jornadas de seguridad informática lic. julio c. ardita [email protected] cybsec s.a. security...

Jornadas de Seguridad Informática

Lic. Julio C. ArditaLic. Julio C. [email protected]@cybsec.com

CYBSEC S.A. Security SystemsCYBSEC S.A. Security Systems

Río Gallegos – Santa Cruz Río Gallegos – Santa Cruz ArgentinaArgentina

2


AgendaAgenda

- Situación actual en la Argentina y en el mundo

- Incidentes de seguridad informática reales

- Conociendo al enemigo

- Ingeniería Social

- Medidas de Protección

- Seguridad de la red de la Gobernación de Santa Cruz

3


Situación actual en laArgentina y en el mundo

4


¿Qué es la Seguridad Informática?

La seguridad informática concierne a la protección

de la información que se encuentra en un dispositivo informático (computadora, red, etc) y también a la protección del acceso no autorizado a todos los recursos del sistema.

5


El objetivo de la seguridad de la información es garantizar:

6


Durante la ultima década se incorpora con una

importancia creciente el concepto de la Seguridad

Informática a la vez que este mismo concepto inicial

se transforma en el concepto de Seguridad de la

Información, permitiendo una mejor definición del

problema que afecta a las Organizaciones.

7


Antes:La seguridad informática no era un gran problema. Centros de cómputos pequeños y pocas terminales. Redes aisladas de computadoras pequeñas y sólo

usuarios internos.

Hoy:La seguridad Informática es un tema prioritario.Los sistemas informáticos están dispersos e

interconectados en toda la Organización.Tenemos grandes redes; Internet; diversidad de

plataformas; múltiples sistemas operativos; usuarios internos, externos e invitados; computadoras móviles, etc.

8


RealidadRealidad

- Los mismos problemas de seguridad - Mayores responsabilidades

- Pocos recursos - Masificación del problema

9


RealidadRealidad

Sofisticación de los ataques informáticos

10


Durante abril deDurante abril de

2007 hubo más 2007 hubo más

de 700 ataques de 700 ataques

exitosos a exitosos a

páginas Web páginas Web

en Argentina.en Argentina.

Fuente: www.zone-h.org

http://www.zone-h.org/

11


Cantidad de vulnerabilidades informáticasCantidad de vulnerabilidades informáticas

© CERT/CC

12


Incidentes de seguridadinformática reales

13


CASO 1: Denegación de servicio

Descripción del incidente:

El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada

por un intruso que impidió la continuidad del negocio en sus casi 120

sucursales.

En un análisis preliminar de la situación determinó que un intruso había

dejado un programa que se ejecutó el día viernes a las 19:00hs horas

y que bloqueaba el acceso al sistema de Ventas.

Se comenzó a trabajar en dos líneas:

- Volver a la operación normal.

- Detección, análisis y rastreo del intruso.

14



Metodología de Investigación:

En relación a la vuelta a la operación normal:

1. Análisis forense inmediato de los equipos afectados.

2. Detección de programas que impedían el normal funcionamiento del Sistema de Ventas.

3. Análisis de programas y modificaciones realizadas por el intruso.

4. Planteo de soluciones.

5. Pruebas sobre una sucursal de los cambios.

6. Aplicación masiva de cambios y vuelta a la operación normal.

15




En relación a la detección, análisis y rastreo del intruso:

1. Ingeniería reversa de los programas que dejó el intruso

2. Determinación de las actividades que realizó el intruso.

3. Detección de rastros de pruebas 4 días antes.

4. Determinación de pruebas que podrían indicar el perfil del intruso.

5. Análisis de los sistemas de acceso remoto.

6. Evaluación de las computadoras personales de los potenciales

sospechosos.

16




7. En el equipo de José se detectaron varios elementos (repetición del

patrón de comportamiento del intruso por la forma en que ejecutaba

los comandos).

8. Se detectó que otra computadora que contenía evidencia y se

encontraba al lado del equipo de José misteriosamente fue formateada

y re-instalada dos días después del incidente y en la misma se detectó

el patrón de comportamiento del intruso.

17



Resultados obtenidos :

Se logró detectar la intrusión y se volvió la operación normal en el

plazo inmediato.

De acuerdo a las características detectadas del patrón de

comportamiento, información encontrada, re-instalación de un

equipo, conocimiento de las claves de acceso

necesarias, existe una gran probabilidad de que

el intruso fuera José.

18


CASO 2: Extorsión


Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no

hacer circular entre los Clientes de la misma información confidencial que

había obtenido.

El intruso se comunicaba a través de mensajes de correo electrónico y

en dos oportunidades envió dos documentos de Word escritos por el.

19


CASO 2: Extorsión


1. Se investigaron los mensajes de correo electrónico enviados por el

intruso y se determinaron que venían de Locutorios y/o Cybercafes.

2. En dos oportunidades el intruso realizó envíos de mensajes de correo

electrónico conteniendo documentos de Word.

3. Se analizaron los documentos de Word con herramientas para análisis

a nivel binario y se obtuvo información sobre nombres de archivos

internos, fechas de creación, unidades donde fue copiado (aparecía

una unidad A:) y aparecía el directorio donde fue almacenado.

20


CASO 2: Extorsión


4. El usuario que aparecía como Autor del documento en el análisis era x

y la Organización x, eso implicaba que el archivo fue generado con un

Microsoft Word registrado a ese nombre.

5. Se analizó el nombre del directorio y apareció lo siguiente:

C:\Documents and Settings\oalvarez\Mis documentos\

6. Una de las personas que habían desvinculado de mala manera unos

meses antes era “Omar Alvarez”.

21


CASO 2: Extorsión

Resultados obtenidos:

Se logró determinar que el intruso fue Omar Alvarez, ya que escribió los

documentos con su computadora personal.

22


CASO 3: Modificación de información


Un intruso ingresó en la Base de Datos de personal y ejecutó un script

SQL que aumentó el sueldo en un 70% a todo el personal el día 26 de

julio de 2005.

Un día después, el sistema de liquidación generó los pagos causando

graves problemas a la Organización.

Se comenzó la investigación analizando el Servidor de Producción de

Personal.

23




1. Análisis del Servidor UNIX de Producción que contiene la Base de Datos.

2. Detección en el directorio principal del usuario Maria lo que parecía ser

el script SQL que se había ejecutado.

3. Restricción de las PC’s de los usuarios que accedieron en ese momento.

4. Evaluación de 9 PC’s de los usuarios buscando archivos creados,

modificados y accedidos el día del incidente.

24




5. Se detectó un solo equipo que tenía archivos relevantes, el del usuario

Pedro. Se detectó dentro del directorio C:\temp, un archivo que contenía

parte del script detectado en el directorio del usuario Maria. Ese archivo

fue generado por la herramienta SQLPlus.

6. Se analizaron las conexiones al Servidor UNIX de Producción el día del

incidente y se detectó que el usuario Maria había entrado desde el

Servidor de Desarrollo y tuvo una sesión abierta de 3 horas.

7. Se investigó el Servidor de Desarrollo y se detectó que unos minutos

antes de conectarse el usuario Maria al UNIX de Producción, el usuario

Pedro había entrado a Desarrollo desde su PC.

25




- Se buscó los registros de la cámara de vigilancia de la entrada del

edificio y Maria se había retirado 1 hora antes del incidente.

PC Maria

PC Pedro

- Parte del script en un archivo temporal

del SQLPlus.

Servidor BD Producción

- Script en directorio Maria

Servidor BD Desarrollo

1. Entra como

Pedro

2. Entra como María

3. Ejecuta el Script

26



Resultados obtenidos:

Se determinó que el intruso fue Pedro y que trato de incriminar al

usuario Maria.

27


Conociendo al enemigo

28


¿De quiénes nos protegemos...?¿De quiénes nos protegemos...?

- Intrusos informáticos.- Intrusos informáticos.

- Extorsionadores.- Extorsionadores.

- Espías Industriales.- Espías Industriales.

- Usuarios del sistema.- Usuarios del sistema.

- Ex-empleados.- Ex-empleados.

- Crackers.Crackers.

- Veinte millones de adolescentes.- Veinte millones de adolescentes.

29


¿De qué nos protegemos...?¿De qué nos protegemos...?

Objetivos de los intrusos sobre un Sistema InformáticoObjetivos de los intrusos sobre un Sistema Informático

- Robo de información confidencial.- Robo de información confidencial.

- Fraude financiero.Fraude financiero.

- Daño a la imagen.- Daño a la imagen.

- Modificación de archivos. - Modificación de archivos.

- Indisponibilidad de servicios críticos.- Indisponibilidad de servicios críticos.

- Destrucción del Sistema Informático.- Destrucción del Sistema Informático.

- Sabotaje Corporativo.- Sabotaje Corporativo.

30


19941994 19981998 2000 2002 20052000 2002 2005

70% 70% 60%60% 30%30% 25% 25% 20%20% EXTERNOSEXTERNOS

30% 30% 40%40% 70%70% 75% 80%75% 80% INTERNOSINTERNOS

Origen de los AtaquesOrigen de los Ataques

31


Metodología de un ataqueMetodología de un ataque

Los ataques pueden ser Los ataques pueden ser Externos o InternosExternos o Internos

Los ataques externos son más fáciles de detectar y repeler que Los ataques externos son más fáciles de detectar y repeler que los ataques internos. El atacante interno ya tiene acceso a la los ataques internos. El atacante interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar.red interna o incluso al mismo Server que quiere atacar.

Servers InternosServers InternosIntruso InternoIntruso InternoIntruso ExternoIntruso Externo

BarrerasBarreras

32


Ingeniería Social

33


Ingeniería SocialIngeniería Social

La ingeniería social consiste en la manipulación de las personas

para que voluntariamente realicen actos que normalmente no harían.

Un intruso normalmente utiliza esta técnica con el fin de conseguir

información (usuarios y claves de acceso) para ingresar a un sistema

de una Empresa.

34


Formas de Ingeniería SocialFormas de Ingeniería Social

Existen tres grandes formas de ingeniería social: La más común

es la telefónica, donde el intruso tratará de obtener información

a través de un llamado . Otra forma es la del e-mail, donde

nos pedirán información vía un mensaje de correo electrónico

y finalmente la personal, donde el intruso se hace presente de

forma física y pide información.

35


Situación en la Empresa ACMESituación en la Empresa ACME

Se realizó una Prueba de Ingeniería Social sobre los siguientesobjetivos:

Planta ACME1. Site Central.Planta ACME2. Sucursal 1.

Para la muestra se tomaron 43 casos.

El resultado fue que 39 personas brindaron información crítica (usuarios y claves de acceso).

36


Situación en la Empresa ACMESituación en la Empresa ACME

El 90% del personal entregó información crítica.

Tres personas además entregaron información crítica de otros empleados.

No hubo ningún tipo de alertas o avisos al área de Sistemas durante, antes o después de la Prueba.

Las claves de acceso utilizadas son triviales.

37


Estrategias de Defensa ante Ataques de Ingeniería Social

Educación y concientización.

Políticas de Seguridad Informática.

Sanciones duras y concretas.

38


Medidas de Protección

39


FirewallsFirewalls

Un sistema que permite cumplir con una política de acceso.

Se utiliza para proteger una red de computadoras segura conectada

a una red insegura (Internet).

FirewallRed Interna

INTERNET

40


Sistemas de detección de intrusionesSistemas de detección de intrusiones

- Un sistema que intenta detectar cuando un intruso trata de

ingresar en forma no autorizada o trata de realizar una acción

“peligrosa”.

- Los IDS funcionan las 24 horas, los 365 días del año.

- Detectan intrusiones en tiempo real tomando acciones pre-

establecidas.

41



IDS de Red

- Analizar el tráfico de una red.

- Deben poder visualizar el tráfico a monitorear.

- Se basan en firmas de ataques pre-establecidas que se

actualizan.

- Los más utilizados son: SNORT, RealSecure, NFR y

el IDS de CISCO.

42



IDS de Host

- Analizar el comportamiento del equipo sobre el cual

se encuentran instalados.

- Evalúan procesos, conexiones de red, analizan logs, etc.

- Se basan en firmas de ataques pre-establecidas que se

actualizan.

- Los más utilizados son: RealSecure y NetIQ Vigilent.

43


Sistemas de Prevención de Intrusiones (IPS)Sistemas de Prevención de Intrusiones (IPS)

Los IPS actualmente se utilizan en los enlaces WAN para frenar los worms internos o en la conexión con Internet.

Depende la ubicación, necesitan un tunning muy avanzado para ser altamente efectivos.

Se basan en los IDS, pero bloquean el tráfico considerado intrusivo.

Requiere de un Administrador con conocimientos avanzados.

44


Seguridad en redes inalámbricasSeguridad en redes inalámbricas

- Implementar aspectos de seguridad de la tecnología.

- No utilizar WEP Estático.

- Utilizar WPA/WPA2.

- La red Wireless debe ir a una DMZ.

45


Seguridad en aplicaciones WEB

Las nuevas aplicaciones que se desarrollan son Web-enable. Esto permite a una organización desarrollar aplicaciones internas y que rápidamente puedan ser utilizadas en Extranet y/o Internet.

Programación segura de aplicaciones web (impedir buffer-overflow, cross-site scripting, path transversal y sql injection, entre otras).

- Medidas anti-phishing.

- OWASP www.owasp.org

46


Certificados digitales

Elevan el nivel de seguridad en el Sistema Informático,

ya que el Usuario sabe que opera en un Site seguro.

Permiten autenticar personas y equipos informáticos.

Permiten además activar la encriptación de la información

que se transmite.

47


Encriptación de las comunicacionesEncriptación de las comunicaciones

Las comunicaciones que se transmiten entre los Sistemas

Informáticos deben ir encriptadas con algoritmos fuertes cuando

los datos viajen por redes públicas no seguras.

El protocolo de encriptación más utilizando para el Comercio

Electrónico es el SSLSSL, que es muy fuerte y se encuentra presente

en la mayoría de los Browsers. Otros protocolos utilizados son:

AES y 3DES.

48


Filtrado de redes a través de VLAN’sFiltrado de redes a través de VLAN’s

En redes internas, se deben utilizar las VLAN’s (Virtual LAN’s)

para separar lógicamente las

redes e implementar mecanismos

de filtrado de seguridad entre las

distintas VLANS con ACL’s.

En una red interna se utiliza para

separar las redes de Servidores

y Estaciones de Trabajo.

49


VPN - Virtual Private Networks

Una VPN utiliza mecanismos de tunneling, encriptación,

autenticación y control de acceso para conectar usuarios o

Empresas a través de redes públicas como Internet.

Interconexiónde un usuario

50


VPN - Virtual Private NetworksVPN - Virtual Private Networks

También se utiliza para interconectar dos sucursales de una Empresa a través de redes públicas como Internet.

51


Mantenimiento de la seguridadMantenimiento de la seguridad

- La seguridad informática es DINÁMICA y por eso requiere indefectiblemente de un mantenimiento permanente.

- Establecimiento de una Política de Mantenimiento de la Seguridad en los sistemas informáticos (Dispositivos, Servidores, Estaciones de Trabajo y Aplicaciones), que incluya:

• Corrección de Vulnerabilidades.

• Aplicación de Patches de Seguridad.

• Monitoreo de LOGS.

52


Proyectos informáticos en un entorno seguroProyectos informáticos en un entorno seguro

La tendencia es incorporar la seguridad informática desde el nacimiento del proyecto.

- Lineamientos de seguridad.

- Desarrollo de aplicaciones.

- Instalación y configuración.

- Prueba pre-producción.

- Mantenimiento y soporte técnico.

53


Anti-virus/spyware/spamAnti-virus/spyware/spam

- Apoyarse en herramientas conocidas

- Problemática de los Anti-virus (Actualización – Distribución – Monitoreo centralizado).

- Problemática de los anti-spyware (Actualización – Distribución – Monitoreo centralizado).

- Problemática de los Anti-spam (Metodología de filtrado – Mensajes en cuarentena – Filtros avanzados).

54


No dejar información sensible sobre el escritorio, cajones, post-it, etc.

Bloquear siempre la estación de trabajo antes de alejarse de la misma.

Respetar las normas de seguridad definidas.

Asegurar las notebooks y encriptar la información sensible.

No abrir mensajes de correo no confiables, no esperados, o de remitentes desconocidos.

No utilizar contraseñas triviales.

Pensar que escribir o no en un mail o en papel.

Prevención a nivel PersonalPrevención a nivel Personal

55


No acceder a sitios web no confiables.

Destruir documentos importantes, antes de desecharlos.

Guardar información sensible bajo llave.

No divulgar a nadie datos sensibles como nombres de

usuario, contraseñas, etc.

Reportar toda actividad sospechosa a la mesa de ayuda.

Prevención a nivel PersonalPrevención a nivel Personal

56


Seguridad de la red de la

Gobernación de Santa Cruz

57


Proyecto de asegurar la red de la Gobernación de Santa

Cruz.

Etapas:

1. Análisis de la situación actual

2. Diseño

3. Implementación de soluciones

Seguridad de la RedSeguridad de la Red

58


Topología de la Topología de la red propuestared propuesta

- Capa Internet

- Capa Servidores

- Capa Interna

59


Capa de InternetCapa de Internet

60


Capa de Servidores, Testing y enlacesCapa de Servidores, Testing y enlaces

61


Capa internaCapa interna

62


Estrategias de Gestión de la SIEstrategias de Gestión de la SI

- Establecer una gestión centralizada de la Seguridad

Informática.

- Establecer un organigrama formal para la gestión de la

Seguridad Informática que cubra las responsabilidades

necesarias.

- Formar un staff de personal idóneo, capacitado y

correctamente dimensionado para las tareas de

seguridad.

63


Estrategias de Gestión de la SIEstrategias de Gestión de la SI

- Hosting centralizado de servidores, aplicaciones y

conexión a Internet.

- Data Center Provincial.

- Clasificación de Organismos y Dependencias conectados a

la red provincial y gestión de seguridad.

64


Recomendaciones TecnológicasRecomendaciones Tecnológicas

Autenticación centralizada

Se recomienda converger hacia un esquema de autenticación

centralizada para optimizar la seguridad y la facilidad de

administración de accesos en los sistemas internos.

Se recomienda implementar soluciones Active Directory o LDAP

y adaptar la mayor cantidad de sistemas para que autentiquen

usuarios contra estos.

Hoy en día existe una gran interoperabilidad entre diferentes

plataformas para este tipo de soluciones.

65



Sistemas operativos modernos

Se recomienda utilizar versiones de sistemas operativos

modernos y con soporte por parte del Proveedor.

Windows NT 4.0 ya no se encuentra más soportado por MS.

66



Acceso a Internet y navegación controlada

Se recomienda la implementación de un único Proxy de

navegación web y salida de otros protocolos.

La solución ideal sería ubicar un Proxy que realice autenticación

de usuarios, filtro de contenido, cache y logging.

Se recomienda para mejorar la gestión del filtro de contenidos

y protocolos organizar diferentes perfiles de usuarios.

67



Administración de parches

Se recomienda actualizar periódicamente los parches de

seguridad de todos los sistemas.

También se recomienda utilizar servidores de prueba para

testear la confiabilidad de los parches antes de implementarlos

en el entorno de producción.

68



Protocolos encriptados

Se recomienda la no utilización de protocolos que no implementan

encriptación para la comunicación de pares de usuario/password.

Algunos de los protocolos vulnerables son: Telnet, FTP, HTTP,

SMTP y POP. Actualmente existen alternativas seguras para

cualquier plataforma. Por ejemplo: SSH, SFTP,HTTPS, S/SMTP,

IMAP, SSL, entre otros.

¿Preguntas?¿Preguntas?

www.cybsec.com



Gracias por Gracias por acompañarnosacompañarnos

www.cybsec.com

