Root Secure Information Disclosure
Upcoming SlideShare
Loading in...5
×
 

Root Secure Information Disclosure

on

  • 2,297 views

Formas de obtener información pública a través de Internet

Formas de obtener información pública a través de Internet

Statistics

Views

Total Views
2,297
Views on SlideShare
2,294
Embed Views
3

Actions

Likes
0
Downloads
112
Comments
0

1 Embed 3

http://www.slideshare.net 3

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Root Secure Information Disclosure Root Secure Information Disclosure Presentation Transcript

  • Perú 440 piso 7 Depto. T - Capital Federal, Buenos Aires // Tel. (+5411) 5218-2858/2859 // www.root-secure.com
  • Web 2.0 Information Disclosure "Webear puede costar caro” Ezequiel M. Sallis CISSP/CEH Claudio B. Caracciolo CEH/MCSE
    • http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
      • Ud. puede:
      • Copiar, distribuir, exhibir, y ejecutar la obra
      • Hacer obras derivadas
      • Bajo las siguientes condiciones:
      • Atribución. Debe atribuir la obra en la forma especificada por el autor
      • No Comercial. No puede usar esta obra con fines comerciales.
      • Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.
    Licencia de uso: Creative Commons 2.5 Argentina
  • Perú 440 piso 7 Depto. T - Capital Federal, Bs As // Tel. (+5411) 5218-2858 // www.root-secure.com La primer Etapa de un Penetration Test o de un Ethical Hacking, es conocida como La Etapa de Reconocimiento. En dicha Etapa, la primer tarea se relaciona con una técnica conocida como Information Gathering, donde el objetivo de la misma es hallar la mayor cantidad de información posible sobre el objetivo… Si ustedes quisieran armar el Profile de una persona o de una empresa… por donde empezarían??
  • En Internet…
  • Lo primero que podemos ver es que las Redes Sociales, los Foros, los Juegos On Line, las herramientas On Line, etc etc… conforman los repositorios de información relacionada con la administración de identidad, mas grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas . Podemos Encontrar herramientas para publicar:
    • Información personal
    • Información orientada al ocio
    • Información orientada a lo laboral
    • Relaciones personales
    • Opiniones
    • Fotos
    • Documentos
    • Notas
  • El usuario tiende a cargar información a través de estas herramientas Pero con mucha ingenuidad y con una visión generalmente, despreocupada o ausente de conciencia.
  • Open Source Intelligence (OSInt): Es una disciplina útil para procesar información, esta relacionada con encontrar, seleccionar y adquirir información de fuentes publicas, para que esta sea analizada y se pueda utilizar para acciones de inteligencia. Si bien esto puede solo parecer estar relacionado con esferas gubernamentales y militares, la disciplina de la inteligencia competitiva es el ejemplo de que esto también de aplica en el mundo de los negocios.
  • Agregar: Se refiere al proceso a través del cual se puede obtener información a la que no se tiene acceso mediante la utilización de datos a los que si se puede acceder. La información combinada tiene un nivel de sensibilidad mayor que las partes que la componen. Inferir: Se refiere al resultado de generar nueva información basándose en la ya existente y disponible.
  • Ingeniería Social Robo de Identidad - Fake Profile Stalking Bullying Espionaje Corporativo Las consecuencias de la ejecución efectiva de las técnicas antes mencionadas, ponen en evidencia el riesgo al que expone inocentemente un usuario a su organización o a si mismo, tan solo por no interactuar de manera adecuada en el mundo WEB 2.0.
  • No Need “for Old School Hacker Skills” No Need “for firewall evasion” No Need “for IDS evasion” No Need “for 0 Day Exploit”. No Need “for Buffer Over Flow”. WEB 2.0 + Usuario Final = “Webear cuesta caro”
  • Sino Nos Creen… Asistan al taller mañana y vean esto…
  • Todo comenzó con una simple búsqueda en Google...
  • ...y termino con un simple acceso a la base de datos.
  • ...que además le podemos sumar imágenes de la oficina... Video
  • ...o datos reales sobre configuraciones de los equipos...
  • Google Hack Calendar Flavor: “ Lunes 10/08 Cambiar Password” “ El Tipo de Seguridad me dijo que NO la anote debajo del teclado pero nunca hablo de NO Publicarla…”
  • Google Hack Calendar Flavor: New on Google APPS!!! “ Google ABM Application”
  • Google Hack Calendar Flavor: New Google Alert Service!!! “ Estas Despedido !!! enterate en Google Calendar”
  • Google Hack Calendar Flavor: Secretos en reunión...
  • Google Hack Calendar Flavor: Convocatoria Reunión Gerencia… “ Gerentes, Jefes y el resto de los habitantes de la Web”
  • Y por casa como andamos ??? THINK BEFORE YOU POST...!!!
  • La efectividad de los controles técnicos, depende en gran medida de la colaboración del Usuario. Revise su plan se seguridad y vea que prioridad ocupa la educación de sus usuarios... Lo que acabamos de ver no se soluciona con un parche de seguridad, debe trabajarse a través de la educación de los usuarios, de la capacitación… No para la vida en la empresa solamente, sino también para tratar las nuevas tecnologías “ Todos somos ignorantes pero no todos ignoramos las mismas cosas”
  • Webear puede costar caro Muchas Gracias por su Atención Perú 440 piso 7 Depto. T - Capital Federal, Buenos Aires // Tel. (+5411) 5218-2858/2859 // www.root-secure.com