Los sistemas informáticos de tu empresa al descubierto

Jornadas de Seguridad Informática, Delitos

Informáticos y Protección de Datos.

Sevilla 2013

Los sistemas informáticos de tu empresa al descubierto

www.quantika14.com Jornadas de Seguridad Informática

2013 1

Eduardo Arriols y Roberto López

Quienes somos


2013 2

Estudiantes de Ing. Informática en la Escuela Politécnica Superior de la

Universidad Autónoma de Madrid. Apasionados del mundo de la

seguridad informática y el hacking.

Fundadores del proyecto HighSec dedicado a enseñar y promover la

educación en seguridad ofensiva de forma practica.

Eduardo Arriols @_Hykeos

Roberto López @leurian

Ciberseguridad


2013 3

“Procedimientos aplicados para la gestión y protección del uso,

procesamiento, almacenamiento y transmisión de datos e información

a través de las Tecnologías de Información y Comunicación (TIC)”

Tipos de Seguridad


2013 4

Investigadores de seguridad


2013 5

Cibercrimen


2013 6

Actividades delincuentes realizadas con la ayuda de

herramientas informáticas

Cibercrimen


2013 7

Ciberespionaje


2013 8

Espionaje tradicional obteniendo la información de los sistemas

informáticos

¿Qué es un bug?


2013 9

El primer bug de ordenador fue un

insecto real descubierto

en 1945 en Harvard, una

polilla atrapada en la calculadora ‘Mark II’

que hizo que la maquina se apagara.

Agujero de Seguridad Exploit


2013 10

Agujero de Seguridad (Vulnerabilidad)

Fallo que permite mediante su explotación violar la seguridad de

un sistema informático

Exploit

Programa que utiliza una vulnerabilidad para tomar el control de

un sistema

Exploits


2013 11

Objetivo


2013 12

Tomar el control de la maquina de la victima

Test de Intrusión


2013 13

Método para evaluar la seguridad

de un sistema o red

de sistemas de

información simulando el ataque

por un intruso

Demo Time


2013 14

Cambiamos de bando


2013 15

TEXTO

Anónimo por la red


2013 16

SQL Injection


2013 17

SQL Injection


2013 18

Efectos Obtención de la base de datos

Posibilidad de tomar el control del servidor Modificar la pagina web

Victimas

Base de datos de la página web

SQL Injection


2013 19

DDoS Distributed Denial of Service


2013 20



2013 21

Efectos Caída de servicio Mala Imagen Perdida de

reputación

Sensación de Inseguridad

Perdida de dinero (En algunos casos)

Victimas Paginas Web

Tienda Online

Banco Otros servicios Online



2013 22

Exploiting Acceso a Sistemas


2013 23



2013 24

Efectos Acceso al sistema

Acceso a la red interna Mantener acceso

Elevación de privilegios

…

Victimas Servidores

Ordenadores personales

Routers

…



2013 25

Configuraciones por defecto


2013 26



2013 27

Efectos Acceso sin contraseña

Acceso no autorizado (Clave por defecto) Acceder a las imágenes de las cámaras IP

Cometer delitos contra la integridad de las personas (SCADA)

…

Victimas Servidores Routers

Cámaras IP Sistemas SCADA

…



2013 28

Ingeniería Social


2013 29

Ingeniería Social


2013 30

Efectos Robo de credenciales

Ejecución de malware Obtención de información confidencial

Victimas Seres Humanos

Ingeniería Social


2013 31


2013 32

Fake AP + DNS Spoof + Phishing Obteniendo credenciales de empleados


2013 33

Fake AP + DNS Spoof + Phishing Obteniendo credenciales de empleados

Efectos Interceptación de las comunicaciones

Obtención de credenciales Infectarte de malware

Ser victima de un exploit

…

Victimas PCs personales Dispositivos móviles

Man In The Middle Interceptando Comunicaciones


2013 34



2013 35

Efectos Tus comunicaciones en la red son interceptadas

Alterar el trafico de la victima Evitar el cifrado SSL/TLS

Robo de sesión

Victimas Servidores PCs personales

Dispositivos móviles



2013 36

Fuerza Bruta


2013 37

Fuerza Bruta


2013 38

Efectos Acceso a cuentas

Victimas Paneles de autenticación

Fuerza Bruta


2013 39

Conclusiones


2013 40

TEXTO

Cibercrimen


2013 41

Ciberespionaje


2013 42

Ciberguerra


2013 43

1999 – Guerra de Kosovo

2003 – Taiwán

2007 – Estonia

2008 – Georgia 2010 – Irán

2011 – Canadá atacada

desde China

2012 – Medio Oriente

Recomendaciones


2013 44

Software Actualizado

Software de Seguridad Antivirus Actualizado

IDS / IPS

Firewalls

Sentido Común

Auditoria para las

empresas

Políticas de Seguridad

Pentest by Design

Momento SPAM


2013 45

HighSec es una comunidad y punto de reunión para todas las

personas interesadas en el mundo de la seguridad.

Su principal función es enseñar de forma practica las principales

técnicas en seguridad ofensiva realizadas en un test de intrusión y auditorias mediante retos y documentación propia.

@highsec0

www.highsec.es


2013 46

@quantika14

GRACIAS A TODOS

POR VUESTRO

TIEMPO Y

ESCUCHARNOS

https://www.facebook.com/quantika14

Education

Los sistemas informáticos de tu empresa al descubierto