En esta hora expondremos las principales características de un ataque de Ingeniería Social y como analizar al eslabón más débil en la cadena, el factor humano. Una serie de tácticas, ejemplos prácticos, conceptos y definiciones que permitirán al asistente detectar y prevenir ataques a su infraestructura física y digital, analizando algunos casos históricos y recientes. Ponente: Claudio Caracciolo.

1. Client
Side
Exploit
-­‐Ingeniería
Social
Aplicada-­‐
Claudio B. Caracciolo
@holesec
Octubre-2011

2. Quien Soy Yo?
Director de Servicios Profesionales en Root-Secure
Presidente de ISSA Argentina, miembro de ISSA Internacional
Miembro de OWASP
Miembro del Comité Académico de Segurinfo y del CASI
Especializado en Test de Intrusión y Metodologías de Defensa.
Apasionado de la Ingeniería Social
Autor junto a sus socios del libro:

3. Temario
Temario
Temario
Situación Actual
Ataques de Ingeniería Social - Nueva Era
Ataques de Client Side
Conclusiones

4. Situación Actual

5. Situación Actual

6. Situación Actual

7. Manifiesto hacker escrito por “The Mentor”

8. Algunas cosas nunca cambian:
- La seguridad durante muchos años dependió de factores relacionados
con la seguridad física y las personas.
- En esta última década, los ataques fueron volviendo a sus bases y
hemos tenido los mismos problemas de toda la vida:
• Fuga de Información.
• Ataques de Denegación de Servicios por grupos de Hacktivistas.
• Ataques a los clientes de forma directa.

9. Algunas cosas nunca cambian:
Si puedo afectar a un usuario que es administrador de la red y
comprometer su equipo, sin duda obtendré acceso a los servidores.
Si puedo afectar a un usuario de finanzas, y con su cuenta entrar al
sistema de la empresa y modificar la información que deseo, hacer las
transacciones que me interesan, o filtrar información? Para que podría
interesarme tratar de encontrar debilidades en los servidores de la DB?

10. Ingeniería Social de la Nueva Era

11. Dale Carnegie
ü Interésese seriamente por lo demás
ü Sonría
ü Para cualquier persona, su nombre es el sonido más agradable
ü Anime a los demás a que hablen de sí mismos
ü Hable pensando en lo que interese a los demás
ü Haga que la otra persona se sienta importante.

12. Qué es la Ingeniería Social?
Old School
ü Es el aprovechamiento de los
conocimientos de las personas y de la
ignorancia para convencerlas de que ejecuten
acciones o actos que puedan revelar
información.
ü No se utilizan herramientas.
ü Suelen ser Fallas del factor humano o en
los procedimientos de la empresa.
Con el término "ingeniería social" se define el conjunto de técnicas
psicológicas y habilidades sociales utilizadas de forma consciente y muchas
veces premeditada para la obtención de información de terceros.

13. Que es la Ingeniería Social?
New School
A
diferencia
de
la
vieja
escuela,
el
ingeniero
social
primero
busca
información
en
Internet
relacionada
a
su
víc:ma:
ü Blogs
y
Fotologs
ü Redes
sociales
(Ocio
y
profesionales)
ü Rss
ü Foros
y
Wiki
ü Juegos
online
El
mundo
Web
2.0
pone
a
disposición
del
ingeniero
social
nuevas
herramientas
para
el
logro
de
su
come:do:
ü El
e-­‐mail
ü La
mensajería
instantánea
(Chat)
ü Las
redes
sociales
ü Las
redes
de
intercambio
de
archivo
(P2P)
ü Los
foros

15. El Campus de Ecuador esta muy peligroso y
hasta yo fuí víctima, quisieron clonarme
para hacer Phishing

16. Lamentablemente
sacado de un foro.

19. Ataques Client Side

20. Evolución Predecible
A medida que los controles de seguridad asociados a determinadas
tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos
que aun no son lo suficientemente efectivos.
La evolución de los ataques externos a través del tiempo, indica que los
atacantes explotaban debilidades por lo menos en dos niveles bien definidos:
Nivel de Infraestructura
Nivel de Aplicación

21. Evolución Predecible
Independientemente de lo anterior… conocen
algún control de seguridad técnico, en el que la
colaboración del factor humano no sea necesaria
para un funcionamiento efectivo?

22. Evolución Predecible
Todo indica que el actual objetivo de los ataques, no apunta únicamente a
vulnerabilidades de infraestructura o aplicación, sino que suman al que
siempre conocimos como el eslabón mas débil de la cadena de la
seguridad.
La explotación del usuario final y la interacción regular de este con
aplicativos de uso diario vulnerables y muchas veces olvidados, es la que
hoy podría permitirle a un atacante, acceder a los sistemas de información
de su empresa desde el exterior.
Es por eso que debemos prestar atención a un nuevo nivel:
Nivel de Cliente

23. Client Side Exploit
Focalizado en aprovechar vulnerabilidades en el usuario de los sistemas de
información, como así también en los programas cliente que este utiliza en
el día a día de su labor:
• Navegador de Internet
• Suite de Ofimática
• Visor de archivos PDF
• Clientes de reproducción multimedia
• Otros

25. Client Side Exploit
Estado de Situación Actual vs Técnicas de Ataque
• Protección Perimetral (From Outside to Inside vs. Inside to Outside)
• Detección y Prevención de Intrusos vs. Cifrado y Ofuscación
• Endpoint Security vs. Ofuscación e Inyección de Procesos
• Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos

26. Ahí viene la DEMO!!!

27. El problema no es la tecnología, nunca lo fue.
No pasa por usarla o no usarla.
Simplemente es cuestión de usarla bien.
La creatividad es el arma más
potente que un atacante puede tener.

31. “La vida es muy peligrosa.
No por las personas que hacen
el mal, sino por las que se
sientan a ver lo que pasa...”
Albert Einstein.
s diferente.
ntos, pensamo
Somos disti
Muchas Gracias!!
ccaracciolo@root-secure.com
Twitter: holesec

32. No se pierdan la charla del Dr. Miguel Sumer Elias
A las 20 hs.
Aquí en #cpin