Presentación que muestra como problemas de seguridad se aprovechan sitio s Web y se roban contraseñas. Se hace foco como desarrollar seguro. Como infraestructura resuelve problemas de desarrollo, como el WAF. El video de esta presentación disponible en https://www.youtube.com/watch?v=Jey0skoG0MU.
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Hackeando Humanos - Ingeniería Social y OWASP Top 10
1. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Hackeando Humanos
OWASP
Enrique G. Dutra
Punto Net Soluciones SRL
Auditor Lider ISO/IEC 27001 - IRCA
edutra@puntonetsoluciones.com.ar
Tw: @egdutra
4. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Agenda
- Ingeniería Social
- Punto mas débil, el humanOS.
- En que consiste?
- Técnica
- La tecnología lo facilita. Ejemplo
- XSS
- OWASP Top Ten 2017
- Qué es?
- Por que usarlo?
- Herramientas para mejorar nuestro desarrollo.
- Inyección
5. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Ingeniería Social
Hackeando HumanOS
6. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Qué pasa en Internet en 60 Segundos?
7. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Engaño
Inducir a alguien a tener por
cierto aquello que no lo es, dar
a la mentira apariencia de
verdad, producir ilusión.
Aunque se dice que el único ordenador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder
que siempre se puede convencer a alguien para que lo enchufe.”
Congreso "Access All Areas“ 1997
8. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Christopher Hadnagy
“…Ingeniería Social es el acto de
influir en una persona para que
lleve a cabo una acción que
puede, o no, ser la mejor para
sus intereses…”
9. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Engaño – A tener en cuenta
üDesviar el pensamiento sistemático: Chantaje emocional?
üLograr que la victima asuma un rol: Colabore (“envíame
una foto tuya”, “dame tu pin”, “donde vives”)
üCredibilidad: hacerles creer que es verdadero con
pruebas falsas o no.
üDeseo de ayudar: En la acción parece que hay un
beneficio o motivo de ayuda.
üMiedo.
üNo nos gusta decir que no.
10. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Armando un engaño
Usando técnicas de phishing
11. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Receta de cocina
1) Obtener dato conocido por los HumanOS.
(usuario / contraseña, correo, etc).
2) Armar el ENGAÑO.
3) Extorsionar, logrando un pago en BTC.
12. 15 al 17 de Noviembre 2018.NET Conf UY v2018
1) Obtener dato conocido por los HumanOS
- Mediante una base de datos ROBADA. (falla
de desarrollo, plataforma no actualizada,
versiones viejas de productos, etc)
- Captura de datos por un Wi-Fi (café,
aeropuerto, shopping, etc).
13. 15 al 17 de Noviembre 2018.NET Conf UY v2018
1) Obtener dato conocido por los HumanOS
-Mediante una base de datos robada.
https://raidforums.com/
14. 15 al 17 de Noviembre 2018.NET Conf UY v2018
1) Obtener dato conocido por los HumanOS
- Mediante un engaño
15. 15 al 17 de Noviembre 2018.NET Conf UY v2018
2) Armar el Engaño
1) Ingresamos a un sitio vulnerable.
http://demo.testfire.net/
2) Creamos un engaño usando XSS
3) Enmascaramos el link
https://bitly.com/
4) Creamos el cuentito.
5) Hacemos SPAM con Phishing.
16. 15 al 17 de Noviembre 2018.NET Conf UY v2018
2) Armar engaño usando HTML
<html>
<font color="green" face="Calibri" size="+2">
Ud ha ingresado por que ha recibido el correo de bloqueo. Felicitaciones, por
pensar en su Seguridad. Acceda al link para proceder a fortalecer sus
credenciales.
<a href="https://bit.ly/2z5O4p0" target="_self" >
Presione AQUI.
</font>
</a >
</hmtl>
17. 15 al 17 de Noviembre 2018.NET Conf UY v2018
3) Enmascaramos el link
Repensar el vínculo https…
https://bitly.com/
18. 15 al 17 de Noviembre 2018.NET Conf UY v2018
3) Cuentito - Phishing
Estimado usuario
Se ha detectado cierta cantidad de ingresos incorrectos con su
cuenta de acceso Web. Si Ud. no desea perder el acceso y bloqueo
de sus tarjetas de crédito/débito asociadas, por favor ingrese ya
a este link Altoro Mutual
En el caso de no ingresar dentro de las próximas 24 hs, su cuenta
por seguridad será bloqueada y deberá llegarse a la Casa Matriz
del Banco, llevando consigo documento y último resumen impreso
de alguna de sus tarjetas.
Cordialmente.
La Gerencia de su banco amigo
19. 15 al 17 de Noviembre 2018.NET Conf UY v2018
3) Cuentito - Phishing
Estimado usuario
Se ha detectado cierta cantidad de ingresos incorrectos con su
cuenta de acceso Web. Si Ud. no desea perder el acceso y bloqueo
de sus tarjetas de crédito/débito asociadas, por favor ingrese ya
a este link Altoro Mutual
En el caso de no ingresar dentro de las próximas 24 hs, su cuenta
por seguridad será bloqueada y deberá llegarse a la Casa Matriz
del Banco, llevando consigo documento y último resumen impreso
de alguna de sus tarjetas.
Cordialmente.
La Gerencia de su banco amigo
20. 15 al 17 de Noviembre 2018.NET Conf UY v2018
USUARIOS: No dudar, Verificar!!
üAveriguar si algún correo esta vulnerado :
https://haveibeenpwned.com/
üCambiar contraseñas regularmente.
üCada acceso Internet con su cuenta.
üContraseñas no asociadas al usuario.
üContraseñas complejas.
üNo compartir accesos.
üNo responder o acceder links de e-mails dudosos.
üVerificar realmente el emisor.
21. 15 al 17 de Noviembre 2018.NET Conf UY v2018
DESARROLLADORES: A mejorar el código.
22. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP
Open Web Application Security Project
23. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP
Estándar abierto que:
üPromueve el desarrollo de software seguro.
üOrientada a la prestación de servicios
orientados a la Web.
üSe centra principalmente en el "back-end" mas
que en cuestiones de diseño web.
üUn foro abierto para el debate.
üUn recurso gratuito para cualquier equipo de
desarrollo de software.
24. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP Top Ten desde el 2003
25. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP Top Ten 2017
26. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Demo Inyección
1) Acceder sitio http://demo.testfire.net/
2) Ingresar usuario admin o jsmith
3) Password ' or '1'='1
4) Ingresar usuario ' or '1'='1
5) Password ' or '1'=‘1
http://demo.testfire.net/bank/name?id='or'1'='1
27. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Cómo proteger o evaluar
Aplicaciones y soluciones de IT
28. 15 al 17 de Noviembre 2018.NET Conf UY v2018
OWASP ZAP
OWASP Zed Attack Proxy (ZAP),
Esta plataforma está diseñada especialmente
para monitorizar la seguridad de las
aplicaciones web de las compañías, siendo una
de las aplicaciones del proyecto más activas
en cuanto a auditorías de seguridad.
29. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Guías Test Móvil
- Usar guía de desarrollo seguro de móvil.
30. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Infraestructura siempre los salva!!
OWASP core rule sets
ü SQL injection
ü Cross site scripting
ü Common attacks such as command injection,
HTTP request smuggling, HTTP response
splitting, and remote file inclusion attack
ü HTTP protocol violations
ü HTTP protocol anomalies
ü Bots, crawlers, and scanners
ü Common application misconfigurations (e.g.
Apache, IIS, etc.)
ü HTTP Denial of Service
Azure Web Application Firewall (WAF)
OWASP ModSecurity Core Rule Set (CRS)
31. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Guías de OWASP
32. 15 al 17 de Noviembre 2018.NET Conf UY v2018
Gracias por asistir!!
www.puntonetsoluciones.com.ar
egdutra
edutra@puntonetsoluciones.com.ar
Mis datos….