Perú 440 piso 7 Depto. T - Capital Federal, Buenos Aires // Tel. (+5411) 5218-2858/2859 // www.root-secure.com

Web 2.0 Information Disclosure "Webear puede costar caro” Ezequiel M. Sallis CISSP/CEH Claudio B. Caracciolo CEH/MCSE

http://creativecommons.org/licenses/by-nc-sa/2.5/ar/ Ud. puede: Copiar, distribuir, exhibir, y ejecutar la obra Hacer obras derivadas Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma especificada por el autor No Comercial. No puede usar esta obra con fines comerciales. Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta. Licencia de uso: Creative Commons 2.5 Argentina

http://creativecommons.org/licenses/by-nc-sa/2.5/ar/

Ud. puede:

Copiar, distribuir, exhibir, y ejecutar la obra

Hacer obras derivadas

Bajo las siguientes condiciones:

Atribución. Debe atribuir la obra en la forma especificada por el autor

No Comercial. No puede usar esta obra con fines comerciales.

Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Perú 440 piso 7 Depto. T - Capital Federal, Bs As // Tel. (+5411) 5218-2858 // www.root-secure.com La primer Etapa de un Penetration Test o de un Ethical Hacking, es conocida como La Etapa de Reconocimiento. En dicha Etapa, la primer tarea se relaciona con una técnica conocida como Information Gathering, donde el objetivo de la misma es hallar la mayor cantidad de información posible sobre el objetivo… Si ustedes quisieran armar el Profile de una persona o de una empresa… por donde empezarían??

En Internet…

Lo primero que podemos ver es que las Redes Sociales, los Foros, los Juegos On Line, las herramientas On Line, etc etc… conforman los repositorios de información relacionada con la administración de identidad, mas grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas . Podemos Encontrar herramientas para publicar: Información personal Información orientada al ocio Información orientada a lo laboral Relaciones personales Opiniones Fotos Documentos Notas

Información personal

Información orientada al ocio

Información orientada a lo laboral

Relaciones personales

Opiniones

Fotos

Documentos

Notas

El usuario tiende a cargar información a través de estas herramientas Pero con mucha ingenuidad y con una visión generalmente, despreocupada o ausente de conciencia.

Open Source Intelligence (OSInt): Es una disciplina útil para procesar información, esta relacionada con encontrar, seleccionar y adquirir información de fuentes publicas, para que esta sea analizada y se pueda utilizar para acciones de inteligencia. Si bien esto puede solo parecer estar relacionado con esferas gubernamentales y militares, la disciplina de la inteligencia competitiva es el ejemplo de que esto también de aplica en el mundo de los negocios.

Agregar: Se refiere al proceso a través del cual se puede obtener información a la que no se tiene acceso mediante la utilización de datos a los que si se puede acceder. La información combinada tiene un nivel de sensibilidad mayor que las partes que la componen. Inferir: Se refiere al resultado de generar nueva información basándose en la ya existente y disponible.

Ingeniería Social Robo de Identidad - Fake Profile Stalking Bullying Espionaje Corporativo Las consecuencias de la ejecución efectiva de las técnicas antes mencionadas, ponen en evidencia el riesgo al que expone inocentemente un usuario a su organización o a si mismo, tan solo por no interactuar de manera adecuada en el mundo WEB 2.0.

No Need “for Old School Hacker Skills” No Need “for firewall evasion” No Need “for IDS evasion” No Need “for 0 Day Exploit”. No Need “for Buffer Over Flow”. WEB 2.0 + Usuario Final = “Webear cuesta caro”

Sino Nos Creen… Asistan al taller mañana y vean esto…

Todo comenzó con una simple búsqueda en Google...

...y termino con un simple acceso a la base de datos.

...que además le podemos sumar imágenes de la oficina... Video

...o datos reales sobre configuraciones de los equipos...

Google Hack Calendar Flavor: “ Lunes 10/08 Cambiar Password” “ El Tipo de Seguridad me dijo que NO la anote debajo del teclado pero nunca hablo de NO Publicarla…”

Google Hack Calendar Flavor: New on Google APPS!!! “ Google ABM Application”

Google Hack Calendar Flavor: New Google Alert Service!!! “ Estas Despedido !!! enterate en Google Calendar”

Google Hack Calendar Flavor: Secretos en reunión...

Google Hack Calendar Flavor: Convocatoria Reunión Gerencia… “ Gerentes, Jefes y el resto de los habitantes de la Web”

Y por casa como andamos ??? THINK BEFORE YOU POST...!!!

La efectividad de los controles técnicos, depende en gran medida de la colaboración del Usuario. Revise su plan se seguridad y vea que prioridad ocupa la educación de sus usuarios... Lo que acabamos de ver no se soluciona con un parche de seguridad, debe trabajarse a través de la educación de los usuarios, de la capacitación… No para la vida en la empresa solamente, sino también para tratar las nuevas tecnologías “ Todos somos ignorantes pero no todos ignoramos las mismas cosas”

Webear puede costar caro Muchas Gracias por su Atención Perú 440 piso 7 Depto. T - Capital Federal, Buenos Aires // Tel. (+5411) 5218-2858/2859 // www.root-secure.com