Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?

Embed Size (px)

Text of Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?

  • Hacking Fsico: Vulnerando entornos, evadiendo

    sensores... Misin Imposible?

    Eduardo Arriols, Roberto Lopez, Toms Isasia

  • X Congreso Nacional 2

    Eduardo Arriols Nuez

    Senior Penetration Tester

    Anteriormente responsable de equipo Red Team

    Co-Fundador de HighSec y RedTeaming.es

    Ponente en congresos de seguridad

    Profesor titular en la Universidad U-tad, asi como en

    diferentes cursos de seguridad y hacking tico

    Diversas certificaciones: CEH, CHFI, ECSA, otras

  • X Congreso Nacional 3

    Roberto Lopez Santoyo

    Consultor de seguridad IT (Pentester)

    Responsable de equipo Red Team

    Co-Fundador de HighSec y RedTeaming.es

    Profesor en diferentes cursos de seguridad y hacking

    tico en la Universidad Autnoma de Madrid

    Diversas certificaciones: CEH, CHFI, otras

    insert photo

  • X Congreso Nacional 4

    Tomas Isasia Infante

    Padre, emprendedor, empresario, innovador, experto en

    consultora tecnolgica, jugador de golf ocasional, chef

    familiar y divulgador de seguridad IT.

    Profesional polifactico con amplia experiencia en la

    gestin de TIC .

    Titulado en Ingeniera Tcnica Informtica por ICAI y

    UPM.

    Directivo en diferentes empresas (Dictamed I and I,

    TiiZss) y colabora con THIBER.

    insert photo

  • X Congreso Nacional 5

    Necesidad actual

    Las evaluaciones de seguridad actuales

    son limitadas y focalizadas en un mbito

    de actuacin. Esto impide una evaluacin

    realista y por lo tanto una falsa sensacin

    de seguridad.

  • X Congreso Nacional 6

    Indice

    1. Sensores personales3. Seguridad fsica

    2. Amenazas en IoT

  • X Congreso Nacional 7

    Indice

    1. Sensores personales3. Seguridad fsica

    2. Amenazas IoT

  • X Congreso Nacional 8

    Smart-Devices: Sensores en el mbito personal

  • X Congreso Nacional 9

    Sensores en el mbito personal

    Nos engaan a estos dispositivos?

  • X Congreso Nacional 10

    Sensores en el mbito personal

    40 minutos montando en bicicleta despus

  • X Congreso Nacional 11

    Sensores en el mbito personal

    Es posible hacer ejercicio desde el sofa y engaar a

    estos dispositivos?

  • X Congreso Nacional 12

    Sensores en el mbito personal

  • X Congreso Nacional 13

    Sensores en el mbito personal

  • X Congreso Nacional 14

    Sensores en el mbito personal

  • X Congreso Nacional 15

    Sensores en el mbito personal

    Es posible comprometer la red corporativa a travs de a

    estos dispositivos?

  • X Congreso Nacional 16

    Como llegamos

  • X Congreso Nacional 17

    Como llegamos

    Entorno personal

  • X Congreso Nacional 18

    Como llegamos

    Entorno personal

    Entorno corporativo

  • X Congreso Nacional 19

    Como llegamos

    Entorno personal

    Entorno corporativo

  • X Congreso Nacional 20

    Sensores en el mbito personal

    '10-second' theoretical hack could jog Fitbits into

    malware-spreading mode

    http://www.theregister.co.uk/2015/10/21/fitbit_hack/

    https://www.youtube.com/watc

    h?v=qa8qVAPPlTE

    Se tarda mucho tiempo en comprometer el dispositivo?

    http://www.theregister.co.uk/2015/10/21/fitbit_hack/https://www.youtube.com/watch?v=qa8qVAPPlTE

  • X Congreso Nacional 21

    Sensores en el mbito personal

  • X Congreso Nacional 22

    Indice

    1. Sensores personales3. Seguridad fsica

    2. Amenazas en IoT

  • X Congreso Nacional 23

    Y si todo estuviese conectado?

  • X Congreso Nacional 24

    Internet of Things (IoT)

  • X Congreso Nacional 25

    IoT y la Seguridad CiberFsica

    Un Sistema ciberfsico es es un sistema colaborativo de elementos

    computacinales que controlan entidades fsicas, tambin llamada la

    Industria 4.0

  • X Congreso Nacional 26

    Amenazas en IoT

    Vulnerabilidades

    Configuraciones por Defecto

    Ingeniera Social

  • X Congreso Nacional 27

    Amenazas en IoT

    Vulnerabilidades

    Configuraciones por Defecto

    Ingeniera Social

  • X Congreso Nacional 28

    Amenazas en IoT

    Vulnerabilidades

    Configuraciones por Defecto

    Ingeniera Social

  • X Congreso Nacional 29

    Amenazas en IoT

    Vulnerabilidades

    Configuraciones por Defecto

    Ingeniera Social Tailgating

    Shoulder Surfing

    Dumpster Diving

    http://www.csoonline.com/article/2123810/identity-theft-prevention/a-real-

    dumpster-dive--bank-tosses-personal-data--checks--laptops.html

  • X Congreso Nacional 30

    Indice

    1. Sensores personales3. Seguridad fsica

    2. Amenazas en IoT

  • X Congreso Nacional 31

    El mercado de la seguridad fsica estaba valorada en 48 billones de

    dlares en 2012 y est estimado que llegue a los 125 billones en 2019http://www.transparencymarketresearch.com/physicalsecuritymarket.html

    Seguridad Fsica

  • X Congreso Nacional 32

    Evaluacin de seguridad fsica Porque?

    No importa que medidas de seguridad

    se encuentren implementadas en el

    mbito digital (Firewall, IDS, etc.),

    cuando el acceso fsico es posible!

  • X Congreso Nacional 33

    Evaluacin de seguridad fsica Porque?

    No importa que medidas de seguridad

    se encuentren implementadas en el

    mbito digital (Firewall, IDS, etc.),

    cuando el acceso fsico es posible!

  • X Congreso Nacional 34

    Demos

  • X Congreso Nacional 35

    Evasion de control de acceso fsico (RFID NFC)

  • X Congreso Nacional 36

    Evasion de sensores de movimiento

  • X Congreso Nacional 37

    Evasion de sensores magneticos

  • X Congreso Nacional 38

    Evasion de sensores fotoelectricos

  • X Congreso Nacional 39

    Otros tipos de medidas de seguridad

  • X Congreso Nacional 40

    Solucin

    Realizar comprobaciones de seguridad en los

    diferentes mbitos de actuacin de manera combinada.

    APT

  • X Congreso Nacional 41

    RedTeaming.es

    APT

    Un proyecto que tiene por objetivo

    difundir, fomentar y trabajar sobre

    el concepto de Red Team,

    pensamiento lateral y nuevos

    modelos para la realizacin de

    ejercicios de intrusin avanzada

    http://redteaming.es/

    http://redteaming.es/

  • Toms Isasiatomas@tiizss.com

    www.tiizss.es

    @tisasia

    Eduardo Arriolseduardo@redteaming.es

    www.redteaming.es

    @_hykeos

    Roberto Lopezroberto@highsec.es

    www.redteaming.es

    @leurian

    http://www.highsec.es/http://www.highsec.es/http://www.highsec.es/