc. La mayoría de la información tiene dimensiones geospatial, pero muchas pasan por alto a menudo el lado geospatial de OSINT: no todo los datos de fuente abiertos es texto no estructurado. [3]
    • PROBLEMAS O DESVENTAJAS El principal problema que presenta OSINT essu dificultad para identificar las fuentesconfiables dentro de una gran cantidad deinformación disponible públicamente, sinembargo, esto no es como grande un desafío para losque sepan cómo tener acceso a conocimiento local.[4]
    • VULNERABILIDADES EN INTERNET Información disponible en los sitios fuera del ámbito del control de la Fuerza Aérea representa una amenaza mucho más grave que las posibilidades de recopilación en los sistemas propios. La segunda amenaza, más manejable, incluye sistemas bajo el control de la Fuerza Aérea. El proceso actual para reducir el riesgo de recopilación se centra exclusivamente en el contenido de la información. [5]
    • INFORMATION GATHERING OLD SCHOOL La obtención de información no es más que una de las fases esenciales para llevar a cabo en una auditoria que consisten en obtener la mayor cantidad posible sobre el objetivo.[6] En el proceso de un ataque, un atacante puede gastar en 90 % de un ataque en la fase de obtención de información, mientras que el 10 restante lo reservaría para el ataque en sí. [6]
    • INFORMATION GATHERING OLD SCHOOL Si estos análisis se le coloca habitualmente la etiqueta de vieja escuela, siguen siendo tan útiles y vigentes como el primer día, algunas de las técnicas tradicionales son las siguientes [2]: Consultas a Bases WHOIS Enumeración DNS Trasferencia de Zona DNS Trazados de Ruta Fingerprint de Aplicaciones y Sistemas Operativos Banner Grabbing
    • MÉTODOS Y HERRAMIENTAS Pasivos: No implican acción alguna contra ningún activo del objetivo. Activos: Implican una acción contra uno o varios activos del objetivo que van desde una simple navegación por la página Web a análisis Metagoofil/FOCA: Son dos herramientas que se aprovechan de los operadores site y filetpe para descargar archivos de Internet.
    • MÉTODOS Y HERRAMIENTAS Redes sociales: Hi5, MySpace, Facebook, Linkedin, etc. Maltego es un software desarrollado por Paterva, que permite obtener información acerca de infraestructura tecnológica, usuarios, e-mails, personas, teléfonos, etc.
    • ETHICAL HACKING Tipo de análisis de seguridad en donde los profesionales contratados intentan encontrar la mayor cantidad de fallas posibles en un sistema. Como de diseño, desarrollo, implementación o hasta incluso de uso.
    • ETHICAL HACKING Tratan de aprovecharlas para ganar privilegios y escalar dentro de los sistemas intentando acceder a información sensible a nuevos equipos. [7] La principal característica de este tipo de análisis es la creatividad del atacante para superar los controles habituales, y obviamente esto no se automatiza.
    • ETHICAL HACKING Un Ethical Hacking parte de la base fundamental de la autorización otorgada al profesional por parte del dueño o representante del sistema, donde se le permite realizar las pruebas necesarias a fin de encontrar fallas que permitan armar un plan de mejoras a la empresa.
    • IMPORTANCIA Al conocer el nivel de seguridad que se tiene en nuestra organización es mucho más sencillo, tomar decisiones y presentar medidas que puedan subsanar las deficiencias que presenta la empresa. [8] Los temas que se dieron dentro de la conferencia fueron de gran importancia ya que hoy en día son muchas las vulnerabilidades que existen en las empresas y que aún siguen en peligro de que su información esté expuesta.
    • CONCLUSIÓN Todos los temas que se dieron dentro de la conferencia fueron de gran importancia ya que hoy en día son muchas las vulnerabilidades que existen en las empresas y que aún siguen en peligro de que su información esté expuesta a personas que no tienen autorización para acceder a ella y seguir perdiendo miles de dólares. Lo más visto entre los ataques por el lado del cliente ha sido la ingeniería social.
    • REFERENCIAS BIBLIOGRÁFICAS[1] http://web.mac.com/stazon/portal/OSINT.html[2]Caracciolo Claudio, disponible en http://www.slideshare.net/eccutpl/seguridad-de-la- informacin-6447449?from=ss_embed[3] http://www.worldlingo.com/ma/enwiki/es/Open_Source_Intelligence[4] http://neosiglo-web.blogspot.com/2009/03/open-source-intelligence-osint-o.html[5]Teniente coronel David Umphress, 20 de febrero del 2010, disponible en http://haddensecurity.wordpress.com/2010/02/20/internet-y-la-reunion-de-inteligencia- de-fuentes-abiertas-osint/[6] Ramón Vinces, disponible en http://www.securecorner.net/2009/12/information- gathering.html[7]Caracciolo Claudio, 27 de julio 2010, disponible en http://cxo- community.com/articulos/blogs/blogs-seguridad-informatica/3237[8] Universidad Tecnológica del sur de Sonora, Agosto 2010, disponible en http://www.slideshare.net/jmacostarendon/seguridad-informatica-y-ethical-hacking[9]http://seguinfo.wordpress.com/category/campanas/[10] http://www.sisteseg.com/files/Microsoft_Word_-_Politica_Seguridad_Fisica.pdf