los sistemas informáticos de tu empresa al descubierto

Jornadas de Seguridad Informática, Delitos

Informáticos y Protección de Datos.

Sevilla 2013

Los sistemas informáticos de tu empresa al descubierto

www.quantika14.com Jornadas de Seguridad Informática

2013 1

Eduardo Arriols y Roberto López

Quienes somos

www.quantika14.com Jornadas de Seguridad Informática

2013 2

Estudiantes de Ing. Informática en la Escuela Politécnica Superior de la

Universidad Autónoma de Madrid. Apasionados del mundo de la

seguridad informática y el hacking.

Fundadores del proyecto HighSec dedicado a enseñar y promover la

educación en seguridad ofensiva de forma practica.

Eduardo Arriols @_Hykeos

Roberto López @leurian

Ciberseguridad

www.quantika14.com Jornadas de Seguridad Informática

2013 3

“Procedimientos aplicados para la gestión y protección del uso,

procesamiento, almacenamiento y transmisión de datos e información

a través de las Tecnologías de Información y Comunicación (TIC)”

Tipos de Seguridad

www.quantika14.com Jornadas de Seguridad Informática

2013 4

Investigadores de seguridad

www.quantika14.com Jornadas de Seguridad Informática

2013 5

Cibercrimen

www.quantika14.com Jornadas de Seguridad Informática

2013 6

Actividades delincuentes realizadas con la ayuda de

herramientas informáticas

Cibercrimen

www.quantika14.com Jornadas de Seguridad Informática

2013 7

Ciberespionaje

www.quantika14.com Jornadas de Seguridad Informática

2013 8

Espionaje tradicional obteniendo la información de los sistemas

informáticos

¿Qué es un bug?

www.quantika14.com Jornadas de Seguridad Informática

2013 9

El primer bug de ordenador fue un

insecto real descubierto

en 1945 en Harvard, una

polilla atrapada en la calculadora ‘Mark II’

que hizo que la maquina se apagara.

Agujero de Seguridad Exploit

www.quantika14.com Jornadas de Seguridad Informática

2013 10

Agujero de Seguridad (Vulnerabilidad)

Fallo que permite mediante su explotación violar la seguridad de

un sistema informático

Exploit

Programa que utiliza una vulnerabilidad para tomar el control de

un sistema

Exploits

www.quantika14.com Jornadas de Seguridad Informática

2013 11

Objetivo

www.quantika14.com Jornadas de Seguridad Informática

2013 12

Tomar el control de la maquina de la victima

Test de Intrusión

www.quantika14.com Jornadas de Seguridad Informática

2013 13

Método para evaluar la seguridad

de un sistema o red

de sistemas de

información simulando el ataque

por un intruso

Demo Time

www.quantika14.com Jornadas de Seguridad Informática

2013 14

Cambiamos de bando

www.quantika14.com Jornadas de Seguridad Informática

2013 15

TEXTO

Anónimo por la red

www.quantika14.com Jornadas de Seguridad Informática

2013 16

SQL Injection

www.quantika14.com Jornadas de Seguridad Informática

2013 17

SQL Injection

www.quantika14.com Jornadas de Seguridad Informática

2013 18

Efectos Obtención de la base de datos

Posibilidad de tomar el control del servidor Modificar la pagina web

Victimas

Base de datos de la página web

SQL Injection

www.quantika14.com Jornadas de Seguridad Informática

2013 19

DDoS Distributed Denial of Service

www.quantika14.com Jornadas de Seguridad Informática

2013 20

DDoS Distributed Denial of Service

www.quantika14.com Jornadas de Seguridad Informática

2013 21

Efectos Caída de servicio Mala Imagen Perdida de

reputación

Sensación de Inseguridad

Perdida de dinero (En algunos casos)

Victimas Paginas Web

Tienda Online

Banco Otros servicios Online

DDoS Distributed Denial of Service

www.quantika14.com Jornadas de Seguridad Informática

2013 22

Exploiting Acceso a Sistemas

www.quantika14.com Jornadas de Seguridad Informática

2013 23

Exploiting Acceso a Sistemas

www.quantika14.com Jornadas de Seguridad Informática

2013 24

Efectos Acceso al sistema

Acceso a la red interna Mantener acceso

Elevación de privilegios

…

Victimas Servidores

Ordenadores personales

Routers

…

Exploiting Acceso a Sistemas

www.quantika14.com Jornadas de Seguridad Informática

2013 25

Configuraciones por defecto

www.quantika14.com Jornadas de Seguridad Informática

2013 26

Configuraciones por defecto

www.quantika14.com Jornadas de Seguridad Informática

2013 27

Efectos Acceso sin contraseña

Acceso no autorizado (Clave por defecto) Acceder a las imágenes de las cámaras IP

Cometer delitos contra la integridad de las personas (SCADA)

…

Victimas Servidores Routers

Cámaras IP Sistemas SCADA

…

Configuraciones por defecto

www.quantika14.com Jornadas de Seguridad Informática

2013 28

Ingeniería Social

www.quantika14.com Jornadas de Seguridad Informática

2013 29

Ingeniería Social

www.quantika14.com Jornadas de Seguridad Informática

2013 30

Efectos Robo de credenciales

Ejecución de malware Obtención de información confidencial

Victimas Seres Humanos

Ingeniería Social

www.quantika14.com Jornadas de Seguridad Informática

2013 31

www.quantika14.com Jornadas de Seguridad Informática

2013 32

Fake AP + DNS Spoof + Phishing Obteniendo credenciales de empleados

www.quantika14.com Jornadas de Seguridad Informática

2013 33

Fake AP + DNS Spoof + Phishing Obteniendo credenciales de empleados

Efectos Interceptación de las comunicaciones

Obtención de credenciales Infectarte de malware

Ser victima de un exploit

…

Victimas PCs personales Dispositivos móviles

Man In The Middle Interceptando Comunicaciones

www.quantika14.com Jornadas de Seguridad Informática

2013 34

Man In The Middle Interceptando Comunicaciones

www.quantika14.com Jornadas de Seguridad Informática

2013 35

Efectos Tus comunicaciones en la red son interceptadas

Alterar el trafico de la victima Evitar el cifrado SSL/TLS

Robo de sesión

Victimas Servidores PCs personales

Dispositivos móviles

Man In The Middle Interceptando Comunicaciones

www.quantika14.com Jornadas de Seguridad Informática

2013 36

Fuerza Bruta

www.quantika14.com Jornadas de Seguridad Informática

2013 37

Fuerza Bruta

www.quantika14.com Jornadas de Seguridad Informática

2013 38

Efectos Acceso a cuentas

Victimas Paneles de autenticación

Fuerza Bruta

www.quantika14.com Jornadas de Seguridad Informática

2013 39

Conclusiones

www.quantika14.com Jornadas de Seguridad Informática

2013 40

TEXTO

Cibercrimen

www.quantika14.com Jornadas de Seguridad Informática

2013 41

Ciberespionaje

www.quantika14.com Jornadas de Seguridad Informática

2013 42

Ciberguerra

www.quantika14.com Jornadas de Seguridad Informática

2013 43

1999 – Guerra de Kosovo

2003 – Taiwán

2007 – Estonia

2008 – Georgia 2010 – Irán

2011 – Canadá atacada

desde China

2012 – Medio Oriente

Recomendaciones

www.quantika14.com Jornadas de Seguridad Informática

2013 44

Software Actualizado

Software de Seguridad Antivirus Actualizado

IDS / IPS

Firewalls

Sentido Común

Auditoria para las

empresas

Políticas de Seguridad

Pentest by Design

Momento SPAM

www.quantika14.com Jornadas de Seguridad Informática

2013 45

HighSec es una comunidad y punto de reunión para todas las

personas interesadas en el mundo de la seguridad.

Su principal función es enseñar de forma practica las principales

técnicas en seguridad ofensiva realizadas en un test de intrusión y auditorias mediante retos y documentación propia.

@highsec0

www.highsec.es

www.quantika14.com Jornadas de Seguridad Informática

2013 46

@quantika14

GRACIAS A TODOS

POR VUESTRO

TIEMPO Y

ESCUCHARNOS

https://www.facebook.com/quantika14