Auditoría de red interna

 

Hemos visto en clase un video de Pablo González, un colaborador de Chema Alonso, el video es: Ciclo UPM TASSI 2014. Conferencia 5: Ethical hacking: afrontando una auditoría interna

En el video nos explica los pasos basicos de una auditoria de la red de la empresa.

El esquema general de una auditoria es:
1º.- Documentarlo todo
2º.- Hacer un mapa de la red: ordenadores, puntos de acceso, etc…
3º.- Conseguir un dato util, una credencial, cookie de sesion, password, que nos de acceso a elementos a los que no debieramos poder acceder. Es importante demostrar la posibilidad e ir escalando privilegios, conseguir credenciales con mayor acceso a datos. No solo es importante conseguir credenciales de un nivel, que permite un desplazamiento horizontal en la organizacion, es importante conseguir credenciales que nos permitan un desplazamiento vertical, que nos da acceso de mas nivel.
4º.- Repetir el proceso en todos los equipos a los que se tenga acceso, porque en una empresa la red suele tener diferentes

Usando Kali Linux hemos obtenido los hashes de las contraseñas de Windows XP y ejecutado en esa misma maquina un keylogger

Web de Kali.

 

Hash o funciones de resumen. Criptografía

Los hash o funciones de resumen son algoritmos que a partir un dato de entrada (un texto, una contraseña, un archivo, etc…) generan una cadena de letras, numeros y caracteres de longitud fija que representa un resumen de toda la informacion de entrada.

La misma salida solo se puede conseguir con los mismos datos de entrada, o sea que con un dato concreto de entrada siempre se generara la misma cadena alfanumerica de salida.

Sigue leyendo

Transmisión segura de la información en la red

A todos los usuarios de internet nos gusta mantener cierta privacidad en nuestras comunicaciones a través de la red, como por ejemplo en el correo electrónico o en los mensajes (Wasap, Telegram, Line…etc), los email’s que nos enviamos no viajan por la red encriptados, para aquellos que saben interceptar estos email’s es tan facil leerlos como para un trabajador de correos leer una postal.

Sigue leyendo

Robo a tarjetas contactless, si pero no es tan fácil

Ahora que tenemos tarjetas de pago en las que las compras de menos de 20€ no requieren ni pin ni identificación (igual esto si, pero rápidamente unos acostumbramos a no pedir el DNI y otros a no sacarlo) nos surge la duda de si nos pueden robar con mayor facilidad, pues ni si ni no, aquí podeis ver un vídeo donde una persona con un TPV realiza un cobro sin consentimiento, pero tiene un TPV que tiene que estar autorizado por una entidad bancaria, con su contrato correspondiente y toda la pesca, con lo que me supongo sería fácil encontrar al artífice de los robos, sin embargo en este otro enlace nos explican que lo más factible sea quenos roben los datos de la tarjeta, luego la clonen y así hacer pagos por cantidades que no requieren identificacion ni pin.

Imagen: By ING Nederland (http://www.flickr.com/photos/ingnl/8966256167/) CC BY-SA 2.0 (http://creativecommons.org/licenses/by-sa/2.0), via Wikimedia Commons