¿Cómo te pueden hackear? Tú seguridad desde la perspectiva del atacante

Las empresas, organizaciones y personas en general están en constante peligro. Cualquiera puede ser víctima de un ciberataque.

Por ello el 21 de Noviembre se realizará el PERUHACK 2014, evento de In-seguridad informática y hacking en Perú dedicado a mostrar las técnicas de hacking, computación forense y seguridad ofensiva de la mano de hackers peruanos y extranjeros.

PERUHACK muestra la seguridad desde la perspectiva del atacante para que las organizaciones sepan protegerse. Charlas en donde hackers éticos  y profesionales demuestran cómo explotan y analizan vectores de ataque que afectan a organizaciones en el Perú.

Se contará con la participación de hackers peruanos reconocidos a nivel nacional e internacional como Alonso Caballero, Mauricio Velazco, Jean Del Carpio, Oscar Martínez, Alexis Torres, Juan Oliva, Henry Sánchez, Josué Rojas, John Vargas, Juan Quiñe y la colaboración especial de Solange Malca y Miguel Guerra.

Asimismo, estarán los hackers extranjeros: Claudio Caracciolo desde Argentina, Daniel Fernández desde España, Gabriel Bergel y Fabien Spychiger desde Chile.

Un evento dirigido a profesionales de la seguridad y la in-seguridad informática, y también para profesionales de las áreas de tecnologías de información que desean ampliar sus conocimientos.

Cabe señalar que el certamen cuenta con el apoyo de la Universidad Peruana de Ciencias Aplicadas, ESET LA / Startlabs y M&T.

 

Demostración:

Cualquier empresa puede ser víctima de un ataque cibernético. El motivo puede ser variado, desde un acto ideológico hasta el sabotaje de la competencia.

En los confines de la Red existen cibermercenarios y cibersicarios dispuestos a atacar por algo de dinero. Obviamente en el evento habrán demostraciones más avanzadas e investigaciones que causarán mucha sorpresa.

Aquí una prueba muy sencilla (pero efectiva) que se realizó bajo un entorno controlado, atacando a mi propio servidor.

 

• Caso: Ataque a los correos electrónicos de una empresa.
• Modo de ataque: La baja seguridad digital en una empresa para identificar la recepción de correos sospechosos será aprovechada. Tras analizar el webmail de la empresa, se indentificó que usa un correo grupal. Es decir, al enviar un mail a esa casilla (grupo@laempresa.com), le llegaba una copia a cada empleado de la empresa. Un método frecuente en empresas con más de cien empleados que facilita la comunicación entre áreas. Sin embargo, si se utiliza un script o botnet para enviar, con un clic, cien o más correos al mismo tiempo a correo grupal, el ataque se multiplicará a cada empleado.
• Resultado: Si el proceso se repite por horas y desde distintas máquinas, el ataque podría resultar incómodo para los empleados y/o volver lento al servidor. También podria ser usado para enviar un correo masivo con algún enlace malicioso o archivo adjunto (virus o phishing).
• Solución: Que el administrador esté atento y que cuente con los filtros necesarios para mitigar ataques masivos.

 

Evento / Ponencias

Se realizará el viernes 21 de Noviembre en el campus de la UPC en Monterrico.

Para tener una idea más detallada del evento y conocer más puedes seguir a @peruhackcon y el hashtag #PERUHACK2014.

Asimismo puedes visitar la web www.peruhack.org. Las inscripciones están próximas a abrirse.

Estas son las ponencias disponibles:

• Mobile Access Granted…ooopss…Bypassed
• Hacking de routers para profesionales de seguridad
• Bring your own hacked device
• Crazy Shellshock Vectors & Attacks
• Netobservatory, somebody is watching
• Post Explotacion En Entornos Windows
• Análisis Forense con Autopsy 3
• Cómo cumplir con PCI DSS…sin nombrarla
• La mejor arma de un hacker: La Mente
• Como Defacear una Pagina Web
• OWASP Testing Guide 4.0
• Prácticas seguras de criptografía en aplicaciones web
• AutoHacking ¡!
• Me nombraron CISO y… ¿Ahora quién podrá defenderme?
• Seguridad Corporativa: Las debilidades invisibles en empresas.

 

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona, los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////