Client-side Ingenieria social

32
Claudio B. Caracciolo @holesec Octubre-2011 Client Side Exploit Ingeniería Social Aplicada

description

En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.

Transcript of Client-side Ingenieria social

Page 1: Client-side Ingenieria social

Claudio B. Caracciolo

@holesec

Octubre-2011

Client  Side  Exploit    -­‐Ingeniería  Social  Aplicada-­‐  

Page 2: Client-side Ingenieria social

Quien Soy Yo?

Director de Servicios Profesionales en Root-Secure

Presidente de ISSA Argentina, miembro de ISSA Internacional

Miembro de OWASP

Miembro del Comité Académico de Segurinfo y del CASI

Especializado en Test de Intrusión y Metodologías de Defensa.

Apasionado de la Ingeniería Social

Autor junto a sus socios del libro:

Page 3: Client-side Ingenieria social

Temario Temario

Situación Actual

Ataques de Ingeniería Social - Nueva Era

Ataques de Client Side

Conclusiones

Temario

Page 4: Client-side Ingenieria social

Situación Actual

Page 5: Client-side Ingenieria social

Situación Actual

Page 6: Client-side Ingenieria social

Situación Actual

Page 7: Client-side Ingenieria social

Manifiesto hacker escrito por “The Mentor”

Page 8: Client-side Ingenieria social

- La seguridad durante muchos años dependió de factores relacionados con la seguridad física y las personas.

- En esta última década, los ataques fueron volviendo a sus bases y hemos tenido los mismos problemas de toda la vida:

•  Fuga de Información. •  Ataques de Denegación de Servicios por grupos de Hacktivistas. •  Ataques a los clientes de forma directa.

Algunas cosas nunca cambian:

Page 9: Client-side Ingenieria social

Si puedo afectar a un usuario que es administrador de la red y comprometer su equipo, sin duda obtendré acceso a los servidores.

Algunas cosas nunca cambian:

Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al sistema de la empresa y modificar la información que deseo, hacer las transacciones que me interesan, o filtrar información? Para que podría interesarme tratar de encontrar debilidades en los servidores de la DB?  

Page 10: Client-side Ingenieria social

Ingeniería Social de la Nueva Era

Page 11: Client-side Ingenieria social

ü  Interésese seriamente por lo demás ü  Sonría ü  Para cualquier persona, su nombre es el sonido más agradable ü  Anime a los demás a que hablen de sí mismos ü  Hable pensando en lo que interese a los demás ü  Haga que la otra persona se sienta importante.

Dale Carnegie

Page 12: Client-side Ingenieria social

ü  Es e l aprovechamiento de los conocimientos de las personas y de la ignorancia para convencerlas de que ejecuten acciones o actos que puedan revelar información.

ü  No se utilizan herramientas.

ü  Suelen ser Fallas del factor humano o en los procedimientos de la empresa.

Old School

Con el término "ingeniería social" se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas

veces premeditada para la obtención de información de terceros.    

Qué es la Ingeniería Social?

Page 13: Client-side Ingenieria social

A  diferencia  de  la  vieja  escuela,  el  ingeniero  social  primero  busca  información  en  Internet  relacionada  a  su  víc:ma:  

ü  Blogs  y  Fotologs  ü  Redes  sociales  (Ocio  y  profesionales)  ü  Rss  ü  Foros  y  Wiki  ü  Juegos  online  

El  mundo  Web  2.0  pone  a  disposición  del  ingeniero  social  nuevas  herramientas  para  el  logro  de  su  come:do:  

ü  El  e-­‐mail  ü  La  mensajería  instantánea  (Chat)  ü  Las  redes  sociales  ü  Las  redes  de  intercambio  de  archivo  (P2P)  ü  Los  foros  

Que es la Ingeniería Social? New School

Page 14: Client-side Ingenieria social
Page 15: Client-side Ingenieria social

El Campus de Ecuador esta muy peligroso y hasta yo fuí víctima, quisieron clonarme

para hacer Phishing

Page 16: Client-side Ingenieria social

Lamentablemente sacado de un foro.

Page 17: Client-side Ingenieria social
Page 18: Client-side Ingenieria social
Page 19: Client-side Ingenieria social

Ataques Client Side

Page 20: Client-side Ingenieria social

A medida que los controles de seguridad asociados a determinadas tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos que aun no son lo suficientemente efectivos. La evolución de los ataques externos a través del tiempo, indica que los atacantes explotaban debilidades por lo menos en dos niveles bien definidos:

Nivel de Infraestructura

Nivel de Aplicación

Evolución Predecible

Page 21: Client-side Ingenieria social

Independientemente de lo anterior… conocen algún control de seguridad técnico, en el que la

colaboración del factor humano no sea necesaria para un funcionamiento efectivo?

Evolución Predecible

Page 22: Client-side Ingenieria social

Todo indica que el actual objetivo de los ataques, no apunta únicamente a vulnerabilidades de infraestructura o aplicación, sino que suman al que siempre conocimos como el eslabón mas débil de la cadena de la seguridad. La explotación del usuario final y la interacción regular de este con aplicativos de uso diario vulnerables y muchas veces olvidados, es la que hoy podría permitirle a un atacante, acceder a los sistemas de información de su empresa desde el exterior.

Es por eso que debemos prestar atención a un nuevo nivel:

Nivel de Cliente  

Evolución Predecible

Page 23: Client-side Ingenieria social

•  Navegador de Internet

•  Suite de Ofimática

•  Visor de archivos PDF

•  Clientes de reproducción multimedia

•  Otros

Client Side Exploit

Focalizado en aprovechar vulnerabilidades en el usuario de los sistemas de información, como así también en los programas cliente que este utiliza en el día a día de su labor:

Page 24: Client-side Ingenieria social
Page 25: Client-side Ingenieria social

Estado de Situación Actual vs Técnicas de Ataque

Client Side Exploit

•  Protección Perimetral (From Outside to Inside vs. Inside to Outside) •  Detección y Prevención de Intrusos vs. Cifrado y Ofuscación

•  Endpoint Security vs. Ofuscación e Inyección de Procesos

•  Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos

Page 26: Client-side Ingenieria social

Ahí viene la DEMO!!!

Page 27: Client-side Ingenieria social

El problema no es la tecnología, nunca lo fue. No pasa por usarla o no usarla.

Simplemente es cuestión de usarla bien.  

La creatividad es el arma más potente que un atacante puede tener.

Page 28: Client-side Ingenieria social
Page 29: Client-side Ingenieria social
Page 30: Client-side Ingenieria social
Page 31: Client-side Ingenieria social

“La vida es muy peligrosa. No por las personas que hacen el mal, sino por las que se sientan a ver lo que pasa...”

Albert Einstein.

Muchas Gracias!! [email protected]

Twitter: holesec

Somos distintos, pensamos diferente.

Page 32: Client-side Ingenieria social

No se pierdan la charla del Dr. Miguel Sumer Elias

A las 20 hs. Aquí en #cpin