why cyberspies always win
DESCRIPTION
Esta es la presentación que di en OWASP EU 2013 sobre algunas reflexiones sobre por qué el pentesting y la seguridad informática fallan hoy en día y los "malos" o "ciberespías" siempre ganan. Son reflexiones personales sobre Pentesting by Design, diseño de soluciones de seguridad y planificación empresarial. Mis ideas.TRANSCRIPT
Why Cyberspies always win!
Why Cyberspies always win!
Chema Alonso(@ChemaAlonso)
"I know not with what weapons World War III will be fought, but World War IV will be fought with sticks and stones.” Albert Einstein
Aurora Operation
Espías Chinos Malos, Malos..
“China is the most dangerous superpower on Earth.”
Eric Schmidt (Google)
Operation StuxNet
Duqu & Flame
• 1000+ modules
• Acid Cryptofiler
APT1
NetTraveler
• 2004• 22 Gb
Advanced CyberThreat
¿Quiénes son los culpables?
• ¿Usuarios?• ¿Tecnología?• ¿Informáticos?• ¿Jefes?
¿El usuario es el culpable?
Vulnerabilidad Permanente
“Siempre existe una vulnerabilidad entre la silla y el teclado”
Sergio de los Santos
Nos olvidamos de Penny!Nos olvidamos de Penny!
¿Realmente son entendibles?
• OTP• 2-Factor • VPN’s• WPS • Oauth• … Y un largo etc…
Algo no hemos hecho bien…
Endless World!
OSINT
El Ataque Dirigido
OSINT
OSINT
OSINT
Today
Pero….
MetaShield Protector
Esquema Nacional de Seguridad• "5.7.6 Limpieza de documentos
En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento.Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información.El incumplimiento de esta medida puede perjudicar:a) Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento.b) Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento.c) A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer."
IBEX 35
100 %
Empresas con metadatosEmpresas sin metadatos
Money
No more free bugs
{Tu tiempo} Tu bug es oro
"If you spend more on coffee than on IT security, then you will be hacked.“ (Security Czar) Clarke, 2002
Resilent Military Systems
Diseño de Sistemas
Pentesting Continuo
“Si un pentester no puede hacer una prueba de pentesting cuando lo necesite, entonces ya has perdido, porque los malos sí que la van a hacer cuando quieran”
Chema Alonso
People request…
Diseño de Sistemas
Pentesting “Driven” By FOCA
PCI-DSS
Insuficiente
• Web Apps cambian mucho• SW ciclo de parhes
mensuales• Decenas de publicaciones
hacking mensuales
Pentesting Done by FOCA:FOCA as a Service
FOCA approved!
Executive Summary
• Seguridad adaptada a usuarios• Nuestro sistema informático es
Internet• Pentesting by Desing• Pentesting Continuo• Show me the money….
Y si no…