Conferencia: Vulnerabilidad de Sistemas de Seguridad en Internet

Cesar Chvez Martnez cchavez@peru.com

Temas 1. Conociendo al Administrador de la RCP Human Hacking 2. Data Gathering. Metadatos 3. Ingeniera Social 4. Seguridad de Informacin de los usuarios 5. Somos Perfectos negando lo innegable.

HUMAN HACKING.. Un ejemplo real

La Victima el jefe del area de sistemas de la Red Cientifica del Peru (NIC.PE), quien maneja las claves de seguridad del bd de www.punto.pe Victimario Luzsec

Conociendo al Administrador de la RPC

JAIME TAN NOZAWA

RHCE - ITIL - MCSA - BCIP Arquitecto de Software y Desarrollador en PHP. Gusto por el diseo objeto-relacional. Consultor y analista de sistemas de informacin. Mis hobbies son cualquier cosa oriental (msica, dibujos), pelculas francesas o cine independiente.

Actualmente laborando en: RCP : Jefe del rea de Sistemas

Fuente: http://phpexperto.blogspot.com/

DATA GATHERING
Es el medio de buscar informacin que puede ser empleada para acceder a un servidor, sirve para emplear una metodologa de ataque variable a una determinada victima.
Human Hacking es atacar al administrador, no al sistema Mediante un proceso de Data Gathering, se trabaja en el marco de un rompecabezas, buscando toda la informacin posible.

Google Hacking
Buscamos informacin relacionada al administrador, basndonos en sus fallas, encontramos un tema de recopilacin de datos que ha sido compartido en una red publica.

Empleando BD de la UNMSM se accede a los perfiles de estudiantes Fuente: http://biblioteca.unmsm.edu.pe/scudirectorio/

Estudiante Base 98 UNMSM Ing. Geografica, transfiriendose a Ing. De Sistemas el ao 1999. NO SE REGISTRA EGRESO

Empleando BD de Sunat se adquiere DNI

Adquirimos datos personales

Adquiriendo fecha de nacimiento 18/07/1979 Fuente: http://ww4.essalud.g ob.pe:7777/acredita/

METADATOS EN QUE SE BASAN

SCORM. Es un estandar contenido en un objeto de aprendizaje, todo objeto es creado bajo ello, para que tenga continuidad, sea en video, audio, texto.

FOCA
Una herramienta gratuita para buscar fallos en servidores y websites.

Como Instalar la FOCA

Anlisis de Metadatos www.sedeforense.edu.pe

Anlisis de Metadatos www.sise.edu.pe

Resultados www.sedeforense.edu.pe

No hay peor cosa que la falsa seguridad

Un administrador orgulloso es una victima segura

La mejor herramienta para protegerse de los ataques de ingeniera social es el sentido comn.

El sentido comn no es nada comn.

Voltaire (1694-1778) Filsofo y escritor francs

Polticas de Seguridad

www.mindef.gob.pe/menu/libroblanco http://www.codesi.gob.pe/ http://www.ongei.gob.pe/

Administrador Quien se ha llevado mi Password?

Respuesta

19 de Octubre 2012, Luzsec lanza bd de claves y usuarios de dominios .pe

Somos Perfectos negando lo innegable.

Comunicado a usuarios punto.pe 20 de Octubre del 2012

Pese a las pruebas, niegan el ataque

Segundo comunicado. Se niega que tengan los pasword de dominios, pero Se sugiere cambiar las claves

Cul es el error en este panel de usuario?

Como lo atacaron a PUNTO.PE Mediante un SQL INJECTION. Era necesario ese metodo? Solucionaron los problemas?

Preguntas

Cesar Chvez Martnez cchavez@peru.com