Root Secure Information Disclosure

transcript

Perú 440 piso 7 Depto. T - Capital Federal, Bs As // Tel. (+5411) 5218-2858 // www.root-secure.comPerú 440 piso 7 Depto. T - Capital Federal, Buenos Aires // Tel. (+5411) 5218-2858/2859 // www.root-secure.com

Perú 440 piso 7 Depto. T - Capital Federal, Bs As // Tel. (+5411) 5218-2858 // www.root-secure.com

Web 2.0 Information Disclosure "Webear puede costar caro”

Ezequiel M. Sallis CISSP/CEHClaudio B. Caracciolo CEH/MCSE

http://creativecommons.org/licenses/by-nc-sa/2.5/ar/

Ud. puede:

Copiar, distribuir, exhibir, y ejecutar la obra

Hacer obras derivadas

Bajo las siguientes condiciones:

Atribución. Debe atribuir la obra en la forma especificada por el autor

No Comercial. No puede usar esta obra con fines comerciales.

Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.

Licencia de uso: Creative Commons 2.5 Argentina

Perú 440 piso 7 Depto. T - Capital Federal, Bs As // Tel. (+5411) 5218-2858 // www.root-secure.comPerú 440 piso 7 Depto. T - Capital Federal, Bs As // Tel. (+5411) 5218-2858 // www.root-secure.com

La primer Etapa de un Penetration Test o de un Ethical Hacking, es conocida como La Etapa de Reconocimiento.

En dicha Etapa, la primer tarea se relaciona con una técnica conocida como Information Gathering, donde el objetivo de la misma es hallar la mayor cantidad de información posible sobre el objetivo…

Si ustedes quisieran armar el Profile de una persona o de una empresa… por donde empezarían??

En Internet…

Lo primero que podemos ver es que las Redes Sociales, los Foros, los Juegos On Line, las herramientas On Line, etc etc… conforman los repositorios de información relacionada con la administración de identidad, mas grandes e informales del mundo virtual, y por ende, mayormente una de las más descuidadas.

Podemos Encontrar herramientas para publicar:

Información personalInformación orientada al ocioInformación orientada a lo laboralRelaciones personalesOpinionesFotosDocumentosNotas

El usuario tiende a cargar información a través de estas herramientas

Pero con mucha ingenuidad y con una visión generalmente, despreocupada o ausente de conciencia.

Open Source Intelligence (OSInt):

Es una disciplina útil para procesarinformación, esta relacionada con encontrar, seleccionar y adquirir información de fuentes publicas, para que esta sea analizada y se pueda utilizar para acciones de inteligencia.

Si bien esto puede solo parecer estar relacionado con esferas gubernamentales y militares, la disciplina de la inteligencia competitiva es el ejemplo de que esto también de aplica en el mundo de los negocios.

Agregar: Se refiere al proceso a través del cual se puede obtener

información a la que no se tiene acceso mediante la utilización de datos a los que si se puede acceder. La información combinada tiene un nivel de sensibilidad mayor que las partes que la componen.

Inferir:Se refiere al resultado de generar nueva información

basándose en la ya existente y disponible.

Ingeniería SocialRobo de Identidad - Fake Profile

StalkingBullying

Espionaje Corporativo

Las consecuencias de la ejecución efectiva de las técnicas antes mencionadas, ponen en evidencia el riesgo al que expone inocentemente un usuario a su organización o a si mismo, tan solo por no interactuar de manera adecuada en el mundo WEB 2.0.

No Need “for Old School Hacker Skills”

No Need “for firewall evasion”

No Need “for IDS evasion”

No Need “for 0 Day Exploit”.

No Need “for Buffer Over Flow”.

WEB 2.0 + Usuario Final = “Webear cuesta caro”

Sino Nos Creen…

Asistan al taller mañana y vean esto…

Todo comenzó con una simple búsqueda en Google...

...y termino con un simple acceso a la base de datos.

...que además le podemos sumar imágenes de la oficina...

...o datos reales sobre configuraciones de los equipos...

Google Hack Calendar Flavor: “Lunes 10/08 Cambiar Password”

“El Tipo de Seguridad me dijo que NO la anote debajo del teclado pero nunca hablo de

NO Publicarla…”

Google Hack Calendar Flavor: New on Google APPS!!!

“Google ABM Application”

Google Hack Calendar Flavor: New Google Alert Service!!!

“Estas Despedido !!! enterate en Google Calendar”

Google Hack Calendar Flavor: Secretos en reunión...

Google Hack Calendar Flavor: Convocatoria Reunión Gerencia…

“Gerentes, Jefes y el resto de los habitantes de la Web”

Y por casa como andamos ???

THINK BEFORE YOU POST...!!!

La efectividad de los controles técnicos, depende en gran medida de la colaboración del Usuario.

Revise su plan se seguridad y vea que prioridad ocupa la educación de sus usuarios...

Lo que acabamos de ver no se soluciona con un parche de seguridad, debe trabajarse a través de la educación de los usuarios, de la capacitación… No para la vida en la empresa solamente, sino también para tratar las nuevas tecnologías

“Todos somos ignorantes pero no todos ignoramos las

mismas cosas”

Perú 440 piso 7 Depto. T - Capital Federal, Bs As // Tel. (+5411) 5218-2858 // www.root-secure.comPerú 440 piso 7 Depto. T - Capital Federal, Buenos Aires // Tel. (+5411) 5218-2858/2859 // www.root-secure.com

Webear puede costar caro

Muchas Gracias por su Atención

Root Secure Information Disclosure

Technology