Client-side attck_Ingenieria social
- 1. Client Side Exploit -‐Ingeniería Social Aplicada-‐ Claudio B. Caracciolo @holesec Octubre-2011
- 2. Quien Soy Yo? Director de Servicios Profesionales en Root-Secure Presidente de ISSA Argentina, miembro de ISSA Internacional Miembro de OWASP Miembro del Comité Académico de Segurinfo y del CASI Especializado en Test de Intrusión y Metodologías de Defensa. Apasionado de la Ingeniería Social Autor junto a sus socios del libro:
- 3. Temario Temario Temario Situación Actual Ataques de Ingeniería Social - Nueva Era Ataques de Client Side Conclusiones
- 7. Manifiesto hacker escrito por “The Mentor”
- 8. Algunas cosas nunca cambian: - La seguridad durante muchos años dependió de factores relacionados con la seguridad física y las personas. - En esta última década, los ataques fueron volviendo a sus bases y hemos tenido los mismos problemas de toda la vida: • Fuga de Información. • Ataques de Denegación de Servicios por grupos de Hacktivistas. • Ataques a los clientes de forma directa.
- 9. Algunas cosas nunca cambian: Si puedo afectar a un usuario que es administrador de la red y comprometer su equipo, sin duda obtendré acceso a los servidores. Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al sistema de la empresa y modificar la información que deseo, hacer las transacciones que me interesan, o filtrar información? Para que podría interesarme tratar de encontrar debilidades en los servidores de la DB?
- 10. Ingeniería Social de la Nueva Era
- 11. Dale Carnegie ü Interésese seriamente por lo demás ü Sonría ü Para cualquier persona, su nombre es el sonido más agradable ü Anime a los demás a que hablen de sí mismos ü Hable pensando en lo que interese a los demás ü Haga que la otra persona se sienta importante.
- 12. Qué es la Ingeniería Social? Old School ü Es el aprovechamiento de los conocimientos de las personas y de la ignorancia para convencerlas de que ejecuten acciones o actos que puedan revelar información. ü No se utilizan herramientas. ü Suelen ser Fallas del factor humano o en los procedimientos de la empresa. Con el término "ingeniería social" se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.
- 13. Que es la Ingeniería Social? New School A diferencia de la vieja escuela, el ingeniero social primero busca información en Internet relacionada a su víc:ma: ü Blogs y Fotologs ü Redes sociales (Ocio y profesionales) ü Rss ü Foros y Wiki ü Juegos online El mundo Web 2.0 pone a disposición del ingeniero social nuevas herramientas para el logro de su come:do: ü El e-‐mail ü La mensajería instantánea (Chat) ü Las redes sociales ü Las redes de intercambio de archivo (P2P) ü Los foros
- 15. El Campus de Ecuador esta muy peligroso y hasta yo fuí víctima, quisieron clonarme para hacer Phishing
- 16. Lamentablemente sacado de un foro.
- 20. Evolución Predecible A medida que los controles de seguridad asociados a determinadas tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos que aun no son lo suficientemente efectivos. La evolución de los ataques externos a través del tiempo, indica que los atacantes explotaban debilidades por lo menos en dos niveles bien definidos: Nivel de Infraestructura Nivel de Aplicación
- 21. Evolución Predecible Independientemente de lo anterior… conocen algún control de seguridad técnico, en el que la colaboración del factor humano no sea necesaria para un funcionamiento efectivo?
- 22. Evolución Predecible Todo indica que el actual objetivo de los ataques, no apunta únicamente a vulnerabilidades de infraestructura o aplicación, sino que suman al que siempre conocimos como el eslabón mas débil de la cadena de la seguridad. La explotación del usuario final y la interacción regular de este con aplicativos de uso diario vulnerables y muchas veces olvidados, es la que hoy podría permitirle a un atacante, acceder a los sistemas de información de su empresa desde el exterior. Es por eso que debemos prestar atención a un nuevo nivel: Nivel de Cliente
- 23. Client Side Exploit Focalizado en aprovechar vulnerabilidades en el usuario de los sistemas de información, como así también en los programas cliente que este utiliza en el día a día de su labor: • Navegador de Internet • Suite de Ofimática • Visor de archivos PDF • Clientes de reproducción multimedia • Otros
- 25. Client Side Exploit Estado de Situación Actual vs Técnicas de Ataque • Protección Perimetral (From Outside to Inside vs. Inside to Outside) • Detección y Prevención de Intrusos vs. Cifrado y Ofuscación • Endpoint Security vs. Ofuscación e Inyección de Procesos • Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos
- 26. Ahí viene la DEMO!!!
- 27. El problema no es la tecnología, nunca lo fue. No pasa por usarla o no usarla. Simplemente es cuestión de usarla bien. La creatividad es el arma más potente que un atacante puede tener.
- 31. “La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa...” Albert Einstein. s diferente. ntos, pensamo Somos disti Muchas Gracias!! ccaracciolo@root-secure.com Twitter: holesec
- 32. No se pierdan la charla del Dr. Miguel Sumer Elias A las 20 hs. Aquí en #cpin