SlideShare ist ein Scribd-Unternehmen logo

Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera

Internet Security Auditors
Internet Security Auditors

La presentación, aporta una visión actual sobre la problemática de los nombres de dominio. Se comentan las entidades que intervienen en el registro de dominios, las distintas técnicas de ataque que se pueden utilizar contra cada una de estas entidades y que posibilitan apropiarse de un dominio que ya tiene propietario, y las recomendaciones en cuanto a la defensa frente a este tipo de ataques.

Technologie
1 von 23
Downloaden Sie, um offline zu lesen
Métodos actuales de Apropiación de dominios HackMeeting 2003 Pamplona, 24-26 de Octubre Vicente Aguilera Díaz vaguilera@isecauditors.com
Contenido 1. Introducción 2. Registro de dominios 3. Métodos de ataque 4. Conclusiones y recomendaciones 5. Referencias
1.1 INTRODUCCIÓN. Quién es quién 1991 ISOC 1992 NSI IANA Jon Postel 1996 1998 2000 Explosión ICANN Verisign dominios compra NSI ISOC: - desarrollo mundial de Internet - constituye: IAB (Internet Architecture Board), IESG (Internet Engineering Steering Group) IETF (Internet Engineering Task Force) IANA (Internet Assigned Numbers Authority) NSI: - control BBDD Whois - control de la raíz A de Internet ICANN: - control del sistema de root servers - parámetros control Internet - gestionar DNS y asignación de direcciones IP - coordinar registradores dominio
1.2 INTRODUCCIÓN. Explosión fenómeno dominios - Año 1996: preocupación por el futuro de Internet - Los dominios se comienzan a ver como marcas - Aparece la figura del cibersquatter - Año 1999: España figura en la 3a. posición del ránking mundial en cuanto a delitos de ciberocupación - Casos: * business.com: 7.5 millones de dolares (finales de 1999) * mcdonalds.com, elpais.com, campofrio.com * barcelona.com !!!
2.1 REGISTRO DE DOMINIOS. Búsqueda de información ¿Qué nombre de dominio elegir? - Imaginación! - Banco de dominios: http://www.goldnames.com - Subastas de dominios: http://www.websitenames.com http://www.greatdomains.com ¿Existe el dominio que quiero registrar? - http://www.networksolutions.com/en_US/whois/index.jhtml - http://www.checkdomain.com/ - http://www.register.com - http://www.corenic.org - http://www.uwhois.com/cgi/domains.cgi?User=NoAds - ... ¿Quién gestiona la IP del dominio? - RIPE: http://www.ripe.net – dominios europeos - ARIN: http://www.arin.net – dominios americanos/africanos - APNIC: http://www.apnic.net - dominios asia/pacífico - LACNIC: http://www.lacnic.net - dominios latinoamericanos/caribe
2.2 REGISTRO DE DOMINIOS. El proceso de registro Registrante (persona física/jurídica) - Petición de registro Agente registrador - Intermediario cliente/registro - Asesoramiento a clientes - Proporcionar servicios adicionales Registro - Directorio central - Según el modelo CORE: . Aceptar peticiones de registro . Generar fichero de zona utilizado en los DNS . Poner a disposición de los usuarios el servicio WHOIS
3.1 MÉTODOS DE ATAQUE. Introducción Objetivo Apropiación de un dominio propiedad de terceros (de forma temporal o permanente). Consecuencias Servicios inoperativos: web, correo, ftp, ... y otros que se encuentren en el dominio atacado. Ataques Los métodos empleados dependerán de la entidad atacada: - Registrante - Agente registrador - Registro
3.2 MÉTODOS DE ATAQUE. Ataques al registrante (I) Responsabilidades del registrante - Seleccionar un AR que ofrezca garantías de seguridad - Revisar política de privacidad del AR para conocer cómo procesa la información personal (posibilidad de ocultar información a consultas WHOIS) - Guardar información de registro del dominio - Activar todas las medidas de seguridad que ofrezca el AR - Mantener la información de WHOIS actualizada - Revisar y leer periódicamente las cuentas de correo - Utilizar cuentas de correo “seguras” - Utilizar contraseñas robustas
3.2 MÉTODOS DE ATAQUE. Ataques al registrante (II) Ataques 1. Obtener información: - Identificar y verificar información - Buscar en WHOIS. - Agente registrador - Fecha creación/expiración del dominio - Personas de contacto, direcciones de e-mail, etc. - DNS - Buscar en RIR (RIPE,ARIN,APNIC,LACNIC) datos propietario IP - etc. Consultas a Whois desde NSI: "This code is an image that cannot be read by a machine. It prevents automated programs from requesting access to WHOIS information."
3.2 MÉTODOS DE ATAQUE. Ataques al registrante (III) Ataques Libre Dropped domain Registro Renewal date Expired domain Ocupado Expiración del dominio - WHOIS, herramientas (Domain Name Analyzer, Snap Back, etc.) Analizar cuentas de e-mail: - Verificar si utiliza servicios inseguros de e-mail (hotmail, terra, etc.) - Verificar robustez de las contraseñas: password cracking - Verificar lectura de correo (enviar mails a todas las cuentas) - Inundar de correo las cuentas (camuflar e-mails del AR) - Ataques al servidor de correo Ingeniería social - Conseguir passwords Libre
3.3 MÉTODOS DE ATAQUE. Ataques al AR (I) Responsabilidades del AR - Ofrecer acceso seguro a la gestión del dominio - No permitir actualizaciones vía fax/teléfono - Servicio “domain lock” o “registrar lock” - Solicitar confirmación antes de realizar modificaciones - Notificar de cualquier cambio realizado en el dominio - Contar con fuertes mecanismos de seguridad y cifrado (PGP, GPG, etc.) - Mantener actualizada Whois a partir de la información del cliente - Informar de peticiones de transferencia de dominio (el nuevo AR debe asegurarse de quién realiza la petición)
3.4 MÉTODOS DE ATAQUE. Ataques al AR (II) Responsabilidades del AR - No alardear sobre su nivel de seguridad... Por ejemplo: http://www.publihospedaje.com/faqsdominios.htm "... Los dominios comprados con nosotros estan protegidos contra robo ya que ofrecemos la posibilidad de bloquear o no según quiera el usuario este tipo de operaciones (transferencias de dominios). No se arriesgue a ser victima de este tipo de ataque con otros registradores confie en nuestra experiencia en seguridad informática, ¡único en el mercado!"
3.5 MÉTODOS DE ATAQUE. Ataques al AR (III) Ataques 1. Obtener información: - Analizar vias de comunicacion permitidas (telefono, fax, e-mail, etc.). - Identificar y validar las medidas de seguridad adoptadas (encriptacion, contraseñas robustas, confirmacion y notificacion de cambios, "domain renewal reminders", "domain lock", etc.). - Analizar el contrato que proporciona el AR buscando posibles deficiencias de seguridad. - Analizar todas las posibles operaciones permitidas por el AR (registro de dominio, modificacion de los datos de registro, transferencia de dominio, destrucción del dominio, cambio de propietario del dominio, envio de password, modificacion de password via e-mail, etc.).
3.6 MÉTODOS DE ATAQUE. Ataques al AR (IV) Ataques 1. ...obtener información: - Verificar que se encuentren habilitadas todas las medidas de seguridad que ofrezca el AR (domain lock, confirmaciones via e-mail, notificaciones de cambios, etc.). - Identificar la informacion personal (y posibles documentos) que solicita al registrar un dominio. - Analizar la politica de privacidad y verificar su cumplimiento. Validar que la informacion personal que nos solicita no es excesiva ni se facilita a terceras personas. - Identificar la información personal (y posibles documentos) que solicita al realizar cualquiera de las operaciones permitidas (modificacion de datos de los contactos, destrucción del dominio, etc.).
3.7 MÉTODOS DE ATAQUE. Ataques al AR (V) Ataques 2. Modificar datos propietario/contacto administrativo - Registrarnos en el AR objetivo, con usuario ficticio. - Identificar la informacion personal (y posibles documentos) que solicita al registrar un dominio. - Identificar la información personal (y posibles documentos) que solicita al realizar cualquiera de las operaciones permitidas (modificacion de datos de los contactos, cambio de propietario, etc.). - Comparar información y documentos de los dos puntos anteriores para detectar qué información puede ser falseada. - Solicitar las modificaciones.
3.6 MÉTODOS DE ATAQUE. Ataques al AR (VI) Ataques 2. Transferir dominio a otro AR - Analizar diferentes AR buscando el más “inseguro”. - Solicitar transferencia de dominio. - Para evitar que los contactos del dominio puedan leer la posible notificación de la transferencia por parte del AR: . realizar la petición en epoca de vacaciones. . inundar las cuentas de e-mail de los contactos con correo basura. - Suplantar la dirección de correo del contacto administrativo y realizar la petición de transferencia desde esta cuenta (por si el AR utiliza autenticación “MAIL-FROM”). - Una vez realizada la transferencia con éxito, modificar el contacto administrativo/propietario, etc. aprovechando las deficiencias de seguridad que habíamos detectado.
3.7 MÉTODOS DE ATAQUE. Ataques al AR (VII) Ataques 3. Destruir dominio - Comprobar si el AR objetivo permite esta operación (si es necesario, registrarnos en el AR con usuario ficticio). - Si el AR objetivo no lo permite, transferir el dominio a otro AR que sí lo permita. - Identificar la informacion personal (y posibles documentos) que solicita al registrar un dominio. - Identificar la información personal (y posibles documentos) que solicita al realizar la destruccion del dominio. - Comparar información y documentos de los dos puntos anteriores para detectar si la información puede ser falseada. - Utilizar herramientas para ponernos en la “cola” de registrodel dominio objetivo. Solicitar la destrucción del dominio.
3.8 MÉTODOS DE ATAQUE. Ataques al AR (VIII) Ataques 4. Analizar robustez de las contraseñas - Comprobar el nivel de permisibilidad que ofrece el AR (longitud contraseñas, codificación, etc.) - Identificar ID de usuario y comprobar la robustez de la contraseña mediante password cracking. - Comprobar debilidad en procesos de cambio de contraseña 5. Ataques a los DNS - Verificar nivel de seguridad de los DNS - Modificar tablas de mapeo, envenamiento de la cache (Birthday), etc - Ataques a los Root Servers (Junio 2000: 4 RS más de ½ hora) - Caso RSA Security
3.4 MÉTODOS DE ATAQUE. Ataques al registro Ataques - Whois es el directorio central - Whois se encuentra dividida (RIRs/LIRs) - Dónde encontrar Whois: whois.ARIN.net whois.APNIC.net whois.RIPE.net whois.NetworkSoluctions.com whois.InterNIC.net (VeriSign Inc.) whois.ISI.edu whois.NRL.Navy.mil ... http://www.psychotekk.de/appendix/appendix1.shtm - Suplantación de AR: modificación disponibilidad y propietario (sólo los AR acreditas por la ICANN disponen de acceso)
4. Conclusiones y recomendaciones - Ser conscientes que debemos tomar medidas que nos permitan aumentar el nivel de seguridad sobre nuestro dominio (podemos perderlo aún siendo los propietarios!) - Seleccionar un AR con las máximas medidas de seguridad (y habilitarlas!) - Revisar periódicamente nuestra información en Whois - Utilizar cuentas de correo seguras (si es necesario dedicar una dirección de correo en exclusiva para los datos de contacto) - Revisar periódicamente el correo (por si el AR nos notificara) - Bloquear las transferencias de zona - Utilizar contraseñas robustas en todas nuestras cuentas (gestión AR, e-mail, etc.) - Si el DNS lo gestionamos nosotros, mantenerlo actualizado y securizado
5. Referencias IANA – Internet Assigned Numbers Authority www.iana.org ICANN – Internet Corporation for Assigned Names and Numbers www.icann.org NSI – Network Solutions Inc. www.nsi.com ISOC – Internet Society www.isoc.org Listado Root Servers y Whois http://www.psychotekk.de/appendix/appendix1.shtm Consultas whois y FAQs www.whoisquery.com DNS Free soa.granitecanyon.com Lista de AR acreditados por la ICANN http://www.icann.org/registrars/accredited-list.html Referencias centralizadas gTLD/ccTLD/RIR http://www.uwhois.com/cgi/domains.cgi?User=NoAds
Comentarios, opiniones, sugerencias... ?
Métodos actuales de Apropiación de dominios Gracias por vuestra atención HackMeeting 2003 Pamplona, 24-26 de Octubre Vicente Aguilera Díaz vaguilera@isecauditors.com

Empfohlen

Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
Hacking
HackingHacking
HackingLaura858115
 
Alonso hernandez marcos de jesus
Alonso hernandez marcos de jesusAlonso hernandez marcos de jesus
Alonso hernandez marcos de jesusMarcos de Jesus Alonso Hernandez
 
Exposicion hacker. gastelo wiliam chaname augusto
Exposicion hacker. gastelo wiliam chaname augustoExposicion hacker. gastelo wiliam chaname augusto
Exposicion hacker. gastelo wiliam chaname augustoGastelowilli
 
Definiciones reyna
Definiciones reynaDefiniciones reyna
Definiciones reynaReyna Mata Estrada
 
Material conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo eticoMaterial conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo eticoliras loca
 
Delitos i..
Delitos i..Delitos i..
Delitos i..Ara U Jito Sanchez
 
Seguridad de la informática
Seguridad de la informáticaSeguridad de la informática
Seguridad de la informáticamilkstern
 

Empfohlen

Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
Hacking
HackingHacking
HackingLaura858115
 
Alonso hernandez marcos de jesus
Alonso hernandez marcos de jesusAlonso hernandez marcos de jesus
Alonso hernandez marcos de jesusMarcos de Jesus Alonso Hernandez
 
Exposicion hacker. gastelo wiliam chaname augusto
Exposicion hacker. gastelo wiliam chaname augustoExposicion hacker. gastelo wiliam chaname augusto
Exposicion hacker. gastelo wiliam chaname augustoGastelowilli
 
Definiciones reyna
Definiciones reynaDefiniciones reyna
Definiciones reynaReyna Mata Estrada
 
Material conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo eticoMaterial conferencia ITSJR: Hackeo etico
Material conferencia ITSJR: Hackeo eticoliras loca
 
Delitos i..
Delitos i..Delitos i..
Delitos i..Ara U Jito Sanchez
 
Seguridad de la informática
Seguridad de la informáticaSeguridad de la informática
Seguridad de la informáticamilkstern
 
Etica-hacking
Etica-hackingEtica-hacking
Etica-hackinglguerreroCun
 
Tema 1
Tema 1Tema 1
Tema 1Riulmartins
 
Seguridad de redes 2
Seguridad de redes 2Seguridad de redes 2
Seguridad de redes 2cloniita_diiana
 
Dsei acf lejd
Dsei acf lejdDsei acf lejd
Dsei acf lejdLeticia Juarez Diego
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical HackingMarcos Harasimowicz
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosabelx7
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redescloniita_diiana
 
Herramientas gratuitas para ciberseguridad
Herramientas gratuitas para ciberseguridadHerramientas gratuitas para ciberseguridad
Herramientas gratuitas para ciberseguridadPaulo Colomés
 
Ea u2 gimh
Ea u2 gimhEa u2 gimh
Ea u2 gimhgio_vani
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digitalMariluzBlacidoGabrie
 
LA SEGURIDAD INFORMATICA
LA SEGURIDAD INFORMATICALA SEGURIDAD INFORMATICA
LA SEGURIDAD INFORMATICAFabioRuizCristancho
 
T03 conceptos seguridad
T03 conceptos seguridadT03 conceptos seguridad
T03 conceptos seguridadManuel Fernandez Barcell
 
Exposición técnicas de hackeo
Exposición técnicas de hackeoExposición técnicas de hackeo
Exposición técnicas de hackeoseminario4
 
Revista
RevistaRevista
RevistaJoanlysVera
 
04 pgp
04 pgp04 pgp
04 pgpMariluzBlacidoGabrie
 
Cifrado de la Información - Guía Personal
Cifrado de la Información - Guía PersonalCifrado de la Información - Guía Personal
Cifrado de la Información - Guía PersonalESET Latinoamérica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 

Weitere ähnliche Inhalte

Was ist angesagt?

Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosabelx7
 
Herramientas gratuitas para ciberseguridad
Herramientas gratuitas para ciberseguridadHerramientas gratuitas para ciberseguridad
Herramientas gratuitas para ciberseguridadPaulo Colomés
 
Ea u2 gimh
Ea u2 gimhEa u2 gimh
Ea u2 gimhgio_vani
 
Exposición técnicas de hackeo
Exposición técnicas de hackeoExposición técnicas de hackeo
Exposición técnicas de hackeoseminario4
 
Cifrado de la Información - Guía Personal
Cifrado de la Información - Guía PersonalCifrado de la Información - Guía Personal
Cifrado de la Información - Guía PersonalESET Latinoamérica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 

Was ist angesagt? (17)

Etica-hacking
Etica-hackingEtica-hacking
Etica-hacking
 
Tema 1
Tema 1Tema 1
Tema 1
 
Seguridad de redes 2
Seguridad de redes 2Seguridad de redes 2
Seguridad de redes 2
 
Dsei acf lejd
Dsei acf lejdDsei acf lejd
Dsei acf lejd
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical Hacking
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Herramientas gratuitas para ciberseguridad
Herramientas gratuitas para ciberseguridadHerramientas gratuitas para ciberseguridad
Herramientas gratuitas para ciberseguridad
 
Ea u2 gimh
Ea u2 gimhEa u2 gimh
Ea u2 gimh
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digital
 
LA SEGURIDAD INFORMATICA
LA SEGURIDAD INFORMATICALA SEGURIDAD INFORMATICA
LA SEGURIDAD INFORMATICA
 
T03 conceptos seguridad
T03 conceptos seguridadT03 conceptos seguridad
T03 conceptos seguridad
 
Exposición técnicas de hackeo
Exposición técnicas de hackeoExposición técnicas de hackeo
Exposición técnicas de hackeo
 
Revista
RevistaRevista
Revista
 
04 pgp
04 pgp04 pgp
04 pgp
 
Cifrado de la Información - Guía Personal
Cifrado de la Información - Guía PersonalCifrado de la Información - Guía Personal
Cifrado de la Información - Guía Personal
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 

Andere mochten auch

Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 

Andere mochten auch (13)

Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 

Ähnlich wie Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera

Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Comdat4
 
Privacidad en la red
Privacidad en la redPrivacidad en la red
Privacidad en la redaydinalvaro
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clCristian Sepulveda
 
I Encuentro Virtual sobre TI para Contadores de las Américas
I Encuentro Virtual sobre TI para Contadores de las AméricasI Encuentro Virtual sobre TI para Contadores de las Américas
I Encuentro Virtual sobre TI para Contadores de las AméricasCastañeda Mejía & Asociados
 
Privacidad En La Red[1][1]
Privacidad En La Red[1][1]Privacidad En La Red[1][1]
Privacidad En La Red[1][1]guest514d5
 
Seguridad y Penetration Testing
Seguridad y Penetration TestingSeguridad y Penetration Testing
Seguridad y Penetration TestingAlonso Caballero
 
Criterios básicos para elegir un dominio y un hosting - Yuzz Álava 2017
Criterios básicos para elegir un dominio y un hosting - Yuzz Álava 2017Criterios básicos para elegir un dominio y un hosting - Yuzz Álava 2017
Criterios básicos para elegir un dominio y un hosting - Yuzz Álava 2017Aitor San Sebastián Millet
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1VICTORIAZM
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosdianapaolalozano
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosdianapaolalozano
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosguest498e8b
 
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...dianapaolalozano
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidosdianapaolalozano
 

Ähnlich wie Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera (20)

Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]
 
Definiciones diana
Definiciones dianaDefiniciones diana
Definiciones diana
 
Privacidad en la red
Privacidad en la redPrivacidad en la red
Privacidad en la red
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.cl
 
I Encuentro Virtual sobre TI para Contadores de las Américas
I Encuentro Virtual sobre TI para Contadores de las AméricasI Encuentro Virtual sobre TI para Contadores de las Américas
I Encuentro Virtual sobre TI para Contadores de las Américas
 
Tema 13
Tema 13Tema 13
Tema 13
 
Etapa del Reconocimiento
Etapa del ReconocimientoEtapa del Reconocimiento
Etapa del Reconocimiento
 
Privacidad En La Red[1][1]
Privacidad En La Red[1][1]Privacidad En La Red[1][1]
Privacidad En La Red[1][1]
 
Privacidad En La Red[1][1]
Privacidad En La Red[1][1]Privacidad En La Red[1][1]
Privacidad En La Red[1][1]
 
Seguridad y Penetration Testing
Seguridad y Penetration TestingSeguridad y Penetration Testing
Seguridad y Penetration Testing
 
hacking.pptx
hacking.pptxhacking.pptx
hacking.pptx
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Criterios básicos para elegir un dominio y un hosting - Yuzz Álava 2017
Criterios básicos para elegir un dominio y un hosting - Yuzz Álava 2017Criterios básicos para elegir un dominio y un hosting - Yuzz Álava 2017
Criterios básicos para elegir un dominio y un hosting - Yuzz Álava 2017
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
C:\Documents And Settings\Regis Y Control\Mis Documentos\Seguridad En Un Sist...
 
Seguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas DistribuidosSeguridad En Un Sistemas Distribuidos
Seguridad En Un Sistemas Distribuidos
 

Mehr von Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsInternet Security Auditors
 

Mehr von Internet Security Auditors (17)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
OWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de DatosOWASP Meeting. Tratamiento de Datos
OWASP Meeting. Tratamiento de Datos
 
OWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application AssessmentsOWASP Europe Summit Portugal 2008. Web Application Assessments
OWASP Europe Summit Portugal 2008. Web Application Assessments
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
OWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECOOWASP Meeting. Análisis de ECO
OWASP Meeting. Análisis de ECO
 

Kürzlich hochgeladen

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 

Kürzlich hochgeladen (11)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 

Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera

  • 1. Métodos actuales de Apropiación de dominios HackMeeting 2003 Pamplona, 24-26 de Octubre Vicente Aguilera Díaz vaguilera@isecauditors.com
  • 2. Contenido 1. Introducción 2. Registro de dominios 3. Métodos de ataque 4. Conclusiones y recomendaciones 5. Referencias
  • 3. 1.1 INTRODUCCIÓN. Quién es quién 1991 ISOC 1992 NSI IANA Jon Postel 1996 1998 2000 Explosión ICANN Verisign dominios compra NSI ISOC: - desarrollo mundial de Internet - constituye: IAB (Internet Architecture Board), IESG (Internet Engineering Steering Group) IETF (Internet Engineering Task Force) IANA (Internet Assigned Numbers Authority) NSI: - control BBDD Whois - control de la raíz A de Internet ICANN: - control del sistema de root servers - parámetros control Internet - gestionar DNS y asignación de direcciones IP - coordinar registradores dominio
  • 4. 1.2 INTRODUCCIÓN. Explosión fenómeno dominios - Año 1996: preocupación por el futuro de Internet - Los dominios se comienzan a ver como marcas - Aparece la figura del cibersquatter - Año 1999: España figura en la 3a. posición del ránking mundial en cuanto a delitos de ciberocupación - Casos: * business.com: 7.5 millones de dolares (finales de 1999) * mcdonalds.com, elpais.com, campofrio.com * barcelona.com !!!
  • 5. 2.1 REGISTRO DE DOMINIOS. Búsqueda de información ¿Qué nombre de dominio elegir? - Imaginación! - Banco de dominios: http://www.goldnames.com - Subastas de dominios: http://www.websitenames.com http://www.greatdomains.com ¿Existe el dominio que quiero registrar? - http://www.networksolutions.com/en_US/whois/index.jhtml - http://www.checkdomain.com/ - http://www.register.com - http://www.corenic.org - http://www.uwhois.com/cgi/domains.cgi?User=NoAds - ... ¿Quién gestiona la IP del dominio? - RIPE: http://www.ripe.net – dominios europeos - ARIN: http://www.arin.net – dominios americanos/africanos - APNIC: http://www.apnic.net - dominios asia/pacífico - LACNIC: http://www.lacnic.net - dominios latinoamericanos/caribe
  • 6. 2.2 REGISTRO DE DOMINIOS. El proceso de registro Registrante (persona física/jurídica) - Petición de registro Agente registrador - Intermediario cliente/registro - Asesoramiento a clientes - Proporcionar servicios adicionales Registro - Directorio central - Según el modelo CORE: . Aceptar peticiones de registro . Generar fichero de zona utilizado en los DNS . Poner a disposición de los usuarios el servicio WHOIS
  • 7. 3.1 MÉTODOS DE ATAQUE. Introducción Objetivo Apropiación de un dominio propiedad de terceros (de forma temporal o permanente). Consecuencias Servicios inoperativos: web, correo, ftp, ... y otros que se encuentren en el dominio atacado. Ataques Los métodos empleados dependerán de la entidad atacada: - Registrante - Agente registrador - Registro
  • 8. 3.2 MÉTODOS DE ATAQUE. Ataques al registrante (I) Responsabilidades del registrante - Seleccionar un AR que ofrezca garantías de seguridad - Revisar política de privacidad del AR para conocer cómo procesa la información personal (posibilidad de ocultar información a consultas WHOIS) - Guardar información de registro del dominio - Activar todas las medidas de seguridad que ofrezca el AR - Mantener la información de WHOIS actualizada - Revisar y leer periódicamente las cuentas de correo - Utilizar cuentas de correo “seguras” - Utilizar contraseñas robustas
  • 9. 3.2 MÉTODOS DE ATAQUE. Ataques al registrante (II) Ataques 1. Obtener información: - Identificar y verificar información - Buscar en WHOIS. - Agente registrador - Fecha creación/expiración del dominio - Personas de contacto, direcciones de e-mail, etc. - DNS - Buscar en RIR (RIPE,ARIN,APNIC,LACNIC) datos propietario IP - etc. Consultas a Whois desde NSI: "This code is an image that cannot be read by a machine. It prevents automated programs from requesting access to WHOIS information."
  • 10. 3.2 MÉTODOS DE ATAQUE. Ataques al registrante (III) Ataques Libre Dropped domain Registro Renewal date Expired domain Ocupado Expiración del dominio - WHOIS, herramientas (Domain Name Analyzer, Snap Back, etc.) Analizar cuentas de e-mail: - Verificar si utiliza servicios inseguros de e-mail (hotmail, terra, etc.) - Verificar robustez de las contraseñas: password cracking - Verificar lectura de correo (enviar mails a todas las cuentas) - Inundar de correo las cuentas (camuflar e-mails del AR) - Ataques al servidor de correo Ingeniería social - Conseguir passwords Libre
  • 11. 3.3 MÉTODOS DE ATAQUE. Ataques al AR (I) Responsabilidades del AR - Ofrecer acceso seguro a la gestión del dominio - No permitir actualizaciones vía fax/teléfono - Servicio “domain lock” o “registrar lock” - Solicitar confirmación antes de realizar modificaciones - Notificar de cualquier cambio realizado en el dominio - Contar con fuertes mecanismos de seguridad y cifrado (PGP, GPG, etc.) - Mantener actualizada Whois a partir de la información del cliente - Informar de peticiones de transferencia de dominio (el nuevo AR debe asegurarse de quién realiza la petición)
  • 12. 3.4 MÉTODOS DE ATAQUE. Ataques al AR (II) Responsabilidades del AR - No alardear sobre su nivel de seguridad... Por ejemplo: http://www.publihospedaje.com/faqsdominios.htm "... Los dominios comprados con nosotros estan protegidos contra robo ya que ofrecemos la posibilidad de bloquear o no según quiera el usuario este tipo de operaciones (transferencias de dominios). No se arriesgue a ser victima de este tipo de ataque con otros registradores confie en nuestra experiencia en seguridad informática, ¡único en el mercado!"
  • 13. 3.5 MÉTODOS DE ATAQUE. Ataques al AR (III) Ataques 1. Obtener información: - Analizar vias de comunicacion permitidas (telefono, fax, e-mail, etc.). - Identificar y validar las medidas de seguridad adoptadas (encriptacion, contraseñas robustas, confirmacion y notificacion de cambios, "domain renewal reminders", "domain lock", etc.). - Analizar el contrato que proporciona el AR buscando posibles deficiencias de seguridad. - Analizar todas las posibles operaciones permitidas por el AR (registro de dominio, modificacion de los datos de registro, transferencia de dominio, destrucción del dominio, cambio de propietario del dominio, envio de password, modificacion de password via e-mail, etc.).
  • 14. 3.6 MÉTODOS DE ATAQUE. Ataques al AR (IV) Ataques 1. ...obtener información: - Verificar que se encuentren habilitadas todas las medidas de seguridad que ofrezca el AR (domain lock, confirmaciones via e-mail, notificaciones de cambios, etc.). - Identificar la informacion personal (y posibles documentos) que solicita al registrar un dominio. - Analizar la politica de privacidad y verificar su cumplimiento. Validar que la informacion personal que nos solicita no es excesiva ni se facilita a terceras personas. - Identificar la información personal (y posibles documentos) que solicita al realizar cualquiera de las operaciones permitidas (modificacion de datos de los contactos, destrucción del dominio, etc.).
  • 15. 3.7 MÉTODOS DE ATAQUE. Ataques al AR (V) Ataques 2. Modificar datos propietario/contacto administrativo - Registrarnos en el AR objetivo, con usuario ficticio. - Identificar la informacion personal (y posibles documentos) que solicita al registrar un dominio. - Identificar la información personal (y posibles documentos) que solicita al realizar cualquiera de las operaciones permitidas (modificacion de datos de los contactos, cambio de propietario, etc.). - Comparar información y documentos de los dos puntos anteriores para detectar qué información puede ser falseada. - Solicitar las modificaciones.
  • 16. 3.6 MÉTODOS DE ATAQUE. Ataques al AR (VI) Ataques 2. Transferir dominio a otro AR - Analizar diferentes AR buscando el más “inseguro”. - Solicitar transferencia de dominio. - Para evitar que los contactos del dominio puedan leer la posible notificación de la transferencia por parte del AR: . realizar la petición en epoca de vacaciones. . inundar las cuentas de e-mail de los contactos con correo basura. - Suplantar la dirección de correo del contacto administrativo y realizar la petición de transferencia desde esta cuenta (por si el AR utiliza autenticación “MAIL-FROM”). - Una vez realizada la transferencia con éxito, modificar el contacto administrativo/propietario, etc. aprovechando las deficiencias de seguridad que habíamos detectado.
  • 17. 3.7 MÉTODOS DE ATAQUE. Ataques al AR (VII) Ataques 3. Destruir dominio - Comprobar si el AR objetivo permite esta operación (si es necesario, registrarnos en el AR con usuario ficticio). - Si el AR objetivo no lo permite, transferir el dominio a otro AR que sí lo permita. - Identificar la informacion personal (y posibles documentos) que solicita al registrar un dominio. - Identificar la información personal (y posibles documentos) que solicita al realizar la destruccion del dominio. - Comparar información y documentos de los dos puntos anteriores para detectar si la información puede ser falseada. - Utilizar herramientas para ponernos en la “cola” de registrodel dominio objetivo. Solicitar la destrucción del dominio.
  • 18. 3.8 MÉTODOS DE ATAQUE. Ataques al AR (VIII) Ataques 4. Analizar robustez de las contraseñas - Comprobar el nivel de permisibilidad que ofrece el AR (longitud contraseñas, codificación, etc.) - Identificar ID de usuario y comprobar la robustez de la contraseña mediante password cracking. - Comprobar debilidad en procesos de cambio de contraseña 5. Ataques a los DNS - Verificar nivel de seguridad de los DNS - Modificar tablas de mapeo, envenamiento de la cache (Birthday), etc - Ataques a los Root Servers (Junio 2000: 4 RS más de ½ hora) - Caso RSA Security
  • 19. 3.4 MÉTODOS DE ATAQUE. Ataques al registro Ataques - Whois es el directorio central - Whois se encuentra dividida (RIRs/LIRs) - Dónde encontrar Whois: whois.ARIN.net whois.APNIC.net whois.RIPE.net whois.NetworkSoluctions.com whois.InterNIC.net (VeriSign Inc.) whois.ISI.edu whois.NRL.Navy.mil ... http://www.psychotekk.de/appendix/appendix1.shtm - Suplantación de AR: modificación disponibilidad y propietario (sólo los AR acreditas por la ICANN disponen de acceso)
  • 20. 4. Conclusiones y recomendaciones - Ser conscientes que debemos tomar medidas que nos permitan aumentar el nivel de seguridad sobre nuestro dominio (podemos perderlo aún siendo los propietarios!) - Seleccionar un AR con las máximas medidas de seguridad (y habilitarlas!) - Revisar periódicamente nuestra información en Whois - Utilizar cuentas de correo seguras (si es necesario dedicar una dirección de correo en exclusiva para los datos de contacto) - Revisar periódicamente el correo (por si el AR nos notificara) - Bloquear las transferencias de zona - Utilizar contraseñas robustas en todas nuestras cuentas (gestión AR, e-mail, etc.) - Si el DNS lo gestionamos nosotros, mantenerlo actualizado y securizado
  • 21. 5. Referencias IANA – Internet Assigned Numbers Authority www.iana.org ICANN – Internet Corporation for Assigned Names and Numbers www.icann.org NSI – Network Solutions Inc. www.nsi.com ISOC – Internet Society www.isoc.org Listado Root Servers y Whois http://www.psychotekk.de/appendix/appendix1.shtm Consultas whois y FAQs www.whoisquery.com DNS Free soa.granitecanyon.com Lista de AR acreditados por la ICANN http://www.icann.org/registrars/accredited-list.html Referencias centralizadas gTLD/ccTLD/RIR http://www.uwhois.com/cgi/domains.cgi?User=NoAds
  • 23. Métodos actuales de Apropiación de dominios Gracias por vuestra atención HackMeeting 2003 Pamplona, 24-26 de Octubre Vicente Aguilera Díaz vaguilera@isecauditors.com