client-side ingenieria social
DESCRIPTION
En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.TRANSCRIPT
![Page 1: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/1.jpg)
Claudio B. Caracciolo
@holesec
Octubre-2011
Client Side Exploit -‐Ingeniería Social Aplicada-‐
![Page 2: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/2.jpg)
Quien Soy Yo?
Director de Servicios Profesionales en Root-Secure
Presidente de ISSA Argentina, miembro de ISSA Internacional
Miembro de OWASP
Miembro del Comité Académico de Segurinfo y del CASI
Especializado en Test de Intrusión y Metodologías de Defensa.
Apasionado de la Ingeniería Social
Autor junto a sus socios del libro:
![Page 3: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/3.jpg)
Temario Temario
Situación Actual
Ataques de Ingeniería Social - Nueva Era
Ataques de Client Side
Conclusiones
Temario
![Page 4: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/4.jpg)
Situación Actual
![Page 5: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/5.jpg)
Situación Actual
![Page 6: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/6.jpg)
Situación Actual
![Page 7: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/7.jpg)
Manifiesto hacker escrito por “The Mentor”
![Page 8: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/8.jpg)
- La seguridad durante muchos años dependió de factores relacionados con la seguridad física y las personas.
- En esta última década, los ataques fueron volviendo a sus bases y hemos tenido los mismos problemas de toda la vida:
• Fuga de Información. • Ataques de Denegación de Servicios por grupos de Hacktivistas. • Ataques a los clientes de forma directa.
Algunas cosas nunca cambian:
![Page 9: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/9.jpg)
Si puedo afectar a un usuario que es administrador de la red y comprometer su equipo, sin duda obtendré acceso a los servidores.
Algunas cosas nunca cambian:
Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al sistema de la empresa y modificar la información que deseo, hacer las transacciones que me interesan, o filtrar información? Para que podría interesarme tratar de encontrar debilidades en los servidores de la DB?
![Page 10: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/10.jpg)
Ingeniería Social de la Nueva Era
![Page 11: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/11.jpg)
ü Interésese seriamente por lo demás ü Sonría ü Para cualquier persona, su nombre es el sonido más agradable ü Anime a los demás a que hablen de sí mismos ü Hable pensando en lo que interese a los demás ü Haga que la otra persona se sienta importante.
Dale Carnegie
![Page 12: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/12.jpg)
ü Es e l aprovechamiento de los conocimientos de las personas y de la ignorancia para convencerlas de que ejecuten acciones o actos que puedan revelar información.
ü No se utilizan herramientas.
ü Suelen ser Fallas del factor humano o en los procedimientos de la empresa.
Old School
Con el término "ingeniería social" se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas
veces premeditada para la obtención de información de terceros.
Qué es la Ingeniería Social?
![Page 13: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/13.jpg)
A diferencia de la vieja escuela, el ingeniero social primero busca información en Internet relacionada a su víc:ma:
ü Blogs y Fotologs ü Redes sociales (Ocio y profesionales) ü Rss ü Foros y Wiki ü Juegos online
El mundo Web 2.0 pone a disposición del ingeniero social nuevas herramientas para el logro de su come:do:
ü El e-‐mail ü La mensajería instantánea (Chat) ü Las redes sociales ü Las redes de intercambio de archivo (P2P) ü Los foros
Que es la Ingeniería Social? New School
![Page 14: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/14.jpg)
![Page 15: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/15.jpg)
El Campus de Ecuador esta muy peligroso y hasta yo fuí víctima, quisieron clonarme
para hacer Phishing
![Page 16: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/16.jpg)
Lamentablemente sacado de un foro.
![Page 17: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/17.jpg)
![Page 18: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/18.jpg)
![Page 19: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/19.jpg)
Ataques Client Side
![Page 20: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/20.jpg)
A medida que los controles de seguridad asociados a determinadas tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos que aun no son lo suficientemente efectivos. La evolución de los ataques externos a través del tiempo, indica que los atacantes explotaban debilidades por lo menos en dos niveles bien definidos:
Nivel de Infraestructura
Nivel de Aplicación
Evolución Predecible
![Page 21: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/21.jpg)
Independientemente de lo anterior… conocen algún control de seguridad técnico, en el que la
colaboración del factor humano no sea necesaria para un funcionamiento efectivo?
Evolución Predecible
![Page 22: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/22.jpg)
Todo indica que el actual objetivo de los ataques, no apunta únicamente a vulnerabilidades de infraestructura o aplicación, sino que suman al que siempre conocimos como el eslabón mas débil de la cadena de la seguridad. La explotación del usuario final y la interacción regular de este con aplicativos de uso diario vulnerables y muchas veces olvidados, es la que hoy podría permitirle a un atacante, acceder a los sistemas de información de su empresa desde el exterior.
Es por eso que debemos prestar atención a un nuevo nivel:
Nivel de Cliente
Evolución Predecible
![Page 23: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/23.jpg)
• Navegador de Internet
• Suite de Ofimática
• Visor de archivos PDF
• Clientes de reproducción multimedia
• Otros
Client Side Exploit
Focalizado en aprovechar vulnerabilidades en el usuario de los sistemas de información, como así también en los programas cliente que este utiliza en el día a día de su labor:
![Page 24: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/24.jpg)
![Page 25: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/25.jpg)
Estado de Situación Actual vs Técnicas de Ataque
Client Side Exploit
• Protección Perimetral (From Outside to Inside vs. Inside to Outside) • Detección y Prevención de Intrusos vs. Cifrado y Ofuscación
• Endpoint Security vs. Ofuscación e Inyección de Procesos
• Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos
![Page 26: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/26.jpg)
Ahí viene la DEMO!!!
![Page 27: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/27.jpg)
El problema no es la tecnología, nunca lo fue. No pasa por usarla o no usarla.
Simplemente es cuestión de usarla bien.
La creatividad es el arma más potente que un atacante puede tener.
![Page 28: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/28.jpg)
![Page 29: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/29.jpg)
![Page 30: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/30.jpg)
![Page 31: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/31.jpg)
“La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa...”
Albert Einstein.
Muchas Gracias!! [email protected]
Twitter: holesec
Somos distintos, pensamos diferente.
![Page 32: Client-side Ingenieria social](https://reader034.vdocuments.co/reader034/viewer/2022052304/5580b48ad8b42ac6088b4a2c/html5/thumbnails/32.jpg)
No se pierdan la charla del Dr. Miguel Sumer Elias
A las 20 hs. Aquí en #cpin