Claudio B. Caracciolo

@holesec

Octubre-2011

Client  Side  Exploit    -­‐Ingeniería  Social  Aplicada-­‐  

Quien Soy Yo?

Director de Servicios Profesionales en Root-Secure

Presidente de ISSA Argentina, miembro de ISSA Internacional

Miembro de OWASP

Miembro del Comité Académico de Segurinfo y del CASI

Especializado en Test de Intrusión y Metodologías de Defensa.

Apasionado de la Ingeniería Social

Autor junto a sus socios del libro:

Temario Temario

Situación Actual

Ataques de Ingeniería Social - Nueva Era

Ataques de Client Side

Conclusiones

Temario

Situación Actual

Situación Actual

Situación Actual

Manifiesto hacker escrito por “The Mentor”

- La seguridad durante muchos años dependió de factores relacionados con la seguridad física y las personas.

- En esta última década, los ataques fueron volviendo a sus bases y hemos tenido los mismos problemas de toda la vida:

•  Fuga de Información. •  Ataques de Denegación de Servicios por grupos de Hacktivistas. •  Ataques a los clientes de forma directa.

Algunas cosas nunca cambian:

Si puedo afectar a un usuario que es administrador de la red y comprometer su equipo, sin duda obtendré acceso a los servidores.

Algunas cosas nunca cambian:

Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al sistema de la empresa y modificar la información que deseo, hacer las transacciones que me interesan, o filtrar información? Para que podría interesarme tratar de encontrar debilidades en los servidores de la DB?  

Ingeniería Social de la Nueva Era

ü  Interésese seriamente por lo demás ü  Sonría ü  Para cualquier persona, su nombre es el sonido más agradable ü  Anime a los demás a que hablen de sí mismos ü  Hable pensando en lo que interese a los demás ü  Haga que la otra persona se sienta importante.

Dale Carnegie

ü  Es e l aprovechamiento de los conocimientos de las personas y de la ignorancia para convencerlas de que ejecuten acciones o actos que puedan revelar información.

ü  No se utilizan herramientas.

ü  Suelen ser Fallas del factor humano o en los procedimientos de la empresa.

Old School

Con el término "ingeniería social" se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas

veces premeditada para la obtención de información de terceros.    

Qué es la Ingeniería Social?

A  diferencia  de  la  vieja  escuela,  el  ingeniero  social  primero  busca  información  en  Internet  relacionada  a  su  víc:ma:  

ü  Blogs  y  Fotologs  ü  Redes  sociales  (Ocio  y  profesionales)  ü  Rss  ü  Foros  y  Wiki  ü  Juegos  online  

El  mundo  Web  2.0  pone  a  disposición  del  ingeniero  social  nuevas  herramientas  para  el  logro  de  su  come:do:  

ü  El  e-­‐mail  ü  La  mensajería  instantánea  (Chat)  ü  Las  redes  sociales  ü  Las  redes  de  intercambio  de  archivo  (P2P)  ü  Los  foros  

Que es la Ingeniería Social? New School

El Campus de Ecuador esta muy peligroso y hasta yo fuí víctima, quisieron clonarme

para hacer Phishing

Lamentablemente sacado de un foro.

Ataques Client Side

A medida que los controles de seguridad asociados a determinadas tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos que aun no son lo suficientemente efectivos. La evolución de los ataques externos a través del tiempo, indica que los atacantes explotaban debilidades por lo menos en dos niveles bien definidos:

Nivel de Infraestructura

Nivel de Aplicación

Evolución Predecible

Independientemente de lo anterior… conocen algún control de seguridad técnico, en el que la

colaboración del factor humano no sea necesaria para un funcionamiento efectivo?

Evolución Predecible

Todo indica que el actual objetivo de los ataques, no apunta únicamente a vulnerabilidades de infraestructura o aplicación, sino que suman al que siempre conocimos como el eslabón mas débil de la cadena de la seguridad. La explotación del usuario final y la interacción regular de este con aplicativos de uso diario vulnerables y muchas veces olvidados, es la que hoy podría permitirle a un atacante, acceder a los sistemas de información de su empresa desde el exterior.

Es por eso que debemos prestar atención a un nuevo nivel:

Nivel de Cliente  

Evolución Predecible

•  Navegador de Internet

•  Suite de Ofimática

•  Visor de archivos PDF

•  Clientes de reproducción multimedia

•  Otros

Client Side Exploit

Focalizado en aprovechar vulnerabilidades en el usuario de los sistemas de información, como así también en los programas cliente que este utiliza en el día a día de su labor:

Estado de Situación Actual vs Técnicas de Ataque

Client Side Exploit

•  Protección Perimetral (From Outside to Inside vs. Inside to Outside) •  Detección y Prevención de Intrusos vs. Cifrado y Ofuscación

•  Endpoint Security vs. Ofuscación e Inyección de Procesos

•  Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos

Ahí viene la DEMO!!!

El problema no es la tecnología, nunca lo fue. No pasa por usarla o no usarla.

Simplemente es cuestión de usarla bien.  

La creatividad es el arma más potente que un atacante puede tener.

“La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa...”

Albert Einstein.

Muchas Gracias!! ccaracciolo@root-secure.com

Twitter: holesec

Somos distintos, pensamos diferente.

No se pierdan la charla del Dr. Miguel Sumer Elias

A las 20 hs. Aquí en #cpin