Smartphone:

Herramienta de Bolsillo
de un Hacker
Dylan Irzi Juan Castro

Quien Soy?

@Dylan_Irzi11

Juan David Castro

Investigador de Seguridad
Desarrollador Web
BugBounty Hunter
CEO de WebSecurityDev

SEO (Search Engine Optimization).

Social Media Marketing
Growth Hacker
Contacto:
dylan@websecuritydev.com

Agenda:

Motivaciones

Sistemas Operativos

En Lo Corporativo

Requisitos

DEMO

Defensas

Conclusiones Finales.

Motivaciones:
Hoy

7 de cada 10 personas tiene un Smartphone

( Android , iOS, Windows Phone )

Nuevas

Herramientas para realizar auditorias de

seguridad.

Nuevos

Mtodos de Hacking

Sistemas Operativos Moviles

En Cifras: Smartphone

En Lo Corporativo

BYOD: La cuestin de la seguridad

El

BYOD no est exento de

riesgos. Al utilizar dispositivos
propios para acceder a redes
corporativas, se usa un software
que puede no ser el recomendado
por la empresa. El
comportamiento de estos
usuarios puede escaparse del
control del departamento de IT.

Ha Cambiado el Modo de realizar

Auditorias

Si usted tiene un telfono

inteligente Android, puede iniciar
su prximo proyecto de pruebas de
penetracin desde su telfono
Android.Hay pocas aplicaciones de
Android que pueden convertir su
dispositivo
Android
en
un
dispositivo de hacking.

Para Empezar
Requisitos:

Android

iOS

Min Versin: 2.2

Min Versin: 5.0

ROOT

Jailbreak
(Cydia)

Tools Android

dSploit Kit de Exploitacion ( Sniffer, RoutePwn, Port Scanner, MiTM )

Network Discovery - Analiza los nombres de dispositivos conectados a dentro del WiFi

aWPVScan Scanner Wordpress desde Movil.

AnDOSid Realizar DDoS

Terminal Emulator:necesario, tener siempre a mano una ventana de lnea de comandos

(shell de Linux) por lo que pueda pasar

ConnectBot:cliente Telnet/SSH de cdigo abierto, permite tambin hacer SSH tunneling

Droidsheep: Secuestrar Sessiones Web.

Shark Reader: Analizador de Paquetes de Trafico

Router Keygen: Contraseas por defecto de Modems

Y mucho mas..

Trabajando con alguna de ellas

DroidSheep
Dsploit

Intercepter
NG

Tools iOS

OpenSSH - nos permite conectarnos con el iPhone de forma remota a travs de

SSH

GNU Debugger: Para el anlisis de tiempo de ejecucin y la ingeniera inversa

Scanny : Scannner de Puertos

Veency: Permite ver el telfono en la estacin de trabajo con la ayuda de cliente

Veency

Tcpdump: Para capturar el trfico de red en el telfono

com.ericasadun.utlities: plutil para ver la lista de archivos de propiedad

Metasploit: Kit De herramientas que enva payload, y expoit conocidos.

Shodan : Buscador.

Y Muchos Mas

Cortesa de Google Images

Open SSH

Scanny

Cortesa de Google Images

Metasploit en iOS

Volviendo a Android

Que mas podemos hacer?

WarDriving

Sniffer Red.

Mas Acerca de Wardriving Bogot

He mapeado desde norte a sur la
Ciudad
Tipos de Red:
WEP

WPA

WP2

4302
Vulnera
bles

4910
Redes
WPA

5939
WPA2

Libres

WEP
Con
WPS

3429 446
Libres

Antena
s
10
Antenas
Virgin
Mobile

Estadsticas

Redes WiFi
Libres
WPA2

WEP

WPA
WPA2

WPA

WEP

Libres

DEMO

DEFENSAS

Para dentro de las empresas:

Gestin de dispositivos mviles (MDM):

Permite al personal de TI realizar de forma remota acciones de registro y

rastreo de los dispositivos, as distribuir o cancelar servicios en los mismos.

Detecta los ataques que se introducen a travs de aplicaciones, puertos y

servicios de la red mediante un cortafuegos y un sistema de deteccin de
intrusiones.

Para Hogares y Dems

Usar Encriptaciones seguras en Redes WiFi ( WPA2 )

No Conectarse a Redes Inalmbricas Inseguras ( Al menos que seas tu

atacante )

Conclusiones Finales.

Al Final, comprobamos que con un simple Smartphone es posible

comprometer la seguridad de una empresa, hogar o red en la calle.

Nos damos cuentas que para los hackers hoy en da es mas fcil sin
necesidad de tener un laptop.

Al final de cuenta la Seguridad va por nosotros mismos.

Preguntas

Gracias!