0
UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA          La Universidad Católica de LojaCLIENT SIDE EXPLOTATION                    ...
CLIENT SIDE EXPLOTATION Actualmente se hace mayor uso de los  servicios basados en sistemas informáticos  alojados o no e...
CLIENT SIDE EXPLOTATION En el ámbito de la informática se identifica  algunos tipos de ataques como la pérdida de  la inf...
CLIENT SIDE EXPLOTATION Fácilmente podemos darnos           cuenta que  aplicando el ataque de ingeniería social existen ...
CLIENT SIDE EXPLOTATION La explotación por el lado del cliente es una de  las prácticas habituales utilizadas hoy en día ...
CLIENT SIDE EXPLOTATION Existen muchos usuarios que realizan  descargas de sitios peligrosos o a su vez  mediante el mail...
OSINT Es      un     acrónimo       (Open     Source  Intelligence) usado para referirse a los  recursos     libremente  ...
OSINTIncluye una variedad amplia de información y  de fuentes: Medios - periódicos, compartimientos, radio,  televisión, ...
OSINT Profesional y académico - conferencias,  simposios, asociaciones profesionales, etc. La   mayoría de la informació...
PROBLEMAS O DESVENTAJAS El principal problema que presenta OSINT essu dificultad para identificar las fuentesconfiables de...
VULNERABILIDADES EN INTERNET Información disponible en los sitios fuera del  ámbito del control de la Fuerza Aérea  repre...
INFORMATION GATHERING OLD SCHOOL La obtención de información no es más que  una de las fases esenciales para llevar a cab...
INFORMATION GATHERING OLD SCHOOL   Si estos análisis se le coloca habitualmente la    etiqueta de vieja escuela, siguen s...
MÉTODOS Y HERRAMIENTAS Pasivos: No implican acción alguna contra  ningún activo del objetivo. Activos: Implican una acci...
MÉTODOS Y HERRAMIENTAS Redes sociales: Hi5, MySpace, Facebook,  Linkedin, etc. Maltego es un software desarrollado por  ...
ETHICAL HACKING Tipo de análisis de seguridad en donde los  profesionales      contratados    intentan  encontrar la mayo...
ETHICAL HACKING Tratan de aprovecharlas para ganar  privilegios y escalar dentro de los sistemas  intentando acceder a in...
ETHICAL HACKING   Un Ethical Hacking parte de la base    fundamental de la autorización otorgada al    profesional por pa...
IMPORTANCIA Al conocer el nivel de seguridad que se tiene en  nuestra organización es mucho más sencillo,  tomar decision...
CONCLUSIÓN   Todos los temas que se dieron dentro de la    conferencia fueron de gran importancia ya que    hoy en día so...
REFERENCIAS BIBLIOGRÁFICAS[1] http://web.mac.com/stazon/portal/OSINT.html[2]Caracciolo Claudio, disponible en http://www.s...
Upcoming SlideShare
Loading in...5
×

Client side explotation

319

Published on

Published in: Technology, Travel
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
319
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Client side explotation"

  1. 1. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de LojaCLIENT SIDE EXPLOTATION Mayra Criollo Mercy Jiménez Diana Poma
  2. 2. CLIENT SIDE EXPLOTATION Actualmente se hace mayor uso de los servicios basados en sistemas informáticos alojados o no en el internet, en las empresas, en los centros educativos, etc. Todas las entidades manejan información privada de uso interno, la misma que desean proteger al momento que viaja por medio de la red ya sea de internet o no.
  3. 3. CLIENT SIDE EXPLOTATION En el ámbito de la informática se identifica algunos tipos de ataques como la pérdida de la información, ya sea por hackers, espionaje, empleados o ex-empleados enojados con la empresa y un sinnúmero de casos que se pueden dar. Estos tipos de ataques afectan en gran medida a las entidades, económicamente y socialmente.
  4. 4. CLIENT SIDE EXPLOTATION Fácilmente podemos darnos cuenta que aplicando el ataque de ingeniería social existen muchas personas que pueden divulgar mucha información confidencial a personas externas ya sea por amistad o por simple conversa, Esta información le sirve al atacante para realizar cualquier actividad maliciosa.
  5. 5. CLIENT SIDE EXPLOTATION La explotación por el lado del cliente es una de las prácticas habituales utilizadas hoy en día para el acceso no autorizado a información sensible o importante. Para los atacantes es más sencillo entrar por el lado del usuario, debido a su falta de conocimiento en cuanto a la seguridad informática.
  6. 6. CLIENT SIDE EXPLOTATION Existen muchos usuarios que realizan descargas de sitios peligrosos o a su vez mediante el mail abren correos spam que les llevan a descargas de software que por debajo en realidad se ejecuta algún tipo de ataque. Claudio Caraciolo menciona algunos tipos de ataques que se realizan del lado del cliente como OSINT, Information Gathering, Ethical Hacking.
  7. 7. OSINT Es un acrónimo (Open Source Intelligence) usado para referirse a los recursos libremente accesibles con información de inteligencia. La recopilación y análisis de la información contenida en esas fuentes puede permitir alcanzar inteligencia utilizable[1] La información combinada tiene un nivel de sensibilidad mayor que las partes que la componen. [2]
  8. 8. OSINTIncluye una variedad amplia de información y de fuentes: Medios - periódicos, compartimientos, radio, televisión, e información computarizada. Datos públicos - informes del gobierno, datos oficiales tales como presupuestos y demographics, etc. Observación y divulgación - observadores de tiro aficionados del aeroplano, monitores de radio y observadores basados en los satélites entre muchas otras.[3]
  9. 9. OSINT Profesional y académico - conferencias, simposios, asociaciones profesionales, etc. La mayoría de la información tiene dimensiones geospatial, pero muchas pasan por alto a menudo el lado geospatial de OSINT: no todo los datos de fuente abiertos es texto no estructurado. [3]
  10. 10. PROBLEMAS O DESVENTAJAS El principal problema que presenta OSINT essu dificultad para identificar las fuentesconfiables dentro de una gran cantidad deinformación disponible públicamente, sinembargo, esto no es como grande un desafío para losque sepan cómo tener acceso a conocimiento local.[4]
  11. 11. VULNERABILIDADES EN INTERNET Información disponible en los sitios fuera del ámbito del control de la Fuerza Aérea representa una amenaza mucho más grave que las posibilidades de recopilación en los sistemas propios. La segunda amenaza, más manejable, incluye sistemas bajo el control de la Fuerza Aérea. El proceso actual para reducir el riesgo de recopilación se centra exclusivamente en el contenido de la información. [5]
  12. 12. INFORMATION GATHERING OLD SCHOOL La obtención de información no es más que una de las fases esenciales para llevar a cabo en una auditoria que consisten en obtener la mayor cantidad posible sobre el objetivo.[6] En el proceso de un ataque, un atacante puede gastar en 90 % de un ataque en la fase de obtención de información, mientras que el 10 restante lo reservaría para el ataque en sí. [6]
  13. 13. INFORMATION GATHERING OLD SCHOOL Si estos análisis se le coloca habitualmente la etiqueta de vieja escuela, siguen siendo tan útiles y vigentes como el primer día, algunas de las técnicas tradicionales son las siguientes [2]: Consultas a Bases WHOIS Enumeración DNS Trasferencia de Zona DNS Trazados de Ruta Fingerprint de Aplicaciones y Sistemas Operativos Banner Grabbing
  14. 14. MÉTODOS Y HERRAMIENTAS Pasivos: No implican acción alguna contra ningún activo del objetivo. Activos: Implican una acción contra uno o varios activos del objetivo que van desde una simple navegación por la página Web a análisis Metagoofil/FOCA: Son dos herramientas que se aprovechan de los operadores site y filetpe para descargar archivos de Internet.
  15. 15. MÉTODOS Y HERRAMIENTAS Redes sociales: Hi5, MySpace, Facebook, Linkedin, etc. Maltego es un software desarrollado por Paterva, que permite obtener información acerca de infraestructura tecnológica, usuarios, e-mails, personas, teléfonos, etc.
  16. 16. ETHICAL HACKING Tipo de análisis de seguridad en donde los profesionales contratados intentan encontrar la mayor cantidad de fallas posibles en un sistema. Como de diseño, desarrollo, implementación o hasta incluso de uso.
  17. 17. ETHICAL HACKING Tratan de aprovecharlas para ganar privilegios y escalar dentro de los sistemas intentando acceder a información sensible a nuevos equipos. [7] La principal característica de este tipo de análisis es la creatividad del atacante para superar los controles habituales, y obviamente esto no se automatiza.
  18. 18. ETHICAL HACKING Un Ethical Hacking parte de la base fundamental de la autorización otorgada al profesional por parte del dueño o representante del sistema, donde se le permite realizar las pruebas necesarias a fin de encontrar fallas que permitan armar un plan de mejoras a la empresa.
  19. 19. IMPORTANCIA Al conocer el nivel de seguridad que se tiene en nuestra organización es mucho más sencillo, tomar decisiones y presentar medidas que puedan subsanar las deficiencias que presenta la empresa. [8] Los temas que se dieron dentro de la conferencia fueron de gran importancia ya que hoy en día son muchas las vulnerabilidades que existen en las empresas y que aún siguen en peligro de que su información esté expuesta.
  20. 20. CONCLUSIÓN Todos los temas que se dieron dentro de la conferencia fueron de gran importancia ya que hoy en día son muchas las vulnerabilidades que existen en las empresas y que aún siguen en peligro de que su información esté expuesta a personas que no tienen autorización para acceder a ella y seguir perdiendo miles de dólares. Lo más visto entre los ataques por el lado del cliente ha sido la ingeniería social.
  21. 21. REFERENCIAS BIBLIOGRÁFICAS[1] http://web.mac.com/stazon/portal/OSINT.html[2]Caracciolo Claudio, disponible en http://www.slideshare.net/eccutpl/seguridad-de-la- informacin-6447449?from=ss_embed[3] http://www.worldlingo.com/ma/enwiki/es/Open_Source_Intelligence[4] http://neosiglo-web.blogspot.com/2009/03/open-source-intelligence-osint-o.html[5]Teniente coronel David Umphress, 20 de febrero del 2010, disponible en http://haddensecurity.wordpress.com/2010/02/20/internet-y-la-reunion-de-inteligencia- de-fuentes-abiertas-osint/[6] Ramón Vinces, disponible en http://www.securecorner.net/2009/12/information- gathering.html[7]Caracciolo Claudio, 27 de julio 2010, disponible en http://cxo- community.com/articulos/blogs/blogs-seguridad-informatica/3237[8] Universidad Tecnológica del sur de Sonora, Agosto 2010, disponible en http://www.slideshare.net/jmacostarendon/seguridad-informatica-y-ethical-hacking[9]http://seguinfo.wordpress.com/category/campanas/[10] http://www.sisteseg.com/files/Microsoft_Word_-_Politica_Seguridad_Fisica.pdf
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×