Post on 15-Apr-2017
Recabando información antes de un APT
Autor: Alberto Barriuso Gallo
@_Barriuso
¿Qué es un APT?
“Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, (…) dirigidos a penetrar la seguridad informática de una entidad específica. El término ‘persistente’ sugiere que existe un control para la extracción de datos de un objetivo específico de forma continua” - Wikipedia
• Ej: Carbanak, Duqu (Stuxnet)
Diario El Economista
Foto extraída de Kaspersky Labs
Foto extraída de Kaspersky Labs
Página web pcmag.com
Etapas de un Pentesting
Reconocimiento Escaneo Ganando
AccesoManteniendo Acceso
Eliminar pruebas
del sistema
Metodología OSINT
• “OSINT se refiere Open Source Intelligence o Inteligencia de fuentes abiertas.
• Las fuentes de información OSINT hacen referencia a cualquier información desclasificada y públicamente accesible en Internet de forma gratuita”
http://papelesdeinteligencia.com/que-son-fuentes-de-informacion-osint/
Metodología OSINT
Foto extraída de El Lado del Mal
Brechas de seguridad en aplicaciones web populares
Brechas de seguridad
360 MILLONES DE CUENTASBrecha de Seguridad en el año 2008. En Mayo de 2016 salen a la luz.
Brechas de seguridad
165 MILLONES DE CUENTASBrecha de Seguridad en el año 2012. En Mayo de 2016 salen a la luz.
Brechas de seguridad
68 MILLONES DE CUENTASBrecha de Seguridad en el año 2012. En Agosto de 2016 salen a la luz.
Brechas de seguridad
¿500 MILLONES DE CUENTAS?
¿A mi eso en que me afecta?
Estadísticas de la brecha en
Rank Password Frequency1 123456 706,6892 123456789 237,8983 12345 107,2114 000000 78,9245 111111 62,4456 12345678 61,6587 azerty 56,6888 paSSword 54,1289 1234567 53,003
10 badoo 49,918
Estadísticas de la brecha en
Rank Email Domain Frequency1 @hotmail.com 37,273,5842 @hotmail.fr 11,030,7723 @gmail.com 9,629,5474 @yahoo.com 7,269,4045 @hotmail.it 5,493,1326 @yahoo.fr 3,090,1997 @live.fr 3,085,4788 @mail.ru 2,658,8049 @libero.it 2,451,44810 none 2,052,344
14 @hotmail.es 1,540,475
26 @yahoo.es 646,944
¿Consecuencias?
Eso sólo pasa a gente famosa.
Recomendaciones
• No poner la misma contraseña en todas las aplicaciones web. (Facebook, Linkedin, Dropbox, Gmail, Hotmail,etc…)
• Usar un gestor de contraseñas como por ejemplo Keepas, Lastpass con una contraseña maestra larga de 10-15 caracteres.
• Usar 2FA (Second Factor of Authentication)
Redes Sociales
Perfil 1 – Marisa (La meticulosa)
Contable en Banco BanAhorro (2014 – Actualidad)
Manejo de herramientas ofimáticas. Reuniones de equipo, gestión de cobros, etc…
Contable en Oficina de Barrio (Pequeño)(2010 – 2014)
Uso de la herramienta Cloud 0.5 para subir ficheros al servidor.
*Uso la misma contraseña en Facebook que la cuenta de la empresa.
Perfil 2 – Julián (El Vago Pasota)
Administrador de Sistemas en Pepe S.L
(2014 – Actualidad)Instalación de sistemas operativos Windows y Linux.
Gestión de Averías técnicas.Conocimientos medios en Angular.
*Usa la misma contraseña para servicios web (Facebook,Linkedin) pero tiene contraseña diferente en el trabajo.
Perfil 3 – Pedro (El crack)
Administrador de Sistemas Multinacional S.A en EEUU
- (2015 – Actualidad)Virtualización con VMWare ESXi 6, Hyper V y Xenserver 6.5
Gestión de sistemas de alto rendimiento, no tolerancia de fallos.
Administrador de Sistema Pepe S.L (PYME)
(2014 – 2015)Experto en Apache 2.2 y Ngnix.Instalación de cortafuegos Cisco Asa 1.5.
*Usa contraseñas diferentes en cada aplicación web.
¿Aprobado?
-Misma contraseña para servicios web.- Los atacantes no consiguen entrar.
-Misma contraseña que redes sociales.-Vulnerabilidad interna de elevación de privilegios. (Privilage Escalation)
-Gracias al perfil de Linkedin consiguen explotar una vulnerabilidad grave.
Conclusiones• No poner información confidencial en redes
sociales. Ante caso de duda preguntar a alguien responsable de la empresa.
• No poner la misma contraseña en todas las aplicaciones web. (Separar el ocio del trabajo)
• Usar un gestor de contraseñas para generar contraseñas aleatorias y almacenarlas de forma segura.
*https://haveibeenpwned.com/
¿Preguntas?
Gracias por su atención
DON’T GET