SlideShare una empresa de Scribd logo

Manual seguridad informatica_sobre_robo_interno_de_documentos_enmascarado_de_fotografia

White Hat Mexico
White Hat Mexico

DELITOS CIBERNETICOS: Manual seguridad informatica sobre robo interno de documentos enmascarado de fotografia. Autor: Carlos Alberto Castruita Rodriguez. Director de WhiteHat Mexico http://www.whitehatmexico.tk http://www.whitehatmexico.com.mx Whatsapp: 442 146 7512

Software
1 de 10
Descargar para leer sin conexión
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 1
Libro de Et Contacto: whitehat.mexico@gmail.com Edición Descubre como es el CEH, Carlos Alberto Castruita Rodríguez Edición impresa en PDF protegida contra impresión y sobre escritura. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Edición patrocinada por WhiteHat México el Arte del Hacking de una visión de un White Hat. Por Carlos Alberto Castruita Rodríguez Edición Independiente © 2015 impresa en PDF protegida contra impresión y sobre escritura. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 2 Arte del Hacking de una visión de un White Hat. Carlos Alberto Castruita Rodríguez impresa en PDF protegida contra impresión y sobre escritura.
Libro de Et Contacto: whitehat.mexico@gmail.com Descubre desde cero como es Arte del Hacking de una El libro de PENTESTING y de vulnerabilidad de seguridad informática nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o soporte técnico en sistemas. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Descubre desde cero como es Arte del Hacking de una visión de un White Hat. y de SEGURIDAD INFORMATICA está diseñado para hacer pruebas de vulnerabilidad de seguridad informática, robo de información y espionaje de datos, nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o Autor: Carlos Alberto Castruita Director de WhiteHat Con 20 años de experiencia en el área Certificado Hellermann Tyton Certificado 3com Networks Ethical Hacker Contacto: carlos.castruita@whitehatmexico.tk EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 3 visión de un White Hat. diseñado para hacer pruebas de , robo de información y espionaje de datos, narrado a un nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o Autor: Carlos Alberto Castruita Rodríguez Director de WhiteHat - México Con 20 años de experiencia en el área sistemas. Certificado Hellermann Tyton Certificado 3com Networks Ethical Hacker Certificado carlos.castruita@whitehatmexico.tk
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 4 ¿COMO ROBAR INFORMACION CONFIDENCIAL O DELICADA SIN SER DETECTADO? Hay empresas que están preocupadas por uso o manejo de su información interna que no caiga en manos ajenas a la misma empresa y le den uso no apropiado o sea vendido al mejor postor. Protegen sus equipos contra impresión bajo autorización, bloquean puertos COM, 1394, CD-ROM y los USB. Entonces ponen empeño a la seguridad de datos e instalan sistemas de monitoreo de SMTP, ya que el empleado si requiere mandar información hacia el exterior. Supongamos que nuestra PC de la oficina, ya es están pequeña que no tiene CD ROM, ni unidad de diskette y tiene puerto USB pero está bloqueado por un software como el GiliSoft, para el uso de dispositivos debemos pedir autorización al administrador, entonces nos quedaría burlar el monitoreo de SMTP de la compañía. Del SMTP, cuando sale un email se revisa el cuerpo del texto del correo saliente y si contiene un adjunto, se le advierte al administrador de sistemas que sale un documento y debe ser revisado para valoración de aprobación de la salida del mismo email o correo electrónico. Hay una manera simple de sacar documentos de la empresa sin ser detectado, enmascarado con una fotografía bajo ambiente Windows.
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 5 Se concatena el documento que deseamos extraer de la empresa con una fotografía. Es común que tengamos en nuestros ordenadores de trabajo, fotografías de nuestros seres queridos, también de objetos adquiridos como autos, bicicletas o motocicletas, sin que sea mal visto o llame la atención del administrador de sistemas. EMPEZAMOS: Pasó 1: El documento o los documentos a robar hay que compactarlos en ZIP o RAR. Paso 2: Ya que compactamos en ZIP o RAR nuestros documentos, lo guardamos en la raíz para facilitar el uso de comandos de DOS. Paso 3: La fotografía que vamos a usar en la operación guardarla en raíz también. Pasó 4: Dentro de nuestro Windows nos vamos a la parte de ejecutar y escribimos el comando CMD y más INTRO. PASO 5: Ya que nos muestra una ventana de texto como la de la grafica siguiente, trataremos de irnos a raíz con el comando siguiente. Usar CD + INTRO, ya estando en raíz usaremos el comando copy. Pero antes de eso
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 6 Nos vamos a nuestra unidad C y checaremos nuestra imagen que vamos a trabajar. Tenemos arriba en el grafico, la imagen de una motocicleta con un peso de 22.3 KB, que en nuestro paso siguiente se va a concatenar o fusionar con el archivo que generamos en ZIP o RAR, que en este ejercicio lo generamos en Winrar, nuestro archivo se llama confidencial.rar y tiene un peso de 75 KB.
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 7 Nos vamos a nuestra raíz estando en la ventana de comandos y escribimos lo siguiente >> ESCRIBIR: Copy /b Suzuki_900.jpg+confidencial.rar mi_nueva_motocicleta.jpg{ INTRO } (Concatenamos el archivo JPG + el archivo RAR) Y lo guardamos en el archivo mi_nueva_motocicleta.jpg Borramos los archivos Suzuki_900cc.jpg y el archivo confidencial.rar, ya que obtenemos el nuevo archivo mi_nueva_motocicleta.jpg Para checar que nuestro nuevo archivo no tenga metadatos que nos pueda dejar en evidencia de alguna información lo revise con FOCA, un programa desarrollado por el Famoso Chema Alonso, cuyo software tiene una función para revisar los metadatos que contenga los archivos.
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 8 Pasamos nuestro archivo JPG por FOCA y vemos claramente como lo indica el grafico siguiente, que está limpio de metadatos que por algún detalle nos pueda comprometer el archivo JPG. Lo que si nos muestra FOCA que nuestra Fotografía de la motocicleta de un peso de 22.3 KB subió a 97 KB por la fusión del archivo RAR contenido dentro de la imagen. Realmente eso pasa por desapercibido ya que nadie sabe el peso original de la fotografía de la motocicleta.
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 9 Le damos clic derecho a la imagen de mi_nueva_motocicleta.jpg y seleccionamos winrar para poder ver el contenido de la imagen. Nos muestra en la parte del grafico siguiente, que nos muestra el contenido de la imagen mi_nueva_motocicleta.jpg como lo indica en la parte superior izquierda. Si vemos en la parte interior del winrar vemos un documento PDF, con el nombre de confidencial.pdf, ese es nuestro documento que robamos y que lo enmascaramos para obtenerlo de una manera que no se diera nadie cuenta de la compañía. Existen muchas manera de hacer robo interno de información, este fue un ejercicio de algo ya viejo, pero desgraciadamente muchos administradores de sistemas NO lo conocen o son fácilmente engañados.
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 10 NOTA IMPORTANTE: Estos ejercicios de ataques son con fines didácticos y no atacamos a ninguna empresa ni entidad gubernamental, son ataques 100% controlados. Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos. Yo como escritor e investigador de técnicas de ataque a medios informáticos, que cada uno de mis ejercicios de ataques a redes, servidores, equipos informáticos y telefónicos son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros. Expongo los ejercicios que yo como técnico informático a mi persona me han funcionado y dejo visto como un Black Hacker, Cracker o Delincuente informático de cómo puede atacar un equipo electrónico.

Recomendados

Manual de pentesting_sobre_ataque_web_python_hulk
Manual de pentesting_sobre_ataque_web_python_hulkManual de pentesting_sobre_ataque_web_python_hulk
Manual de pentesting_sobre_ataque_web_python_hulk
White Hat Mexico
 
Informatica
InformaticaInformatica
Informatica
karen_1013
 
Seguridad informática mafe
Seguridad informática mafeSeguridad informática mafe
Seguridad informática mafe
Maria Sanchez
 
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Rodrigo Orenday Serratos
 
Manual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersManual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackers
White Hat Mexico
 
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
White Hat Mexico
 
Manual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICManual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOIC
White Hat Mexico
 
Seguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantesSeguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantes
belrosy
 

Recomendados

Manual de pentesting_sobre_ataque_web_python_hulk
Manual de pentesting_sobre_ataque_web_python_hulkManual de pentesting_sobre_ataque_web_python_hulk
Manual de pentesting_sobre_ataque_web_python_hulk
White Hat Mexico
 
Informatica
InformaticaInformatica
Informatica
karen_1013
 
Seguridad informática mafe
Seguridad informática mafeSeguridad informática mafe
Seguridad informática mafe
Maria Sanchez
 
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Rodrigo Orenday Serratos
 
Manual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersManual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackers
White Hat Mexico
 
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
White Hat Mexico
 
Manual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICManual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOIC
White Hat Mexico
 
Seguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantesSeguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantes
belrosy
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
Maurice Frayssinet
 
Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)
Norma Flores
 
El Delito Informatico
El Delito InformaticoEl Delito Informatico
El Delito Informatico
Andres Eduardo Marquez Parra
 
Manual de pentesting_sobre_servicios_de_hacking_etico
Manual de pentesting_sobre_servicios_de_hacking_eticoManual de pentesting_sobre_servicios_de_hacking_etico
Manual de pentesting_sobre_servicios_de_hacking_etico
White Hat Mexico
 
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
elmejor122
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
Juan Dii
 
Acceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorAcceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megor
Diiana Maquera
 
Mal uso De La Informatica
Mal uso De La InformaticaMal uso De La Informatica
Mal uso De La Informatica
Cristian Mendez
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
xsercom
 
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACIONRIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
Cristian Calvo
 
Seguridad de la información - Virus
Seguridad de la información - VirusSeguridad de la información - Virus
Seguridad de la información - Virus
Salvador Fabián Vargas Rodríguez
 
Delitos informáticos
Delitos informáticos Delitos informáticos
Delitos informáticos
lisc20145
 
Robo de identidad
Robo de identidadRobo de identidad
Robo de identidad
marvie4
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
rociohidalgor
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
gustavoegg
 
Expo delitos informaticos
Expo delitos informaticosExpo delitos informaticos
Expo delitos informaticos
Darianny Paez
 
Los riesgos y amenazas de la información
Los riesgos y amenazas de la informaciónLos riesgos y amenazas de la información
Los riesgos y amenazas de la información
PSM
 
Delitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onuDelitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onu
Karito Atarama Salazar
 

Más contenido relacionado

Destacado

Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)
Norma Flores
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
Juan Dii
 
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACIONRIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
Cristian Calvo
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
rociohidalgor
 
Expo delitos informaticos
Expo delitos informaticosExpo delitos informaticos
Expo delitos informaticos
Darianny Paez
 
Delitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onuDelitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onu
Karito Atarama Salazar
 

Destacado (18)

Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)
 
El Delito Informatico
El Delito InformaticoEl Delito Informatico
El Delito Informatico
 
Manual de pentesting_sobre_servicios_de_hacking_etico
Manual de pentesting_sobre_servicios_de_hacking_eticoManual de pentesting_sobre_servicios_de_hacking_etico
Manual de pentesting_sobre_servicios_de_hacking_etico
 
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Acceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorAcceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megor
 
Mal uso De La Informatica
Mal uso De La InformaticaMal uso De La Informatica
Mal uso De La Informatica
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
 
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACIONRIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
 
Seguridad de la información - Virus
Seguridad de la información - VirusSeguridad de la información - Virus
Seguridad de la información - Virus
 
Delitos informáticos
Delitos informáticos Delitos informáticos
Delitos informáticos
 
Robo de identidad
Robo de identidadRobo de identidad
Robo de identidad
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Expo delitos informaticos
Expo delitos informaticosExpo delitos informaticos
Expo delitos informaticos
 
Los riesgos y amenazas de la información
Los riesgos y amenazas de la informaciónLos riesgos y amenazas de la información
Los riesgos y amenazas de la información
 
Delitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onuDelitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onu
 

Manual seguridad informatica_sobre_robo_interno_de_documentos_enmascarado_de_fotografia

  • 1. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 1
  • 2. Libro de Et Contacto: whitehat.mexico@gmail.com Edición Descubre como es el CEH, Carlos Alberto Castruita Rodríguez Edición impresa en PDF protegida contra impresión y sobre escritura. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Edición patrocinada por WhiteHat México el Arte del Hacking de una visión de un White Hat. Por Carlos Alberto Castruita Rodríguez Edición Independiente © 2015 impresa en PDF protegida contra impresión y sobre escritura. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 2 Arte del Hacking de una visión de un White Hat. Carlos Alberto Castruita Rodríguez impresa en PDF protegida contra impresión y sobre escritura.
  • 3. Libro de Et Contacto: whitehat.mexico@gmail.com Descubre desde cero como es Arte del Hacking de una El libro de PENTESTING y de vulnerabilidad de seguridad informática nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o soporte técnico en sistemas. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Descubre desde cero como es Arte del Hacking de una visión de un White Hat. y de SEGURIDAD INFORMATICA está diseñado para hacer pruebas de vulnerabilidad de seguridad informática, robo de información y espionaje de datos, nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o Autor: Carlos Alberto Castruita Director de WhiteHat Con 20 años de experiencia en el área Certificado Hellermann Tyton Certificado 3com Networks Ethical Hacker Contacto: carlos.castruita@whitehatmexico.tk EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 3 visión de un White Hat. diseñado para hacer pruebas de , robo de información y espionaje de datos, narrado a un nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o Autor: Carlos Alberto Castruita Rodríguez Director de WhiteHat - México Con 20 años de experiencia en el área sistemas. Certificado Hellermann Tyton Certificado 3com Networks Ethical Hacker Certificado carlos.castruita@whitehatmexico.tk
  • 4. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 4 ¿COMO ROBAR INFORMACION CONFIDENCIAL O DELICADA SIN SER DETECTADO? Hay empresas que están preocupadas por uso o manejo de su información interna que no caiga en manos ajenas a la misma empresa y le den uso no apropiado o sea vendido al mejor postor. Protegen sus equipos contra impresión bajo autorización, bloquean puertos COM, 1394, CD-ROM y los USB. Entonces ponen empeño a la seguridad de datos e instalan sistemas de monitoreo de SMTP, ya que el empleado si requiere mandar información hacia el exterior. Supongamos que nuestra PC de la oficina, ya es están pequeña que no tiene CD ROM, ni unidad de diskette y tiene puerto USB pero está bloqueado por un software como el GiliSoft, para el uso de dispositivos debemos pedir autorización al administrador, entonces nos quedaría burlar el monitoreo de SMTP de la compañía. Del SMTP, cuando sale un email se revisa el cuerpo del texto del correo saliente y si contiene un adjunto, se le advierte al administrador de sistemas que sale un documento y debe ser revisado para valoración de aprobación de la salida del mismo email o correo electrónico. Hay una manera simple de sacar documentos de la empresa sin ser detectado, enmascarado con una fotografía bajo ambiente Windows.
  • 5. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 5 Se concatena el documento que deseamos extraer de la empresa con una fotografía. Es común que tengamos en nuestros ordenadores de trabajo, fotografías de nuestros seres queridos, también de objetos adquiridos como autos, bicicletas o motocicletas, sin que sea mal visto o llame la atención del administrador de sistemas. EMPEZAMOS: Pasó 1: El documento o los documentos a robar hay que compactarlos en ZIP o RAR. Paso 2: Ya que compactamos en ZIP o RAR nuestros documentos, lo guardamos en la raíz para facilitar el uso de comandos de DOS. Paso 3: La fotografía que vamos a usar en la operación guardarla en raíz también. Pasó 4: Dentro de nuestro Windows nos vamos a la parte de ejecutar y escribimos el comando CMD y más INTRO. PASO 5: Ya que nos muestra una ventana de texto como la de la grafica siguiente, trataremos de irnos a raíz con el comando siguiente. Usar CD + INTRO, ya estando en raíz usaremos el comando copy. Pero antes de eso
  • 6. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 6 Nos vamos a nuestra unidad C y checaremos nuestra imagen que vamos a trabajar. Tenemos arriba en el grafico, la imagen de una motocicleta con un peso de 22.3 KB, que en nuestro paso siguiente se va a concatenar o fusionar con el archivo que generamos en ZIP o RAR, que en este ejercicio lo generamos en Winrar, nuestro archivo se llama confidencial.rar y tiene un peso de 75 KB.
  • 7. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 7 Nos vamos a nuestra raíz estando en la ventana de comandos y escribimos lo siguiente >> ESCRIBIR: Copy /b Suzuki_900.jpg+confidencial.rar mi_nueva_motocicleta.jpg{ INTRO } (Concatenamos el archivo JPG + el archivo RAR) Y lo guardamos en el archivo mi_nueva_motocicleta.jpg Borramos los archivos Suzuki_900cc.jpg y el archivo confidencial.rar, ya que obtenemos el nuevo archivo mi_nueva_motocicleta.jpg Para checar que nuestro nuevo archivo no tenga metadatos que nos pueda dejar en evidencia de alguna información lo revise con FOCA, un programa desarrollado por el Famoso Chema Alonso, cuyo software tiene una función para revisar los metadatos que contenga los archivos.
  • 8. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 8 Pasamos nuestro archivo JPG por FOCA y vemos claramente como lo indica el grafico siguiente, que está limpio de metadatos que por algún detalle nos pueda comprometer el archivo JPG. Lo que si nos muestra FOCA que nuestra Fotografía de la motocicleta de un peso de 22.3 KB subió a 97 KB por la fusión del archivo RAR contenido dentro de la imagen. Realmente eso pasa por desapercibido ya que nadie sabe el peso original de la fotografía de la motocicleta.
  • 9. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 9 Le damos clic derecho a la imagen de mi_nueva_motocicleta.jpg y seleccionamos winrar para poder ver el contenido de la imagen. Nos muestra en la parte del grafico siguiente, que nos muestra el contenido de la imagen mi_nueva_motocicleta.jpg como lo indica en la parte superior izquierda. Si vemos en la parte interior del winrar vemos un documento PDF, con el nombre de confidencial.pdf, ese es nuestro documento que robamos y que lo enmascaramos para obtenerlo de una manera que no se diera nadie cuenta de la compañía. Existen muchas manera de hacer robo interno de información, este fue un ejercicio de algo ya viejo, pero desgraciadamente muchos administradores de sistemas NO lo conocen o son fácilmente engañados.
  • 10. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 10 NOTA IMPORTANTE: Estos ejercicios de ataques son con fines didácticos y no atacamos a ninguna empresa ni entidad gubernamental, son ataques 100% controlados. Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos. Yo como escritor e investigador de técnicas de ataque a medios informáticos, que cada uno de mis ejercicios de ataques a redes, servidores, equipos informáticos y telefónicos son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros. Expongo los ejercicios que yo como técnico informático a mi persona me han funcionado y dejo visto como un Black Hacker, Cracker o Delincuente informático de cómo puede atacar un equipo electrónico.