hacking físico: vulnerando entornos, evadiendo sensores... ¿misión imposible?
TRANSCRIPT
![Page 1: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/1.jpg)
Hacking Físico: Vulnerando entornos, evadiendo
sensores... ¿Misión Imposible?
Eduardo Arriols, Roberto Lopez, Tomás Isasia
![Page 2: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/2.jpg)
X Congreso Nacional 2
Eduardo Arriols Nuñez
Senior Penetration Tester
Anteriormente responsable de equipo Red Team
Co-Fundador de HighSec y RedTeaming.es
Ponente en congresos de seguridad
Profesor titular en la Universidad U-tad, asi como en
diferentes cursos de seguridad y hacking ético
Diversas certificaciones: CEH, CHFI, ECSA, otras
![Page 3: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/3.jpg)
X Congreso Nacional 3
Roberto Lopez Santoyo
Consultor de seguridad IT (Pentester)
Responsable de equipo Red Team
Co-Fundador de HighSec y RedTeaming.es
Profesor en diferentes cursos de seguridad y hacking
ético en la Universidad Autónoma de Madrid
Diversas certificaciones: CEH, CHFI, otras
insert photo
![Page 4: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/4.jpg)
X Congreso Nacional 4
Tomas Isasia Infante
Padre, emprendedor, empresario, innovador, experto en
consultoría tecnológica, jugador de golf ocasional, chef
familiar y divulgador de seguridad IT.
Profesional polifacético con amplia experiencia en la
gestión de TIC .
Titulado en Ingeniería Técnica Informática por ICAI y
UPM.
Directivo en diferentes empresas (Dictamed I and I,
TiiZss) y colabora con THIBER.
insert photo
![Page 5: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/5.jpg)
X Congreso Nacional 5
Necesidad actual
Las evaluaciones de seguridad actuales
son limitadas y focalizadas en un ámbito
de actuación. Esto impide una evaluación
realista y por lo tanto una falsa sensación
de seguridad.
![Page 6: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/6.jpg)
X Congreso Nacional 6
Indice
1. Sensores personales
3. Seguridad física
2. Amenazas en IoT
![Page 7: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/7.jpg)
X Congreso Nacional 7
Indice
1. Sensores personales
3. Seguridad física
2. Amenazas IoT
![Page 8: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/8.jpg)
X Congreso Nacional 8
Smart-Devices: Sensores en el ámbito personal
![Page 9: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/9.jpg)
X Congreso Nacional 9
Sensores en el ámbito personal
¿Nos engañan a estos dispositivos?
![Page 10: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/10.jpg)
X Congreso Nacional 10
Sensores en el ámbito personal
40 minutos montando en bicicleta después…
![Page 11: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/11.jpg)
X Congreso Nacional 11
Sensores en el ámbito personal
¿Es posible hacer ejercicio desde el sofa y engañar a
estos dispositivos?
![Page 12: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/12.jpg)
X Congreso Nacional 12
Sensores en el ámbito personal
![Page 13: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/13.jpg)
X Congreso Nacional 13
Sensores en el ámbito personal
![Page 14: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/14.jpg)
X Congreso Nacional 14
Sensores en el ámbito personal
![Page 15: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/15.jpg)
X Congreso Nacional 15
Sensores en el ámbito personal
¿Es posible comprometer la red corporativa a través de a
estos dispositivos?
![Page 16: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/16.jpg)
X Congreso Nacional 16
Como llegamos
![Page 17: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/17.jpg)
X Congreso Nacional 17
Como llegamos
Entorno personal
![Page 18: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/18.jpg)
X Congreso Nacional 18
Como llegamos
Entorno personal
Entorno corporativo
![Page 19: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/19.jpg)
X Congreso Nacional 19
Como llegamos
Entorno personal
Entorno corporativo
![Page 20: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/20.jpg)
X Congreso Nacional 20
Sensores en el ámbito personal
'10-second' theoretical hack could jog Fitbits into
malware-spreading mode
http://www.theregister.co.uk/2015/10/21/fitbit_hack/
https://www.youtube.com/watc
h?v=qa8qVAPPlTE
¿Se tarda mucho tiempo en comprometer el dispositivo?
![Page 21: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/21.jpg)
X Congreso Nacional 21
Sensores en el ámbito personal
![Page 22: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/22.jpg)
X Congreso Nacional 22
Indice
1. Sensores personales
3. Seguridad física
2. Amenazas en IoT
![Page 23: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/23.jpg)
X Congreso Nacional 23
¿Y si todo estuviese conectado?
![Page 24: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/24.jpg)
X Congreso Nacional 24
Internet of Things (IoT)
![Page 25: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/25.jpg)
X Congreso Nacional 25
IoT y la Seguridad CiberFísica
Un Sistema ciberfísico es es un sistema colaborativo de elementos
computacinales que controlan entidades físicas, también llamada la
Industria 4.0
![Page 26: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/26.jpg)
X Congreso Nacional 26
Amenazas en IoT
• Vulnerabilidades
• Configuraciones por Defecto
• Ingeniería Social
![Page 27: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/27.jpg)
X Congreso Nacional 27
Amenazas en IoT
• Vulnerabilidades
• Configuraciones por Defecto
• Ingeniería Social
![Page 28: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/28.jpg)
X Congreso Nacional 28
Amenazas en IoT
• Vulnerabilidades
• Configuraciones por Defecto
• Ingeniería Social
![Page 29: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/29.jpg)
X Congreso Nacional 29
Amenazas en IoT
• Vulnerabilidades
• Configuraciones por Defecto
• Ingeniería Social• Tailgating
• Shoulder Surfing
• Dumpster Diving
http://www.csoonline.com/article/2123810/identity-theft-prevention/a-real-
dumpster-dive--bank-tosses-personal-data--checks--laptops.html
![Page 30: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/30.jpg)
X Congreso Nacional 30
Indice
1. Sensores personales
3. Seguridad física
2. Amenazas en IoT
![Page 31: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/31.jpg)
X Congreso Nacional 31
El mercado de la seguridad física estaba valorada en 48 billones de
dólares en 2012 y está estimado que llegue a los 125 billones en 2019http://www.transparencymarketresearch.com/physical‐security‐market.html
Seguridad Física
![Page 32: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/32.jpg)
X Congreso Nacional 32
Evaluación de seguridad física… ¿Porque?
No importa que medidas de seguridad
se encuentren implementadas en el
ámbito digital (Firewall, IDS, etc.),
cuando el acceso físico es posible!
![Page 33: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/33.jpg)
X Congreso Nacional 33
Evaluación de seguridad física… ¿Porque?
No importa que medidas de seguridad
se encuentren implementadas en el
ámbito digital (Firewall, IDS, etc.),
cuando el acceso físico es posible!
![Page 34: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/34.jpg)
X Congreso Nacional 34
Demos
![Page 35: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/35.jpg)
X Congreso Nacional 35
Evasion de control de acceso físico (RFID – NFC)
![Page 36: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/36.jpg)
X Congreso Nacional 36
Evasion de sensores de movimiento
![Page 37: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/37.jpg)
X Congreso Nacional 37
Evasion de sensores magneticos
![Page 38: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/38.jpg)
X Congreso Nacional 38
Evasion de sensores fotoelectricos
![Page 39: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/39.jpg)
X Congreso Nacional 39
Otros tipos de medidas de seguridad…
![Page 40: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/40.jpg)
X Congreso Nacional 40
Solución…
Realizar comprobaciones de seguridad en los
diferentes ámbitos de actuación de manera combinada.
APT
![Page 41: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/41.jpg)
X Congreso Nacional 41
RedTeaming.es
APT
Un proyecto que tiene por objetivo
difundir, fomentar y trabajar sobre
el concepto de Red Team,
pensamiento lateral y nuevos
modelos para la realización de
ejercicios de intrusión avanzada
http://redteaming.es/
![Page 42: Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?](https://reader034.vdocuments.pub/reader034/viewer/2022052300/58729a6e1a28ab07208b4785/html5/thumbnails/42.jpg)
Tomás [email protected]
www.tiizss.es
@tisasia
Eduardo [email protected]
www.redteaming.es
@_hykeos
Roberto [email protected]
www.redteaming.es
@leurian