La sabiduría y la locura de las auditorías de seguridad
¿Por qué contratar un hacker?
encuentren medios para
acceder a información
confidencial
penetrar en zonas restringidas
de las zonas de oficina
encontrar agujeros en la
seguridad
Para verificar que no están
expuestos a algún riesgo
expertos en seguridad
realizan las Auditorias de seguridad
ex hackers
Ataque
Servidor apache
configuración oculta predeterminada (una regla) para permitir la entrada de
paquetes UDP (protocolo de datos de usuario) TCP (protocolo de control de
transmisiones)
vulnerable a un agujero en el omnipresente PHF
se ejecutaba blaajo cuenta "nobody" (nadie).
archivo de
configuración de
Apache (httpd.conf)
también pertenecía a
"nobody".
sistema operativo Solaris
mapeador de puertos
encontrar el puerto
dinámico que se le
había asignado al
servicio mountd
control total del sistema y
descargamos su sistema de archivos
ejecutar los comandos como superusuario a través
de la misma vulnerabilidad del PHF
conseguir el control absoluto
del sistema.
ataques a los sistemas de telefonía y de
contestador automático de la compañía.
Un juego alarmante
Las pruebas de penetración de una
empresa deben incluir siempre los ataques
de ingeniería social, aconseja Dustin