Embed Size (px)
DESCRIPTION
nose
Citation preview
Smartphone: Herramienta de Bolsillo de un “Hacker”Dylan Irzi – Juan Castro
Quien Soy? @Dylan_Irzi11
Juan David Castro
Investigador de Seguridad
Desarrollador Web
BugBounty Hunter
CEO de WebSecurityDev
• SEO (Search Engine Optimization).
• Social Media Marketing• Growth Hacker
Contacto:• [email protected]
Agenda:
Motivaciones
Sistemas Operativos
En Lo Corporativo
Requisitos
DEMO
Defensas
Conclusiones Finales.
Motivaciones:
Hoy 7 de cada 10 personas tiene un Smartphone ( Android , iOS, Windows Phone )
Nuevas Herramientas para realizar auditorias de seguridad.
Nuevos Métodos de Hacking
Sistemas Operativos Moviles
En Cifras: Smartphone
En Lo Corporativo…
BYOD: La cuestión de la seguridad
El BYOD no está exento de riesgos. Al utilizar dispositivos propios para acceder a redes corporativas, se usa un software que puede no ser el recomendado por la empresa. El comportamiento de estos usuarios puede escaparse del control del departamento de IT.
Ha Cambiado el Modo de realizar Auditorias…
Si usted tiene un teléfono inteligente Android, puede iniciar su próximo proyecto de pruebas de penetración desde su teléfono Android. Hay pocas aplicaciones de Android que pueden convertir su dispositivo Android en un dispositivo de hacking.
Para Empezar…
Requisitos:
Android iOS
Min Versión: 2.2
Min Versión: 5.0
ROOT Jailbreak(Cydia)
Tools Android
dSploit – Kit de Exploitacion ( Sniffer, RoutePwn, Port Scanner, MiTM )
Network Discovery - Analiza los nombres de dispositivos conectados a dentro del WiFi
aWPVScan – Scanner Wordpress desde Movil.
AnDOSid – Realizar DDoS
Terminal Emulator: necesario, tener siempre a mano una ventana de línea de comandos (shell de Linux) por lo que pueda pasar
ConnectBot: cliente Telnet/SSH de código abierto, permite también hacer SSH tunneling
Droidsheep: Secuestrar Sessiones Web.
Shark Reader: Analizador de Paquetes de Trafico
Router Keygen: Contraseñas por defecto de Modem’s
Y mucho mas..
Trabajando con alguna de ellas…
IntercepterNG
DroidSheepDsploit
Tools iOS OpenSSH - nos permite conectarnos con el iPhone de forma remota a
través de SSH
GNU Debugger: Para el análisis de tiempo de ejecución y la ingeniería inversa
Scanny : Scannner de Puertos
Veency: Permite ver el teléfono en la estación de trabajo con la ayuda de cliente Veency
Tcpdump: Para capturar el tráfico de red en el teléfono
com.ericasadun.utlities: plutil para ver la lista de archivos de propiedad
Metasploit: Kit De herramientas que envía payload, y expoit conocidos.
Shodan : Buscador.
Y Muchos Mas…
Cortesía de Google Images…
Open SSH Scanny
Cortesía de Google Images…
Metasploit en iOS
Volviendo a Android…
Que mas podemos hacer?WarDriving
Sniffer Red.
Mas Acerca de Wardriving… Bogotá
He mapeado desde norte a sur la Ciudad
Tipos de Red:
WEP WPA WP2 Libres WEP Con WPS
Antenas
4302 Vulnerables
4910 Redes WPA
5939 WPA2
3429 Libres
446 10 AntenasVirgin Mobile
Estadísticas
WPA2
WPA
WEP
Libres
Redes WiFi
WPA2 WPA WEP Libres
DEMO
DEFENSAS
Para dentro de las empresas:
Gestión de dispositivos móviles (MDM):
Permite al personal de TI realizar de forma remota acciones de registro y rastreo de los dispositivos, así distribuir o cancelar servicios en los mismos.
Detecta los ataques que se introducen a través de aplicaciones, puertos y servicios de la red mediante un cortafuegos y un sistema de detección de intrusiones.
Para Hogares y Demás…
Usar Encriptaciones seguras en Redes WiFi ( WPA2 )
No Conectarse a Redes Inalámbricas Inseguras ( Al menos que seas tu atacante )
Conclusiones Finales.
Al Final, comprobamos que con un simple Smartphone es posible comprometer la seguridad de una empresa, hogar o red en la calle.
Nos damos cuentas que para los “hackers” hoy en día es mas fácil sin necesidad de tener un laptop.
Al final de cuenta la Seguridad va por nosotros mismos.
Preguntas
Gracias!
