Title | Apuntes Seguridad en TIC |
---|---|
Course | Seguridad en TICs |
Institution | Universidad Adolfo Ibáñez |
Pages | 81 |
File Size | 3.9 MB |
File Type | |
Total Downloads | 15 |
Total Views | 92 |
Seguridad en TIC Clase 1 Target Cronología Atacantes engañan a un proveedor Usan sus credenciales para acceder a un sistema de control de aire Doble ataque: Infectan servidores de archivos Windows Infectan terminales POS (No Parchados) POS infectados envían datos a tarjetas de crédito a ...
Seguridad en TIC Clase 1
Target Cronología
Atacantes engañan a un proveedor Usan sus credenciales para acceder a un sistema de control de aire Doble ataque: Infectan servidores de archivos Windows Infectan terminales POS (No Parchados) POS infectados envían datos a tarjetas de crédito a servidores Windows infectados, quienes los transmiten a servidores externos.
¿Qué falló?
Excesiva confianza en proveedores No hubo una real preocupación por la seguridad No habían oficiales de seguridad ni CISO (Chief Information Security Officer, o director de seguridad de la información). *CISO: es un ejecutivo de alto nivel, responsable de alinear las iniciativas de seguridad con los programas corporativos y los objetivos de negocio, garantizando que los bienes y tecnología de la información están adecuadamente protegidos. Los terminales POS no están actualizados *Pero si están en una red aislada… ¿Quién podría atacarnos? Hubo alertas tempranas, pero fueron ignoradas. Mal manejo posterior al incidente CEO despedido Preocupados más por “comprar cajitas” que de entrenar a sus empleados Información mal dada al público: i. Incompleta al principio: “Dijeron que fueron 40 y no 70 millones de registros de clientes”. ii. Tardía: “El ataque se realizó un mes antes, y recién cuando un investigador la reveló públicamente la reconocieron”.
Introducción ¿Qué es la seguridad?
Capacidad de un sistema de operar en un ambiente hostil Ej: Internet
CIA i. ii. iii.
Confidencialidad Integridad Disponibilidad (Availability)
Confidencialidad
La información sólo puede ser visible para quién corresponde Conceptos: i. Controles de acceso ii. Encriptación iii. Esteganografía
Integridad
La información no debe ser alterada por terceros Los datos transmitidos, procesados y almacenados deben ser tan precisos como quien los originó lo deseó. Conceptos: Autenticidad: i. Hashing: traspasar información de texto plano a hash (info+relleno) de manera unidireccional. ii. Certificados Digitales: es un método para verificar el origen y contenido de un documento electrónico. Se basa en la idea de que si el texto de un documento se procesa con un logaritmo de encriptación, luego cualquier cambio en el documento original causara un cambio en la salida del proceso de encriptación, el cual será fácilmente detectado. Este mecanismo se llama algoritmo Hash, y la salida del proceso se denomina compendio. La creación del compendio del mensaje cuya llave es solo conocida por el que lo envió se llama Firma Digital. iii. Otros No-repudiación: es la prevención de la negación de un mensaje que es enviado o recibido y asegura que el que envió el mensaje no puede negar que lo envió o que el receptor niegue haberlo recibido. La propiedad de No- Repudiación de un sistema de Seguridad de redes de cómputo se basa en el uso de firmas digitales. Características: i. Comprobación de la creación y origen de los contenidos ii. Posesión de los documentos que acrediten el envío o recepción de los mensajes iii. Comprobación del envío o recepción de llamadas
Disponibilidad La información debe estar disponible i. ¿Cuándo? ii. ¿Para quién? Conceptos: i. Uptime: se le llama al porcentaje de disponibilidad de un servidor web funcionando correctamente (online) . ii. Redundancia: se refiere a la cualidad o al estado de presentarse en número superabundante, en comparación a una situación juzgada normal o lógica o suficiente. Este concepto puede tener connotación negativa asociada con lo superfluo o lo innecesario, aunque también puede tener sentido positivo cuando la redundancia permite prevenir un disfuncionamiento y/o la detección de situaciones consideradas anormales o excepcionales, así como cuando tiene por objetivo enfatizar una situación o una condición. iii. SLA’s (Service Level Agreement o Acuerdo de Nivel de Servicio): En un acuerdo entre un Proveedor de Servicios de TI y un Cliente. El SLA describe el Servicio de TI, documenta las responsabilidades del Proveedor de Servicios de Ti y del Cliente. Un único SLA puede cubrir varios Servicios de TI o múltiples Clientes. iv. DoS
Motivaciones de seguridad
Preventiva La organización ya fue atacada Incluso, podría estar siendo atacada en este momento La organización es exigida por otras organizaciones Modelo B2B (Business-to-Business) y generación de vapor con los datos de otras organizaciones Compliance (ISO20700X, PCI-DSS, Decreto Supremo83, etc.).
Excusas clásicas para no aplicar seguridad
“Este producto o servicio entrega Seguridad 100%” La seguridad 100% es una falacia Seguridad Next” “Nunca nos han atacado” “Rentabilidad pasada no asegura rentabilidad futura” “¿Y para qué construir un paso de cebra frente a un colegio si nunca han atropellado a nadie ahí?” La verdad es que no nos han atacado…aún Y quizás peor: ¿Cómo sabemos que no nos están atacando en éste instante? “Pero cómo podría alguien atacarnos si somos una empresa chica/PYME/Startup” i. Generalmente no tienen medidas de seguridad implementadas ii. Y faltan especialistas que desarrollen políticas de seguridad iii. 83% de los ataque son oportunistas, más que orientados “Tenemos un firewall” “Usamos Criptografía” ¿Sabemos realmente cómo hacerlo? ¿Qué tipo de criptografía hay? ¿Cómo y con qué propósito se usan? Hasta el uso de criptografía tiene sus debilidades o ¿Las conocemos? Hay gente que inventa sus propios y oscuros esquemas criptográficos o ¿Son seguros? “Los ataques sólo vienen de afuera” La incidencia de ataques desde la empresa extendida bordea el 58%: o Empleados o Ex-empleados o Clientes y proveedores Y pueden no necesariamente ser ataques “Esto es pega de TI”
¿Cuáles son las consecuencias de un ataque? El modelo STRIDE
Spoofing (engaño): es el conjunto de técnicas que se utilizan para suplantar la identidad de un usuario o servidor, generalmente con intenciones maliciosas. Tampering (manipulación): se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Repudiation (Desconocimiento) Information Disclosure (Divulgación de información) Denial of Service (Negación de servicio) Elevation of Privilege (Elevación de privilegios)
8 Principios de Seguridad Economía de Mecanismos
Los mecanismos muy complejos podrían no ser entendidos, modelados, configurados, implementados y usados correctamente. Si no necesitas esa función, no la implementes KISS: Keep It Simple, Stupid Más simple->Menos cosas pueden fallar o Y si llegan a fallar, es más fácil descubrir y arreglarlas
Política por defecto a prueba de fallos
Negar todo acceso por defecto Luego, implementar una lista blanca o Todo lo que se quiere permitir en forma explicita ¿Habrá algún caso en que sea mejor una lista negra?
Completa Mediación
Ejemplo: Amazon.com A pesar de estar logueado el usuario, Amazon pide credenciales cada vez que se realiza una operación importante (ejemplo: una compra).
Lo mismo pasa en LinkedIn.
Diseño Abierto
No depender de secretos de diseño “Seguridad a través de oscuridad” es una mala idea El sistema debería ser abierto a escrutinio y aun así ser seguro Principio de Kerckhoffs “Un sistema criptográfico deberá ser seguro aun cuando sus detalles (excepto la llave) sean de conocimiento público”.
Privilegio Mínimo
“Es que si no lo echamos a andar como root/admin, las cosas no funcionan”
Separación de Privilegios Autentificación de 2 factores (2FA) La autenticación mediante dos factores proporciona seguridad adicional en el proceso de registro. Requiere que conozcas tanto tu email como la contraseña, así como proporcionar un código de verificación de un segundo dispositivo, normalmente un teléfono móvil.
Mecanismo Menos Común
Aceptabilidad Psicológica
Hazlo seguro, pero no lo hagas TAN seguro hasta el punto que sea inusable. Un usuario frustrado con la seguridad podría desactivar las funciones de seguridad o evitar usar el sistema del todo.
Aceptabilidad Psicológica FAIL!
Time out muy corto en algunos sitios bancarios Es muy seguro pero… Fuiste a buscar el DigiPass y se cortó la sesión
¿Quiénes son los atacantes? ¿Hackers? Atacante Curioso
Puede ser alguien sin conocimiento técnico que descubrió una falla en la aplicación. Motivación: Mirar qué puede haber “más allá”
Malware Automatizado
Programas que buscan sistemas vulnerables. Motivación: Atacar vulnerabilidades o reportarlas a un maestro o creador.
Ejemplos:
Scanners usados para el mal Gusanos Web Malware Javascript Herramientas point-and-click El point-and-click; es un método usado en el género de videojuegos conocido como aventura gráfica. Consiste en pulsar consecutivamente un botón del ratón (normalmente el izquierdo) sobre diferentes objetos –o sobre un mismo objeto en diferentes posiciones– de un escenario bidimensional. Ejemplo: LOIC/Mobile LOIC
(Ex) Empleados Disgustados
Roba información de la compañía aprovechando su acceso a sistemas Motivación: “Tiene todo el derecho de hacerlo”.
Problemas en el manejo interno:
¿Quién tiene derecho de acceso a qué, y qué puede hacer con eso? Uso de pendrives, Dropbox, etc. En la oficina ¿Qué pasa cuando alguien se va de la empresa? ¿Con su mail? ¿Cuentas de acceso? Wifi BYOD (Bring your own device): es una política empresarial consistente en que los empleados lleven sus propios dispositivos a su lugar de trabajo para tener acceso a recursos de la empresa tales como correos electrónicos, bases de datos y archivos en servidores así como datos y aplicaciones personales. Acceso remoto (ej, VPN, Exchange…)
Cyber Criminal
Roba información importante (Números de tarjetas de crédito, credenciales, etc.) para su venta en el mercado negro. Motivación: Margen ($$$), poder, reputación, otros.
Cyber Activista
Atacante que utiliza herramientas point-and-click para atacar sistemas (a veces llamado Script Kiddie) Script Kiddie: hace alusión a una persona falta de habilidades técnicas, sociabilidad o madurez. Motivación: Político-social, Diversión, Aburrimiento
Ej: Anonymous
Colectivo sin liderazgo definido, a menudo involucrado en operaciones políticosociales: Asaltos a Habbo Project Chanology Operation Payback Operacioens durante la Primavera Árabe En Chile: o Operación Tormenta del Sur o #OpCencosud
Auspiciador Estatal
Genera ataques hacia otros estados o intereses en otros estados. Motivación: “Cyberguerra”. Obtener información o romper activos enemigos.
Ejemplo: NSA/GCHQ
Acusados de espionaje a ciudadanos nacionales y extranjeros PRISM XkeyScore Leyes en USA Ojo con la nube
Espía Corporativo
Es contratado por empresas para obtener información de la competencia. Motivación: $$$, obtención de ventajas de mercado.
Clase 2
Malware y Vulnerabilidades Elementos de infección
Vector: Método de propagación. Abre un acceso al activo objetivo. Payload: Elemento de infección propiamente tal.
Tipos de Malware Virus Computacional
Programa el cual, al ejecutarse, se propaga (infecta) a: Programas (en ejecución) Archivos Sector de inicio
Generalmente diseñado para causar.
Ejemplo: infectar al momento de bootear un archivo y lo infecta Troyanos
Son programas malignos que dicen ser benignos. Comunes en software pirata (keygens, cracks) o mediante engaños.
Ejemplos: Descarga de juegos, o keyhack para activación de programas mediante licencias. Troyanos: Rogueware
Dicen ser antivirus reales, pero causan daño o roban dinero a usuarios. Se aprovechan de interfaces de usuario atractivas.
Te pueden robar información, no hacer nada, pueden infectar o robar dinero mediante publicidad falsa
Ransomware
Realiza “secuestros”. Bloqueando el acceso a sistemas. Encriptando archivos. Sus creados exigen un “rescate” o “multa” para recuperar información.
Ejemplo: LOCKERPIN Y lo que ocurre es:
Camuflado como una supuesta actualización del OS del celular. Cambia el pin (clave) y asusta al usuario con un mensaje de una entidad estatal.
Solución: Hard Reset.
Backdoors (Puertas Traseras)
Punto de acceso secreto a un módulo Insertado durante el desarrollo accidental, intencional o maliciosamente. Difícil de prevenir
Ejemplos:
i. Back Orifice ii. NetBus Antiguamente usados directamente para el ataque, hoy para cabeza de playa posterior al ataque como parte de APT’s (Amenaza avanzada y persistente).
Spyware Programa que permite obtener información del usuario sin su consentimiento. A ratos embebido en programas (supuestamente) legítimos. Tipos
Monitores de Sistema Ej: Keyloggers Adware Software que muestra publicidad a sus usuarios ¿Dónde está el límite? Tracking Cookies
Son cookies que generan banners en donde estos banners al hacerle click envía información de tus costumbres de usuario en la red y así generar un perfil del usuario.
Caso: Kazza
Software para compartir archivos Múltiples malware incluidos: 1. 2. 3. 4.
Cydoor (monitor de sistema) B3D (adware) The Best Offers (adware) Instafinder (hijacker)toma una petición y te la cambia por completo
Spam
Correo o mensajes no deseados Usualmente contienen contenido comercial, pero a ratos buscan infectar o engañar a usuarios. Ojo con los links para “des-suscribirse”: Son una trampa para determinar si el mail existe. Si el usuario visita el link del sitio, podría verse infectado por un DBD.
Botnets
Redes de computadores infectados con backdoors, controlados por un único maestro (esquema C2 o 2C2) Ordenes: Spam DDoS Etc. Objetivo: Recolectar información, venganza o protesta.
Ejemplo: iWorm
Registra equipos infectados en un foro Reddit para su uso por parte de los servidores C2. 17.000 equipos Mac infectados alrededor del mundo.
Gusanos
Programas que se autoreplican a través de la red, Objetivos: Consumir ancho de banda Instalar backdoors Crear botnets
Ejemplos: Gusano Morris
“Medir el tamaño de Internet”. Se auto replicaba hasta agotar redes y sistemas enteros. Causó enormes pérdidas económicas.
SQL Slammer
Gusano que causó una ralentización general de Internet. Aún sigue funcionando: (Han visto esa “herramienta de eliminación de software malintencionado”)
*Patch Tuesday ----Out of Band Rootkits
Permite el control privilegiado de un sistema sin que sus usuarios se enteren. Objetivos: Maliciosos: back doors, botnets. Beneficios (?): DRM (Digital Review Managment) infiltración a las capas más bajas de tu sistema operativo, trampas en juegos online. Amenazas Avanzadas y Persistentes (APT)
Ataque furtivo que busca un robo o sabotaje a largo plazo, en particular de propiedad intelectual u objetivos de alto perfil. Típicamente utilizado en ataques auspiciados por estados.
Ejemplo APT: Stuxnet
Gusano diseñado para atacar sistemas de control y monitoreo de sistemas industriales (SCADA). APT que tuvo por objetivo ralentizar el programa de enriquecimiento de uranio iraní.
Troyanos/Backdoors: RAT’s
RAT= Remote Administration Tool RAT= Remote Access Trojan Permiten al atacante controlar remotamente y extraer información de un activo.
Vectores de Infección Defectos en Software
Vulnerabilidades en el sistema operativo, navegadores, plugins, extensiones Versiones no actualizadas de software Archivos (DOC, XLS) crafteados para aprovechar vulnerabilidades DBS(Drive-By-Downloads o Droppers)
Caso DBD’s en CMS
Hackers inyectan links a malware en sitios con CMS sin soporte. Los usuarios visitan esos sitios y son infectados a menudo con troyanos.
Intervención Humana
Apertura de attachments infectados en e-mails. Engaño a usuarios mediante infección y autoejecución de: Medios ópticos Pendrives
Consentimiento
Modelos de permisos en equipos móviles inadecuados.
Exceso de privilegios
Usuarios con demasiados privilegios Ej: Sysdamins siempre logueados como root Código con demasiados privilegios
Uso del mismo sistema operativo
Homogeneidad en el uso de sistemas operativos Costo-efectividad Adobe Flash, Adobe Reader, Microsoft Office ¿Inseguros?
Zero-Days
Vulnerabilidades desconocidas para usuarios y desarrolladores de sistemas Por lo tanto, no existe un parche disponible. Muy peligrosos: Los sistemas quedan expuestos a éstos. Hasta se transan en verdaderos mercados de vulnerabilidades.
El negocio de los Zero-Days
El precio por cada Zero-Day varía dependiendo de cuán raro es y cuán exclusivo es el trato.
Otros vectores de contagio
Carpetas compartidas E-mail E-Tarjetitas Redes Sociales Codecs falsos Archivos distribuidos en forma cuestionable (ej: Bittorrent, Warez) Malware: Prevención
Endpoint Security
Análisis de comportamiento del sistema Análisis de binarios 2 modos de operación: Scanner Real-Time
Scanners de sitios web
Ej: Google Si pilla malware, baja su reputación en resultados de búsqueda. Los mismos antivirus llevan bases de datos remotas de sitios “mal portados”.
Air gapping
Aislamiento de redes para evitar programación de malware o ex filtración de información Tipos: Físicos Lógico (mediante firewall)
Click-to-play
Los plugins en browsers son un vector muy usado en malware Principalmente porque se ejecutan sin consentimiento del usuario. Es posible poner en manos del usuario cuándo se ejecuta uno de ellos.
Educación y concientización
No instalar o ejecutar cualquier cosa que nos llegue Solo instalar software de fuentes confiables (y de preferencias que venga firmado) Mantener nuestros sistemas actualizados Respaldar periódicamente nuestra información Sospechar de programas que hacen uso de demasiados privilegios
Vulnerabilidades Miembros o Ex miembros de la organización Interacción Social
Las personas somos sociables Conversaciones con: Amigos Clientes Proveedores Riesgo de filtración de información
Extracción de datos de la oficina
Papeles Pendrives Notebooks Prestados por la empresa De propiedad del empleado Subidos a la nube personal Ej: Dropbox Información enviada por mail hacia fuera Caso: “Replay to All”
Instalación de Software no autorizados