Presentacion Intro Seguridad SEDECO 08

Download Report

Transcript Presentacion Intro Seguridad SEDECO 08 

Introducción a la seguridad en
cómputo
Sergio A. Becerril
CELE | UNAM
Temario
• Conceptos básicos
• Ataques
• Seguridad básica
• Actualizaciones
• Buenas prácticas
• Navegación segura
千里之行 始于足下
Lao Tsé
Introducción a la seguridad en cómputo
Conceptos básicos
¿Qué es seguridad?
• Confianza
• Tranquilidad
• Protección
La importancia de la información

Es un mundo digital

Tendencia irreversible

Más que una alternativa
• Es un mundo globalizado

Inevitable, compartir información

No tenemos control del ambiente externo
• No es solo la información

Cada dispositivo que interactúa es importante

Recordemos los recursos informáticos
Seguridad informática
“Los pilares de la seguridad”

Confidencialidad

Prevenir la divulgación de información, o el acceso a los recursos
informáticos, a entidades no autorizadas.
Solo aquellos autorizados podrán acceder a la información.
• Integridad

Mantener la fidelidad del estado de la información o los recursos
informáticos.
La información no se puede modificar sin autorización.
• Disponibilidad

Garantizar que la información o los recursos informáticos podrán ser
utilizados por entidades autorizadas.
La información estará utilizable siempre que se necesite.
Elementos adicionales

AAA

Autenticación: Comprobar la identidad de quien pretende
acceder a los recursos.

Autorización: Comprobar los privilegios de quien
pretende acceder a los recursos.

Auditoría: Mantener registros de las entidades y
operaciones involucradas.
• No repudio

Garantizar que las entidades involucradas en la
manipulación de los recursos no puedan negar su
participación.
Seguridad informática
• Confianza en los recursos informáticos

Integridad

Disponibilidad

No repudio
• Tranquilidad acerca de los recursos informáticos

Integridad

Disponibilidad

Confidencialidad
• Protección de los recursos informáticos

Confidencialidad

Cifrado

Autenticación, Autorización, Auditoría
No es solo la información
• Recursos informáticos

Equipos: computadoras, móviles, tablets...

Periféricos: impresoras, cámaras, monitores...

Almacenamiento removible

Dispositivos de interconexión
• Entidades

Organizaciones

Usuarios

Creadores

Administradores
Términos comunes
• Activo
Cualquier elemento de importancia para la organización
• Vulnerabilidad
Cualquier debilidad en un activo
• Amenaza
Un peligro posible que puede explotar una vulnerabilidad, causando
daño a los activos.
Términos comunes
• Riesgo
El potencial de una amenaza de explotar una vulnerabilidad en un activo en
particular.
• Impacto
La afectación sobre la confidencialidad, integridad, disponibilidad, etc., asociada
a un riesgo específico.
• Ataque
Cualquier intento de explotar una vulnerabilidad, con el objeto de afectar los
activos.
Términos comunes
• Evento
Cualquier cambio al comportamiento normal de un sistema, ambiente,
proceso, flujo o persona.
• Incidente
Cualquier evento atribuible, de raíz, a una causa humana.
• Política
Definición de seguridad para algún sistema, organización u otra entidad.
Consecuencias
• Pérdida
• Modificación
• Divulgación
Atacantes
• Hacker
Persona con profundo conocimiento del funcionamiento de algún
sistema.
• Cracker
Persona que viola la seguridad de algún sistema informático para
beneficio propio.
• Intruso
Persona que intenta violar la seguridad de algún sistema informático.
Problemas comunes

Contraseñas

Contraseñas débiles

Reutilización de contraseñas
• Configuraciones

Inercia

Comodidad
• Actualizaciones


Deshabilitación / no configuración

Ausencia de ambiente de pruebas
Navegación web

Sitios peligrosos

“Visión de túnel”
Nobody ever defended anything
successfully; there is only attack and attack
and attack some more.
G.A. George S. Patton
Introducción a la seguridad en cómputo
Ataques a la seguridad informática
¿Qué es un ataque?
Un atentado sobre la seguridad de un sistema, que deriva de
una amenaza inteligente; un acto inteligente que es un
intento deliberado de evadir servicios de seguridad, y violar la
política de seguridad de un sistema (IETF)

Explota una vulnerabilidad

Precedido por una amenaza inteligente

Conlleva un impacto
Vulnerabilidad
Ataque
Amenaza
Vulnerabilidades
Una debilidad de un activo o grupo de activos,
que puede ser explotada por una o más
amenazas (ISO 27005).
• Presentes en todo elemento de cómputo
• Por diseño o inherente
Vulnerabilidades
• Las podemos controlar
• No podemos controlar la amenaza
• Las podemos corregir
• Vasta mayoría, error humano
• Las podemos evitar
• Buenas prácticas / experiencia
Vulnerabilidades comunes
• En software
• CWE top 25
• En hardware
• Acceso
• Sensible a elementos
• De configuración
• De usuario
Detección/explotación de vulnerabilidades
• Escáner de puertos
• Enumerador de red
• Escáner de vulnerabilidades en red
• Escáner de aplicaciones web
• Fuzzer
• Analizador estático de código
Core Impact
http://www.youtube.com/watch?v=SsI41_ZYB8
c
Nessus
http://www.youtube.com/watch?v=7ThbeAMqkw
Metasploit
http://www.youtube.com/watch?v=A5E69E1G8U
Zed Attack Proxy
http://www.youtube.com/watch?v=5RmHyZkQ
o_8
Malware
• Virus
• El primer tipo de código malicioso
• ILOVEYOU (2000, Macro Word, adjunto e-mail, PC)
Malware
• Trojan horse
• Control remoto inadvertido
• Flashback (2011, Applet, Web, Mac)
Malware
• Spyware
• Recolección no autorizada de información
• Gator (c. 2004, información personal y reemplazo de anuncios,
Kazaa, MS Windows)
Malware
• Worm
• Virus autorreplicable
• Stuxnet/Flame/Duqu/Gauss (2010-2012, P2P RPC y Zero-Day, USB,
SCADA)
Malware
• Bots
• Worm + trojan
• BredoLab (2009-2010, escalamiento de privilegios, adjunto e-mail,
PC)
Ataques
• Denial of Service (DOS)
• Spoofing
• Snooping / MITM
• Skimming
Aún más ataques!
• Trashing
• Phreaking
• DNS Poisoning
• …
Bluetooth
http://www.youtube.com/watch?v=1cjzYAH2gw
WiFi
http://www.youtube.com/watch?v=e0udwPoU
R9k
Phishing
• Sitio web falso
• Robo de información
• Distribuidos por e-mail
Pharming
• Similar a phishing
• Sustitución de servidores DNS
• Sitios remotos o locales
Scams
• Engaños por dinero o diversión
• Provenientes usualmente del extranjero
• Pueden implicar contacto directo con la
víctima
• Nuevas tendencias: móviles, secuestros…
Ingeniería social
• El ataque humano más difícil – y el más
productivo
• Psicología + conocimiento insider
• No requiere conocimiento técnico
Ejemplos de ingeniería social
Mauersby & Storch (Contabilidad)
• Llamada de soporte, 7:49 hrs
• “Hay problemas y me gustaría verificar algunos datos”
• Usuario nunca revela su contraseña
• 100% de registros fiscales robados
Ejemplos de ingeniería social
Proveedor de servicios, telefonía móvil
• 3 llamadas: recepción, contabilidad, *, publicaciones
• “Necesito una copia del directorio de empleados
• 1 pieza de información: Código de compras
• Directorio enviado (fuga de talento)
Ejemplos de ingeniería social
• Compañía de tarjetas de crédito
• Buzón de voz temporal para empleada de viaje
• Dos llamadas telefónicas: telecom y servicios
• Robo de identidad
Ejemplos de ingeniería social
• Security Pacific National Bank
• Empleado temporal con acceso a cuarto de transferencias
• Dos llamadas: transferencias y *
• 10 millones de dólares en cuenta suiza
La psicología del atacante
• Reto personal
• Credibilidad
• Ganancia económica
• Retribución
Advanced Persistent Threat
• Decidido
• Con dominio tecnológico
• Conocimiento profundo de víctima
• Puede aplicar casi cualquier técnica
Caso de estudio: Aaron Barr
• Investigación sobre anonymous
• Objetivo: contrato con gobierno E.U.
• Reveló hallazgos a “líderes” del grupo
• Barr: “Me suponía que algo así pasaría…”
Caso de estudio: Aaron Barr
Repercusiones
• Control completo de servidores
• hbgary.com
• hbgaryfederal.com
• Divulgación de todos los e-mails de HBGary
• Daño colateral
• DOS sobre rootkit.org (Greg Hoglung, CEO)
El caos es inherente a todas las cosas
complejas. Pelea con diligencia.
Gautama Buda
Introducción a la seguridad en cómputo
Seguridad básica
Seguridad por capas
• Lechuga, no cebolla
• Todos los niveles son esenciales
• Permite modularidad
• ¡No olvides al usuario!
Seguridad en el host
• Contraseñas
• Cuentas no privilegiadas
• Cifrado
• Antivirus
• Firewall
• HIDS
• Seguridad física
Contraseñas
• Modificadores
• Longitud
• Complejidad
• Reutilización
• Hace irrelevante la fortaleza
• 1 sitio vulnerable = todos los sitios explotados
• Contraseñas viejas = mayor ventana de ataque
Una nueva fuerza bruta
• Sitios y sistemas reforzados
• Hashes, timeouts, bloqueos, retrasos…
• Evolución lógica: ataques fuera de línea
• Obtener hashes, comparar fuera
• Dos técnicas:
• Tablas arcoiris
• Generación bajo demanda
Tablas arcoiris
• Hashes pre-generados
• Algoritmo/espacio específicas
• Limitante: espacio en disco
• Disponibles a un bajo costo!
Generación bajo demanda
• Permiten variabilidad
• HW disponible
• AMD Radeon HD7970 (~500 USD): 8,200 millones pw/s
• Computable en paralelo
• Botnets, supercómputo, diseños personalizados…
Soluciones
• Políticas de contraseña
• Longevidad (historial, mínima/máxima vida)
• Secpol/passwdqc
• Evitar reutilización
• Peor aún que un post-it
• Unificación: KeePass, LastPass…
Sugerencia del chef
• Frase de contraseña + desplazamiento
“Más vale tarde que nunca”
masvaletardequenunca
jqwfqo35q4e3137h7hdq
MasValeTardeQueNunca
JqwFqo3%q4e3!73H7hdq
Más allá del login
• Contraseñas de BIOS
• Segundo factor
• Booteo removible
• ¿Qué tan paranoicos estamos?
Cuentas de usuario
• Vasta mayoría, administrativas (Windows)
• Hasta un 90% de vulnerabilidades corregidas
eliminando privilegios (Windows)
• La vasta cantidad de tareas no requieren
permisos de administrador
Riesgo de cuentas administrativas
• Instalación inadvertida
• Malware
• Privilegios inmediatos
¡No ignores las advertencias!
Cuentas limitadas en UNIX
• Comportamiento predeterminado
• Privilegios con sudo
• Siempre solicitar contraseña
Any sufficiently advanced technology is
indistinguishable from magic.
Arthur C. Clarke
Introducción a la seguridad en cómputo
Seguridad básica
(Parte II)
Cifrado
• Capa adicional de protección
• Depende de un secreto (llave)
• Puede implicar pérdida de información
• Implementable a diferentes niveles
Cifrado “nativo”
• Bitlocker (disco completo)
• Enterprise/Ultimate (Vista, 7)
• Pro/Enterprise (8)
• eCryptfs (directorio /home)
• Ubuntu (11.04+)
• FileVault (directorio /home)
• OS X 10.3 (Panther)+
Cifrado por aplicación
• TrueCrypt (Win, Mac, Linux)
• eCryptfs (linux)
• Gpg (UNIX, Mac)
Truecrypt
http://www.youtube.com/watch?v=khnRyV44yI
BitLocker
http://www.youtube.com/watch?v=UJHgmujh1
C4
Antivirus
• Útil, pero no omnipotente
• Suele integrarse con AntiSpyware
• Enteramente dependiente de firmas
• Debe instalarse *antes* de conectividad,
programas
Escaneos antivirus
• Escaneos periódicos útiles, no la mejor opción
• Escaneos bajo demanda:
• Ejecución de programas
• Descarga de archivos
• Conexión de medios removibles
• Habilitar heurística
¿Qué antivirus me conviene?
• Soluciones gratuitas tan efectivas como
comerciales
• Desventajas: administración centralizada
• Si permite el presupuesto, decidir por
administración y extras (e.g. spyware)
IDS de Host
• Detecta modificaciones a archivos
• Crea hashes y monitorea periódicamente
• Útil en equipos críticos
• Parcialmente implementados en AVs
Seguridad física
• Pantallas de privacidad
• Candados
• Dispositivos biométricos
• Bloqueos/borrados remotos
Seguridad en red
• Monitoreo
• Firewall
• IDS
• IPS
• Honeypots
• Seguridad en dispositivos pasivos
Comunicación en redes
• Información + metadatos
• Unidad: paquetes/tramas/datagramas
• Información encapsulada sucesivamente
Modelo TCP/IP
Monitoreo de red
• Análisis de cabeceras
• Búsqueda de patrones
• Detección de orígenes/destinos
• Puede trabajar en todas las capas
Experience: that most brutal of teachers. But
you learn, my God do you learn.
C.S. Lewis
Introducción a la seguridad en cómputo
Seguridad básica
(Parte III)
Firewall
• Tres tipos
• Paquetes
• Estado
• Aplicación
• Análisis de cabeceras y/o contenidos
• Debe colocarse en perímetro interno
(N)IDS
• Análisis de cabeceras
• Flujos, firmas (patrones), bitácoras…
• Debe colocarse en perímetro interno
• Alerta sobre comportamiento sospechoso
IPS
• IDS con retroalimentación
• Puede tomar acción de respuesta
• Sustancialmente más complejo
• Sustancialmente más caro
Honeypots
• “Policías encubiertos”
• Baja/alta interacción
• Genéricos (investigación) / personalizados
(trampa)
Dispositivos pasivos
• Políticas de acceso
• Quién, cuándo, desde dónde…
• No olvidar acceso físico
• Contraseñas/configuraciones
predeterminadas
• Redundancia
Seguridad en aplicaciones
• Origen
• Licenciamiento
• Actualizaciones
• Configuración
• Metadatos
• Intercomunicación
• Respaldos
Origen de aplicaciones
• Descargas
• Malware/spyware
• Pop-ups
• Corrupción
• MITM
• Vulneraciones
• Bugs
Origen de aplicaciones
• Sumas de seguridad
• Sitios confiables
• Proveedores confiables
• Políticas organizacionales
Licenciamiento
• Copias ‘crackeadas’
• FOSS / propietario
• Versiones de prueba
Licenciamiento
• Sitios confiables
• ¿Demasiado bueno para ser verdad?
• Proveedores
• Contratos
• Reputación
• Análisis de licencia
• Implicaciones de desarrollo
Actualizaciones
• Vulnerabilidades
• Ausencia de funcionalidad
• Desastres – modificación, pérdida,
vulneración…
Actualizaciones
• Parches de seguridad
• Firmas/patrones
• Ambiente de pruebas
Imagination is more important than
knowledge.
Albert Einstein
Introducción a la seguridad en cómputo
Seguridad básica
(Parte IV)
Configuraciones
• Accesos predeterminados
• Funcionalidad adicional
• Información compartida
• Inicios automáticos
Configuraciones
• Manuales
• Internos, de preferencia
• Tutoriales, blogs, foros, documentación…
• Mejores prácticas
• CIS
• Políticas organizacionales
Metadatos
• Documentos
• Imágenes
• Audio
• Video
Metadatos
• Office
• Herramientas oficiales (http://bit.ly/OmRFBO)
• PDF
• Integrado (http://bit.ly/PlGYgb)
• Imágenes
• Eliminación de EXIF
Intercomunicación
• Conéctate a _______
• Accesos remotos
• Divulgación de información
• Tan seguro como el elemento más débil
Intercomunicación
• Limitar alcance
• ¿Necesito conectividad con el servicio?
• Gmail
• Facebook
Respaldos
• Automatizados/periódicos
• ¿A dónde va mi información?
• No solo datos, también configuraciones
Respaldos
• Múltiples copias, múltiples sitios
• División de información
• Desconfiar de servicios online
• Verificar accesos
• Analizar media apropiado
Movilidad
• Cómputo en nube
• ¿Quién controla el servicio?
• ¿Qué ocurre ante un apagón?
• ¿De quién es mi información?
• SAAS
• Google docs/mail/…
• Office, Corel, Adobe…
Dispositivos móviles
• Hogar – oficina – nube
• Robo / extravío
• Snooping/spoofing
• Aplicaciones
Dispositivos móviles
• Habilitar contraseña
• Deshabilitar conexiones innecesarias
• Hardware
• Servicios
• Habilitar cifrado
Imagination is more important than
knowledge.
Albert Einstein
Introducción a la seguridad en cómputo
Seguridad en Internet
Mínimo privilegio
• Piedra angular de seguridad
• “Dar al César lo que es del César”… y ni un
grano más
• Incluyéndome a mí mismo
Gracias!
Sergio A. Becerril
[email protected]
http://sergiob.org