Why Cyberspies always win!Why Cyberspies always win!
Chema Alonso
(@ChemaAlonso)
"I know not with what weapons
World War III will be fought,
but World War IV will be
fought with sticks and stones.”
Alber...
Aurora Operation
Espías Chinos Malos, Malos..
“China is the
most dangerous
superpower on
Earth.”
Eric Schmidt
(Google)
Operation StuxNet
Duqu & Flame
• 1000+
modules
• Acid
Cryptofiler
APT1
NetTraveler
• 2004
• 22 Gb
Advanced CyberThreat
¿Quiénes son los culpables?
• ¿Usuarios?
• ¿Tecnología?
• ¿Informáticos?
• ¿Jefes?
¿El usuario es el culpable?
Vulnerabilidad Permanente
“Siempre existe una
vulnerabilidad entre la silla y
el teclado”
Sergio de los Santos
Nos olvidamos de Penny!Nos olvidamos de Penny!
¿Realmente son entendibles?
• OTP
• 2-Factor
• VPN’s
• WPS
• Oauth
• … Y un largo etc…
Algo no hemos hecho bien…
Endless World!
OSINT
El Ataque Dirigido
OSINT
OSINT
OSINT
Today
Pero….
MetaShield Protector
Esquema Nacional de Seguridad
• "5.7.6 Limpieza de documentos
En el proceso de limpieza de documentos, se retirará de esto...
IBEX 35
100 %
Empresas con metadatos
Empresas sin metadatos
Money
No more free bugs
{Tu tiempo} Tu bug es oro
"If you spend more on coffee than
on IT security, then you will be
hacked.“
(Security Czar) Clarke, 2002
Resilent Military Systems
Diseño de Sistemas
Pentesting Continuo
“Si un pentester no puede hacer
una prueba de pentesting cuando lo
necesite, entonces ya has perdido,
...
People request…
Gwapo
http://www.youtube.com/watch?v=c9MuuW0HfSA
Diseño de Sistemas
Pentesting “Driven” By FOCA
PCI-DSS
Insuficiente
• Web Apps cambian mucho
• SW ciclo de parhes mensuales
• Decenas de publicaciones
hacking mensuales
Pentesting Done by FOCA:
FOCA as a Service
FOCA approved!
Executive Summary
• Seguridad adaptada a usuarios
• Nuestro sistema informático es Internet
• Pentesting by Desing
• Pente...
Y si no…
FOCA
Rulz!
¿Preguntas?
Chema Alonso
chema@11paths.com
@ChemaAlonso
Why Cyberspies always win
Why Cyberspies always win
Próxima SlideShare
Cargando en…5
×

Why Cyberspies always win

12.744 visualizaciones

Publicado el

Esta es la presentación que di en OWASP EU 2013 sobre algunas reflexiones sobre por qué el pentesting y la seguridad informática fallan hoy en día y los "malos" o "ciberespías" siempre ganan. Son reflexiones personales sobre Pentesting by Design, diseño de soluciones de seguridad y planificación empresarial. Mis ideas.

Publicado en: Tecnología
0 comentarios
4 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
12.744
En SlideShare
0
De insertados
0
Número de insertados
10.637
Acciones
Compartido
0
Descargas
85
Comentarios
0
Recomendaciones
4
Insertados 0
No insertados

No hay notas en la diapositiva.

Why Cyberspies always win

  1. 1. Why Cyberspies always win!Why Cyberspies always win! Chema Alonso (@ChemaAlonso)
  2. 2. "I know not with what weapons World War III will be fought, but World War IV will be fought with sticks and stones.” Albert Einstein
  3. 3. Aurora Operation
  4. 4. Espías Chinos Malos, Malos.. “China is the most dangerous superpower on Earth.” Eric Schmidt (Google)
  5. 5. Operation StuxNet
  6. 6. Duqu & Flame
  7. 7. • 1000+ modules • Acid Cryptofiler
  8. 8. APT1
  9. 9. NetTraveler • 2004 • 22 Gb
  10. 10. Advanced CyberThreat
  11. 11. ¿Quiénes son los culpables? • ¿Usuarios? • ¿Tecnología? • ¿Informáticos? • ¿Jefes?
  12. 12. ¿El usuario es el culpable?
  13. 13. Vulnerabilidad Permanente “Siempre existe una vulnerabilidad entre la silla y el teclado” Sergio de los Santos
  14. 14. Nos olvidamos de Penny!Nos olvidamos de Penny!
  15. 15. ¿Realmente son entendibles? • OTP • 2-Factor • VPN’s • WPS • Oauth • … Y un largo etc…
  16. 16. Algo no hemos hecho bien…
  17. 17. Endless World!
  18. 18. OSINT
  19. 19. El Ataque Dirigido
  20. 20. OSINT
  21. 21. OSINT
  22. 22. OSINT
  23. 23. Today
  24. 24. Pero….
  25. 25. MetaShield Protector
  26. 26. Esquema Nacional de Seguridad • "5.7.6 Limpieza de documentos En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento. Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información. El incumplimiento de esta medida puede perjudicar: a) Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento. b) Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento. c) A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer."
  27. 27. IBEX 35 100 % Empresas con metadatos Empresas sin metadatos
  28. 28. Money
  29. 29. No more free bugs
  30. 30. {Tu tiempo} Tu bug es oro
  31. 31. "If you spend more on coffee than on IT security, then you will be hacked.“ (Security Czar) Clarke, 2002
  32. 32. Resilent Military Systems
  33. 33. Diseño de Sistemas
  34. 34. Pentesting Continuo “Si un pentester no puede hacer una prueba de pentesting cuando lo necesite, entonces ya has perdido, porque los malos sí que la van a hacer cuando quieran” Chema Alonso
  35. 35. People request…
  36. 36. Gwapo http://www.youtube.com/watch?v=c9MuuW0HfSA
  37. 37. Diseño de Sistemas
  38. 38. Pentesting “Driven” By FOCA
  39. 39. PCI-DSS
  40. 40. Insuficiente • Web Apps cambian mucho • SW ciclo de parhes mensuales • Decenas de publicaciones hacking mensuales
  41. 41. Pentesting Done by FOCA: FOCA as a Service
  42. 42. FOCA approved!
  43. 43. Executive Summary • Seguridad adaptada a usuarios • Nuestro sistema informático es Internet • Pentesting by Desing • Pentesting Continuo • Show me the money….
  44. 44. Y si no…
  45. 45. FOCA Rulz! ¿Preguntas? Chema Alonso chema@11paths.com @ChemaAlonso

×