SlideShare a Scribd company logo

FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS

Download as PPTX, PDF
Oscar Padial Diaz
Oscar Padial Diaz

En esta presentación se pretende mostrar la facilidad que tiene un atacante para conseguir información de nuestra entidad a través de fuentes de acceso público y adquirir una inteligencia extra para su ataque.

Technology
1 of 25
FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS COMO NO DARLE PISTAS AL ENEMIGO OSCAR PADIAL DIAZ
¿ COMO OBTENER INTELIGENCIAATRAVÉS DE FUENTES DEACCESO PÚBLICO? OSINT (OPEN SOURCE INTELLIGENCE) Inteligencia/Conocimiento obtenido recopilando información a través de fuentes de acceso publico. Con el crecimiento tecnológico y la facilidad de publicación de contenidos a través de diferentes medios (redes sociales, web..) se ha favorecido el aumento de la información de acceso público. Requisitos Fuentes de Información Adquisición Procesamiento AnálisisInteligencia
“A MAYOR CANTIDAD DE INFORMACIÓN MAYOR PROBABILIDAD DE ÉXITO TENDRÁ UN ATAQUE POSTERIOR” • TÉCNICAS DE FOOTPRINTING • TÉCNICAS DE FINGERPRINTING • ANÁLISIS DE METADATOS
TÉCNICAS DE FOOTPRINTING: Técnicas orientadas a la búsqueda y recolección de la información accesible de forma pública relacionada con el dominio a auditar. Ej. Información obtenida de consultas DNS
Footprinting de DNS • Obtener información de consultas DNS a través de nslookup
Footprinting de DNS • Transferencia de zona : • Nos permite tener una copia de todo el archivo de zona (mapa de zona) de un DNS en un servidor secundario • Solo debería estar permitido hacer una transferencia de zona al servidor secundario.
• Utilizando el comando ls
• Utilizando el comando dig
• CONFIGURACIÓN CORRECTA: • Utilizar el comando allow-transfer para limitar la IP
TÉCNICAS DE FINGERPRINTING • Recopilar información que también es accesible de forma publica pero que a priori no puede observarse y debe ser descubierta mediante inteligencia o pruebas previas. • Obtener información analizando el comportamiento que tiene un sistema ante determinados estímulos. • Ej: Un atacante necesita saber el sistema operativo de la víctima y la versión del navegador de Internet para poder ajustar sus exploits y explotar las vulnerabilidad del sistema.
• ¿Cómo saber la versión del sistema operativo? Nmap –O
• ¿Cómo saber versión servidor Web? Análisis de banner MUY RECOMENDABLE APLICAR SEGURIDAD EN LOS BANNER REDUCIENDO LA CANTIDAD DE INFORMACIÓN A MOSTRAR
ANÁLISIS DE METADATOS Datos que contienen información relativa a un documento o fichero concreto. Muy útiles para catalogar la información y facilitar su localización, ya que la información que incorporan se utiliza para optimizar las búsquedas, y son utilizados de forma masiva por Sistemas de Gestión Documental de las compañías y motores de búsquedas de Internet. Podrían convertirse en un riesgo potencial si al distribuir o publicar documentos en Internet no son gestionados de forma adecuada Ej. Un atacante podría analizar los documentos públicos de un dominio para intentar aprovecharse de un bug de esa versión del office.
ANÁLISIS DE METADATOS • El mayor incidente de seguridad sufrido por el pentágono se produjo al insertar un pendrive en un portátil de uno de sus trabajadores mientras se encontraba en una misión en Oriente Próximo http://phys.org/news201978152.html
ANÁLISIS DE METADATOS UTILIZANDO EL ANÁLISIS DE METADATOS PARA PREPARAR UN ATAQUE DIRIGIDO (APT) • OBJETIVO: Dar un pendrive con un malware a un usuario concreto. • SITUACIÓN IDEAL: El usuario debería tener un sistema operativo que estuviera lo menos protegido posible contra ataques basados en autorun de pendrives o con una debilidad conocida. Debería tener acceso a servidores de la organización donde se pudiera copiar dicho Malware. • CONTRA MÁS INFORMACIÓN PODAMOS OBTENER DE LOS EQUIPOS INTERNOS, ESTRUCTURA DE LA RED, GESTIÓN DE SISTEMAS, USUARIOS, ETC. MEJOR SE PODRÁ PREPARAR EL MALWARE A MEDIDA.
ANÁLISIS DE METADATOS UTILIZANDO EL ANÁLISIS DE METADATOS PARA PREPARAR UN ATAQUE DIRIGIDO (APT)
ANÁLISIS DE METADATOS BORRADO DE METAINFORMACIÓN DE DOCUMENTOS OFIMÁTICOS DE FORMA MANUAL:
ANÁLISIS DE METADATOS DE OBLIGADO CUMPLIMIENTO EN LA ADMINISTRACIÓN PÚBLICA:
ANÁLISIS DE METADATOS RIESGOS DE UNA MALA GESTIÓN DE METADATOS PIRATERÍA DE SOFTWARE • Estudio forense solicitado por Microsoft para evidenciar las sospechas de que una compañía pueda estar incurriendo en un delito de uso ilegal de software: • En este caso simplemente con analizar los documentos publicados en la web de la compañía en cuestión con un software que nos permitiese analizar los METADATOS de dichos documentos podríamos tener información de las diferentes versiones de software que se ha utilizado para la realización de dichos documentos.
ANÁLISIS DE METADATOS
ANÁLISIS DE METADATOS RIESGOS DE UNA MALA GESTIÓN DE METADATOS LOCALIZAR A UN CIBERDELINCUENTE • En este caso un cibercelincuente logró vulnerar la seguridad de varios sitios web pertenecientes a la policía de Estados Unidos. Publicó datos privados en su cuenta de Twitter obtenidos en esas incursiones. • Tras comprometer los servidores, el atacante sustituía la web original por una página con la foto de una señorita mostrando un cartel en el que aparecía en nickname del ciberdelincuente.
En este caso el ciberdelincuente en cuestión se olvido de borrar los metadatos de la imagen y con las cordinadas GPS se le pudo localizar.
ANÁLISIS DE METADATOS RIESGOS DE UNA MALA GESTIÓN DE METADATOS EL PLIEGO DE CONDICIONES LO REDACTA LA EMPRESA ADJUDICATARIA: Caso real del Ayuntamiento de Leganés. Donde se analizaron los metadatos de la adjudicación de un concurso público y se puedo obtener la información que acreditaba que el creador del documento del pliego de condiciones pertenecía a la empresa adjudicataria.
COMO EVITAR DAR MÁS PISTAS ALATACANTE • CONTRAMEDIDAS TECNICAS: Firewalls, IDS/IPS, VLAN, etc. • POLÍTICAS PREVENTIVAS QUE DICTEN EL USO CORRECTO Y GESTIÓN DE LA INFORMACIÓN DE LA EMPRESA • POLÍTICAS PARA EL BORRADO DE METAINFORMACIÓN DE FICHEROS PÚBLICOS • POLÍTICAS DE ACTUALIZACIÓNES DE SOFTWARE • EDUCAR Y CONCIENCIAR A EMPLEADOS SOBRE LOS MÉTODOS DE INGENIERIA SOCIAL UTILIZADOS HOY EN DÍA (PHISHING, FALSOS ANTIVIRUS, ETC.)
MUCHAS GRACIAS A TOD@S

Recommended

Gathering tools
Gathering toolsGathering tools
Gathering toolsOscar Padial Diaz
 
9.1 security attacks
9.1 security attacks9.1 security attacks
9.1 security attacksEdwin Vargas
 
Hacking ético e integridad de la información
Hacking ético e integridad de la informaciónHacking ético e integridad de la información
Hacking ético e integridad de la informaciónFernando Pico
 
Hacking
HackingHacking
Hackingssuserd9fe45
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
 
Malware, botnet y y cibercrimen
Malware, botnet y y cibercrimenMalware, botnet y y cibercrimen
Malware, botnet y y cibercrimenCristian Borghello
 
Unidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infUnidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infivannesberto
 
Lectura crítica en internet balardini paz
Lectura crítica en internet balardini pazLectura crítica en internet balardini paz
Lectura crítica en internet balardini pazVicu Balardini
 

Recommended

Gathering tools
Gathering toolsGathering tools
Gathering toolsOscar Padial Diaz
 
9.1 security attacks
9.1 security attacks9.1 security attacks
9.1 security attacksEdwin Vargas
 
Hacking ético e integridad de la información
Hacking ético e integridad de la informaciónHacking ético e integridad de la información
Hacking ético e integridad de la informaciónFernando Pico
 
Hacking
HackingHacking
Hackingssuserd9fe45
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
 
Malware, botnet y y cibercrimen
Malware, botnet y y cibercrimenMalware, botnet y y cibercrimen
Malware, botnet y y cibercrimenCristian Borghello
 
Unidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infUnidad2 tipos de hacking 3ero inf
Unidad2 tipos de hacking 3ero infivannesberto
 
Lectura crítica en internet balardini paz
Lectura crítica en internet balardini pazLectura crítica en internet balardini paz
Lectura crítica en internet balardini pazVicu Balardini
 
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoCybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoWiktor Nykiel ✔
 
Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertasemilianox
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaceliaflores
 
CRACKERS
CRACKERSCRACKERS
CRACKERSmayraq302
 
Hacking
Hacking Hacking
Hacking juanjaviertic
 
S12 hack-kali linux crunch hydra y medusa p2
S12 hack-kali linux crunch hydra y medusa p2S12 hack-kali linux crunch hydra y medusa p2
S12 hack-kali linux crunch hydra y medusa p2Luis Fernando Aguas Bucheli
 
Data mining
Data miningData mining
Data miningDateGames
 
Ingenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerIngenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerYolanda Corral
 
S9 hack-search diggity. p1
S9 hack-search diggity. p1S9 hack-search diggity. p1
S9 hack-search diggity. p1Luis Fernando Aguas Bucheli
 
Cracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical HackingCracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical HackingMartha Gonzalez
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remingtoncarolinaromero05
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseManuel Mujica
 
Los virus informáticos
Los virus informáticosLos virus informáticos
Los virus informáticosSebastian G
 
La nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasLa nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasFundación Proydesa
 
Por qué es necesario mantener las aplicaciones actualizadas
Por qué es necesario mantener las aplicaciones actualizadasPor qué es necesario mantener las aplicaciones actualizadas
Por qué es necesario mantener las aplicaciones actualizadasDaniel Reyes H
 
OSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesOSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesemilianox
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSELuis Maduro
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecurityZink Security
 
Seguridad en internet y telefonia celular
Seguridad en internet y telefonia celularSeguridad en internet y telefonia celular
Seguridad en internet y telefonia celularsofivaretti
 
Seguridad En Internet
Seguridad En InternetSeguridad En Internet
Seguridad En InternetDiza
 

More Related Content

What's hot

Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoCybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoWiktor Nykiel ✔
 
Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertasemilianox
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaceliaflores
 
Ingenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerIngenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerYolanda Corral
 
Cracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical HackingCracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical HackingMartha Gonzalez
 
Los virus informáticos
Los virus informáticosLos virus informáticos
Los virus informáticosSebastian G
 
La nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasLa nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasFundación Proydesa
 
Por qué es necesario mantener las aplicaciones actualizadas
Por qué es necesario mantener las aplicaciones actualizadasPor qué es necesario mantener las aplicaciones actualizadas
Por qué es necesario mantener las aplicaciones actualizadasDaniel Reyes H
 
OSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesOSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesemilianox
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSELuis Maduro
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 

What's hot (18)

Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hagoCybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
Cybercamp17 Threat Intelligence - Desde qué es hasta cómo lo hago
 
Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
CRACKERS
CRACKERSCRACKERS
CRACKERS
 
Hacking
Hacking Hacking
Hacking
 
S12 hack-kali linux crunch hydra y medusa p2
S12 hack-kali linux crunch hydra y medusa p2S12 hack-kali linux crunch hydra y medusa p2
S12 hack-kali linux crunch hydra y medusa p2
 
Data mining
Data miningData mining
Data mining
 
Ingenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #PalabradehackerIngenieria social, el arte de atacar al eslabón más débil #Palabradehacker
Ingenieria social, el arte de atacar al eslabón más débil #Palabradehacker
 
S9 hack-search diggity. p1
S9 hack-search diggity. p1S9 hack-search diggity. p1
S9 hack-search diggity. p1
 
Cracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical HackingCracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical Hacking
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remington
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Los virus informáticos
Los virus informáticosLos virus informáticos
Los virus informáticos
 
La nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasLa nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuencias
 
Por qué es necesario mantener las aplicaciones actualizadas
Por qué es necesario mantener las aplicaciones actualizadasPor qué es necesario mantener las aplicaciones actualizadas
Por qué es necesario mantener las aplicaciones actualizadas
 
OSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigacionesOSINT e Ingeniería Social aplicada a las investigaciones
OSINT e Ingeniería Social aplicada a las investigaciones
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSE
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
 

Viewers also liked

Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecurityZink Security
 
Seguridad en internet y telefonia celular
Seguridad en internet y telefonia celularSeguridad en internet y telefonia celular
Seguridad en internet y telefonia celularsofivaretti
 
Seguridad En Internet
Seguridad En InternetSeguridad En Internet
Seguridad En InternetDiza
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesZink Security
 
Encuesta sobre hábitos de uso y seguridad de internet de menores y jóvenes en...
Encuesta sobre hábitos de uso y seguridad de internet de menores y jóvenes en...Encuesta sobre hábitos de uso y seguridad de internet de menores y jóvenes en...
Encuesta sobre hábitos de uso y seguridad de internet de menores y jóvenes en...Apasionados del Marketing
 
Ciberinvestigacion consejos para una buena protección digital por onbranding
Ciberinvestigacion consejos para una buena protección digital por onbrandingCiberinvestigacion consejos para una buena protección digital por onbranding
Ciberinvestigacion consejos para una buena protección digital por onbrandingSelva Orejón
 
Seguridad en internet y redes sociales
Seguridad en internet y redes socialesSeguridad en internet y redes sociales
Seguridad en internet y redes socialesCapestella
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 

Viewers also liked (11)

Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
 
Seguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink SecuritySeguridad en internet por ESET y Zink Security
Seguridad en internet por ESET y Zink Security
 
Seguridad en internet y telefonia celular
Seguridad en internet y telefonia celularSeguridad en internet y telefonia celular
Seguridad en internet y telefonia celular
 
Seguridad En Internet
Seguridad En InternetSeguridad En Internet
Seguridad En Internet
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
 
Encuesta sobre hábitos de uso y seguridad de internet de menores y jóvenes en...
Encuesta sobre hábitos de uso y seguridad de internet de menores y jóvenes en...Encuesta sobre hábitos de uso y seguridad de internet de menores y jóvenes en...
Encuesta sobre hábitos de uso y seguridad de internet de menores y jóvenes en...
 
Ciberinvestigacion consejos para una buena protección digital por onbranding
Ciberinvestigacion consejos para una buena protección digital por onbrandingCiberinvestigacion consejos para una buena protección digital por onbranding
Ciberinvestigacion consejos para una buena protección digital por onbranding
 
Seguridad en internet y redes sociales
Seguridad en internet y redes socialesSeguridad en internet y redes sociales
Seguridad en internet y redes sociales
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012
 

Similar to FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS

seguridad en informatica
seguridad en informaticaseguridad en informatica
seguridad en informaticajorgeivantombe
 
Seguridad en redes. Conf1
Seguridad en redes. Conf1Seguridad en redes. Conf1
Seguridad en redes. Conf1Orestes Febles
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grcbalejandre
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadJesusalbertocalderon1
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaJamFaVelasco
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxJeryBrand
 
El valor del filtrado por DNS en el sistema de seguridad de la información en...
El valor del filtrado por DNS en el sistema de seguridad de la información en...El valor del filtrado por DNS en el sistema de seguridad de la información en...
El valor del filtrado por DNS en el sistema de seguridad de la información en...SafeDNS
 
cómo diseñar un plan de defensa para su pyme
cómo diseñar un plan de defensa para su pymecómo diseñar un plan de defensa para su pyme
cómo diseñar un plan de defensa para su pymeDnielOjlvoCnedo
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 

Similar to FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS (20)

seguridad en informatica
seguridad en informaticaseguridad en informatica
seguridad en informatica
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Seguridad en redes. Conf1
Seguridad en redes. Conf1Seguridad en redes. Conf1
Seguridad en redes. Conf1
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grc
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
 
Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptx
 
Presentación1
Presentación1Presentación1
Presentación1
 
Presentación1
Presentación1Presentación1
Presentación1
 
El valor del filtrado por DNS en el sistema de seguridad de la información en...
El valor del filtrado por DNS en el sistema de seguridad de la información en...El valor del filtrado por DNS en el sistema de seguridad de la información en...
El valor del filtrado por DNS en el sistema de seguridad de la información en...
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
cómo diseñar un plan de defensa para su pyme
cómo diseñar un plan de defensa para su pymecómo diseñar un plan de defensa para su pyme
cómo diseñar un plan de defensa para su pyme
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
SEGURIDAD EN REDES
SEGURIDAD EN REDESSEGURIDAD EN REDES
SEGURIDAD EN REDES
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 

Recently uploaded

Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .itzyrivera61103
 
¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf7adelosriosarangojua
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónAntonia Yamilet Perez Palomares
 
Unidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfUnidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfMarianneBAyn
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxdoloresolmosantiago
 
manual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdfmanual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdfprofmartinsuarez
 
taller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariataller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariaandresingsiseo
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialEducática
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).jcaballerosamayoa
 
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...Kevin Serna
 
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUALJORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUALGuadalinfoHuscarGuad
 
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .llocllajoaquinci00
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometriasofiasonder
 
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiCVelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC6dwwcgtpfx
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareAndres Avila
 
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnaTELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnajrujel91
 
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptxNIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptxjarniel1
 
Introducción a la robótica con arduino..pptx
Introducción a la robótica con arduino..pptxIntroducción a la robótica con arduino..pptx
Introducción a la robótica con arduino..pptxJohanna4222
 
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...Luis Fernando Uribe Villamil
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesssuserbe0d1c
 

Recently uploaded (20)

Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana .
 
¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf¡Mira mi nuevo diseño hecho en Canva!.pdf
¡Mira mi nuevo diseño hecho en Canva!.pdf
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
 
Unidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfUnidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdf
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptx
 
manual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdfmanual-de-oleohidraulica-industrial-vickers.pdf
manual-de-oleohidraulica-industrial-vickers.pdf
 
taller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariataller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundaria
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicial
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).
 
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
 
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUALJORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
 
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometria
 
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiCVelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de Software
 
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnaTELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
 
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptxNIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
 
Introducción a la robótica con arduino..pptx
Introducción a la robótica con arduino..pptxIntroducción a la robótica con arduino..pptx
Introducción a la robótica con arduino..pptx
 
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptuales
 

FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS

  • 1. FUGAS DE INFORMACIÓN Y CONTROL DE METADATOS COMO NO DARLE PISTAS AL ENEMIGO OSCAR PADIAL DIAZ
  • 2. ¿ COMO OBTENER INTELIGENCIAATRAVÉS DE FUENTES DEACCESO PÚBLICO? OSINT (OPEN SOURCE INTELLIGENCE) Inteligencia/Conocimiento obtenido recopilando información a través de fuentes de acceso publico. Con el crecimiento tecnológico y la facilidad de publicación de contenidos a través de diferentes medios (redes sociales, web..) se ha favorecido el aumento de la información de acceso público. Requisitos Fuentes de Información Adquisición Procesamiento AnálisisInteligencia
  • 3. “A MAYOR CANTIDAD DE INFORMACIÓN MAYOR PROBABILIDAD DE ÉXITO TENDRÁ UN ATAQUE POSTERIOR” • TÉCNICAS DE FOOTPRINTING • TÉCNICAS DE FINGERPRINTING • ANÁLISIS DE METADATOS
  • 4. TÉCNICAS DE FOOTPRINTING: Técnicas orientadas a la búsqueda y recolección de la información accesible de forma pública relacionada con el dominio a auditar. Ej. Información obtenida de consultas DNS
  • 5. Footprinting de DNS • Obtener información de consultas DNS a través de nslookup
  • 6. Footprinting de DNS • Transferencia de zona : • Nos permite tener una copia de todo el archivo de zona (mapa de zona) de un DNS en un servidor secundario • Solo debería estar permitido hacer una transferencia de zona al servidor secundario.
  • 7. • Utilizando el comando ls
  • 8. • Utilizando el comando dig
  • 9. • CONFIGURACIÓN CORRECTA: • Utilizar el comando allow-transfer para limitar la IP
  • 10. TÉCNICAS DE FINGERPRINTING • Recopilar información que también es accesible de forma publica pero que a priori no puede observarse y debe ser descubierta mediante inteligencia o pruebas previas. • Obtener información analizando el comportamiento que tiene un sistema ante determinados estímulos. • Ej: Un atacante necesita saber el sistema operativo de la víctima y la versión del navegador de Internet para poder ajustar sus exploits y explotar las vulnerabilidad del sistema.
  • 11. • ¿Cómo saber la versión del sistema operativo? Nmap –O
  • 12. • ¿Cómo saber versión servidor Web? Análisis de banner MUY RECOMENDABLE APLICAR SEGURIDAD EN LOS BANNER REDUCIENDO LA CANTIDAD DE INFORMACIÓN A MOSTRAR
  • 13. ANÁLISIS DE METADATOS Datos que contienen información relativa a un documento o fichero concreto. Muy útiles para catalogar la información y facilitar su localización, ya que la información que incorporan se utiliza para optimizar las búsquedas, y son utilizados de forma masiva por Sistemas de Gestión Documental de las compañías y motores de búsquedas de Internet. Podrían convertirse en un riesgo potencial si al distribuir o publicar documentos en Internet no son gestionados de forma adecuada Ej. Un atacante podría analizar los documentos públicos de un dominio para intentar aprovecharse de un bug de esa versión del office.
  • 14. ANÁLISIS DE METADATOS • El mayor incidente de seguridad sufrido por el pentágono se produjo al insertar un pendrive en un portátil de uno de sus trabajadores mientras se encontraba en una misión en Oriente Próximo http://phys.org/news201978152.html
  • 15. ANÁLISIS DE METADATOS UTILIZANDO EL ANÁLISIS DE METADATOS PARA PREPARAR UN ATAQUE DIRIGIDO (APT) • OBJETIVO: Dar un pendrive con un malware a un usuario concreto. • SITUACIÓN IDEAL: El usuario debería tener un sistema operativo que estuviera lo menos protegido posible contra ataques basados en autorun de pendrives o con una debilidad conocida. Debería tener acceso a servidores de la organización donde se pudiera copiar dicho Malware. • CONTRA MÁS INFORMACIÓN PODAMOS OBTENER DE LOS EQUIPOS INTERNOS, ESTRUCTURA DE LA RED, GESTIÓN DE SISTEMAS, USUARIOS, ETC. MEJOR SE PODRÁ PREPARAR EL MALWARE A MEDIDA.
  • 16. ANÁLISIS DE METADATOS UTILIZANDO EL ANÁLISIS DE METADATOS PARA PREPARAR UN ATAQUE DIRIGIDO (APT)
  • 17. ANÁLISIS DE METADATOS BORRADO DE METAINFORMACIÓN DE DOCUMENTOS OFIMÁTICOS DE FORMA MANUAL:
  • 18. ANÁLISIS DE METADATOS DE OBLIGADO CUMPLIMIENTO EN LA ADMINISTRACIÓN PÚBLICA:
  • 19. ANÁLISIS DE METADATOS RIESGOS DE UNA MALA GESTIÓN DE METADATOS PIRATERÍA DE SOFTWARE • Estudio forense solicitado por Microsoft para evidenciar las sospechas de que una compañía pueda estar incurriendo en un delito de uso ilegal de software: • En este caso simplemente con analizar los documentos publicados en la web de la compañía en cuestión con un software que nos permitiese analizar los METADATOS de dichos documentos podríamos tener información de las diferentes versiones de software que se ha utilizado para la realización de dichos documentos.
  • 21. ANÁLISIS DE METADATOS RIESGOS DE UNA MALA GESTIÓN DE METADATOS LOCALIZAR A UN CIBERDELINCUENTE • En este caso un cibercelincuente logró vulnerar la seguridad de varios sitios web pertenecientes a la policía de Estados Unidos. Publicó datos privados en su cuenta de Twitter obtenidos en esas incursiones. • Tras comprometer los servidores, el atacante sustituía la web original por una página con la foto de una señorita mostrando un cartel en el que aparecía en nickname del ciberdelincuente.
  • 22. En este caso el ciberdelincuente en cuestión se olvido de borrar los metadatos de la imagen y con las cordinadas GPS se le pudo localizar.
  • 23. ANÁLISIS DE METADATOS RIESGOS DE UNA MALA GESTIÓN DE METADATOS EL PLIEGO DE CONDICIONES LO REDACTA LA EMPRESA ADJUDICATARIA: Caso real del Ayuntamiento de Leganés. Donde se analizaron los metadatos de la adjudicación de un concurso público y se puedo obtener la información que acreditaba que el creador del documento del pliego de condiciones pertenecía a la empresa adjudicataria.
  • 24. COMO EVITAR DAR MÁS PISTAS ALATACANTE • CONTRAMEDIDAS TECNICAS: Firewalls, IDS/IPS, VLAN, etc. • POLÍTICAS PREVENTIVAS QUE DICTEN EL USO CORRECTO Y GESTIÓN DE LA INFORMACIÓN DE LA EMPRESA • POLÍTICAS PARA EL BORRADO DE METAINFORMACIÓN DE FICHEROS PÚBLICOS • POLÍTICAS DE ACTUALIZACIÓNES DE SOFTWARE • EDUCAR Y CONCIENCIAR A EMPLEADOS SOBRE LOS MÉTODOS DE INGENIERIA SOCIAL UTILIZADOS HOY EN DÍA (PHISHING, FALSOS ANTIVIRUS, ETC.)