SlideShare una empresa de Scribd logo

Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013

Descargar como PPTX, PDF
Alejandro Hernández
Alejandro Hernández

Este documento presenta una discusión sobre seguridad física que incluye varios videos y conceptos. Se cubren temas como controles de seguridad comunes como cerraduras, cámaras de vigilancia y controles de acceso, así como técnicas de evaluación como ingeniería social, lockpicking y acceso a redes y sistemas con contraseñas predeterminadas. También se discuten conceptos inusuales como puertas anti-bombas y exploración urbana.

Tecnología
1 de 43
- SEGURIDAD FISICA - MIRA MAMA, COMO JASON BOURNE Alejandro Hernández H. CISSP, GPEN http://twitter.com/nitr0usmx http://www.ioactive.com http://chatsubo-labs.blogspot.com http://www.brainoverflow.org 1
Sobre mí…  Consultor de Seguridad Senior de IOActive  10 años involucrado en Seguridad  Rompo cosas  Ah! Y soy CISSP… 2
3
Tabla de Contenidos  Esta presentación será un collage de conceptos, experiencias propias y clips de video  ¿Qué proteger físicamente?  Controles de seguridad física comúnmente utilizados  Mientras tanto en México…  Técnicas de evaluación de seguridad física (infiltración, ingeniería social cara-a-cara, etc.)  Conceptos interesantes e inusuales 4
INTRO VIDEO CLIP Jason Bourne - Stealing the Blackbriar Files 5
¿Qué proteger físicamente?  Personas  Terremotos  Ingeniería Social  Etc.  Datos e información  Documentos impresos (contratos, facturas, etc.)  Post-its  Etc.  Infraestructura tecnológica  Centro de datos  Robots en plantas industriales 6  Etc.
Controles de seguridad física comúnmente utilizados 7
Controles de seguridad física comúnmente utilizados 8
Controles de seguridad física comúnmente utilizados 9
Mientras tanto en México…  Acceso de equipo de cómputo a edificios  Bitácora en papel con hora de entrada/salida?  Revisión de guardias de seguridad?  Acceso físico  “Estampita” de visitante  Acceso por estacionamientos?  GENTE AMABLE (“Permítame ! Le abro la puerta”)  Guardias con sobrepeso o somnolientos  Seguridad de Infraestructura  Contraseñas por default (CCTV, puertas de “Alta Seguridad”)  Matriz de control de acceso deficiente  Puertas de madera…  Etc. Etc. Etc. 10
BITCH PLEASE !!! 11
VIDEO CLIP Jason Bourne - Evacuation Plan Cierta información puede ser utilizada en tu contra 12
Técnicas de Evaluación  Infiltración e Ingeniería Social  Creación de gafetes falsos  Banners y colores corporativos en el sitio Web  Nombres/No de empleados (Open Source Intelligence)  Mica de papelería = $10.00 pesos  Impresión de hoja de “autorización”  Lo mismo de arriba, pero con firma de „CEO‟ ;-D  Seguridad personal al estar frente al guardia de seguridad (Ingeniería Social y DETERMINACIÓN) 13
Técnicas de Evaluación  Infiltración e Ingeniería Social  Uno de 2011... 14
Técnicas de Evaluación  Infiltración e Ingeniería Social  Otro de 2008… 15
Técnicas de Evaluación  Piggybacking  Cuando una persona se „pega‟ a otra para pasar ciertos puntos de seguridad, p.e. una puerta sin pasar una tarjeta de acceso 16
Técnicas de Evaluación  Lock Picking  El arte de abrir manipular los elementos mecánicos de una cerradura para realizar su apertura sin llave 17
IOActive Lock Picking session @ Mt. Baker [Enero 2013] 18
VIDEO CLIP Lock Picking 101 Puertas y cajas fuertes también vulnerables 19
VIDEO CLIP Vina F in Gringo Warrior Lock Picking y diversión en DEFCON (Gringo Warrior Game) 20
Técnicas de Evaluación  Contraseñas por default  A veces se requiere del software del fabricante (Demo?) para hablar el mismo lenguaje (protocolo) 21
VIDEO CLIP Spaceballs super password XD Dispositivos de seguridad física también tienen contraseñas por default 22
VIDEO CLIP Control de 48 cámaras de Seguridad de un edificio de México DF DVRs y Cámaras CCTV también tiene contraseñas por default 23
VIDEO CLIP Acceso a un Centro de Datos de “Alta Seguridad” en México DF utilizando el panel de administración (sin contraseña) del dispositivo biométrico La mayoría de dispositivos biométricos están bien diseñados y desarrollados… Pero son mal configurados/implementados. 24
Técnicas de Evaluación  Plantas Industriales  Separación ‘física’ de redes de datos e industriales  Puertos USB (des)habilitados 25
26
DoD Looking to „Jump the Jan 15th, 2013 Gap‟ Into Adversaries‟ Closed Networks Iranian President Mahmoud Ahmadinejad visits the Natanz uranium enrichment facilities, where a “closed” computer network was infected by malware introduced via a small flash drive. http://www.defensenews.com/article/20130115/C4ISR01/301150010/DoD-Looking-8216- Jump-Gap-8217-Into-Adversaries-8217-Closed-Networks 27
28
Conceptos interesantes e inusuales cerca de Toluca…  En algún lugar  Puertas Antibombas  Grandes montículos de arena alrededor (para qué?) 29
Conceptos interesantes e inusuales  Urban Exploration  Evaluación Ninja  Often shortened as urbex or UE. It may also be referred to as Infiltration, Building Hacking, draining (when exploring drains), urban rock climbing  Exploration of man-made structures, usually abandoned ruins or not usually seen components of the man-made environment 30
Conceptos interesantes e inusuales  Urban Exploration 31
Conceptos interesantes e inusuales  Urban Exploration  En México… 32
Conceptos interesantes e inusuales  Urban Exploration  http://www.infiltration.org 33
34
Conceptos interesantes e inusuales  Conceptos de uno de los mejores libros que he leído  Críticas sin fundamentos en 3..2..1 35
Conceptos interesantes e inusuales 36
Conceptos interesantes e inusuales 37
Conceptos interesantes e inusuales 38
Conceptos interesantes e inusuales 39
Conceptos interesantes e inusuales  Lo he visto muuuuchas veces en 40 México…
Conceptos interesantes e inusuales 41
Agradecimientos  BugCON por permitirme estar aquí 5 años consecutivos  Chr1x a.k.a s0n0fg0d !  B33rc0n (hkm, calderpwn, Carlos Ayala, Daemon, dex)  Al t0c4y0 => alt3kx  LightOS, beck, crypk3y, nahual, nediam, Rolman, Sandino, tr3w, bucio, wengyep, moften, Xava, dr_fdisk^, etc. Etc. Etc.e e.t .x,.. .x, 42
- GRACIAS - Alejandro Hernández H. CISSP, GPEN http://twitter.com/nitr0usmx http://www.ioactive.com http://chatsubo-labs.blogspot.com http://www.brainoverflow.org 43

Recomendados

¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?
Eduardo Arriols Nuñez
 
Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas
emilianox
 
Orientaciones cist
Orientaciones cistOrientaciones cist
Orientaciones cist
Rafael Basilio Robles
 
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Brain Waves Surfing - (In)security in EEG (Electroencephalography) TechnologiesBrain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Alejandro Hernández
 
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Websec México, S.C.
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Eduardo Arriols Nuñez
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
S2 Grupo · Security Art Work
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
RootedCON
 

Recomendados

¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?
Eduardo Arriols Nuñez
 
Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas Técnicas de búsqueda y análisis de fuentes abiertas
Técnicas de búsqueda y análisis de fuentes abiertas
emilianox
 
Orientaciones cist
Orientaciones cistOrientaciones cist
Orientaciones cist
Rafael Basilio Robles
 
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Brain Waves Surfing - (In)security in EEG (Electroencephalography) TechnologiesBrain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
Alejandro Hernández
 
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Websec México, S.C.
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Eduardo Arriols Nuñez
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
S2 Grupo · Security Art Work
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
RootedCON
 
1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad
David Narváez
 
#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción
Marcos Fuentes
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Maximiliano Soler
 
Material conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo eticoMaterial conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo etico
liras loca
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)
vjgarciaq
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
Cristián Rojas, MSc., CSSLP
 
Hacking Ético: Rompiendo el hilo de eslabón.
Hacking Ético: Rompiendo el hilo de eslabón.Hacking Ético: Rompiendo el hilo de eslabón.
Hacking Ético: Rompiendo el hilo de eslabón.
Uriel Cambrón Hernández
 
Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?
Nestor Angulo de Ugarte
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria social
campuspartyquito
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria social
campuspartyquito
 
Client-side attck_Ingenieria social
Client-side attck_Ingenieria socialClient-side attck_Ingenieria social
Client-side attck_Ingenieria social
campuspartyquito
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería SocialAlexander Velasque Rimac
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
Mauricio Velazco
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
Yolanda Corral
 
Si semana02 seguridad_física
Si semana02 seguridad_físicaSi semana02 seguridad_física
Si semana02 seguridad_física
Jorge Pariasca
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Realidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legalesRealidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legales
Pablo Fernández Burgueño
 
#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS Pícaro#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS Pícaro
Marcos Fuentes
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
Cristián Rojas, MSc., CSSLP
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras
David Narváez
 
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading TechnologiesAre You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Alejandro Hernández
 
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzerIn the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
Alejandro Hernández
 

Más contenido relacionado

Similar a Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013

1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad
David Narváez
 
#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción
Marcos Fuentes
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Maximiliano Soler
 
Material conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo eticoMaterial conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo etico
liras loca
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)
vjgarciaq
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
Cristián Rojas, MSc., CSSLP
 
Hacking Ético: Rompiendo el hilo de eslabón.
Hacking Ético: Rompiendo el hilo de eslabón.Hacking Ético: Rompiendo el hilo de eslabón.
Hacking Ético: Rompiendo el hilo de eslabón.
Uriel Cambrón Hernández
 
Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?
Nestor Angulo de Ugarte
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria social
campuspartyquito
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria social
campuspartyquito
 
Client-side attck_Ingenieria social
Client-side attck_Ingenieria socialClient-side attck_Ingenieria social
Client-side attck_Ingenieria social
campuspartyquito
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
Mauricio Velazco
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
Yolanda Corral
 
Si semana02 seguridad_física
Si semana02 seguridad_físicaSi semana02 seguridad_física
Si semana02 seguridad_física
Jorge Pariasca
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Realidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legalesRealidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legales
Pablo Fernández Burgueño
 
#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS Pícaro#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS Pícaro
Marcos Fuentes
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
Cristián Rojas, MSc., CSSLP
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras
David Narváez
 

Similar a Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013 (20)

1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad
 
#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
 
Material conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo eticoMaterial conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo etico
 
Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)Certified Information Security Professional (CISP)
Certified Information Security Professional (CISP)
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
 
Hacking Ético: Rompiendo el hilo de eslabón.
Hacking Ético: Rompiendo el hilo de eslabón.Hacking Ético: Rompiendo el hilo de eslabón.
Hacking Ético: Rompiendo el hilo de eslabón.
 
Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?Me han Hackeado... ¿Y ahora qué?
Me han Hackeado... ¿Y ahora qué?
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria social
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria social
 
Client-side attck_Ingenieria social
Client-side attck_Ingenieria socialClient-side attck_Ingenieria social
Client-side attck_Ingenieria social
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
 
Si semana02 seguridad_física
Si semana02 seguridad_físicaSi semana02 seguridad_física
Si semana02 seguridad_física
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Realidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legalesRealidad Extendida (XR) - Aspectos legales
Realidad Extendida (XR) - Aspectos legales
 
#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS Pícaro#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS Pícaro
 
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernosProtección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras
 

Más de Alejandro Hernández

Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading TechnologiesAre You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Alejandro Hernández
 
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzerIn the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
Alejandro Hernández
 
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
Alejandro Hernández
 
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Alejandro Hernández
 
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
Alejandro Hernández
 
De Hacker a C-Level
De Hacker a C-LevelDe Hacker a C-Level
De Hacker a C-Level
Alejandro Hernández
 
ELF en la mira: Hacking y Defensa
ELF en la mira: Hacking y DefensaELF en la mira: Hacking y Defensa
ELF en la mira: Hacking y Defensa
Alejandro Hernández
 
Live Hacking : del Bug al Exploit
Live Hacking : del Bug al ExploitLive Hacking : del Bug al Exploit
Live Hacking : del Bug al Exploit
Alejandro Hernández
 
Fuzzeando Snort con opciones TCP/IP
Fuzzeando Snort con opciones TCP/IPFuzzeando Snort con opciones TCP/IP
Fuzzeando Snort con opciones TCP/IP
Alejandro Hernández
 

Más de Alejandro Hernández (9)

Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading TechnologiesAre You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
 
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzerIn the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
 
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
 
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013
 
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
 
De Hacker a C-Level
De Hacker a C-LevelDe Hacker a C-Level
De Hacker a C-Level
 
ELF en la mira: Hacking y Defensa
ELF en la mira: Hacking y DefensaELF en la mira: Hacking y Defensa
ELF en la mira: Hacking y Defensa
 
Live Hacking : del Bug al Exploit
Live Hacking : del Bug al ExploitLive Hacking : del Bug al Exploit
Live Hacking : del Bug al Exploit
 
Fuzzeando Snort con opciones TCP/IP
Fuzzeando Snort con opciones TCP/IPFuzzeando Snort con opciones TCP/IP
Fuzzeando Snort con opciones TCP/IP
 

Último

maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
Ventajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloroVentajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloro
durangense277
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
marianabz2403
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
Luis Enrique Zafra Haro
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
espinozaernesto427
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
samuelvideos
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 

Último (20)

maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
Ventajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloroVentajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloro
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 
Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 

Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013

  • 1. - SEGURIDAD FISICA - MIRA MAMA, COMO JASON BOURNE Alejandro Hernández H. CISSP, GPEN http://twitter.com/nitr0usmx http://www.ioactive.com http://chatsubo-labs.blogspot.com http://www.brainoverflow.org 1
  • 2. Sobre mí…  Consultor de Seguridad Senior de IOActive  10 años involucrado en Seguridad  Rompo cosas  Ah! Y soy CISSP… 2
  • 3. 3
  • 4. Tabla de Contenidos  Esta presentación será un collage de conceptos, experiencias propias y clips de video  ¿Qué proteger físicamente?  Controles de seguridad física comúnmente utilizados  Mientras tanto en México…  Técnicas de evaluación de seguridad física (infiltración, ingeniería social cara-a-cara, etc.)  Conceptos interesantes e inusuales 4
  • 5. INTRO VIDEO CLIP Jason Bourne - Stealing the Blackbriar Files 5
  • 6. ¿Qué proteger físicamente?  Personas  Terremotos  Ingeniería Social  Etc.  Datos e información  Documentos impresos (contratos, facturas, etc.)  Post-its  Etc.  Infraestructura tecnológica  Centro de datos  Robots en plantas industriales 6  Etc.
  • 7. Controles de seguridad física comúnmente utilizados 7
  • 8. Controles de seguridad física comúnmente utilizados 8
  • 9. Controles de seguridad física comúnmente utilizados 9
  • 10. Mientras tanto en México…  Acceso de equipo de cómputo a edificios  Bitácora en papel con hora de entrada/salida?  Revisión de guardias de seguridad?  Acceso físico  “Estampita” de visitante  Acceso por estacionamientos?  GENTE AMABLE (“Permítame ! Le abro la puerta”)  Guardias con sobrepeso o somnolientos  Seguridad de Infraestructura  Contraseñas por default (CCTV, puertas de “Alta Seguridad”)  Matriz de control de acceso deficiente  Puertas de madera…  Etc. Etc. Etc. 10
  • 12. VIDEO CLIP Jason Bourne - Evacuation Plan Cierta información puede ser utilizada en tu contra 12
  • 13. Técnicas de Evaluación  Infiltración e Ingeniería Social  Creación de gafetes falsos  Banners y colores corporativos en el sitio Web  Nombres/No de empleados (Open Source Intelligence)  Mica de papelería = $10.00 pesos  Impresión de hoja de “autorización”  Lo mismo de arriba, pero con firma de „CEO‟ ;-D  Seguridad personal al estar frente al guardia de seguridad (Ingeniería Social y DETERMINACIÓN) 13
  • 14. Técnicas de Evaluación  Infiltración e Ingeniería Social  Uno de 2011... 14
  • 15. Técnicas de Evaluación  Infiltración e Ingeniería Social  Otro de 2008… 15
  • 16. Técnicas de Evaluación  Piggybacking  Cuando una persona se „pega‟ a otra para pasar ciertos puntos de seguridad, p.e. una puerta sin pasar una tarjeta de acceso 16
  • 17. Técnicas de Evaluación  Lock Picking  El arte de abrir manipular los elementos mecánicos de una cerradura para realizar su apertura sin llave 17
  • 18. IOActive Lock Picking session @ Mt. Baker [Enero 2013] 18
  • 19. VIDEO CLIP Lock Picking 101 Puertas y cajas fuertes también vulnerables 19
  • 20. VIDEO CLIP Vina F in Gringo Warrior Lock Picking y diversión en DEFCON (Gringo Warrior Game) 20
  • 21. Técnicas de Evaluación  Contraseñas por default  A veces se requiere del software del fabricante (Demo?) para hablar el mismo lenguaje (protocolo) 21
  • 22. VIDEO CLIP Spaceballs super password XD Dispositivos de seguridad física también tienen contraseñas por default 22
  • 23. VIDEO CLIP Control de 48 cámaras de Seguridad de un edificio de México DF DVRs y Cámaras CCTV también tiene contraseñas por default 23
  • 24. VIDEO CLIP Acceso a un Centro de Datos de “Alta Seguridad” en México DF utilizando el panel de administración (sin contraseña) del dispositivo biométrico La mayoría de dispositivos biométricos están bien diseñados y desarrollados… Pero son mal configurados/implementados. 24
  • 25. Técnicas de Evaluación  Plantas Industriales  Separación ‘física’ de redes de datos e industriales  Puertos USB (des)habilitados 25
  • 26. 26
  • 27. DoD Looking to „Jump the Jan 15th, 2013 Gap‟ Into Adversaries‟ Closed Networks Iranian President Mahmoud Ahmadinejad visits the Natanz uranium enrichment facilities, where a “closed” computer network was infected by malware introduced via a small flash drive. http://www.defensenews.com/article/20130115/C4ISR01/301150010/DoD-Looking-8216- Jump-Gap-8217-Into-Adversaries-8217-Closed-Networks 27
  • 28. 28
  • 29. Conceptos interesantes e inusuales cerca de Toluca…  En algún lugar  Puertas Antibombas  Grandes montículos de arena alrededor (para qué?) 29
  • 30. Conceptos interesantes e inusuales  Urban Exploration  Evaluación Ninja  Often shortened as urbex or UE. It may also be referred to as Infiltration, Building Hacking, draining (when exploring drains), urban rock climbing  Exploration of man-made structures, usually abandoned ruins or not usually seen components of the man-made environment 30
  • 31. Conceptos interesantes e inusuales  Urban Exploration 31
  • 32. Conceptos interesantes e inusuales  Urban Exploration  En México… 32
  • 33. Conceptos interesantes e inusuales  Urban Exploration  http://www.infiltration.org 33
  • 34. 34
  • 35. Conceptos interesantes e inusuales  Conceptos de uno de los mejores libros que he leído  Críticas sin fundamentos en 3..2..1 35
  • 36. Conceptos interesantes e inusuales 36
  • 37. Conceptos interesantes e inusuales 37
  • 38. Conceptos interesantes e inusuales 38
  • 39. Conceptos interesantes e inusuales 39
  • 40. Conceptos interesantes e inusuales  Lo he visto muuuuchas veces en 40 México…
  • 41. Conceptos interesantes e inusuales 41
  • 42. Agradecimientos  BugCON por permitirme estar aquí 5 años consecutivos  Chr1x a.k.a s0n0fg0d !  B33rc0n (hkm, calderpwn, Carlos Ayala, Daemon, dex)  Al t0c4y0 => alt3kx  LightOS, beck, crypk3y, nahual, nediam, Rolman, Sandino, tr3w, bucio, wengyep, moften, Xava, dr_fdisk^, etc. Etc. Etc.e e.t .x,.. .x, 42
  • 43. - GRACIAS - Alejandro Hernández H. CISSP, GPEN http://twitter.com/nitr0usmx http://www.ioactive.com http://chatsubo-labs.blogspot.com http://www.brainoverflow.org 43