La charla versa sobre los diferentes pasos para crear un APT
en modo paranoico. Es decir, las medidas de seguridad a tener en cuenta para
que el APT sea creado y gestionado de forma anónima. Se ilustrará la charla con
un APT creado a través de ingeniería social en LinkedIN para hacer picar a
perfiles de trabajadores y cargos de diferentes Ministerios del Gobierno de
España y del sector de la Administración Pública. Se obtuvieron las versiones
de los User Agents, así como de los complementos Java, Flash, Quicktime,
Shockwave, etc,... de los diferentes visitantes, de forma targeteada, pudiendo
ser capaz de disponer del material necesario para la elaboración de ataques de
mayor nivel de sofisticación, mediante otras herramientas que también se
detallan en la charla. Asimismo se mostrarán técnicas posibles de compra de
transformación, de dinero físico en billetes, de forma intraceable a Bitcoins,
que nos permitirán contratar diversos servicios que nos otorgarán una mayor
invisibilidad en Internet, como servicios de VPN privada a países sin leyes,
TOR, etc,.. Igualmente a la hora de conseguir un terminal telefónico con el
IMEI no asociado a un contrato telefónico, así como una tarjeta SIM (que en
España es necesario registrarlo a un nombre, apellidos y DNI determinado...
utilizando ingeniería social) Además se mostrará cómo hacer llamadas spoofeando
el callerID, que nos permitan dar más veracidad a nuestra historia en el APT.
Se mostrarán estadísticas, versiones vulnerables, técnicas como typosquatting,
generación de páginas web con certificado digital SSL válido, clonando la
original, etc,… Se mostrará lo que se hizo y lo que…. podría llegado a haberse
hecho (esto ya en un entorno virtual y de laboratorio) con una única visita a
un entorno vulnerable
Sobre Lorenzo Martinez
Ingeniero Superior en Informática e Ingeniero Técnico en
Informática por la Universidad de Deusto. Reconocido ponente en Congresos de
Seguridad Informática, tanto nacionales como internacionales, con vocación
académica y co-fundador del blog de seguridad informática de habla hispana
Security By Default (www.securitybydefault.com), y con numerosas
certificaciones en soluciones punteras de seguridad. Asimismo, Lorenzo Martínez
pertenece a ANCITE (Asociación Nacional de Ciberseguridad y Pericia
Tecnológica), además de disponer de reconocidas certificaciones como CISA y
CISSP. Después de trabajar para múltiples integradores, en los que siempre
observó cómo se cometen los mismos errores, generalmente por una falta de
coordinación entre los departamentos técnico y comercial, plantea hoy en día
una visión diferente en la seguridad aplicada en base a una relación de
confianza, sinceridad y transparencia entre proveedor y cliente. Actualmente
dirige su propia compañía, Securízame (www.securizame.com), especializada en
seguridad de sistemas, redes de comunicaciones y peritaje informático forense.
Aquí te presenta su
conferencia:
Lorenzo Martinez saluda a la ekoparty 10! from ekoparty on Vimeo.
No hay comentarios:
Publicar un comentario