Apuntes Seguridad en TIC PDF

Preview

Summary

Seguridad en TIC Clase 1 Target Cronología     Atacantes engañan a un proveedor Usan sus credenciales para acceder a un sistema de control de aire Doble ataque:  Infectan servidores de archivos Windows  Infectan terminales POS (No Parchados) POS infectados envían datos a tarjetas de crédito a ...

Description

Seguridad en TIC Clase 1

Target Cronología   



Atacantes engañan a un proveedor Usan sus credenciales para acceder a un sistema de control de aire Doble ataque:  Infectan servidores de archivos Windows  Infectan terminales POS (No Parchados) POS infectados envían datos a tarjetas de crédito a servidores Windows infectados, quienes los transmiten a servidores externos.

¿Qué falló?  

 

Excesiva confianza en proveedores No hubo una real preocupación por la seguridad  No habían oficiales de seguridad ni CISO (Chief Information Security Officer, o director de seguridad de la información). *CISO: es un ejecutivo de alto nivel, responsable de alinear las iniciativas de seguridad con los programas corporativos y los objetivos de negocio, garantizando que los bienes y tecnología de la información están adecuadamente protegidos.  Los terminales POS no están actualizados *Pero si están en una red aislada… ¿Quién podría atacarnos? Hubo alertas tempranas, pero fueron ignoradas. Mal manejo posterior al incidente  CEO despedido  Preocupados más por “comprar cajitas” que de entrenar a sus empleados  Información mal dada al público: i. Incompleta al principio: “Dijeron que fueron 40 y no 70 millones de registros de clientes”. ii. Tardía: “El ataque se realizó un mes antes, y recién cuando un investigador la reveló públicamente la reconocieron”.

Introducción ¿Qué es la seguridad? 

Capacidad de un sistema de operar en un ambiente hostil  Ej: Internet

CIA i. ii. iii.

Confidencialidad Integridad Disponibilidad (Availability)

Confidencialidad  

La información sólo puede ser visible para quién corresponde Conceptos: i. Controles de acceso ii. Encriptación iii. Esteganografía

Integridad 



La información no debe ser alterada por terceros  Los datos transmitidos, procesados y almacenados deben ser tan precisos como quien los originó lo deseó. Conceptos:  Autenticidad: i. Hashing: traspasar información de texto plano a hash (info+relleno) de manera unidireccional. ii. Certificados Digitales: es un método para verificar el origen y contenido de un documento electrónico. Se basa en la idea de que si el texto de un documento se procesa con un logaritmo de encriptación, luego cualquier cambio en el documento original causara un cambio en la salida del proceso de encriptación, el cual será fácilmente detectado. Este mecanismo se llama algoritmo Hash, y la salida del proceso se denomina compendio. La creación del compendio del mensaje cuya llave es solo conocida por el que lo envió se llama Firma Digital. iii. Otros  No-repudiación: es la prevención de la negación de un mensaje que es enviado o recibido y asegura que el que envió el mensaje no puede negar que lo envió o que el receptor niegue haberlo recibido. La propiedad de No- Repudiación de un sistema de Seguridad de redes de cómputo se basa en el uso de firmas digitales.  Características: i. Comprobación de la creación y origen de los contenidos ii. Posesión de los documentos que acrediten el envío o recepción de los mensajes iii. Comprobación del envío o recepción de llamadas



Disponibilidad  La información debe estar disponible i. ¿Cuándo? ii. ¿Para quién?  Conceptos: i. Uptime: se le llama al porcentaje de disponibilidad de un servidor web funcionando correctamente (online) . ii. Redundancia: se refiere a la cualidad o al estado de presentarse en número superabundante, en comparación a una situación juzgada normal o lógica o suficiente. Este concepto puede tener connotación negativa asociada con lo superfluo o lo innecesario, aunque también puede tener sentido positivo cuando la redundancia permite prevenir un disfuncionamiento y/o la detección de situaciones consideradas anormales o excepcionales, así como cuando tiene por objetivo enfatizar una situación o una condición. iii. SLA’s (Service Level Agreement o Acuerdo de Nivel de Servicio): En un acuerdo entre un Proveedor de Servicios de TI y un Cliente. El SLA describe el Servicio de TI, documenta las responsabilidades del Proveedor de Servicios de Ti y del Cliente. Un único SLA puede cubrir varios Servicios de TI o múltiples Clientes. iv. DoS

Motivaciones de seguridad   

Preventiva La organización ya fue atacada  Incluso, podría estar siendo atacada en este momento La organización es exigida por otras organizaciones  Modelo B2B (Business-to-Business) y generación de vapor con los datos de otras organizaciones  Compliance (ISO20700X, PCI-DSS, Decreto Supremo83, etc.).

Excusas clásicas para no aplicar seguridad   

 





“Este producto o servicio entrega Seguridad 100%”  La seguridad 100% es una falacia Seguridad Next” “Nunca nos han atacado”  “Rentabilidad pasada no asegura rentabilidad futura”  “¿Y para qué construir un paso de cebra frente a un colegio si nunca han atropellado a nadie ahí?”  La verdad es que no nos han atacado…aún  Y quizás peor: ¿Cómo sabemos que no nos están atacando en éste instante?  “Pero cómo podría alguien atacarnos si somos una empresa chica/PYME/Startup” i. Generalmente no tienen medidas de seguridad implementadas ii. Y faltan especialistas que desarrollen políticas de seguridad iii. 83% de los ataque son oportunistas, más que orientados “Tenemos un firewall” “Usamos Criptografía”  ¿Sabemos realmente cómo hacerlo?  ¿Qué tipo de criptografía hay?  ¿Cómo y con qué propósito se usan?  Hasta el uso de criptografía tiene sus debilidades o ¿Las conocemos?  Hay gente que inventa sus propios y oscuros esquemas criptográficos o ¿Son seguros? “Los ataques sólo vienen de afuera”  La incidencia de ataques desde la empresa extendida bordea el 58%: o Empleados o Ex-empleados o Clientes y proveedores  Y pueden no necesariamente ser ataques “Esto es pega de TI”

¿Cuáles son las consecuencias de un ataque? El modelo STRIDE 



   

Spoofing (engaño): es el conjunto de técnicas que se utilizan para suplantar la identidad de un usuario o servidor, generalmente con intenciones maliciosas. Tampering (manipulación): se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Repudiation (Desconocimiento) Information Disclosure (Divulgación de información) Denial of Service (Negación de servicio) Elevation of Privilege (Elevación de privilegios)

8 Principios de Seguridad Economía de Mecanismos    

Los mecanismos muy complejos podrían no ser entendidos, modelados, configurados, implementados y usados correctamente. Si no necesitas esa función, no la implementes KISS: Keep It Simple, Stupid Más simple->Menos cosas pueden fallar o Y si llegan a fallar, es más fácil descubrir y arreglarlas

Política por defecto a prueba de fallos  



Negar todo acceso por defecto Luego, implementar una lista blanca o Todo lo que se quiere permitir en forma explicita ¿Habrá algún caso en que sea mejor una lista negra?

Completa Mediación

Ejemplo: Amazon.com A pesar de estar logueado el usuario, Amazon pide credenciales cada vez que se realiza una operación importante (ejemplo: una compra).

Lo mismo pasa en LinkedIn.

Diseño Abierto   

No depender de secretos de diseño  “Seguridad a través de oscuridad” es una mala idea El sistema debería ser abierto a escrutinio y aun así ser seguro Principio de Kerckhoffs  “Un sistema criptográfico deberá ser seguro aun cuando sus detalles (excepto la llave) sean de conocimiento público”.

Privilegio Mínimo

“Es que si no lo echamos a andar como root/admin, las cosas no funcionan”

Separación de Privilegios Autentificación de 2 factores (2FA) La autenticación mediante dos factores proporciona seguridad adicional en el proceso de registro. Requiere que conozcas tanto tu email como la contraseña, así como proporcionar un código de verificación de un segundo dispositivo, normalmente un teléfono móvil.

Mecanismo Menos Común

Aceptabilidad Psicológica  

Hazlo seguro, pero no lo hagas TAN seguro hasta el punto que sea inusable. Un usuario frustrado con la seguridad podría desactivar las funciones de seguridad o evitar usar el sistema del todo.

Aceptabilidad Psicológica FAIL!   

Time out muy corto en algunos sitios bancarios Es muy seguro pero… Fuiste a buscar el DigiPass y se cortó la sesión

¿Quiénes son los atacantes? ¿Hackers? Atacante Curioso  

Puede ser alguien sin conocimiento técnico que descubrió una falla en la aplicación. Motivación: Mirar qué puede haber “más allá”

Malware Automatizado  

Programas que buscan sistemas vulnerables. Motivación: Atacar vulnerabilidades o reportarlas a un maestro o creador.

Ejemplos:     

Scanners usados para el mal Gusanos Web Malware Javascript Herramientas point-and-click El point-and-click; es un método usado en el género de videojuegos conocido como aventura gráfica. Consiste en pulsar consecutivamente un botón del ratón (normalmente el izquierdo) sobre diferentes objetos –o sobre un mismo objeto en diferentes posiciones– de un escenario bidimensional.  Ejemplo: LOIC/Mobile LOIC

(Ex) Empleados Disgustados  

Roba información de la compañía aprovechando su acceso a sistemas Motivación: “Tiene todo el derecho de hacerlo”.

Problemas en el manejo interno:   

 



¿Quién tiene derecho de acceso a qué, y qué puede hacer con eso? Uso de pendrives, Dropbox, etc. En la oficina ¿Qué pasa cuando alguien se va de la empresa?  ¿Con su mail?  ¿Cuentas de acceso? Wifi BYOD (Bring your own device): es una política empresarial consistente en que los empleados lleven sus propios dispositivos a su lugar de trabajo para tener acceso a recursos de la empresa tales como correos electrónicos, bases de datos y archivos en servidores así como datos y aplicaciones personales. Acceso remoto (ej, VPN, Exchange…)

Cyber Criminal  

Roba información importante (Números de tarjetas de crédito, credenciales, etc.) para su venta en el mercado negro. Motivación: Margen ($$$), poder, reputación, otros.

Cyber Activista   

Atacante que utiliza herramientas point-and-click para atacar sistemas (a veces llamado Script Kiddie) Script Kiddie: hace alusión a una persona falta de habilidades técnicas, sociabilidad o madurez. Motivación: Político-social, Diversión, Aburrimiento

Ej: Anonymous 

Colectivo sin liderazgo definido, a menudo involucrado en operaciones políticosociales:  Asaltos a Habbo  Project Chanology  Operation Payback  Operacioens durante la Primavera Árabe  En Chile: o Operación Tormenta del Sur o #OpCencosud

Auspiciador Estatal  

Genera ataques hacia otros estados o intereses en otros estados. Motivación: “Cyberguerra”. Obtener información o romper activos enemigos.

Ejemplo: NSA/GCHQ 



Acusados de espionaje a ciudadanos nacionales y extranjeros  PRISM  XkeyScore Leyes en USA  Ojo con la nube

Espía Corporativo  

Es contratado por empresas para obtener información de la competencia. Motivación: $$$, obtención de ventajas de mercado.

Clase 2

Malware y Vulnerabilidades Elementos de infección  

Vector: Método de propagación. Abre un acceso al activo objetivo. Payload: Elemento de infección propiamente tal.

Tipos de Malware Virus Computacional 

Programa el cual, al ejecutarse, se propaga (infecta) a:  Programas (en ejecución)  Archivos  Sector de inicio



Generalmente diseñado para causar.

Ejemplo: infectar al momento de bootear un archivo y lo infecta Troyanos  

Son programas malignos que dicen ser benignos. Comunes en software pirata (keygens, cracks) o mediante engaños.

Ejemplos: Descarga de juegos, o keyhack para activación de programas mediante licencias. Troyanos: Rogueware  

Dicen ser antivirus reales, pero causan daño o roban dinero a usuarios. Se aprovechan de interfaces de usuario atractivas.

Te pueden robar información, no hacer nada, pueden infectar o robar dinero mediante publicidad falsa

Ransomware 



Realiza “secuestros”.  Bloqueando el acceso a sistemas.  Encriptando archivos. Sus creados exigen un “rescate” o “multa” para recuperar información.

Ejemplo: LOCKERPIN Y lo que ocurre es:  

Camuflado como una supuesta actualización del OS del celular. Cambia el pin (clave) y asusta al usuario con un mensaje de una entidad estatal.



Solución: Hard Reset.

Backdoors (Puertas Traseras)   

Punto de acceso secreto a un módulo Insertado durante el desarrollo accidental, intencional o maliciosamente. Difícil de prevenir

Ejemplos:



i. Back Orifice ii. NetBus Antiguamente usados directamente para el ataque, hoy para cabeza de playa posterior al ataque como parte de APT’s (Amenaza avanzada y persistente).

Spyware Programa que permite obtener información del usuario sin su consentimiento. A ratos embebido en programas (supuestamente) legítimos. Tipos  



Monitores de Sistema  Ej: Keyloggers Adware  Software que muestra publicidad a sus usuarios  ¿Dónde está el límite? Tracking Cookies

Son cookies que generan banners en donde estos banners al hacerle click envía información de tus costumbres de usuario en la red y así generar un perfil del usuario.

Caso: Kazza  

Software para compartir archivos Múltiples malware incluidos: 1. 2. 3. 4.

Cydoor (monitor de sistema) B3D (adware) The Best Offers (adware) Instafinder (hijacker)toma una petición y te la cambia por completo

Spam   

Correo o mensajes no deseados Usualmente contienen contenido comercial, pero a ratos buscan infectar o engañar a usuarios. Ojo con los links para “des-suscribirse”:  Son una trampa para determinar si el mail existe.  Si el usuario visita el link del sitio, podría verse infectado por un DBD.

Botnets  



Redes de computadores infectados con backdoors, controlados por un único maestro (esquema C2 o 2C2) Ordenes:  Spam  DDoS  Etc. Objetivo: Recolectar información, venganza o protesta.

Ejemplo: iWorm  

Registra equipos infectados en un foro Reddit para su uso por parte de los servidores C2. 17.000 equipos Mac infectados alrededor del mundo.

Gusanos  

Programas que se autoreplican a través de la red, Objetivos:  Consumir ancho de banda  Instalar backdoors  Crear botnets

Ejemplos: Gusano Morris   

“Medir el tamaño de Internet”. Se auto replicaba hasta agotar redes y sistemas enteros. Causó enormes pérdidas económicas.

SQL Slammer  

Gusano que causó una ralentización general de Internet. Aún sigue funcionando:  (Han visto esa “herramienta de eliminación de software malintencionado”)

*Patch Tuesday ----Out of Band Rootkits  

Permite el control privilegiado de un sistema sin que sus usuarios se enteren. Objetivos:  Maliciosos: back doors, botnets.  Beneficios (?): DRM (Digital Review Managment) infiltración a las capas más bajas de tu sistema operativo, trampas en juegos online. Amenazas Avanzadas y Persistentes (APT)

 

Ataque furtivo que busca un robo o sabotaje a largo plazo, en particular de propiedad intelectual u objetivos de alto perfil. Típicamente utilizado en ataques auspiciados por estados.

Ejemplo APT: Stuxnet  

Gusano diseñado para atacar sistemas de control y monitoreo de sistemas industriales (SCADA). APT que tuvo por objetivo ralentizar el programa de enriquecimiento de uranio iraní.

Troyanos/Backdoors: RAT’s   

RAT= Remote Administration Tool RAT= Remote Access Trojan Permiten al atacante controlar remotamente y extraer información de un activo.

Vectores de Infección Defectos en Software    

Vulnerabilidades en el sistema operativo, navegadores, plugins, extensiones Versiones no actualizadas de software Archivos (DOC, XLS) crafteados para aprovechar vulnerabilidades DBS(Drive-By-Downloads o Droppers)

Caso DBD’s en CMS  

Hackers inyectan links a malware en sitios con CMS sin soporte. Los usuarios visitan esos sitios y son infectados a menudo con troyanos.

Intervención Humana  

Apertura de attachments infectados en e-mails. Engaño a usuarios mediante infección y autoejecución de:  Medios ópticos  Pendrives

Consentimiento 

Modelos de permisos en equipos móviles inadecuados.

Exceso de privilegios  

Usuarios con demasiados privilegios  Ej: Sysdamins siempre logueados como root Código con demasiados privilegios

Uso del mismo sistema operativo   

Homogeneidad en el uso de sistemas operativos Costo-efectividad Adobe Flash, Adobe Reader, Microsoft Office ¿Inseguros?

Zero-Days   

Vulnerabilidades desconocidas para usuarios y desarrolladores de sistemas  Por lo tanto, no existe un parche disponible. Muy peligrosos: Los sistemas quedan expuestos a éstos. Hasta se transan en verdaderos mercados de vulnerabilidades.

El negocio de los Zero-Days 

El precio por cada Zero-Day varía dependiendo de cuán raro es y cuán exclusivo es el trato.

Otros vectores de contagio      

Carpetas compartidas E-mail E-Tarjetitas Redes Sociales Codecs falsos Archivos distribuidos en forma cuestionable (ej: Bittorrent, Warez) Malware: Prevención

Endpoint Security   

Análisis de comportamiento del sistema Análisis de binarios 2 modos de operación:  Scanner  Real-Time

Scanners de sitios web  

Ej: Google  Si pilla malware, baja su reputación en resultados de búsqueda. Los mismos antivirus llevan bases de datos remotas de sitios “mal portados”.

Air gapping  

Aislamiento de redes para evitar programación de malware o ex filtración de información Tipos:  Físicos  Lógico (mediante firewall)

Click-to-play  

Los plugins en browsers son un vector muy usado en malware  Principalmente porque se ejecutan sin consentimiento del usuario. Es posible poner en manos del usuario cuándo se ejecuta uno de ellos.

Educación y concientización 

  

No instalar o ejecutar cualquier cosa que nos llegue  Solo instalar software de fuentes confiables (y de preferencias que venga firmado) Mantener nuestros sistemas actualizados Respaldar periódicamente nuestra información Sospechar de programas que hacen uso de demasiados privilegios

Vulnerabilidades Miembros o Ex miembros de la organización Interacción Social  



Las personas somos sociables Conversaciones con:  Amigos  Clientes  Proveedores Riesgo de filtración de información

Extracción de datos de la oficina   

 

Papeles Pendrives Notebooks  Prestados por la empresa  De propiedad del empleado Subidos a la nube personal  Ej: Dropbox Información enviada por mail hacia fuera  Caso: “Replay to All”

Instalación de Software no autorizados 