Recabando información antes de un APT

Autor: Alberto Barriuso Gallo

@_Barriuso

¿Qué es un APT?

“Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, (…) dirigidos a penetrar la seguridad informática de una entidad específica. El término ‘persistente’ sugiere que existe un control para la extracción de datos de un objetivo específico de forma continua” - Wikipedia

• Ej: Carbanak, Duqu (Stuxnet)

Diario El Economista

Foto extraída de Kaspersky Labs

Foto extraída de Kaspersky Labs

Página web pcmag.com

Etapas de un Pentesting

Reconocimiento Escaneo Ganando

AccesoManteniendo Acceso

Eliminar pruebas

del sistema

Metodología OSINT

• “OSINT se refiere Open Source Intelligence o Inteligencia de fuentes abiertas.

• Las fuentes de información OSINT hacen referencia a cualquier información desclasificada y públicamente accesible en Internet de forma gratuita”

http://papelesdeinteligencia.com/que-son-fuentes-de-informacion-osint/

Metodología OSINT

Foto extraída de El Lado del Mal

Brechas de seguridad en aplicaciones web populares

Brechas de seguridad

360 MILLONES DE CUENTASBrecha de Seguridad en el año 2008. En Mayo de 2016 salen a la luz.

Brechas de seguridad

165 MILLONES DE CUENTASBrecha de Seguridad en el año 2012. En Mayo de 2016 salen a la luz.

Brechas de seguridad

68 MILLONES DE CUENTASBrecha de Seguridad en el año 2012. En Agosto de 2016 salen a la luz.

Brechas de seguridad

¿500 MILLONES DE CUENTAS?

¿A mi eso en que me afecta?

Estadísticas de la brecha en

Rank Password Frequency1 123456 706,6892 123456789 237,8983 12345 107,2114 000000 78,9245 111111 62,4456 12345678 61,6587 azerty 56,6888 paSSword 54,1289 1234567 53,003

10 badoo 49,918

Estadísticas de la brecha en

Rank Email Domain Frequency1 @hotmail.com 37,273,5842 @hotmail.fr 11,030,7723 @gmail.com 9,629,5474 @yahoo.com 7,269,4045 @hotmail.it 5,493,1326 @yahoo.fr 3,090,1997 @live.fr 3,085,4788 @mail.ru 2,658,8049 @libero.it 2,451,44810 none 2,052,344

14 @hotmail.es 1,540,475

26 @yahoo.es 646,944

¿Consecuencias?

Eso sólo pasa a gente famosa.

Recomendaciones

• No poner la misma contraseña en todas las aplicaciones web. (Facebook, Linkedin, Dropbox, Gmail, Hotmail,etc…)

• Usar un gestor de contraseñas como por ejemplo Keepas, Lastpass con una contraseña maestra larga de 10-15 caracteres.

• Usar 2FA (Second Factor of Authentication)

Redes Sociales

Perfil 1 – Marisa (La meticulosa)

Contable en Banco BanAhorro (2014 – Actualidad)

Manejo de herramientas ofimáticas. Reuniones de equipo,  gestión de cobros, etc…

Contable en Oficina de Barrio (Pequeño)(2010 – 2014)

Uso de la herramienta Cloud 0.5 para subir ficheros al servidor.

*Uso la misma contraseña en Facebook que la cuenta de la empresa.

Perfil 2 – Julián (El Vago Pasota)

Administrador de Sistemas en Pepe S.L

(2014 – Actualidad)Instalación de sistemas operativos Windows y Linux.

Gestión de Averías técnicas.Conocimientos medios en Angular.

*Usa la misma contraseña para servicios web (Facebook,Linkedin) pero tiene contraseña diferente en el trabajo.

Perfil 3 – Pedro (El crack)

Administrador de Sistemas Multinacional S.A en EEUU

- (2015 – Actualidad)Virtualización con VMWare ESXi 6, Hyper V y Xenserver 6.5

Gestión de sistemas de alto rendimiento, no tolerancia de fallos.

Administrador de Sistema Pepe S.L (PYME)

(2014 – 2015)Experto en Apache 2.2 y Ngnix.Instalación de cortafuegos Cisco Asa 1.5.

*Usa contraseñas diferentes en cada aplicación web.

¿Aprobado?

-Misma contraseña para servicios web.- Los atacantes no consiguen entrar.

-Misma contraseña que redes sociales.-Vulnerabilidad interna de elevación de privilegios. (Privilage Escalation)

-Gracias al perfil de Linkedin consiguen explotar una vulnerabilidad grave.

Conclusiones• No poner información confidencial en redes

sociales. Ante caso de duda preguntar a alguien responsable de la empresa.

• No poner la misma contraseña en todas las aplicaciones web. (Separar el ocio del trabajo)

• Usar un gestor de contraseñas para generar contraseñas aleatorias y almacenarlas de forma segura.

*https://haveibeenpwned.com/

¿Preguntas?

Gracias por su atención

DON’T GET