You are on page 1of 41

Data Gathering

Toda la información se relaciona

Cesar Chavez Martinez
01/12/2012

RPC: 98755-5618

Cesar Chavez Martinez

DATA GATHERING
Es el medio de buscar información que puede ser empleada para acceder a un servidor, sirve para emplear una metodología de ataque variable a una determinada victima. Human Hacking es atacar al administrador, no al sistema Mediante un proceso de Data Gathering, se trabaja en el marco de un rompecabezas, buscando toda la información posible.
01/12/2012 Cesar Chavez Martinez

Google Hacking

Buscamos información relacionada al administrador, basándonos en sus fallas, encontramos un tema de recopilación de datos que ha sido compartido en una red publica.

01/12/2012

Cesar Chavez Martinez

Caso Administrador RCP

01/12/2012

Cesar Chavez Martinez

@puntope

01/12/2012

Cesar Chavez Martinez

01/12/2012

Cesar Chavez Martinez

01/12/2012

Cesar Chavez Martinez

Empleando BD de la UNMSM se accede a los perfiles de estudiantes Fuente: http://biblioteca.unmsm.edu.pe/scudirectorio/
01/12/2012 Cesar Chavez Martinez

Estudiante Base 98 – UNMSM Ing. Geografica, transfiriendose a Ing. De Sistemas el año 1999. 01/12/2012 NO SE REGISTRACesar Chavez Martinez EGRESO

Empleando BD de Sunat se adquiere DNI
01/12/2012 Cesar Chavez Martinez

Adquirimos datos personales

01/12/2012

Cesar Chavez Martinez

Adquiriendo fecha de nacimiento

01/12/2012

Fuente: http://ww4.essalud.gob.pe:7777/acredita/
Cesar Chavez Martinez

METADATOS EN QUE SE BASAN

SCORM. Es un estandar contenido en un objeto de aprendizaje, todo objeto es creado bajo ello, para que tenga continuidad, sea en video, audio, texto.
01/12/2012 Cesar Chavez Martinez

FOCA
Una herramienta gratuita para buscar fallos en servidores y websites.
01/12/2012 Cesar Chavez Martinez

Como Instalar la FOCA

01/12/2012

Cesar Chavez Martinez

Análisis de Metadatos www.sedeforense.edu.pe

Análisis de Metadatos www.sise.edu.pe

01/12/2012

Cesar Chavez Martinez

Resultados www.sedeforense.edu.pe

01/12/2012

Cesar Chavez Martinez

01/12/2012

Cesar Chavez Martinez

No hay peor cosa que la falsa seguridad
Un administrador orgulloso es una victima segura

01/12/2012

Cesar Chavez Martinez

La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común.
01/12/2012 Cesar Chavez Martinez

El sentido común no es nada común.

Voltaire (1694-1778) Filósofo y escritor francés

01/12/2012

Cesar Chavez Martinez

01/12/2012

Cesar Chavez Martinez

Políticas de Seguridad

www.mindef.gob.pe/menu/libroblanco
01/12/2012

http://www.codesi.gob.pe/ http://www.ongei.gob.pe/ Cesar Chavez Martinez

Administrador ¿Quien se ha llevado mi Password?

01/12/2012

Cesar Chavez Martinez

19 de Octubre 2012, Luzsec lanza bd de claves y usuarios de dominios .pe
01/12/2012 Cesar Chavez Martinez

Somos Perfectos negando lo innegable.

01/12/2012

Comunicado a usuarios punto.pe 20 de Octubre del Cesar Chavez 2012 Martinez

Pese a las pruebas, niegan el ataque…
01/12/2012 Cesar Chavez Martinez

Segundo comunicado. Se niega que tengan los pasword de dominios, pero Se sugiere cambiar las claves

01/12/2012

Cesar Chavez Martinez

¿Cuál es el error en este panel de usuario?
01/12/2012 Cesar Chavez Martinez

Como lo atacaron a PUNTO.PE Mediante un SQL INJECTION. ¿Era necesario ese metodo? ¿Solucionaron los problemas?

01/12/2012

Cesar Chavez Martinez

Obtención de datos personales
 

Identificación de victima. Empresarios SUNAT

01/12/2012

Cesar Chavez Martinez

Finalidad de obtención de datos

Identificada la victima, se consigue los datos de la clave SOL de la SUNAT, para ello basta solo con presentar copia de carta poder simple, a fin de realizar ese tramite. Una vez ingresado, pueden cambiar los datos de la empresa, y del directorio, a fin de acceder a prestamos o solicitar traspasos de negocios, para ello puede emplear el portal de la SAT, a fin de crear un usuario y pagar arbitrios a fin de poner un negocio como prenda hipotecaria en préstamo bancario.
Cesar Chavez Martinez

http://www.sunat.gob.pe

01/12/2012

http://www.sat.gob.pe

Venta no autorizada de propiedades

Requisitos:

Carta poder Copia de DNI Código de verificación

Lugares:

Consulados en Perú en el extranjero. Notarias.
Website: RENIEC
01/12/2012 Cesar Chavez Martinez

Base de datos profesionales

Buscador de Colegiados

Beneficios:

 

Presentación de Acción de amparo, Habeas corpus Habeas data
Buscador de abogados habilitados del COLEGIO DE ABOGADOS

01/12/2012

Cesar Chavez Martinez

Falencias de seguridad en actualización de información
El año 2002 en el proceso electoral se detecto casos de requisitoriados como miembros titulares y suplentes.

01/12/2012

Cesar Chavez Martinez

Entre los nombres de los jefes de mesa constan: Vladimiro Montesinos Torres Alberto Kenji Fujimori Fujimori

Las imágenes corresponden a la web de la ONPE

01/12/2012

Cesar Chavez Martinez

Ubicando victimas

Buscador de números telefónicos públicos.

Obtención de datos de familiares

Website: Paginas Blancas
01/12/2012 Cesar Chavez Martinez

Ingresando a su correspondenci@
Ingreso a cuentas mail

Speedy. Provee servicios especiales como webmail, se puede tener acceso con el numero de teléfono y la clave de acceso, muchas veces esta clave es el mismo teléfono, o el apellido del usuario. Puede solicitar al 104 la clave
Cesar Chavez Martinez

01/12/2012

Directorio de Abonados Celulares

http://www.claro.com.pe/wps/portal/pe/pc/hogar/movil/adicionales/directoriode-abonados
01/12/2012 Cesar Chavez Martinez

Otros servicios disponibles

Servicio 104 Permite acceder al coste del ultimo recibo emitido, permite libremente con la digitación de numero telefónico la cuenta telefónica del mismo. INFOCORP Provee servicios de información de cuenta bancarias, mediante un pago. RENIEC Provee servicios de información de documentos de identidad de peruanos. SUNARP Provee información de personas jurídicas
Cesar Chavez Martinez

01/12/2012

Preguntas

Cesar Chávez Martínez cchavez@peru.com
01/12/2012 Cesar Chavez Martinez