client-side ingenieria social
DESCRIPTION
En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.TRANSCRIPT
Claudio B. Caracciolo
@holesec
Octubre-2011
Client Side Exploit -‐Ingeniería Social Aplicada-‐
Quien Soy Yo?
Director de Servicios Profesionales en Root-Secure
Presidente de ISSA Argentina, miembro de ISSA Internacional
Miembro de OWASP
Miembro del Comité Académico de Segurinfo y del CASI
Especializado en Test de Intrusión y Metodologías de Defensa.
Apasionado de la Ingeniería Social
Autor junto a sus socios del libro:
Temario Temario
Situación Actual
Ataques de Ingeniería Social - Nueva Era
Ataques de Client Side
Conclusiones
Temario
Situación Actual
Situación Actual
Situación Actual
Manifiesto hacker escrito por “The Mentor”
- La seguridad durante muchos años dependió de factores relacionados con la seguridad física y las personas.
- En esta última década, los ataques fueron volviendo a sus bases y hemos tenido los mismos problemas de toda la vida:
• Fuga de Información. • Ataques de Denegación de Servicios por grupos de Hacktivistas. • Ataques a los clientes de forma directa.
Algunas cosas nunca cambian:
Si puedo afectar a un usuario que es administrador de la red y comprometer su equipo, sin duda obtendré acceso a los servidores.
Algunas cosas nunca cambian:
Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al sistema de la empresa y modificar la información que deseo, hacer las transacciones que me interesan, o filtrar información? Para que podría interesarme tratar de encontrar debilidades en los servidores de la DB?
Ingeniería Social de la Nueva Era
ü Interésese seriamente por lo demás ü Sonría ü Para cualquier persona, su nombre es el sonido más agradable ü Anime a los demás a que hablen de sí mismos ü Hable pensando en lo que interese a los demás ü Haga que la otra persona se sienta importante.
Dale Carnegie
ü Es e l aprovechamiento de los conocimientos de las personas y de la ignorancia para convencerlas de que ejecuten acciones o actos que puedan revelar información.
ü No se utilizan herramientas.
ü Suelen ser Fallas del factor humano o en los procedimientos de la empresa.
Old School
Con el término "ingeniería social" se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas
veces premeditada para la obtención de información de terceros.
Qué es la Ingeniería Social?
A diferencia de la vieja escuela, el ingeniero social primero busca información en Internet relacionada a su víc:ma:
ü Blogs y Fotologs ü Redes sociales (Ocio y profesionales) ü Rss ü Foros y Wiki ü Juegos online
El mundo Web 2.0 pone a disposición del ingeniero social nuevas herramientas para el logro de su come:do:
ü El e-‐mail ü La mensajería instantánea (Chat) ü Las redes sociales ü Las redes de intercambio de archivo (P2P) ü Los foros
Que es la Ingeniería Social? New School
El Campus de Ecuador esta muy peligroso y hasta yo fuí víctima, quisieron clonarme
para hacer Phishing
Lamentablemente sacado de un foro.
Ataques Client Side
A medida que los controles de seguridad asociados a determinadas tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos que aun no son lo suficientemente efectivos. La evolución de los ataques externos a través del tiempo, indica que los atacantes explotaban debilidades por lo menos en dos niveles bien definidos:
Nivel de Infraestructura
Nivel de Aplicación
Evolución Predecible
Independientemente de lo anterior… conocen algún control de seguridad técnico, en el que la
colaboración del factor humano no sea necesaria para un funcionamiento efectivo?
Evolución Predecible
Todo indica que el actual objetivo de los ataques, no apunta únicamente a vulnerabilidades de infraestructura o aplicación, sino que suman al que siempre conocimos como el eslabón mas débil de la cadena de la seguridad. La explotación del usuario final y la interacción regular de este con aplicativos de uso diario vulnerables y muchas veces olvidados, es la que hoy podría permitirle a un atacante, acceder a los sistemas de información de su empresa desde el exterior.
Es por eso que debemos prestar atención a un nuevo nivel:
Nivel de Cliente
Evolución Predecible
• Navegador de Internet
• Suite de Ofimática
• Visor de archivos PDF
• Clientes de reproducción multimedia
• Otros
Client Side Exploit
Focalizado en aprovechar vulnerabilidades en el usuario de los sistemas de información, como así también en los programas cliente que este utiliza en el día a día de su labor:
Estado de Situación Actual vs Técnicas de Ataque
Client Side Exploit
• Protección Perimetral (From Outside to Inside vs. Inside to Outside) • Detección y Prevención de Intrusos vs. Cifrado y Ofuscación
• Endpoint Security vs. Ofuscación e Inyección de Procesos
• Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos
Ahí viene la DEMO!!!
El problema no es la tecnología, nunca lo fue. No pasa por usarla o no usarla.
Simplemente es cuestión de usarla bien.
La creatividad es el arma más potente que un atacante puede tener.
“La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa...”
Albert Einstein.
Muchas Gracias!! [email protected]
Twitter: holesec
Somos distintos, pensamos diferente.
No se pierdan la charla del Dr. Miguel Sumer Elias
A las 20 hs. Aquí en #cpin