Faast_SecurityDay
-
Upload
elevenpaths -
Category
Technology
-
view
230 -
download
0
Transcript of Faast_SecurityDay
Eleven Paths
Faast: Attacks & Defences: Hacking, Pentesting & Hardening
2
Caso 1: RSA Conference
w1.livestatserver.com/w.jsrsaconference.com
3
Caso 2: Apple Software Updates
El certificado digital caducó
Durante un tiempo Apple fuevulnerable a ataques de Evil Grade
Malware que se hace pasar por unaactualización
Ataques MITM
Nadie avisó a Apple de esto. Yno será que Apple no pasavarias auditorías al año…
4
Caso 3: El robo del dominio de Oracle
A Oracle se le caducó el dominio “.es”
Otra persona lo registró
¿Y si se utilizase para realizar acciones que puedan dañar la imagen detu organización?
5
Caso 4: El celebGate de iCloud
6
Caso 5: Java.com y Jquery.com
7
Caso 6: HeartBleed & ShellShock
8
Show me your robots.txt
Pwn1nage!
Caso 6: Leakage inesperado
9
¿Qué sacamos de esto?
10
La auditoría de seguridad…
11
Pentester estratégico
12
¿Por qué ha muerto?
1. Entrega Informe
2. Sistemas en continuo cambio
3. Aparición vulnerabilidades diarias
4. Imagen dañada y pérdidas
13
Pentest clásico vs Pentest persistente
Mejor caso: 3 meses
Caso medio: 1 año
Peor caso: Sometimes
Los malos no descansan
Pentesting persistente
Minuto a minuto (m2m)
Vulnerabilidades Vulnerabilidades + Debilidades
14
• ¿Escanner de CVEs?
• ¿Escanner web?
• ¿Lo lanzas todos los días?
• ¿Contra el 100 % de tusactivos?
• ¿Sabes todos los activos quetienes?
• ¿Puedes incidir en losplugins?
• ¿Puedes tener info entiempo real de los bugs ydebilidades que tienes?
15
Faast:· Exploit well-knownvulnerabilities· Use OSINT Tricks
• Shodan
• Whois
• Archive.org
• Paste
• DNS
· Check for Human mistakes· Check for leaks· Test the whole infrastructure· Social networks· Day by day knowledge baseincreases.
Faast: Persistent Pentesting
16
Faast
17
Fases:10 Descubrimiento20 Análisis30 Explotación40 GOTO 10
18
19
20
21
22
Invitación a realizar un piloto
23