La información es la clave; hackers en ambos lados de la ley saben. Así, las herramientas recientemente publicados por la firma de consultoría de seguridad Stach y Liu, y la presentación DEF CON dado por Francis Brown y Rob Ragan, ofrecen equipos InfoSec la oportunidad de ganar la carrera información.
Durante DEF CON, Francis Brown y Rob Ragan, ambos investigadores para Stach y Liu, presentan inventos del Proyecto Diggity, incluidos los que se puede utilizar para defender o atacar, en una presentación basada en la demostración. El año pasado durante Sombrero Negro, presentaron una herramienta de Google Hacking que les valió no pocos de los apoyos de la comunidad de seguridad.
Google Proyecto de Hacking
Se utilizó la herramienta durante su presentación para mostrar cómo se utilizó Google Hacking para exponer un error cometido por la filial de Groupon indio, Sosasta.com, así como el seguimiento de la propagación del ataque Liza Luna.
"Google ha hecho que sea increíblemente fácil de encontrar este tipo de vulnerabilidades a través de su indexación y que ha dejado a muchos sitios en riesgo. Para ponerlo en perspectiva, si Groupon.com había estado utilizando nuestras herramientas, habrían conseguido una alerta a través de iPhone o aplicaciones Droid y encontró la vulnerabilidad antes de que alguien más lo hizo ", dijo Brown en un comunicado en el momento.
Este año, el dúo discutió nueve herramientas, dos de los cuales se destacan. El primero, AlertDiggityDB, representa el mayor repositorio de datos de vulnerabilidades en la Web, presentada en una base de datos fácilmente investigable. También tienen NotInMyBackYard, una herramienta que ayudará a los usuarios a encontrar información que se ha filtrado, deliberada o accidentalmente a la Web.
"Esta herramienta aprovecha tanto Google como Bing, y viene con consultas predefinidas que hacen que sea fácil para los usuarios encontrar las fugas de datos sensibles relacionados con sus organizaciones que existen en los sitios 3 ª parte, como PasteBin, YouTube y Twitter. Destape las fugas de datos en documentos en los sitios de almacenamiento en la nube populares como Dropbox, Microsoft SkyDrive, y Google Docs. A debe tener para las organizaciones que tienen fugas de datos confidenciales en dominios que no controlan o dirigen, "los dos se explica en un resumen de su charla DEF CON.
Otras herramientas que se incluyen en el Proyecto "Searcg Diggity" incluyen:
Suite de herramientas de minería de datos CloudDiggity - Permite que los profesionales de seguridad para descargar la información extraída de Internet y rápidamente buscarla para los datos sensibles que pueden ser vulnerables, tales como los números de Seguro Social, números de tarjetas de crédito y contraseñas.
CodeSearchDiggity-CloudEdition - Reemplaza una herramienta recientemente descontinuado previamente ofrecido por Google, permitiendo a los usuarios buscar a través de código fuente abierto. Permite a los profesionales de la seguridad para buscar vulnerabilidades en el código de software de código abierto - que a menudo se re-utilizados y utilizados en otros entornos - para ayudar a prevenir defectos de que se pueden extender a través de la reutilización de código.
Google Hacking
PortScanDiggity - Utiliza Google para buscar en Internet por dominios, nombres de host y direcciones IP, permitiendo a los profesionales de seguridad para identificar los puertos de red abiertos que pueden ser vulnerables a los ataques. Los profesionales de seguridad pueden obtener de forma pasiva e instantáneamente resultados en servicios Web expuestos que se han indexado por Google.
BingBinaryMalwareSearch (BBMS) - Utiliza una característica menos conocida de Bing para buscar archivos ejecutables que contienen malware y identifica el origen de los archivos distribuidos.
Diggity Dashboard - Analizando más de 4 millones de entradas en AlertDiggityDB, Diggity Dashboard permite a los profesionales de seguridad para ver gráficamente los datos de sus propias organizaciones y vulnerabilidades potenciales, ya que se extraen de la base de datos.
Diggity IDS, Base de Datos BingHacking (BHDB 2.0) - Actualización de las herramientas anteriores publicados por Brown y Ragan.
"Con estas herramientas, estamos dando a los profesionales de seguridad una oportunidad para identificar y remediar las vulnerabilidades de seguridad y los datos expuestos antes de que un atacante puede encontrar y explotar ellos", dijo Ragan.
Las diapositivas de PowerPoint de Brown y Ragan de presenation DEF CON se puede ver aquí en formato PDF. El Diggity Proyecto Google Hacking se puede acceder aquí. Además, el portal también tiene videos y otros documentos disponibles, a fin de que las herramientas más fáciles de usar y entender.
http://www.bishopfox.com/resources/tools/google-hacking-diggity/attack-tools/
No comments:
Post a Comment