Vulnerabilidad de Sistemas

7/31/2019 Vulnerabilidad de Sistemas

1/31


2/31

Temas

1. Conociendo al Administrador de la RCP

Human Hacking

2. Data Gathering.

Metadatos3. Ingeniera Social

4. Seguridad de Informacin de los usuarios

5. Somos Perfectos negando lo innegable.


3/31

HUMAN HACKING.. Un ejemplo realLa Victima el jefe del area de sistemas de laRed Cientifica del Peru (NIC.PE), quien maneja

las claves de seguridad del bd dewww.punto.pe

VictimarioLuzsec
http://www.punto.pe/http://www.punto.pe/


4/31

Conociendo al Administrador de la RPC

JAIME TAN NOZAWARHCE - ITIL - MCSA - BCIP Arquitecto de Software y Desarrollador en PHP. Gusto porel diseo objeto-relacional. Consultor y analista de sistemas de informacin. Mishobbies son cualquier cosa oriental (msica, dibujos), pelculas francesas o cine

independiente.

Actualmente laborando en:RCP : Jefe del rea de Sistemas

Fuente: http://phpexperto.blogspot.com/
http://phpexperto.blogspot.com/http://phpexperto.blogspot.com/


5/31

DATA GATHERINGEs el medio de buscar informacin que puede ser empleada

para acceder a un servidor, sirve para emplear unametodologa de ataque variable a una determinada victima.

Human Hacking es atacar al administrador, no al sistema

Mediante un proceso de Data Gathering, se trabaja en elmarco de un rompecabezas, buscando toda la informacin

posible.


6/31

Google Hacking

Buscamos

informacin

relacionada al

administrador,

basndonos en sus

fallas, encontramos

un tema de

recopilacin de

datos que ha sidocompartido en una

red publica.


7/31

Fuente: http://biblioteca.unmsm.edu.pe/scudirectorio/

Empleando BD de la UNMSM se accede a los perfiles de estudiantes
http://biblioteca.unmsm.edu.pe/scudirectorio/http://biblioteca.unmsm.edu.pe/scudirectorio/


8/31

Estudiante Base 98 UNMSM Ing. Geografica,transfiriendose a Ing. De Sistemas el ao 1999.

NO SE REGISTRA EGRESO


9/31

Empleando BD de Sunat se adquiere DNI


10/31

Adquirimos datos personales


11/31

Adquiriendofecha de nacimiento

18/07/1979

Fuente:

http://ww4.essalud.g

ob.pe:7777/acredita/
http://ww4.essalud.gob.pe:7777/acredita/http://ww4.essalud.gob.pe:7777/acredita/http://ww4.essalud.gob.pe:7777/acredita/http://ww4.essalud.gob.pe:7777/acredita/http://ww4.essalud.gob.pe:7777/acredita/


12/31

METADATOS EN QUE SE BASAN

SCORM.

Es un estandar contenido en un objeto de

aprendizaje, todo objeto es creado bajo ello,

para que tenga continuidad, sea en video, audio,

texto.


13/31

FOCA

Una herramienta gratuita para buscar fallos

en servidores y websites.


14/31

Como Instalar la FOCA


15/31

Anlisis de Metadatos www.sedeforense.edu.pe

Anlisis de Metadatos www.sise.edu.pe


16/31

Resultados www.sedeforense.edu.pe


17/31


18/31

No hay peor cosa que la falsa

seguridad

Un administrador orgulloso es una victima

segura


19/31

La mejor

herramienta para

protegerse delos ataques de

ingeniera social

es el sentidocomn.


20/31

El sentido comn no es nadacomn.

Voltaire (1694-1778) Filsofo yescritor francs


21/31


22/31

Polticas de Seguridad

www.mindef.gob.pe/menu/libroblanco

http://www.codesi.gob.pe/

http://www.ongei.gob.pe/


23/31

Administrador

Quien se ha llevado mi Password?


24/31

Respuesta


25/31

19 de Octubre 2012, Luzsec lanza bd de claves y usuarios de dominios .pe


26/31

Comunicado a usuarios punto.pe 20 de Octubre del 2012

Somos Perfectos negando lo innegable.


27/31

Pese a las pruebas, niegan el ataque


28/31

Segundo comunicado.

Se niega que tengan los

pasword de dominios,

pero

Se sugiere cambiar las

claves


29/31

Cul es el error en este panel de usuario?


30/31

Como lo atacaron a PUNTO.PEMediante un SQL INJECTION.

Era necesario ese metodo?

Solucionaron los problemas?


31/31

Preguntas

Cesar Chvez Martnez

[email protected]

Vulnerabilidad de Sistemas

Documents

Transcript of Vulnerabilidad de Sistemas