seguridad de la informacion mitos y tecnologias
DESCRIPTION
Seguridad de la informacion dada en la Universidad Señor de Sipan en Chiclayo durante el IT Security Day 2011 Ing. Maurice Frayssinet DelgadoTRANSCRIPT
Seguridad de la Información
Chiclayo IT Security Day 2011
Seguridad de la Información
Mitos y Tecnologías
Ing. Maurice Frayssinet Delgado
http://mfrayssinet.blogspot.com/
Agenda
� Introducción a la Seguridad de la Información
� Legislación y Normas en el Perú
� Equipo de Respuesta a Incidentes de Seguridad de la Informaciónde la Información
� Ethical Hacking
� Seguridad con herramientas de software libre
� Diez Consejos Básicos de Seguridad para las empresas según INTECO
� Demostraciones en vivo
Introducción a la Seguridad de la
Información
Siempre estamos
expuestos a riesgos
SEGURIDAD INFORMATICA
Se refiere a la protección de la infraestructura
de las Tecnologías de la Información y
comunicación que soportan el negocio
SEGURIDAD DE LA INFORMACION
Se refiere a la protección de los activos de
información fundamentales para el éxito de
cualquier organización
Sistema de Gestión de la Seguridad de
la información
EJEMPLOS DE INFORMACIÓN
• Correos electrónicos
• Bases de datos
• Hojas de calculo
• Pagina Web
• Imágenes• Imágenes
• Faxes
• Contratos
• Presentaciones
• Etc.
ACTIVOS
INFORMACION
Diferentes
Fuentes
Diferentes
Soportes
INFORMACION
Ciclo de Vida
Metodología SGSI
Objetivo SGSI
Gestión del riesgo
ADECUADA GESTION DEL RIESGO MEDIANTE
UN SGSI
ISO/IEC
Con el fin de proporcionar un
marco de Gestión de la
Seguridad de la Información
Familia ISO 27000
ISO/IEC
27000
Seguridad de la Información
utilizable por cualquier
organización se ha creado un
conjuntos de estándares
llamados ISO/IEC 27000
Objetivo de las Normas ISO/IEC 27000
Estas normas nos van a permitir
disminuir de forma significativa
el impacto de los riesgos sin
necesidad de realizar grandes
el impacto de los riesgos sin
necesidad de realizar grandes
inversiones en software y sin
contar con una gran estructura
de personal.
La seguridad y su justificación desde
el punto de vista del negocio.el punto de vista del negocio.
• Desde tiempo inmemorables las
organizaciones han puesto los medios
necesarios para evitar el robo y manipulación
de sus datos confidenciales
• En la actualidad, el desarrollo de las nuevas
tecnologías ha dado un giro radical a la forma tecnologías ha dado un giro radical a la forma
de hacer negocios a la vez que ha aumentado
los riesgos para las empresas que se exponen
a nuevas amenazas
Desafortunadamente es
relativamente fácil tener acceso
a las herramientas que permiten
a personas no autorizadas llegar
hasta la información protegida hasta la información protegida
con poco esfuerzo y
conocimiento, causando graves
perjuicios para la empresa
Riesgos
• Riesgos Físicos
• Riesgos LógicosRiesgos Lógicos
Beneficios para la empresa al instalar
un SGSI
Beneficios para la empresa al instalar
un SGSI
Beneficios para la empresa al instalar
un SGSI
Beneficios para la empresa al instalar
un SGSI
Beneficios para la empresa al instalar
un SGSI
Beneficios para la empresa al instalar
un SGSI
Estadísticas
Estadísticas
Estadísticas
Estadística
Estadística
Hackers usan teléfono como teclado o
ratón para atacar por USB
• Un teléfono Android rooteado y conectado por
USB actuar como teclado o ratón, permitiendo así
atacar o controlar un ordenador víctima.
• Este hack se aprovecha de que los USB no pueden • Este hack se aprovecha de que los USB no pueden
autentificar los dispositivos conectados como HID
(Human Interface Device), así como de que el
sistema operativo no pueda filtrar los paquetes
USB, detalles que podrían haber servido al
usuario para esquivar la ofensiva.
CASOSCASOS
• Desafort
Hackers Peruanos
Martes, 13 de Noviembre de 2007
Hackers peruanos fueron perdonados por Chile y ya tienen ofertas del extranjero
Chile dio hoy por cerrado el incidente que Chile dio hoy por cerrado el incidente que involucró a dos adolescentes peruanos de 15 y 16 años que hace dos semanas hackearon la página web de la presidencia de ese país, informó César Vargas, presidente de la Sociedad Nacional de Informática, quien hoy recibió la visita de tres funcionarios de la embajada de ese país.
Video Hacker Anonymous
Operación Andes Libre Chile/Perú
http://www.youtube.com/watch?v=ADPsiajhcvM
Advanced PS/2 hardware keylogger
• Keylogger para
teclados ps/2 se
coloca al cable del
tecladoteclado
Advanced USB hardware keylogger
• Keylogger para
teclados usb se
coloca al cable del
tecladoteclado
KeyDemon modulo
Wireless
¡Donde lo compran!
http://www.onlinespyshop.co.uk
Keylogger por conexión a tierra
• Hackers han conseguido saber qué teclas estaban siendo pulsadas en un teclado conectado a un ordenador con tan sólo realizar unas mediciones en la red eléctrica.
• Ello es debido a que los teclados emiten una señal eléctrica con cada pulsación, cada tecla emite una pulsación única y debido a que los cables de los teclados no están aislados, suelen emitir a través de la línea de tierra.
http://www.qfxsoftware.com/
http://www.qfxsoftware.com/
Websense
http://www.websense.com/content/h
ome.aspx
http://www.http-tunnel.com/html/
Legislación y Normas en el
Perú
Constitución política del Perú
• Artículo 2º: Toda persona tiene derecho:
• 5. A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con le costo que suponga el pedido. Se exceptúan las informaciones que afectan pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.
• 6. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.
Constitución política del Perú
• Art. 200.- Son garantías constitucionales:
• 3.- El habeas data, que procede contra el
hecho u omisión, por parte de cualquier
autoridad, funcionario o personal, que autoridad, funcionario o personal, que
vulnera o amenaza los derechos a que se
refiere el artículo 2º, incisos 5º y 6º de la
Constitución.
• Con fecha 23 de julio del 2004 la PCM a través de la
ONGEI, dispone el uso obligatorio de la Norma
Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI.
Tecnología de la Información: Código de Buenas
Prácticas para la Gestión de la Seguridad de la
Normas
Prácticas para la Gestión de la Seguridad de la
Información” en entidades del Sistema Nacional de
Informática.
• Se Actualizó el 25 de Agosto del 2007 con la Norma
Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.
Marco de las recomendaciones
� La NTP-ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector.
� La NTP fue redactada para que fuera flexible y no induce a � La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solución de seguridad de acuerdo a sus necesidades.
� Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan.
NTP ISO 17799
• En este sentido La Norma Técnica Peruana ISO –17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas.
• La NTP NO exige la certificación, pero si la • La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.
Equipo de Respuesta a Incidentes de Seguridad de la Información
¿Qué es CERT?
• El término CERT proviene de las siglas en inglés Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio.
• También es conocido por las siglas CSIRT (Computer Security and Incidente Response Team)
¿Qué es CERT?
• El primer CERT se creó en 1988 en la
Universidad Carnegie Mellon, en Estados
Unidos (propietaria de esta marca registrada),
y desde entonces han ido creándose este tipo y desde entonces han ido creándose este tipo
de Equipos en todo el mundo y en distintos
ámbitos de la sociedad (Administración,
Universidad, investigación, empresa, etc).
www.cert.org
www.pecert.gob.pe
Ethical Hacking
Hacker Ético
• Un hacker ético es el nombre adoptado para la realización de pruebas de penetración o intrusión a redes informáticas. Un hacker ético usualmente es un empleado o persona perteneciente a una organización, el cual perteneciente a una organización, el cual intenta introducirse a una red informática o un sistema informático, utilizando métodos y técnicas hacker, pero su propósito principal es la búsqueda y resolución de vulnerabilidades de seguridad que permitieron la intrusión.
Hackeo a nuestros sistemas
• Las computadoras al rededor del mundo están siendo sistemáticamente victimizadas por un acechante hackeo.
• Este no es solo un hackeo generalizado, esta • Este no es solo un hackeo generalizado, esta siendo ejecutado tan fácilmente que los atacantes comprometen un sistema, roban todo lo valioso y borran completamente su información en 20 minutos.
Objetivo del Ethical hacker
• EI objetivo de Ethical Hacker es ayudar a la organización a tomar medidas preventivas en contra de ataques maliciosos atacando el sistema por si mismo, pero manteniéndose dentro de los limites legales permitidos. dentro de los limites legales permitidos.
• Esta filosofía resulta de la practica probada: "Para atrapar a un ladrón debes pensar como un ladrón".
• Reconocimiento Activo
– Probar los sistemas en búsqueda de más información
– Hosts accesibles
Exploración
– Hosts accesibles
– Ubicación de routers y firewalls
– Sistemas Operacionales
– Servicios en ejecución
– Aplicaciones y sus versiones
• Equivalente a “tocar puertas”
• Verificar cuáles sistemas
– Están activos
Exploración
– Están activos
– Son alcanzables desde Internet
• Barrido de pings
• Escaneo de puertos
• Verificar en cada sistema
– Qué servicios están corriendo
– Qué puertos están escuchando
Exploración
• Escaneo de puertos– TCP connect
– TCP SYN
• Detección del sistema Operativo
• Mapeo de Redes con Cheops
– Funciona para Linux
– Un atacante busca entender la topología de
nuestra red
Exploración
nuestra red
• Conectividad Intranet – DMZ, redes
perimetrales
• Intranet
– La distribución de enrutadores y hosts pueden
mostrar vulnerabilidades
• Permite saber al atacante donde se encuentran las cosas
• Fue escrito por Mark Spencer
• Disponible en :
Herramienta Cheops
• Disponible en :
http://cheops-ng.sourceforge.net/download.php
• Proporciona un mapa de red generado por pings y traceroute.
• Funciona como un network neighborhood para máquinas Unix.
• Herramienta de Gestión
• Ofrece una interfaz gráfica agradable para
descubrimiento de red
Herramienta Cheops
descubrimiento de red
– Muy ruidosa
– No es conveniente si se busca mantener un perfil bajo
– No es conveniente si no se quiere ser detectado.
• Esencialmente es usada para:
– Mapeo / trazado
– Acceso fácil a funciones de gestión (ping, traceroute,
Herramienta Cheops
– Acceso fácil a funciones de gestión (ping, traceroute,
ftp , secure shell)
– Escaneo de puertos
– OS Fingerprinting
• Realiza ping a todos las estaciones para ver
cuales responden
• Traceroute para cada estación
• Por medio de un análisis de por cuales pasa un
Como funciona Cheops
• Por medio de un análisis de por cuales pasa un
paquete y por cuales no, se puede determinar
la topología.
• Escaneo de puertos para cada estación
• OS fingerprinting para determinar el sistema
operacional de las estaciones
Pantalla de Cheops
• Páginas múltiples: Multiple Pages
Permite Organizar la red dentro de páginas
de forma conveniente y hacer grupos de
acuerdo la función de cada una, de esa
Características de Cheops
acuerdo la función de cada una, de esa
forma se especifican áreas o redes
específicas
Detección de Sistemas Operativos: OS
Detection :
Permite detectar los sistemas operativos de los
Características de Cheops
Permite detectar los sistemas operativos de los
hosts y adiciona un icono correspondiente a
cada uno.
• Encontrar: Find
Permite encontrar
hosts sobre una gran
red
Características de Cheops
red
• Mapear: Mapping:
Permite mapear la red mostrando rutas de la red, esta característica es diseñada para
Características de Cheops
es diseñada para grandes redes, con routers, subredes etc. También tiene funcionalidades para redes LAN simples.
• Servicios: Services
Con un click derecho
sobre cada host se
pueden observar
cada uno de los
Características de Cheops
pueden observar
cada uno de los
servicios disponibles
y acceder a ellos
facilmente
• Múltiples vistas: Multiple views:
Para grandes redes, es posible ver iconos para redes completas o una
Características de Cheops
redes completas o una lista simple de redes. Se pueden manejar dominios, hostname, IP address etc.
• Escaner de Puertos de propósito general:
Generalized Port Scanner:
Incluye un port scanner de TCP para ver que
puertos están en uso sobre la red
Características de Cheops
puertos están en uso sobre la red
Probador de versiones de servicios:
Services Probing:
Permite recuperar la versión de los servicios
habilitado para llevar un control de
Características de Cheops
habilitado para llevar un control de
actualización sobre ellos
Monitoreo: Monitoring Support
Permite monitorear los servidores críticos y
notificar inmediatamente a través de event log,
standard de correo, cuando sucede algo
Características de Cheops
standard de correo, cuando sucede algo
extraño.
• Herramienta de escaneo muy útil con
capacidades avanzadas
• Altamente popular
• Escrito por Fyodor y disponible en
Herramienta Nmap para escaneo de
puertos
• Escrito por Fyodor y disponible en
http://www.insecure.org/nmap
• Posee un ambiente gráfico nmapfe en el
mismo sitio
• Existe versión para unix y para windows
• Es una herramienta supremamente útil para
los atacantes y también para los que hacen
Ethical hacking, ya que permite auditar los
sistemas por los puertos abiertos
Herramienta Nmap para escaneo de
puertos
sistemas por los puertos abiertos
• NMAP habla con la tarjeta de red y se necesita
un driver conocido como winpcap en windows
o libpcap en linux
– Ej: Linux: nmap –sS –PO –T Insane host
• Maneja varios tipos de escaneos:
– Connect TCP scans
• Usa negociación completa
– SYN scan (Half Open)
• Solo el syn inicial
• Más difícil de detectar y más rápido
– ACK scan
• Más imperceptible, puede pasar algunos filtros.
Herramienta Nmap para escaneo de
puertos
filtros.
– FIN scan
• Más imperceptible, puede pasar algunos filtros.
– SYN scan con fragmentos IP
• Puede pasar algunos filtros de paquetes
– UDP scan
– FTP proxy “Bounce Attack” scan
– RPC scan
– Prueba de predicción de secuencia TCP
• Una configuración en la que se busca permitir
conexiones salientes pero no entrantes
• Si la configuración del router define que solo
conexiones con el bit ACK activado podrán entrar.
Nmap ACK
conexiones con el bit ACK activado podrán entrar.
• Esto bloquea el inicio de sesiones desde el exterior
• Pero aún es posible realizar escaneo y pasar los
filtros.
• FTP permite que un usuario le haga forward de un
archivo a otro sistema
• Esto puede ser utilizado para realizar un bounce scan
Nmap Bounce Scan
• Esto puede ser utilizado para realizar un bounce scan
• Por medio de esta técnica la víctima no puede
identificar realmente de donde viene el escaneo.
• Nessus es un escáner de vulnerabilidades gratuito
• Puede ser usado por hackers o por organizaciones
• El proyecto fue iniciado por Renaud Deraison
Nessus
• El proyecto fue iniciado por Renaud Deraison
• Disponible en http://www.nessus.org
• Consiste de un módulo cliente y un módulo servidor, con plug-ins modulares para pruebas individuales.
• Herramientas de distribución libre:
– SARA (http://www-arc.com/sara/)
– SAINT (http://www.saintcorporation.com/products/saint_engine.html)
Otras Herramientas
_engine.html)
– NESSUS (http://www.nessus.org)
• Herramientas comerciales
– Internet scanner (http://www.iss.net)
– Cisco Secure Scanner (Antes NetSonar)
Certificación CEH
• El programa CEH certifica individuos en una disciplina especifica de seguridad de redes de 'Hackeo Etico" desde una perspectiva neutral.
• Este certificado fortalecerá a Oficiales de Seguridad, Auditores, Profesionales de Seguridad, Seguridad, Auditores, Profesionales de Seguridad, Administradores de Sitios y todo aquel interesado en la integridad de la infraestructura de sus redes.
Módulos
• Module 1: Introduction to Ethical HackingModule 2: Hacking LawsModule 3: FootprintingModule 4: ScanningModule 5: EnumerationModule 5: EnumerationModule 6: System HackingModule 7: Trojans and BackdoorsModule 8: Viruses and WormsModule 9: Sniffers
Módulos
• Module 10: Social EngineeringModule 11: PhishingModule 12: Hacking Email AccountsModule 13: Denial-of-ServiceModule 14: Session Hijacking Module 15: Hacking Web Servers Module 14: Session Hijacking Module 15: Hacking Web Servers Module 16: Web Application Vulnerabilities Module 17: Web-Based Password Cracking Techniques Module 18: SQL Injection
Módulos
• Module 19: Hacking Wireless NetworksModule 20: Physical SecurityModule 21: Linux HackingModule 22: Evading IDS, Firewalls and Detecting Honey PotsModule 23: Buffer OverflowsModule 24: CryptographyModule 23: Buffer OverflowsModule 24: CryptographyModule 25: Penetration TestingModule 26: Covert HackingModule 27: Windows Based Buffer Overflow. Exploit WritingModule 28: Reverse EngineeringModule 29: Hacking Routers, cable Modems and Firewalls
Seguridad con Herramientas de
software Libre
Herramientas de Seguridad
• Firewall iptables
• Proxy Squid
• Detector Intrusos Snort
• Monitoreo Trafico nmap iptraf• Monitoreo Trafico nmap iptraf
iptables
Squid
Snort
iptraf
Diez Consejos Básicos de Seguridad
para las empresas Según INTECO
Laboratorio Implementación Firewall
con Linux
Ing. Maurice Frayssinet Delgado
maurice.frayssinet
www.facebook.com/maurice.frayssinet
http://mfrayssinet.blogspot.com
|