Ciberseguridad en dispositivos móviles usando software l ibre

1

Raúl Díaz ParraCISM, CEH, CHFI, ECSA, CPTE, ECSP, ITIL(F),ISF ISO/IEC 27002

Socio IT & Information Security Servicesraul.diaz@strategoscs.com

Raúl Díaz

• Socio IT & Information Security Services, Strategos ConsultingServices

• ESANo Candidato MBA

o PAE Gestión de Seguridad de la Información

o PEE Gerencia de Tecnologías de la Información

• Universidad de Limao Ingeniero de Sistemas

• Certificaciones Internacionales:o CISM, CISA, ECSA, CEH,

ECSP, CHFI, CPTE, ISF ISO/IEC 27002, ITIL(F)

• Consultoría de Gestión de TI, Riesgos y Seguridad de la Información en:o Perú, Argentina, Colombia,

Honduras, Chile, Ecuador, Bolivia y Brasil.

• Instructor en ECCouncil(Seguridad Informática) en: o Perú, Venezuela, Chile,

Argentina, Honduras, México, Ecuador, Colombia, Brasil, Costa Rica, Nicaragua.

Agenda

• Ciberseguridad

• Evolución de los móviles

• Vectores de ataque

• Herramientas de Hacking

• Demo

• Defensa

3

Ciberseguridad

4

Ciberseguridad

• Ciberespacio + seguridad + políticas + TI +

riesgos + controles

• Hacker ≠ Cibercriminal

5

Ciberseguridad

• Seguridad Ofensiva

6

Sony 2014

7

Hollywood Hacking 2014

8

SCADA Havex

9

Carbanak 2015

Carbanak 2015

Fraude 2011

12

RENIEC 2015

13

¿Nos han hackeado?

https://haveibeenpwned.com/

14

Ante todo esto…

15

Evolución de los móviles

16

Adivinanza?

• Lo tienen todos

• Tiene micrófono

• Tiene cámara

• Sabe donde estas

• Almacena información personal

17

18

Evolución de los móviles

19

Evolución de los móviles

20

Vectores de Ataque

21

Recordando TCP/IP

22

Arquitectura de Móviles 2G, 3G y 4G

23

Riesgo

Riesgo

Riesgo

Riesgo

Riesgo

Riesgo

Riesgo

Herramientas de Hacking

24

Sniffer - Droidsheep

25

Sniffer - Droidsheep

26

Espía - Stealth Genie

27

Espía - Stealth Genie

https://spycellphone.mobi/es/stealthgenie

https://www.youtube.com/watch?v=9ztud64QYWg 28

ANTI: Android Network Tool Kit

29

Remote Access Toolkit: AndroRAT

30

AndroRAT

31

Otras herramientas libres

32

Maltego

33

Wireshark

34

Metasploit

• Exploits y Troyanos

35

Armitage

36

Aircrack

37

Airpwn

38

DemoInstalación de troyano en android y robo de información

Kali -> Metasploit + MsfCli +

MsfPayload + Wireshark

39

Defensa

40

Defensa y Recomendaciones

• No descargues instaladores de fuentes no confiables.

• No des a tu ENAMORADA(O) tu celular o a cualquiera.

• Puedes utilizar ANTIVIRUS de smartphones pero no son el SANTO GRIAL.

• Puedes utilizar MDM, pero no son el SANTO GRIAL.

• No abras adjuntos o enlaces de fuentes desconocidas.

• Establece una política de uso de dispositivos móviles en tu compañía.

• Establece la evaluación de riesgo para los dispositivos móviles en tu compañía.

• En las pruebas de penetración incluir la evaluación de dispositivos móviles y establecer el escenario de pérdida de celular.

41

¿Preguntas?

42

Raúl Díaz ParraCISM, CEH, CHFI, ECSA, CPTE, ECSP, ITIL(F),ISF ISO/IEC 27002

Socio IT & Information Security Services en Strategos Consulting Servicesraul.diaz@strategoscs.com

@rauldiazphttps://pe.linkedin.com/in/rauldiazparra

http://www.rauldiazparra.com/

https://www.facebook.com/strategoscshttps://www.linkedin.com/company/strategos-consulting-services

http://www.strategoscs.com