El documento presenta una introducción a las herramientas y técnicas de hacking que pueden ser realizadas utilizando un smartphone. Explica que los smartphones modernos tienen la capacidad de escanear redes WiFi, interceptar tráfico de red, y ejecutar exploits y herramientas de hacking a través de aplicaciones. También cubre temas como BYOD, wardriving, sniffing de red, y defensas contra amenazas móviles como el uso de encriptación WPA2 y gestión de dispositivos móviles.
2. Quien Soy?
@Dylan_Irzi11
Juan David Castro
Investigador de Seguridad
Desarrollador Web
BugBounty Hunter
CEO de WebSecurityDev
• SEO (Search Engine Optimization).
• Social Media Marketing
• Growth Hacker
Contacto:
• dylan@websecuritydev.com
3. Agenda:
Motivaciones
Sistemas Operativos
En Lo Corporativo
Requisitos
DEMO
Defensas
Conclusiones Finales.
4. Motivaciones:
Hoy 7 de cada 10 personas tiene un Smartphone
( Android , iOS, Windows Phone )
Nuevas Herramientas para realizar auditorias de
seguridad.
Nuevos Métodos de Hacking
8. BYOD: La cuestión de la seguridad
El BYOD no está exento de
riesgos. Al utilizar dispositivos
propios para acceder a redes
corporativas, se usa un software
que puede no ser el
recomendado por la empresa. El
comportamiento de estos
usuarios puede escaparse del
control del departamento de
IT.
9. Ha Cambiado el Modo de realizar
Auditorias…
Si usted tiene un teléfono
inteligente Android, puede iniciar
su próximo proyecto de pruebas de
penetración desde su teléfono
Android. Hay pocas aplicaciones de
Android que pueden convertir su
dispositivo Android en un
dispositivo de hacking.
10. Para Empezar…
Requisitos:
Android iOS
Min Versión: 2.2 Min Versión: 5.0
ROOT Jailbreak
(Cydia)
11. Tools Android
dSploit – Kit de Exploitacion ( Sniffer, RoutePwn, Port Scanner, MiTM )
Network Discovery - Analiza los nombres de dispositivos conectados a dentro del
WiFi
aWPVScan – Scanner Wordpress desde Movil.
AnDOSid – Realizar DDoS
Terminal Emulator: necesario, tener siempre a mano una ventana de línea de
comandos (shell de Linux) por lo que pueda pasar
ConnectBot: cliente Telnet/SSH de código abierto, permite también hacer SSH
tunneling
Droidsheep: Secuestrar Sessiones Web.
Shark Reader: Analizador de Paquetes de Trafico
Router Keygen: Contraseñas por defecto de Modem’s
Y mucho mas..
13. Tools iOS
OpenSSH - nos permite conectarnos con el iPhone de forma remota a través de
SSH
GNU Debugger: Para el análisis de tiempo de ejecución y la ingeniería inversa
Scanny : Scannner de Puertos
Veency: Permite ver el teléfono en la estación de trabajo con la ayuda de cliente
Veency
Tcpdump: Para capturar el tráfico de red en el teléfono
com.ericasadun.utlities: plutil para ver la lista de archivos de propiedad
Metasploit: Kit De herramientas que envía payload, y expoit conocidos.
Shodan : Buscador.
Y Muchos Mas…
18. Mas Acerca de Wardriving… Bogotá
He mapeado desde norte a sur la
Ciudad
Tipos de Red:
WEP WPA WP2 Libres WEP
Con
WPS
Antena
s
4302
Vulnera
bles
4910
Redes
WPA
5939
WPA2
3429
Libres
446 10
Antenas
Virgin
Mobile
21. DEFENSAS
Para dentro de las empresas:
Gestión de dispositivos móviles (MDM):
Permite al personal de TI realizar de forma remota acciones de registro y
rastreo de los dispositivos, así distribuir o cancelar servicios en los mismos.
Detecta los ataques que se introducen a través de aplicaciones, puertos y
servicios de la red mediante un cortafuegos y un sistema de detección de
intrusiones.
Para Hogares y Demás…
Usar Encriptaciones seguras en Redes WiFi ( WPA2 )
No Conectarse a Redes Inalámbricas Inseguras ( Al menos que seas tu
atacante )
22. Conclusiones Finales.
Al Final, comprobamos que con un simple Smartphone es posible
comprometer la seguridad de una empresa, hogar o red en la calle.
Nos damos cuentas que para los “hackers” hoy en día es mas fácil sin
necesidad de tener un laptop.
Al final de cuenta la Seguridad va por nosotros mismos.