Your SlideShare is downloading. ×
0
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Anti-phishing warriors
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Anti-phishing warriors

765

Published on

Charla impartida por Chema Alonso en el evento BlogCamp! que tuvo lugar en El Escorial los días 22, 23 y 24 de Septiembre.

Charla impartida por Chema Alonso en el evento BlogCamp! que tuvo lugar en El Escorial los días 22, 23 y 24 de Septiembre.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
765
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
17
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. AntiPhishingWarriors<br />Chema Alonso<br />Informática64<br />
  • 2. Phishing “clasico”<br />
  • 3. Phishing Troyanos <br />Pharming<br />Modifican archivo hosts<br />DNS Redirect<br />Cambian las respuestas de los DNS<br />Superposiciones<br />Pintan encima de la página<br />Man in The Browser<br />Cambian el código HTML de la página<br />
  • 4. Demo: Troyano Phishing<br />
  • 5.
  • 6. Ejemplos Apple<br />
  • 7. Rogue AV<br />
  • 8. Administrador de complementos en IE8/IE9<br />
  • 9. Phishing Dirigido<br />
  • 10. El camino del AMOR<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />tenor21@caballeros.com<br />POP3<br />HTTP<br />MAPI<br />IMAP<br />RPC/HTTPS<br />DNS<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />
  • 11. Campo del mensaje<br />Mail from: Emisor:<br />Rcpt to: Destinatario: <br />Servidor Correo Saliente de caballeros.com<br />tenor21@caballeros.com<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />
  • 12. El servidor DNS<br />Princesas.com<br /> MX AMSTRAD_6128 10<br />AMSTRAD_6128 A 64.64.64.64<br />Caballeros.com<br /> MX AMSTRAD_464 10 <br />AMSTRAD_464 A 164.164.164.164<br />DNS<br />
  • 13. Correos falsos<br />Simulan el campo Mail from:<br />Vienen desde servidores que no pertenecen a la empresa<br />No viene firmados digitalmente<br />
  • 14. ¿Cómo se asegura la princesa de que es su caballero quién le envía el mail?<br />
  • 15. El camino del AMORcon MX Reverse Lookup<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />tenor21@caballeros.com<br />POP3<br />HTTP<br />MAPI<br />IMAP<br />RPC/HTTPS<br />DNS<br />MX caballeros.com?<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />
  • 16. MX Reverse Lookup<br />Ventajas:<br />Sencillo de implementar<br />Sí garantiza servidor legítimo<br />No requiere cambios en la infraestructura<br />Inconvenientes<br />No todas las empresas envían por dónde reciben<br />No garantiza correos falsos<br />
  • 17. SPF/Sender ID<br />
  • 18. SPF/Sender ID<br />Sender ID:<br /><ul><li>Requiere registro TXT
  • 19. Cuatro modos:
  • 20. spf2.0/mfrom
  • 21. spf2.0/mfrom,pra
  • 22. spf2.0/pra,mfrom
  • 23. spf2.0/pra
  • 24. -all -> fail
  • 25. ~all -> Softfail
  • 26. ?all -> Neutral
  • 27. +all -> Pass
  • 28. PRA: Purported Responsible Address
  • 29. From
  • 30. Sender
  • 31. Resent-From
  • 32. Resent-Sender </li></ul>SPF:<br /><ul><li>Requiere registro TXT
  • 33. Sólo comprueba IP server y mail from:
  • 34. Se configura como v=spf1
  • 35. -all -> fail
  • 36. ~all -> Softfail
  • 37. ?all -> Neutral
  • 38. +all -> Pass</li></li></ul><li>El servidor DNS<br />Princesas.com<br />. MX AMSTRAD_6128 10<br />AMSTRAD_6128 A 64.64.64.64<br />SPF TXT “v=spf1 a:AMSTRAD_6128<br /> a:pasarela.princesas.com<br /> ipv4:64.64.64.1 –all”<br />Caballeros.com<br />. MX AMSTRAD_464 10 <br />AMSTRAD_464 A 164.164.164.164<br />SPF TXT “v=spf1 a:AMSTRAD_6128<br /> a:pasarela.princesas.com<br /> ipv4:64.64.64.1 –all”<br />DNS<br />
  • 39. El camino del AMORcon SPF/Sender ID<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />tenor21@caballeros.com<br />POP3<br />HTTP<br />MAPI<br />IMAP<br />RPC/HTTPS<br />DNS<br />SPF caballeros.com?<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />
  • 40. Demo Phishing SPF<br />
  • 41. Publicidad<br />
  • 42. Publicidad<br />
  • 43. Publicidad & Phishing<br />
  • 44. DKIM<br />Domain Keys Identified Mail<br />Se basa en PKI<br />Los correos que salen de un servidor son firmados digitalmente.<br />La clave pública del servidor firmante está en el servidor DNS<br />
  • 45. El camino del AMORcon DKIM<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />tenor21@caballeros.com<br />POP3<br />HTTP<br />MAPI<br />IMAP<br />RPC/HTTPS<br />DNS<br />clave caballeros.com?<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />Garantizado<br />
  • 46. El servidor DNS<br />Princesas.com<br />. MX AMSTRAD_6128 10<br />AMSTRAD_6128 A 64.64.64.64<br />SPF TXT “v=spf1 a:AMSTRAD_6128<br /> a:pasarela.princesas.com<br /> ipv4:64.64.64.1 –all”<br />_domainkey.Princesas.com<br />. TXT o=-<br />Clave1 TXT “afjasjf8923kj4kjd8ukl…”<br />Calve2 TXT “adskf8924509uijfkadf..”<br />Caballeros.com<br />. MX AMSTRAD_464 10 <br />AMSTRAD_464 A 164.164.164.164<br />SPF TXT “v=spf1 a:AMSTRAD_6128<br /> a:pasarela.princesas.com<br /> ipv4:64.64.64.1 –all”<br />_domainkey.Caballeros.com<br />. TXT o=-<br />c256 TXT “fghdfgh8923kj4kjd8ukl…”<br />C512 TXT “dghdfghf09uijfghgfkadf..”<br />DNS<br />
  • 47. DKIM<br />Ventajas<br />Basado en PKI<br />Garantiza la salida desde un servidor<br />Inconvenientes<br />Requiere una cabecera extra<br />Mantenimiento de claves en servidores<br />Si no llega firmado el mail es normal, DKIM es un encabezado extra.<br />
  • 48. Mutual TLS<br />Implementado entre sistemas Exchange <br />Utiliza PKI<br />Cifra y autentica comunicaciones entre servidores por medio de certificados digitales<br />Transparente al usuario<br />
  • 49. IE 9 & Hotmail Wave 4:SmartScreen: Protección ante phishing y malware (I)<br /><ul><li> Todos los navegadores incorporan un sistema de protección contra malware.
  • 50. Los tiempos de respuesta de Opera respecto a los demás está muy distante.</li></li></ul><li>IE 9 & Hotmail Wave 4 :SmartScreen: Protección ante phishing y malware (II)<br />Detección de malware por cada uno de los navegadores<br />
  • 51. IE 9 & Hotmail Wave 4: SmartScreen: Protección ante phishing y malware (III)<br />
  • 52. IE9: DownloadReputation<br />
  • 53. ¿Preguntas?<br />Chema Alonso<br />chema@informatica64.com<br />http://twitter.com/chemaalonso<br />http://www.informatica64.com<br />Todas mis tonterías en mis blogs:<br />http://elladodelmal.blogspot.com<br />http://www.windowstecnico.com<br />

×