Organizacin Mexicana de Hackers ticos

Footprinting e Ingeniera Social

: Fases
1. . ( ) Informacininicial footprinting
2. ( ). Localizar rangosderedes footprinting
3. ( ). DeterminacindeMaquinasActivas scanning
4. ( ). Descubrir puertosabiertosypuntosdeacceso scanning
5. ( ). Detectar sistemasoperativos scanning
6. ( ). Descubrir serviciosypuertos scanning
7. ( ). Hacer mapadelared scanning
Obtencin de informacin

. Footprinting Envuelvelaacumulacindedatos conel
propositodeencontrar caminos dentrodel ambiente
. parapoder entrar
, Informacinobtenidaatraves del anlisis conwois
, , . nsloo!up googleac!ing dns ytraceroute
Definicin Footprinting

: "omandos para#oogleHac!ing

. site . buscadominios ositios especificos

. filetype . buscasoloel tipodearcivoespecificado

. link . buscadentrodelos lin!el terminoquesedesea

. intitle . buscaalg$nterminodentrodel titulo

. inurl . buscadentrodelaurl
Google Hacking

? %ueeslaIngenier&a'ocial

Esel usodelainfluenciaypersuacinconel propositodeobtener

informacinopropiciar alavictimaparaquerealicealguna
. , accin (sualmenteseusael tel)fonooInternet introduciendo a
lagenteconinformacinsensiblesobrelacompa*iaosobrelas
. politicasdeseguridaddelamisma

. El elementoumanoesel masd)bil delaorganizacin

Incluyelaadquisiciondeinformacionsensibleoprivilegiosde
accesobasadoenconstruir relacionescordialesenla
. organizacin
Ingeniera Social

. Basado en Humanos - +efierealainteraccionpersona

. personaparaobtener informacion

. Basado en la computadora +efiereausar softwareque

. puedaobtener informacin (ne,emploesmandar unmail
. solicitandoinformacionysoloesperar larespuesta Este
. ataqueesconocidocomo-ising
Tipos de ataues

!asando por un usuario "alido o empleado. El ac!er pretende

. ser unempleadoounusuariovalidoenel sistema 'epuedeganar
, accesofisicoaciendosepasar por unempleado intendenteo
. contratista 'epuedeobtener informaciondelos sistemas de
, . computo escritorios obotes debasura

. !asando como un usuario importante El ac!er pretendeser un

usuarioimportantetal comoune,ecutivoounmanager dealtonivel
quenecesitaasistenciainmediatamenteparatener accesoaarcivos
. o unsistema 'eusalaintimidacinpor partedel e,ecutivodealto
. nivel aciael personal desistemas deba,onivel -or loregular el
empledodealtonivel noquierecuestionamientos yaqueel tieneuna
. posiciondeautoridadylademuestra
Basados en #umanos

$sando una tercera persona. "onestosepretendetener

. permisos yautorizacionparael usodel sistema Esteataquees
especialmenteefectivocuandosesuponeuncodigoautiorizadoen
. vacaciones ynosepuedeser contactadoparaverificar

%lamada la personal tecnico. Llamandoal personal desoporte

, , tecnicoparaasistencia es clasico porqueestepersonal esta
. entrenadoparaayudar al usuario

De &irn. . El ac!er poneatencionenel tecleodeusuarioypassword

'e"isar la basura. , "omosunombreloindica revisar documentos

, enlabasuraopapeles visibles enbuscadepasswords nombres de
. arcivos oinformacinconfidencial
Basados en #umanos

. (taue interno "uandoenac!er noencuentraalguncaminopara

, ac!ear laorganizacion lasiguienteme,or opciones infiltrarsecomo
unempleadooencontrar aunempleadodescontentoparausarlo
. comocomplice Estotienemucoimpactopor quelos empleados
tienenaccesofisicoysepuedenmover librementedentrodela
. organizacion

. 'obando Identificaciones El ac!er puederobar una

. identificaciondel empleadoparaperpetrar unataque Lainformacin
contenidaenlos botes debasuraoenel espiar unacotrase*aen
, combinacionconlacreaciondeidentidades falsas puedenresultar
. unaentradaparael ac!er -uedecrealaidentidaddeunapersona
. paraquepuedeentrar al edificioconlos datos recopilados
Basados en #umanos

3 : , Son de tipos mail sitios falsos y popups

. (taues de p#is#ing

, -isingenvuelvemandar correos usualmentecomo

, bancos compa*iasdetar,etasdecreditouorganizaciones
. financieras Estoscorreosrequierenconfirmacionde
. informacionbancariaoreset passwordsonumerosde-I.
Basados en la computadora

. (cciones Online

Mucos sitios ofrecenofertas ocosas especiales paraquelavictima

. introduzcasunombredeusuarioypassword El ac!er usaestos
datos paramandar codigomaliciosotal como!eylogger paracapturar
, , passwords virus troyanos ygusanos quesonincluidos comoad,untos
. enlos correos

. )scondiendo $'%

"uandoenlos sitios nos encontramos condirecciones queparecen

204.13.144.2/ , legitimas comoesta "itiban! nos damos cuentaqueen
, realidadnoloson porquesolodisfrazansuverdaderaipcon
, 192.168.10.5 decimales oe/adecimales por e,emploladireccionip
3232238085 . puedeaparecer como quees lomismosoloqueendecimal
Basados en la computadora

Documentar yreforzar las politicas deseguridadasi comounprograma
. profundodeseguridad
: %as politicas deben contener

comoycuandolas cuentas soncreadas yfinalizadas

cambiodepassword

quientieneaccesoalainformacion

. casos enlos queseviolaranestas reglas

. verificar lacorrectaidentidaddel empleado

Ladestrucciondedocumetos

accesofisicoadiferentes areas
&edidas en contra de la Ingeniera Social

. 0ambiensonincluidasel usodemodemsyel control devirus

Laspoliticasnecesitanser comunicadasalosempleadosconel
. enfasisdelaimportanciadelaseguridad

(naparteimportanteesqueel empleadonosepresteadar
. informacionaunac!er paraprovocar unataque -araestoes
, bital laeducacindel usuarioparaguardar datosconfidenciales
. tantoparausuariose/istentesonuevos

'enecesitalarevisionperiodicadelaspoliticasy
complementarlasconlainformacinproporcionadapor los
. usuarios
&edidas en contra de la Ingeniera Social

Lapobreseguridadfisicadelossitiossonlacausadeungran
, : numerodeataques algunasdelascausasson

lossitesnocuentanconcerradurasadecuadas

seencuentranenlugarespublicosodemasiadoaislados

noaycoordinacionentrelosdiferentesdepartamentosdela
organizacion

noe/isteunaregulacionparael accesofisicoalasareas

. personal contratadopor tercerosconposibilidaddeacceso

)l acceso al site solo debe ser permitido por el

. departamento de TI
%a realidad de la Seguridad Fisica

- araasegurar losdispositivossepuedentomar lassiguientes
: consideraciones
1. . Losservidoresdebenser instaladosyseguradosenel rac!
2. , . Deser posible desabilitar losaccesosvia('1
3. Losmediosdealmacenamientodebenser aseguradosenun
. lugar especial
4. , 'witcesyroutersquetenganpuertossinusar sedeben
. desabilitar dicospuertos
5. Loscablesparalasconsolasdebenser separadosyasegurados
. enunlugar especial le,osdelosequiposdecomunicacion
%a realidad de la Seguridad Fisica

: -aracontrolar el accesosedebentomar lassiguientesmedidas
1. . "errraduraspor mediodetar,etas
2. . Instalar ymonitorear el accesoviacamarasI-
3. , Auditoriavisual constante paraverificar el correcto
funcionamientoyquenoe/istaposibilidaddeviolar lasnormas
. deseguridad
4. , . 0odaaccinrealizadaenel site sedebemonitorear yseguir
5. 'edebecambiar el passwordcuandopersonal e/ternoentreal
. sitearealizar cualquier accionrelacionadaconel sistema
%a realidad de la Seguridad Fisica

. (reas de traba*o

, . Lasmemorias('1 laptopsymultimedianosonseguras Estos

dispositivoscontieneninformaciondelaorganizacionydeben
. ser controlados

. Implementando seguridad

, -araunaimplementacione/itosa serequieredelacooperacion
, : , devariosdepartamentos por e,emplo recursosumanos
/ , mantenimiento operacion tecnologiasdeinformaciny
. cualquier departamentoqueagausodelosempleados
%a realidad de la Seguridad Fisica

, "uandounempleadoterminasulabor conlaempresa este

ecodebeser comunicadoatodoslosdepartamentos
, involucrados paraquecadaunodeelloslee/igalaentregade
, , , informacion por e,emplolatar,etasdel site password
, . informaciondesucomputadora listasdeusuarios

, 0odosestospasosencoordinacioncontodoslosdepartamentos
permitirancerrratodoslosposiblescaminosdeaccesoque
, . conociael empleado paraevitar unataqueposterior
%a realidad de la Seguridad Fisica

, -aradefinir politicas deseguridadfisica sedebentener los siguientes

: puntos
1. . Definir comoproteger los sites yquientendraaccesoaellos
2. +ecoger llaves ytar,etas deaccesocuandoel empleadosaledela
, organizacion cambiandocerraduras si cualqiueradeestos dos
. elementos sepierden
3. Determinar quientendraaccesopor partedeterceros ydefinir sus
. responsabilidades encasodealgunaaccionindebida
4. , . Alamacenar laptops mamorias flasymultimedia .opermitir el uso
. el areas detraba,o
5. . Establecer cerotoleranciaparapoliticadepasswords
%a realidad de la Seguridad Fisica

Final
!reguntas++
G'(,I(S
-a"ier./demos
f*0om#e1org