SlideShare una empresa de Scribd logo

Client-side Ingenieria social

C
campuspartyquito

El documento aborda la evolución de los ataques de ingeniería social y client side, destacando el papel del factor humano como el eslabón más débil en la seguridad informática. Propone que, a medida que las tecnologías de seguridad maduran, los atacantes se enfocan en vulnerabilidades del usuario y las aplicaciones que este utiliza. Se concluye que la creatividad y el conocimiento de los atacantes juegan un rol crucial en la efectividad de estos ataques.

1 de 32
Descargado 15 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
Client  Side  Exploit     -­‐Ingeniería  Social  Aplicada-­‐   Claudio B. Caracciolo @holesec Octubre-2011
Quien Soy Yo? Director de Servicios Profesionales en Root-Secure Presidente de ISSA Argentina, miembro de ISSA Internacional Miembro de OWASP Miembro del Comité Académico de Segurinfo y del CASI Especializado en Test de Intrusión y Metodologías de Defensa. Apasionado de la Ingeniería Social Autor junto a sus socios del libro:
Temario Temario Temario Situación Actual Ataques de Ingeniería Social - Nueva Era Ataques de Client Side Conclusiones
Situación Actual
Situación Actual
Situación Actual
Manifiesto hacker escrito por “The Mentor”
Algunas cosas nunca cambian: - La seguridad durante muchos años dependió de factores relacionados con la seguridad física y las personas. - En esta última década, los ataques fueron volviendo a sus bases y hemos tenido los mismos problemas de toda la vida: •  Fuga de Información. •  Ataques de Denegación de Servicios por grupos de Hacktivistas. •  Ataques a los clientes de forma directa.
Algunas cosas nunca cambian: Si puedo afectar a un usuario que es administrador de la red y comprometer su equipo, sin duda obtendré acceso a los servidores. Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al sistema de la empresa y modificar la información que deseo, hacer las transacciones que me interesan, o filtrar información? Para que podría interesarme tratar de encontrar debilidades en los servidores de la DB?  
Ingeniería Social de la Nueva Era
Dale Carnegie ü  Interésese seriamente por lo demás ü  Sonría ü  Para cualquier persona, su nombre es el sonido más agradable ü  Anime a los demás a que hablen de sí mismos ü  Hable pensando en lo que interese a los demás ü  Haga que la otra persona se sienta importante.
Qué es la Ingeniería Social? Old School ü  Es el aprovechamiento de los conocimientos de las personas y de la ignorancia para convencerlas de que ejecuten acciones o actos que puedan revelar información. ü  No se utilizan herramientas. ü  Suelen ser Fallas del factor humano o en los procedimientos de la empresa. Con el término "ingeniería social" se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.    
Que es la Ingeniería Social? New School A  diferencia  de  la  vieja  escuela,  el  ingeniero  social  primero  busca  información  en   Internet  relacionada  a  su  víc:ma:   ü  Blogs  y  Fotologs   ü  Redes  sociales  (Ocio  y  profesionales)   ü  Rss   ü  Foros  y  Wiki   ü  Juegos  online   El  mundo  Web  2.0  pone  a  disposición  del  ingeniero  social  nuevas  herramientas  para  el   logro  de  su  come:do:   ü  El  e-­‐mail   ü  La  mensajería  instantánea  (Chat)   ü  Las  redes  sociales   ü  Las  redes  de  intercambio  de  archivo  (P2P)   ü  Los  foros  
Client-side Ingenieria social
El Campus de Ecuador esta muy peligroso y hasta yo fuí víctima, quisieron clonarme para hacer Phishing
Lamentablemente sacado de un foro.
Client-side Ingenieria social
Client-side Ingenieria social
Ataques Client Side
Evolución Predecible A medida que los controles de seguridad asociados a determinadas tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos que aun no son lo suficientemente efectivos. La evolución de los ataques externos a través del tiempo, indica que los atacantes explotaban debilidades por lo menos en dos niveles bien definidos: Nivel de Infraestructura Nivel de Aplicación
Evolución Predecible Independientemente de lo anterior… conocen algún control de seguridad técnico, en el que la colaboración del factor humano no sea necesaria para un funcionamiento efectivo?
Evolución Predecible Todo indica que el actual objetivo de los ataques, no apunta únicamente a vulnerabilidades de infraestructura o aplicación, sino que suman al que siempre conocimos como el eslabón mas débil de la cadena de la seguridad. La explotación del usuario final y la interacción regular de este con aplicativos de uso diario vulnerables y muchas veces olvidados, es la que hoy podría permitirle a un atacante, acceder a los sistemas de información de su empresa desde el exterior. Es por eso que debemos prestar atención a un nuevo nivel: Nivel de Cliente  
Client Side Exploit Focalizado en aprovechar vulnerabilidades en el usuario de los sistemas de información, como así también en los programas cliente que este utiliza en el día a día de su labor: •  Navegador de Internet •  Suite de Ofimática •  Visor de archivos PDF •  Clientes de reproducción multimedia •  Otros
Client-side Ingenieria social
Client Side Exploit Estado de Situación Actual vs Técnicas de Ataque •  Protección Perimetral (From Outside to Inside vs. Inside to Outside) •  Detección y Prevención de Intrusos vs. Cifrado y Ofuscación •  Endpoint Security vs. Ofuscación e Inyección de Procesos •  Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos
Ahí viene la DEMO!!!
El problema no es la tecnología, nunca lo fue. No pasa por usarla o no usarla. Simplemente es cuestión de usarla bien.   La creatividad es el arma más potente que un atacante puede tener.
Client-side Ingenieria social
Client-side Ingenieria social
Client-side Ingenieria social
“La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa...” Albert Einstein. s diferente. ntos, pensamo Somos disti Muchas Gracias!! ccaracciolo@root-secure.com Twitter: holesec
No se pierdan la charla del Dr. Miguel Sumer Elias A las 20 hs. Aquí en #cpin

Más contenido relacionado

PDF
Tesis Ingenieria Social
evilbyteperu
 
PDF
Ingenieria social
Nestor Mendoza Vasquez
 
PPTX
Hacker DAVID L SMITH - VIRUS MELISSA
Alexis Jara
 
DOCX
Hackers
tatabonita
 
PPT
Ventajas y Desventajas de Contratar Hackers en las Empresas
Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
PPTX
¿Por qué los clientes entregan información confidencial, caen en engaños o en...
Digetech.net
 
PDF
Ciber Seguridad Mayo 2011
Emilio Márquez Espino
 
PPT
1 los sistemas de informacion
Miguel Locatelli
 
Tesis Ingenieria Social
evilbyteperu
 
Ingenieria social
Nestor Mendoza Vasquez
 
Hacker DAVID L SMITH - VIRUS MELISSA
Alexis Jara
 
Hackers
tatabonita
 
Ventajas y Desventajas de Contratar Hackers en las Empresas
Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
¿Por qué los clientes entregan información confidencial, caen en engaños o en...
Digetech.net
 
Ciber Seguridad Mayo 2011
Emilio Márquez Espino
 
1 los sistemas de informacion
Miguel Locatelli
 

La actualidad más candente (11)

PPTX
Hackers
DeBoRaNbA8
 
DOCX
Hacker en las empresas
carlos8055
 
PPTX
Ciudadanía digital
Rosángela Rodríguez Pedró
 
PDF
Primer foro 2012 - Ciberseguridad | BrigadaDigital
Eduardo Chavarro
 
PDF
Robo de identidad por internet
eloyromero20
 
PPT
Seguridad 1
Jose Rivera
 
PPTX
Generacion app
OmarRojas30
 
PPTX
Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...
Daniel Torres
 
PPTX
Ciudadania Digital 2
NozomiiSV
 
PPTX
Etica.
EticaProfesional
 
PPTX
Ingenieria Social
BethsabeHerreraTrujillo
 
Hackers
DeBoRaNbA8
 
Hacker en las empresas
carlos8055
 
Ciudadanía digital
Rosángela Rodríguez Pedró
 
Primer foro 2012 - Ciberseguridad | BrigadaDigital
Eduardo Chavarro
 
Robo de identidad por internet
eloyromero20
 
Seguridad 1
Jose Rivera
 
Generacion app
OmarRojas30
 
Evolución de la Delincuencia de Alta Tecnología: Nuevos retos en las investig...
Daniel Torres
 
Ciudadania Digital 2
NozomiiSV
 
Etica.
EticaProfesional
 
Ingenieria Social
BethsabeHerreraTrujillo
 
Publicidad

Similar a Client-side Ingenieria social (20)

PDF
Ingenieria social.pptx
Luis Flores
 
PPTX
Conceptos Básicos de la Ingeniería Social
ferdinando1994
 
PPT
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Maximiliano Soler
 
PPTX
ingenieriasocial el arte del engano y debilidades
jfiallosf12
 
DOCX
Ingenieria social
xShaoranx1
 
DOCX
Ingenieria social
Victor M. Bastidas S.
 
PDF
La ingenieria-social
Marcos Escorche
 
PDF
Client side explotation
Diana
 
PDF
Client side explotation
Diana
 
PDF
Webinar Gratuito "Ingeniería Social"
Alonso Eduardo Caballero Quezada
 
PDF
Grupo 1 - ingeniería social y phishing_20250709_174238_0000.pdf
nodohn
 
PPT
Ingeniería Social, El Bug Humano
Diego Armando Ruiz G
 
PPT
Presentación Ingeniería social
DIEANGELUS
 
PDF
Ingeniería Social
Keiny Tatiana Pacheco Cárcamo
 
PDF
Ingeniera social carlosbiscione
Alex Pin
 
DOCX
Ingenieria social tema 2
JhonSalazar26
 
PPTX
Ingeniería social
juancarloscruzd
 
PPTX
Impacto Social De Las Redes De Computadoras
Denisse Melendez
 
PPT
Ingenieria social.hack04ndalus
Yesid Rodriguez
 
PPTX
Ataques client side exploitation
jack_corvil
 
Ingenieria social.pptx
Luis Flores
 
Conceptos Básicos de la Ingeniería Social
ferdinando1994
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Maximiliano Soler
 
ingenieriasocial el arte del engano y debilidades
jfiallosf12
 
Ingenieria social
xShaoranx1
 
Ingenieria social
Victor M. Bastidas S.
 
La ingenieria-social
Marcos Escorche
 
Client side explotation
Diana
 
Client side explotation
Diana
 
Webinar Gratuito "Ingeniería Social"
Alonso Eduardo Caballero Quezada
 
Grupo 1 - ingeniería social y phishing_20250709_174238_0000.pdf
nodohn
 
Ingeniería Social, El Bug Humano
Diego Armando Ruiz G
 
Presentación Ingeniería social
DIEANGELUS
 
Ingeniería Social
Keiny Tatiana Pacheco Cárcamo
 
Ingeniera social carlosbiscione
Alex Pin
 
Ingenieria social tema 2
JhonSalazar26
 
Ingeniería social
juancarloscruzd
 
Impacto Social De Las Redes De Computadoras
Denisse Melendez
 
Ingenieria social.hack04ndalus
Yesid Rodriguez
 
Ataques client side exploitation
jack_corvil
 
Publicidad

Más de campuspartyquito (19)

PPTX
SEGURIDAD Electrónica en redes de comunicación de nueva generación y networking
campuspartyquito
 
PDF
Experiencias en la autogestion de ccTLD
campuspartyquito
 
PPTX
Open Government, Govierno electronico
campuspartyquito
 
PDF
Client-side Ingenieria social
campuspartyquito
 
PDF
Modelo de negocios con software libre
campuspartyquito
 
PPTX
Introduccion al cluster
campuspartyquito
 
PDF
Geolocalización con SW libre
campuspartyquito
 
PDF
Desarrollo de apps nativas titanium
campuspartyquito
 
PDF
Desarrollo de Cloud Computing
campuspartyquito
 
PDF
Client-side attck_Ingenieria social
campuspartyquito
 
PPTX
Desarrollo de interfaces humanas con Xbox Kinect y Visual Studio 2010
campuspartyquito
 
PDF
Analisis de Malware
campuspartyquito
 
PPTX
Mi primer acercamiento a la astronomía
campuspartyquito
 
PPTX
Mi primer acercamiento a la astronomía
campuspartyquito
 
PPT
Jorge proaño
campuspartyquito
 
PDF
Construcción de experiencia de usuario jc camus
campuspartyquito
 
PPTX
Con los pies en la tierra: Cómo valorar el trabajo creativo en Ecuador
campuspartyquito
 
PPTX
Con los pies en la tierra: Cómo valorar el trabajo creativo en Ecuador
campuspartyquito
 
PDF
Aplicaciones Móviles- Crmmovil
campuspartyquito
 
SEGURIDAD Electrónica en redes de comunicación de nueva generación y networking
campuspartyquito
 
Experiencias en la autogestion de ccTLD
campuspartyquito
 
Open Government, Govierno electronico
campuspartyquito
 
Client-side Ingenieria social
campuspartyquito
 
Modelo de negocios con software libre
campuspartyquito
 
Introduccion al cluster
campuspartyquito
 
Geolocalización con SW libre
campuspartyquito
 
Desarrollo de apps nativas titanium
campuspartyquito
 
Desarrollo de Cloud Computing
campuspartyquito
 
Client-side attck_Ingenieria social
campuspartyquito
 
Desarrollo de interfaces humanas con Xbox Kinect y Visual Studio 2010
campuspartyquito
 
Analisis de Malware
campuspartyquito
 
Mi primer acercamiento a la astronomía
campuspartyquito
 
Mi primer acercamiento a la astronomía
campuspartyquito
 
Jorge proaño
campuspartyquito
 
Construcción de experiencia de usuario jc camus
campuspartyquito
 
Con los pies en la tierra: Cómo valorar el trabajo creativo en Ecuador
campuspartyquito
 
Con los pies en la tierra: Cómo valorar el trabajo creativo en Ecuador
campuspartyquito
 
Aplicaciones Móviles- Crmmovil
campuspartyquito
 

Client-side Ingenieria social

  • 1. Client  Side  Exploit     -­‐Ingeniería  Social  Aplicada-­‐   Claudio B. Caracciolo @holesec Octubre-2011
  • 2. Quien Soy Yo? Director de Servicios Profesionales en Root-Secure Presidente de ISSA Argentina, miembro de ISSA Internacional Miembro de OWASP Miembro del Comité Académico de Segurinfo y del CASI Especializado en Test de Intrusión y Metodologías de Defensa. Apasionado de la Ingeniería Social Autor junto a sus socios del libro:
  • 3. Temario Temario Temario Situación Actual Ataques de Ingeniería Social - Nueva Era Ataques de Client Side Conclusiones
  • 7. Manifiesto hacker escrito por “The Mentor”
  • 8. Algunas cosas nunca cambian: - La seguridad durante muchos años dependió de factores relacionados con la seguridad física y las personas. - En esta última década, los ataques fueron volviendo a sus bases y hemos tenido los mismos problemas de toda la vida: •  Fuga de Información. •  Ataques de Denegación de Servicios por grupos de Hacktivistas. •  Ataques a los clientes de forma directa.
  • 9. Algunas cosas nunca cambian: Si puedo afectar a un usuario que es administrador de la red y comprometer su equipo, sin duda obtendré acceso a los servidores. Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al sistema de la empresa y modificar la información que deseo, hacer las transacciones que me interesan, o filtrar información? Para que podría interesarme tratar de encontrar debilidades en los servidores de la DB?  
  • 10. Ingeniería Social de la Nueva Era
  • 11. Dale Carnegie ü  Interésese seriamente por lo demás ü  Sonría ü  Para cualquier persona, su nombre es el sonido más agradable ü  Anime a los demás a que hablen de sí mismos ü  Hable pensando en lo que interese a los demás ü  Haga que la otra persona se sienta importante.
  • 12. Qué es la Ingeniería Social? Old School ü  Es el aprovechamiento de los conocimientos de las personas y de la ignorancia para convencerlas de que ejecuten acciones o actos que puedan revelar información. ü  No se utilizan herramientas. ü  Suelen ser Fallas del factor humano o en los procedimientos de la empresa. Con el término "ingeniería social" se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.    
  • 13. Que es la Ingeniería Social? New School A  diferencia  de  la  vieja  escuela,  el  ingeniero  social  primero  busca  información  en   Internet  relacionada  a  su  víc:ma:   ü  Blogs  y  Fotologs   ü  Redes  sociales  (Ocio  y  profesionales)   ü  Rss   ü  Foros  y  Wiki   ü  Juegos  online   El  mundo  Web  2.0  pone  a  disposición  del  ingeniero  social  nuevas  herramientas  para  el   logro  de  su  come:do:   ü  El  e-­‐mail   ü  La  mensajería  instantánea  (Chat)   ü  Las  redes  sociales   ü  Las  redes  de  intercambio  de  archivo  (P2P)   ü  Los  foros  
  • 15. El Campus de Ecuador esta muy peligroso y hasta yo fuí víctima, quisieron clonarme para hacer Phishing
  • 20. Evolución Predecible A medida que los controles de seguridad asociados a determinadas tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos que aun no son lo suficientemente efectivos. La evolución de los ataques externos a través del tiempo, indica que los atacantes explotaban debilidades por lo menos en dos niveles bien definidos: Nivel de Infraestructura Nivel de Aplicación
  • 21. Evolución Predecible Independientemente de lo anterior… conocen algún control de seguridad técnico, en el que la colaboración del factor humano no sea necesaria para un funcionamiento efectivo?
  • 22. Evolución Predecible Todo indica que el actual objetivo de los ataques, no apunta únicamente a vulnerabilidades de infraestructura o aplicación, sino que suman al que siempre conocimos como el eslabón mas débil de la cadena de la seguridad. La explotación del usuario final y la interacción regular de este con aplicativos de uso diario vulnerables y muchas veces olvidados, es la que hoy podría permitirle a un atacante, acceder a los sistemas de información de su empresa desde el exterior. Es por eso que debemos prestar atención a un nuevo nivel: Nivel de Cliente  
  • 23. Client Side Exploit Focalizado en aprovechar vulnerabilidades en el usuario de los sistemas de información, como así también en los programas cliente que este utiliza en el día a día de su labor: •  Navegador de Internet •  Suite de Ofimática •  Visor de archivos PDF •  Clientes de reproducción multimedia •  Otros
  • 25. Client Side Exploit Estado de Situación Actual vs Técnicas de Ataque •  Protección Perimetral (From Outside to Inside vs. Inside to Outside) •  Detección y Prevención de Intrusos vs. Cifrado y Ofuscación •  Endpoint Security vs. Ofuscación e Inyección de Procesos •  Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos
  • 26. Ahí viene la DEMO!!!
  • 27. El problema no es la tecnología, nunca lo fue. No pasa por usarla o no usarla. Simplemente es cuestión de usarla bien.   La creatividad es el arma más potente que un atacante puede tener.
  • 31. “La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa...” Albert Einstein. s diferente. ntos, pensamo Somos disti Muchas Gracias!! ccaracciolo@root-secure.com Twitter: holesec
  • 32. No se pierdan la charla del Dr. Miguel Sumer Elias A las 20 hs. Aquí en #cpin