intro
DESCRIPTION
IntroTRANSCRIPT
Magister en redes de computadores - Uninorte
Computer Hacking Forensic Investigator – ECCouncil
Technical Specialist- Kaspersky
Instructor CCNA- Cisco
Agenda
Historia
Seguridad de la información
Seguridad informática
Conceptos
Características de la información
Riesgo
Vulnerabilidades
Amenazas
Controles
Historia
Activos físicos = Seguridad física
Cifrado Julio Cesar
1930 - Alemania fabrico Enigma
1946 - Aparición de la computadoras
1983 - Libro Naranja
1987 - TNI(Trusted Network Interpretation)
Hoy…
ISO
OSSTMM
Ley 1273 de 2009
http://www.nsa.gov/
http://www.commoncriteriaportal.org/
http://www.isecom.org/research/osstmm.html
http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html
Seguridad de la información
Proceso que busca adoptar medidas
para evitar el uso no autorizado, el mal
uso, la modificación, el borrado o la
denegación de la información.
Seguridad Informática
Conjunto de políticas, procedimientos, personas
y mecanismos que nos permiten garantizar la
confidencialidad, integridad y disponibilidad de
los recursos de un sistema informático.
CSIRT
Es un grupo de expertos responsable
del desarrollo de medidas preventivas y
reactivas ante incidencias de seguridad
en los sistemas de información.
http://www.csirt.org/
CERT(Computer Emergency
Response Team)
CERT carnegie mellon www.cert.org
US-CERT www.us-cert.gov
CERT UNAM www.cert.org.mx
INTECO www.inteco.es
www.csirt.org
CERT Colombia www.cert.org.co
http://www.first.org/members/teams/
Certificaciones
SANS: www.sans.org
ISACA: www.isaca.org
ISC: www.isc2.org
EC-COUNCIL: www.eccouncil.org
Otras certificaciones
Certified Information System Security Professional CISSP-ISC
Microsoft Certified System Administrator + Security MCSA
Cisco Certified Security Professional CCSP
OSSTMM Professional Security Tester OPST
Casas Antimalware
Fabricantes de tecnología en general
http://www.segu-info.com.ar/articulos/39-certificaciones-en-seguridad.htm
http://www.sans.org/20coolestcareers/
http://seguinfo.wordpress.com/2010/03/30/fbi-enumera-los-10-principales-puestos-en-las-operaciones-cibercriminales/
Características de la Información
Confidencialidad: Permite garantizar que solo los
usuarios autorizados tengan acceso a la información
Características de la información
Integridad: Permite garantizar la confianza de que la
información es correcta y no ha sido modificada por
un individuo no autorizado
Características de la información
Disponibilidad: Permite garantizar la presencia de
la información en el momento en que el usuario la
necesite
Características de la información
Responsabilidad/No Repudio: Permite identificar al
individuo que esta intentando o que realiza una
acción y permite confirmar que el individuo es quien
dice ser.
Riesgo
Es la posibilidad de que una amenaza explote
una vulnerabilidad.
Una vulnerabilidad o una amenaza por separado,
no representan un peligro. Pero si se juntan se
convierten en un riesgo.
Vulnerabilidad + Amenaza = Riesgo
Los riesgos nunca se eliminan se gestionan
Acciones a tomar ante un riesgo
Cuando existen riesgos las acciones a tomar
frente a estos son:
Mitigarlos
Transferirlos
Aceptarlos
Ignorarlos
Cual es la Mejor Manera de Reducir El Riesgo?(1) Tomar conciencia de la importancia de
la seguridad de la información.
(2) Valuar la información y los recursos internos.
(5) Volver a (3)
(3) Verificar el estado actual de la seguridad de la información.
(4)Tomar medidas correctivas, en caso de necesidad
Insourcing o outsourcing?
Vulnerabilidad
Es una vía de ataque potencial
Esta caracterizada por el nivel de
dificultad para explotarla
*Vulnerabilidad de día 0
Vulnerabilidades
Las vulnerabilidades pueden originarse:
En el diseño y/o desarrollo de sistemas inhouse o
legacy
La implementación del sistema.
Los procedimientos para operar y administrar el
sistema.
Vulnerabilidades
Vulnerabilidades a nivel de diseño y desarrollo: Bugs: Errores de programación que comprometen la
seguridad de la información
○ Deficiencia durante el proceso de creación de sistemas
○ Puede darse en la etapa de diseño, pero típicamente sepresenta en la etapa de desarrollo y programación.
○ Ejemplos:
Errores de división por cero.
Ciclos infinitos.
Bloqueo mutuo (deadlock)
Buffer overflow
Omisión en la gestión de las excepciones.
Vulnerabilidades
Vulnerabilidades a nivel de implementación: Instalación de productos de software y configuración por default.
Configuración de acceso a recursos sin contraseñas.
Uso de cuentas «Invitado».
Uso de contraseñas débiles e inferibles.
Integración de equipos y tecnologías definidas como insegurasa la infraestructura corporativa.
Instalación de software no licenciado y de fuentes pococonfiables.
Compartición de recursos innecesarios.
Pobre configuración de politicas de autenticacion, autorizacion yacceso a los recursos.
Vulnerabilidades
Vulnerabilidades a nivel de administración: Inexistencia de políticas de seguridad.
inexistencia de planes de contingencia.
Inexistencia de planes de continuidad de negocios.
Inexistencia de plan de gestión de incidentes.
Inexistencia de responsables de recursos.
Asignación innecesaria de altos privilegios a usuarios.
Falta de control sobre las cuentas de usuario.
Inexistencia de programas de auditoria.
Exposición de recursos de forma innecesaria.
Inexistencia de sistemas de control:
31 31
¿Qué tecnología puede ser vulnerable?
Infraestructura de Red
Firewall
Public Server
Public Server
Router
PrivateServers
PC Workstations
Network
Base Datos
Archivos
Identificacion de Vulnerabilidades
Proceso complejo, requiere la ejecución delproducto en evaluación de todas las manerasposibles y en múltiples escenarios.
El descubrimiento de vulnerabilidades de díacero típicamente se hace a través de test depenetración.
Existen bases de datos de vulnerabilidades deproductos tecnológicos que pueden serconsultadas en línea.
Definicion del
alcance
Identificacion de
activos visibles
Identificacion de
vulnerabilidades
Reconocimiento
de la superficie
de ataque
Cuantificacion de
Vulnerabilidades
Analisis de
Vulnerabilidades
Generacion del
Informe
Proceso de Evaluacion de Vulnerabilidades
Definicion del
alcance
Identificacion de
activos visibles
Identificacion de
vulnerabilidades
Reconocimiento
de la superficie
de ataque
Cuantificacion de
Vulnerabilidades
Analisis de
Vulnerabilidades
Generacion del
Informe
Proceso de Evaluacion de Vulnerabilidades
Proceso de Evaluacion de Vulnerabilidades
Definición del alcance de la evaluación:
Tipo de evaluación: Parcial
Completa
Identificación de los procesos que serán parte de la evaluación.
Identificación del vector de evaluación.(sentido de la evaluación)
Duración del proceso de evaluación. (típicamente un mes)
Selección de Tamaño y skill del Equipo de trabajo.
Definicion del
alcance
Identificacion de
activos visibles
Identificacion de
vulnerabilidades
Reconocimiento
de la superficie
de ataque
Cuantificacion de
Vulnerabilidades
Analisis de
Vulnerabilidades
Generacion del
Informe
Proceso de Evaluacion de Vulnerabilidades
Proceso de Evaluacion de Vulnerabilidades
Reconocimiento de la Superficie de ataque:
Inspección inicial a partir de los vectores definidos.
Identificación de los elementos de la superficie de ataque y sus componentes.
Dimensionamiento de la superficie de ataque.
Definicion del
alcance
Identificacion de
activos visibles
Identificacion de
vulnerabilidades
Reconocimiento
de la superficie
de ataque
Cuantificacion de
Vulnerabilidades
Analisis de
Vulnerabilidades
Generacion del
Informe
Proceso de Evaluacion de Vulnerabilidades
Proceso de Evaluacion de Vulnerabilidades
Identificación de Activos Visibles:
Identificación de plataforma de hardware.
Identificación de la plataforma de software.
Identificación de puertos abiertos.
Identificación de servicios activos.
Identificación de versiones de los productos.
Entre otros aspectos.
Definicion del
alcance
Identificacion de
activos visibles
Identificacion de
vulnerabilidades
Reconocimiento
de la superficie
de ataque
Cuantificacion de
Vulnerabilidades
Analisis de
Vulnerabilidades
Generacion del
Informe
Proceso de Evaluacion de Vulnerabilidades
Base de datos de
vulnerabilidades http://cert.inteco.es/vulnSearch/Actualidad/
Actualidad_Vulnerabilidades/buscador_vulnerabilidades/?postAction=getVulns
http://cve.mitre.org/
http://nvd.nist.gov/
http://web.nvd.nist.gov/view/vuln/search
http://www.securityfocus.com/bid
Taller:
Realice la búsqueda pasiva de vulnerabilidades para el sistema operativo y el browser que este utilizando
Escaneres de Vulnerabilidades
http://www.acunetix.com/cross-site-scripting/scanner-
download/?gclid=CMGJ8YL-jLgCFZBj7Aod_jEAJw
http://www.qualys.com/free-tools-trials/
Taller:
Realice la búsqueda activa de vulnerabilidades utilizando Qualyst
Definicion del
alcance
Identificacion de
activos visibles
Identificacion de
vulnerabilidades
Reconocimiento
de la superficie
de ataque
Cuantificacion de
Vulnerabilidades
Analisis de
Vulnerabilidades
Generacion del
Informe
Proceso de Evaluacion de Vulnerabilidades
Contabilizar
debilidades
Asociar
debilidades a los
Activos visibles
Definicion del
alcance
Identificacion de
activos visibles
Identificacion de
vulnerabilidades
Reconocimiento
de la superficie
de ataque
Cuantificacion de
Vulnerabilidades
Analisis de
Vulnerabilidades
Generacion del
Informe
Proceso de Evaluacion de Vulnerabilidades
Valuacion de
debilidades
Clasificacion de las
Debilidades
Asociacion con
Procesos de
Negocio
Definicion del
alcance
Identificacion de
activos visibles
Identificacion de
vulnerabilidades
Reconocimiento
de la superficie
de ataque
Cuantificacion de
Vulnerabilidades
Analisis de
Vulnerabilidades
Generacion del
Informe
Proceso de Evaluacion de Vulnerabilidades
Proceso de Evaluacion de Vulnerabilidades
Generación de Informe:
Organizar, asociar y clasificar los resultados obtenidos
en las fases anteriores y contrastar los hallazgos.
Proceso de Evaluacion de Vulnerabilidades
Generación de Informe (cont):
Identificar oportunidades de mejora
Construir el informe final que a presentar
que puede ser:
Técnico
Gerencial
TIP
Inscribete a un boletín de noticias para
estar informado de los últimos parches
para las vulnerabilidades de tu fabricante
favorito.
http://www.microsoft.com/latam/technet/bol
etin/seguridad/
Amenaza
Circunstancia, evento o acción que puede causar
daño violando la confidencialidad, integridad o
disponibilidad de la información
El termino hace referencia a un evento
Infección por un virus de computadora
Robo de información
Terremoto
Agentes
Son personas que pretenden dañar un
activo de la organización
Características:
Acceso
Conocimiento
Motivación
Como la empresa ve los servicios
Service(server-side)
Application(client-side)
IntranetExtranetInternet
Conjunto de herramientas que representan
oportunidades de negocios
Como los usuarios maliciosos ven los servicios corporativos
SniffingIntercepcion de trafico
Ataques sobre Clientes
Ataques sobreServidores
Cambio de victima,Otros servicios u
Otros Clientes.Ataque sobre Un Host local
Y la red.
Servicio(server-side)
Aplicación(client-side)
Hackers
El termino hack se usa para referirse al descubrimiento de nuevas
técnicas para solucionar problemas.
Personas con conocimientos avanzados en varias o una rama
técnica relacionada con la tecnología (programación, redes de
computadores, sistemas operativos, hardware, etc…).
El sustantivo cracker (Criminal hacker) hace referencia a personas
que usan las técnicas de hacking con fines ofensivos.
La cultura del hacker
• Algunas motivaciones para los hackers:
– Curiosidad
– Desafío
– Ideales
– Lucro
– Ganar respeto en la comunidad
Hacktivismo
Se refiere al “hacking por unacausa”
Es el compromiso social ypolítico del hacking
Por ejemplo, alterar y atacarsitios web por razones políticas,tales como ataques a sitios webdel gobierno o de grupos que seoponen a su ideología.
Pero estas acciones siguensiendo un delito, tengan o nouna justificación ideológica
Actores del mundo del Hacking
• Hackers – Experto en un sistema o temas
• Criminal - Hackers– Entra en sistemas sin permisos, rompe protecciones
• Phreakers– Usa y abusa de los servicios de telefonía a su antojo
• Carders/CopyHackers– Especialista en robo y uso fraudulento de tarjetas de crédito
• Spammer– Capaz de usar sistemas para enviar e-mails no deseados
Clasificación de hackers - Underground
• Samurai– Nivel mas alto en la jerarquía, se supone con tiene conocimientos y
habilidades superiores.
• Bucanero– Hacker con conocimientos y habilidades considerables sobre hacking
– Conoce a fondo el funcionamiento de muchas herramientas y tiene la habilidad de construir las suyas.
• Script kiddie– Persona con conocimientos medios, conoce comandos de sistemas
operativos
– Tienen habilidades de crear y correr scripts basicos.
• Lammer– Persona con conocimientos muy básicos sobre hacking
– Usa herramientas de terceros pero NO sabe como funcionan.
• NewBie– Prospecto de hacker, en proceso de iniciación en el mundo del hacking.
Clasificación de hackers FBI
• White-Hat– Los buenos
– Conocimiento
– Hacking totalmente ético
• Black-Hat– Los malos
– Lucro o placer por la destrucción
– Hacking orientado a causar daño
• Grey-Hat– No es claro de que lado están
– Se conocen como los Robin Hood de la seguridad
– El hacking practicado no es ético pero tampoco causa daño
Impacto económico de un ataque informático Una empresa factura 4000 millones de pesos
mensuales, 1000 millones semanales y 200 millonesdiarios (trabaja solo de lunes a viernes).
Un gusano entra por el firewall y aprovechando unavulnerabilidad del servidor web toma control de este,posteriormente se propaga hacia la red interna e infectaa los 600 pc con microsoft Windows XP que no estánactualizados a la fecha.
Esta infección paraliza totalmente las operaciones por 3días
¿Cuándo le costo a la organización parar susoperaciones durante los 3 días que duro la infecciónmasiva?
Realidad Corporativa
Las empresas se están concientizando de la importancia de la seguridad de la información en sus negocios.
Algunas compañías obligadas por el modelo reactivo:
Costo total de la seguridad= costo incidente +costo contramedidas.
Pero algunas bien asesoradas asumen el modelo proactivo:
Costo de seguridad de la Información=costo de contramedidas.
Es cierto que el uso de controles minimizael nivel de riesgo de la compañía.
Pero 100% de los controles efectivos NOson técnicos.
Muchos controles obedecen a laconcientización, responsabilidad y a lasmejores practicas en cuanto a la gestiónde la información.
Realidad Corporativa
En cuanto a controles tecnológicos muchos fabricantes ofrecen: Firewalls Multizonas.
DPI / state full Inspección.
IPS/IDS
VPN servers multiprotocolos.
UTM
Etc.
Muchísimas marcas lideres y nuevas en el mercado.
Realidad Corporativa
El personal de tecnología NO posee el criterio suficiente para seleccionar los controles adecuados para sus necesidades.
Es palpable la Automedicación en cuanto la implementación de controles.
Los vendedores de tecnología de seguridad de la información venden las cajas como el remedio magico!
Realidad Corporativa
Por ejemplo: El Firewall No es el mejor
control, su fiabilidad depende de su modo de
inspección y de su arquitectura de hardware.
Incluso de la ubicación del mismo depende su
efectividad.
En efecto los controles que funcionan bien en
una empresa No siempre lo hacen sobre otra
plataforma.
Realidad Corporativa
Esta claro entonces que la mejor manera de poder identificar los mejores controles para la compañía son:
Los seleccionados a partir de la identificación clara e individual de las necesidades de la compañía.
Los que se ubique en puntos estratégicos de la plataforma.
Las necesidades en cuanto a la seguridad informática de la empresa se identifican claramente después de una evaluación.
Realidad Corporativa
Ataque informático
Toda aquella acción que conlleve a poner en
riesgo las propiedades de confidencialidad,
integridad y disponibilidad de un sistema.
También se pueden considerar como la
consumación de una amenaza
Un ataque no se realiza en un solo paso, es una
metodología estructurada.
Algunas técnicas de ataque básicas
Técnica de ataque Tipo de ataque
(Objetivo)
Tipo de ataque
(Impacto)
Propiedad afectada
Web defacement Modificación Activo Confidencialidad e
integridad
DoS (DDoS, Smurf,
etc…)
Interrupción Activo Disponibilidad
Insertar un nuevo
usuario por SQL
Inyection
Fabricación Activo Integridad
Sniffer Intercepción Pasivo Confidencialidad
¿Como ataca un hacker?
Definición y reconocimiento
del objetivo
Detección de vulnerabilidades
Obtención del acceso
Manteniendo el acceso
Borrado de huellas
¿Como ataca un hacker?
Algunas herramientas de hacking puedenautomatizar muchas tareas solo con un soloclick.Despues de logrado el objetivo, la victima puedeser usada para:
– Hackear otra otro Host o Red.– Usar los recursos de la victima para alguna
actividad ilicita.– Extraer información importante del host
alcanzado.
Crear un perfil completo de la postura de la seguridad de una organización.
Determinar qué sistemas están accesibles desde diferentes vectores de ataque.
Google-maps, google hacking*
Paginas amarillas
Wikipedia
Redes sociales
http://whois.domaintools.com/
http://www.archive.org
www.arin.net
http://www.ip-adress.com/ip_tracer/
http://en.utrace.de/widget.php
http://pentest-tools.com
http://www.iana.org/assignments/service-names-port-numbers/service-names-
port-numbers.xml
Visualroute, tracert, traceroute
http://www.lookatlan.com/download_lal.html
Definición y reconocimiento del
objetivo
Algunos Tipos de Ataques• Paquet Sniffing• Spoofing(arp, mac, ip, sesiones, dns,emails…)• Phishing• Pharming• Flooding• Smurfing• Ataques ICMP• Ads (Alternate data stream)• Cracking de Passwords• Firewalking• Bufferoverflows• SQL Inyection
Packet Sniffing
• El objetivo es monitorear el tráfico en forma pasiva (Sin modificación)
• En redes compartidas, las tarjetas configuradas en modo promiscuo “escuchan” todo el tráfico de la red a que pertenecen.
• En redes conmutadas es necesario crear un puerto espejo del puerto donde está conectado el equipo al que se le quiere hacer sniffing o hacer “Man in the middle”
ARP Spoofing
• El ataque ARP Spoofing consiste en la construcción derespuestas ARP falsificadas. Al enviar estas respuestas ARPfalsificadas a un host objetivo, se puede hacer que todas lastramas que el objetivo vaya a enviar a un host “A”, sean enviadosen su lugar al host del intruso.
• SNIFFING.
(Man in theMiddle).
DOS
IP Spoofing• El objetivo de IP Spoofing es ganar acceso no autorizado a un sistema
• En este tipo de ataque el intruso envía mensajes a la victima indicando que provienen de un sistema “confiable”
• Para que sea exitoso, el intruso debe identificar primero la IP de un sistema “confiable” y luego modificar las cabeceras de los paquetes de tal forma que parezca que proviene del sistema confiable
Secuestro de sesión TCP/IP
• Un intruso monitoriza una sesión entre dos computadoras e introduce tráfico que aparentemente proviene de uno de esos ordenadores, robando la sesión a una de esas máquinas posteriormente a un D.O.S y siguiendo el intruso en su puesto
• Se basa en la captura del numero de secuencia de una conexión establecida con anterioridad.
DNS SpoofingDNS Cache Poisoning
• DNS Cache Poisoning
Consiste en hacer que el servidor de DNS almacene en su caché información falsa: Usualmente un registro que relacionará un nombre con una dirección IP “equivocada”.
El envenenamiento de Caché de DNS puede ser realizado:
• Información adicional en respuestas DNS.
DNS SpoofingDNS Cache Poisoning
Información adicional en respuestas DNS
Este problema ha sido reparado en BIND, rechazandocualquier información adicional no relacionada con elrequerimiento original.
Spoofing de DNS
Consiste en que el intruso responde a un requerimiento DNSdestinado a otro servidor DNS.
IP Spoofing del server DNS.
Rogue AP
Universidad
“fusm”
Real AP
UsuarioIntentando asociar con “fusm”
RogueLaptop/PDA
con “fusm”
+ antena
Airjack
packet
DHCP
HTTP
DNS
Password Cracking
Determinar cual es la contraseña cuando solo se dispone del archivo encriptado de contraseñas
• Encontrar un usuario válido
• Encontrar el algoritmo de encripción usado
• Obtener la contraseña encriptada
• Crear una lista de posibles contraseñas (diccionario o fuerza bruta)
• Cifrar cada contraseña y ver si coinciden
Amenazas
Amenazas automatizadas
Riskware. Software desarrollado para apoyar a las tareas
de gestión y monitoreo de la plataforma tecnológica.
Malware/Badware. Software desarrollado con el objetivo de
comprometer la infraestructura y los servicios de las organizaciones.
Crimeware. Software maliciosa creado específicamente
para la ejecución de delitos financieros.
AmenazasHerramientas clasificadas como Riskware:
Sniffers:
Ethereal
Wireshark
SnifferPro
Consolas SNMP:
OpManager
getIF
snmpUtil
Snmpwalk
Herramientas de Acceso Remoto:
Putty
telnet
vncviewer
Netcat
Herramientas de Gestion de BD:
mysqlAdmin
Sqlmanager
etc
Herramientas de cifrado
AmenazasHerramientas clasificadas como malware:
Virus:
Requieren un archivo anfitrión para su propagación.
Tipos:
○ Residentes en Memoria.
○ De Sector de Arranque.
○ De Macro.
Ejemplo: NATAS, KLEZ,etc.
Gusano:
Aprovecha la presencia de puertos para propagarse a través de la
plataforma de red.
Ejemplo: Sasser, Nimda, I love you,conflicker,etc.
Troyano:
Producto de software al parecer benéfico que ejecuta en modo
STEALTH código malicioso.
Ejemplo: W32/Trojan.002e2b161,etc.
AmenazasHerramientas clasificadas como malware:
Backdoor:
Producto basado en sockets que escucha a través de un puerto lógico
sobre el sistema operativo.
Exploits:
Scripts, binarios o porciones de código creadas explícitamente para
explotar una debilidad especifica de un sistema (pueden ser de día 0 o
no)
Ramsonware:
Software malicioso que usa criptografía para secuestrar archivos
de la computadora de los usuarios.
AmenazasHerramientas clasificadas como malware:
Spyware:
Software espía que puede pretende capturar el keystroke, screenshots
y demás actividades de los usuarios de manera oculta.
Rootkits:
Productos de software que pueden llegar a suplantar componentes del
sistema operativo incluyendo módulos del kernel.
Otros Elementos de Malware:
Password Crackers, Spoofeadores, Mailbombers, Hijackers,Bots, Bombas
Logicas.
Inscríbete a un boletín de noticias de una entidad reconocida, sin animo de lucro e independiente para que estés informado de los últimos ataques y vulnerabilidades de día 0.
http://www.enter.co/
http://www.pcworld.com.mx/
http://unaaldia.hispasec.com/
http://blog.segu-info.com.ar
http://www.inteco.es/Prensa/documentacion/boletines/boletines_de_seguridad/
TIP