security on site i
DESCRIPTION
Security On Site I. Chema Alonso MVP Windows Server Security Informática 64 [email protected]. Agenda. Principios de Seguridad Ataques a Sistemas Actualizaciones de Seguridad Seguridad en Servidores Seguridad en Clientes. Principios de Seguridad. Seguridad. - PowerPoint PPT PresentationTRANSCRIPT
Agenda
Principios de Seguridad
Ataques a Sistemas
Actualizaciones de Seguridad
Seguridad en Servidores
Seguridad en Clientes
Principios de Seguridad
Seguridad
La seguridad depende de 3 factores:Procesos:
Procedimientos y operaciones en nuestros entornos
PersonasPoca formación
Tecnología:Estándares (TCP/IP)Productos de los fabricantes (IIS,Apache)Desarrollos personales
¿Porque Atacan?Motivos Personales
DesquitarseFundamentos políticos o terrorismoGastar una bromaLucirse y presumir
Motivos FinancierosRobar información
Chantaje
Fraudes Financieros
Hacer DañoAlterar, dañar or borrar información
Denegar servicio
Dañar la imagen pública
Impacto de los Ataques
Pérdida de Beneficios
Deterioro de la confianza de los
inversores
Daños en la reputación
Datos comprometidos
Interrupción de los procesos de
Negocio
Daños en la confianza de los
clientes
Consecuencias legales
(LOPD/LSSI)
Bug
Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.
Fuente: Wikipedia en Español
ExploitExploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:
Vulnerabilidades de desbordamiento de pila o buffer overflow. Vulnerabilidades de condición de carrera (Race condition). Vulnerabilidades de error de formato de cadena (format string bugs). Vulnerabilidades de Cross Site Scripting (XSS). Vulnerabilidades de inyección SQL (SQL injection). Vulnerabilidades de inyeccion de caraceres (CRLF).
Fuente: Wikipedia en Español
Payload
In computer virus jargon, the payload of a virus or worm is any action it is programmed to take other than merely spreading itself. The term is used for all intended functions, whether they actually work or not.
Fuente: Wikipedia
Software SeguroEl software Fiable es aquel que hace lo que se supone que debe hacer.
El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas.
Son los sorprendentes “algo mas” los que producen inseguridad.
Para estar seguro, debes de ejecutar solo software perfecto :-)
O, hacer algo para mitigar ese “algo mas”
Código y poder
El código fuente es poderTanto para defenderse como para atacar
Compartir el código es compartir el poder.Con los atacantes y defensores
Publicar el código fuente sin hacer nada más degrada la seguridad
Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.
Proceso explotación Vulnerabilidad1.- Se descubre una vulnerabilidad
a) Por el fabricante
b) Por un tercero
2.- Se aprende a explotarlo
a) Ingeniería inversa de Código
b) Ingeniería inversa de Patch
3.- Se usa un Payload para automatizar
185
502
58
208
336
53
11
336
31 27
SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion
Win32Win32
Linux/UnixLinux/Unix
Nombre Nombre del Virusdel Virus
Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus
Vulnerabilidades
http://www.securityfocus.com/bid
Sofisticación de los Ataques vs. Conocimientos requeridos
Ataques a Sistemas
Ataque:Envenenamiento ARP
Técnicas de Spoofing
Las técnicas spoofing tienen como objetivo suplantar validadores estáticosUn Un validador estáticovalidador estático es un medio de es un medio de autenticación que permanece autenticación que permanece invariable antes, durante y después de invariable antes, durante y después de la concesión.la concesión.
Niveles AfectadosNiveles Afectados
SERVICIOSERVICIO
REDRED Dirección IPDirección IP
ENLACEENLACEENLACEENLACE Dirección MACDirección MAC
Nombres de dominioNombres de dominio
Direcciones de correo electrónicoDirecciones de correo electrónico
Nombres de recursos compartidosNombres de recursos compartidos
Tipos de técnicas de Spoofing
Spoofing ARP• Envenenamiento de conexiones.• Man in the Middle.
Spoofing IP • Rip Spoofing.• Hijacking.
Spoofing SMTP
Spoofing DNS• WebSpoofing.
Ataque ARP Man In The Middle
¿Quien tiene
1.1.1.2?
1.1.
1.2
esta
en
99:8
8:77
:66:
55:4
4
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.1
1.1.1.2
1.1
.1.1
esta
en
99:8
8:7
7:6
6:5
5:4
4
Protección contra Envenenamiento
Medidas preventivas.
• Cifrado de comunicaciones.
IPSec.
Cifrado a nivel de Aplicación:• S/MIME. • SSL.
• Certificado de comunicaciones.
Medidas reactivas.
Utilización de detectores de Sniffers.
• Utilizan test de funcionamiento anómalo.
Test ICMP.
Test DNS.
Test ARP.
Sistemas de Detección de Intrusos
Protección contra Envenenamiento
Frase vs. Passwords
●●●●●● ●●●●●● ●● ●●● ●●●● ●●●●●●● ●● ●●●●●●●●●●● ●● ●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
Ataque:SQL – Injection
Explotación del Ataque
Aplicaciones con mala comprobación de datos de entrada.Datos de usuario.
FormulariosTextPasswordTextareaListmultilist
Datos de llamadas a procedimientos.LinksFunciones ScriptsActions
Datos de usuario utilizados en consultas a base de datos.
Mala construcción de consultas a bases de datos.
Riesgos
Permiten al atacante:Saltar restricciones de acceso.
Elevación de privilegios.
Extracción de información de la Base de Datos
Parada de SGBDR.
Ejecución de comandos en contexto usuario bd dentro del servidor.
Tipos de Ataques
Ejemplo 1:Autenticación de usuario contra base de datos.
Select idusuario from tabla_usuariosWhere nombre_usuario=‘$usuario’And clave=‘$clave’;
Usuario
Clave ****************
Tipos de AtaquesEjemplo 1 (cont)
Select idusuario from tabla_usuarios
Where nombre_usuario=‘Administrador’
And clave=‘’ or ‘1’=‘1’;
Usuario
Clave
Administrador
‘ or ‘1’=‘1
Tipos de Ataques
Ejemplo 2:Acceso a información con procedimientos de listado.
http://www.miweb.com/prog.asp?parametro1=hola
Ó
http://www.miweb.com/prog.asp?parametro1=1
Tipos de Ataques
Ejemplo 2 (cont):
http://www.miweb.com/prog.asp?parametro1=‘ union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:\boot.ini”); shutdown --
Ó
http://www.miweb.com/prog.asp?parametro1=-1 union select .....; otra instrucción; --
Contramedidas
No confianza en medias de protección en cliente.
Comprobación de datos de entrada.
Construcción segura de sentencias SQL.
Fortificación de Servidor Web.Códigos de error.Restricción de verbos, longitudes, etc..Filtrado de contenido HTTP en Firewall.
Fortificación de SGBD.Restricción de privilegios de motor/usuario de acceso desde web.Aislamiento de bases de datos.
Ataque:Cross-Site Scripting (XSS)
Explotación del Ataque
Datos almacenados en servidor desde cliente.
Datos van a ser visualizados por otros cliente/usuario.
Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.
Riesgos
Ejecución de código en contexto de usuario que visualiza datos.
Navegación dirigidaWebspoofingSpywareRobo de credencialesEjecución de acciones automáticasDefacement
Tipos de Ataques
Mensajes en Foros.
Firma de libro de visitas.
Contactos a través de web.
Correo Web.
En todos ellos se envían códigos Script dañinos.
Contramedidas
Fortificación de aplicaciónComprobación fiable de datos
Fortificación de ClientesEjecución de clientes en entorno menos privilegiado.Fortificación de navegador cliente.
MBSA.Políticas.
Ataque:Troyanos“Hay un amigo en mi”
Definición
Programa que se ejecuta sobre nuestra máquina y cuyo control no depende de nosotros.
Los Hackers lo llaman “Boyfriend”.
Mil formas, mil colores, mil objetivos.
Obtención de Privilegios
El programa corre sobre nuestra máquina.
Corre con una identificación de usuario del sistema.
Debe obtener privilegios para poder ejecutarse.
¿Cómo los obtiene?
Obtención de Privilegios
Fallo en la cadena:Procesos:
Sistema no cerrado.
Tecnología:Fallo en sw de sistema operativoFallo en sw ejecución de códigos.
Personas:Ingeniería Social: “¡Que lindo programita!”Navegación privilegiada
Objetivos
Control remoto:Instalan “suites” de gestión del sistema.
Robo de informaciónModificación del sistema:
PhishingCreación de usuariosPlanificación de tareas....
Instalación del Troyano
Se suele acompañar de “un caballo” para tranquilizar a la víctima.
Se añaden a otro software.EJ: Whackamole
Joiners, Binders
Incluidos en documentos que ejecutan código:
Word, excel, swf, .class, pdf, html, etc...
Instalación del Troyano
Simulando ser otro programaP2P, HTTP Servers
Paquetes Zip autodescomprimibles
Programas con fallo de .dll
Instaladores de otro SW
Troyanos “Comerciales”
Su difusión es extrema.Se han hecho famosos debido a su extensión.Suelen ser utilizados por principiantesCasi todos los sistemas Anti-Malware son capaces de detectarlos.Aún así siguen siendo útiles porque mutan.
Algunos
Back Orifice
NetBus
NetDevil
SubSeven
Ptakks
......
Detección de Troyanos
Anti-MallwareAntivirusAntiSpyware
Comportamiento anómalo del sistemaConfiguraciones nuevas
Cambio en páginas de navegaciónPuertos....
Prevención contra Troyanos
Defensa en ProfundidadMínimo Privilegio PosibleMínimo punto de exposición
Gestión de updates de seguridadAntivirus/AntiSpywareEjecución controlada de programasNavegación segura
Ataque:RootKits“Los Otros”
Definición
Software malintencionado que tiene total control de la maquina infectada y es TOTALMENTE INVISIBLE, tanto para para los usuarios de la maquina como para todo el software que se ejecuta en ella.
¿Que es un RootKit?
Originalmente – Fichero Troyano con una puerta trasera
Cambia ficheros, ejmp., netstat.exe Pueden ser detectados con herramientas tipo “Tripwire”
Hoy en día – La mayoría de los “RootKits” tienen componentes en modo Kernel
Trastornan el TCB “Trusted Computer Based”Ocultan cosasOtras capacidadesDifíciles de detectar y eliminar
Premisa: El atacante lo puede instalar de manera directa o indirecta.
Breve Historia.A principios de los años 90s, los “RootKits” aparecen por primera vez en el mundo UnixAl final de los 90s, Greg Hoglund y su equipo los introducen por primera vez en los entornos Windows. http://www.rootkit.com La creación y la detección de los RootKits continua evolucionando
Modo Usuario -> Modo Kernel -> flash RAMNuevas técnicas en cada nivel
¿Que puede hacer?
Esconder: A si mismo + algo que el intruso quiera.ProcesosFicheros y su contenidoClaves y valores del registroDrivers en modo “Kernel”Puertos
Sniffing – Trafico de Red, Log de pulsaciones de tecladoElevación de Privilegios - Modificación de los testigos de acceso (access token)Cualquier cosa que un driver o el Sistema Operativo pueda hacer…
NTDLL.DLLNtQuerySystemInformation
PSAPI.DLLEnumProcesses
Aplicación (Ejem., taskmgr, tlist)
NTOSKRNL.EXE
MODO-USUARIO
MODO-KERNEL
Código Malicioso“RootKit”
Interceptación de APIs a nivel de Usuario
NTDLL.DLLNtQuerySystemInformation
PSAPI.DLLEnumProcesses
Aplicación (Ejem., taskmgr, tlist)
NTOSKRNL.EXECódigo Malicioso
“RootKit”
Interceptación de APIs a nivel del Núcleo “KERNEL”
MODO-USUARIO
MODO-KERNEL
Hacker DefenderEs el RootKit mas extendido en los sistemas Windows.Ficha:
Autores:Holy_Father [email protected]/29A [email protected]
Version: 1.0.0Home Page: http://rootkit.host.sk, http://hxdef.czweb.orgProgramación: DelphiSO: NT, 2000, XP
ObjetivoReescribir algunos segmentos de memoria en todos los procesos que se ejecuten en una máquina para:
Esconderse a si mismo y esconder:FicherosProcesosServicios de sistemaDrivers de sistemaClaves y valores del registroPuertos abiertos
Engañar con el espacio libre en disco.Enmascarar los cambios que realiza en memoria.Instalar una puerta trasera con tecnología de “redirector”Soporta Procesos “Root”
Configuración I
Se configura mediante un fichero INI que tiene los siguientes campos:
[Hidden Table]: Listado de directorios ficheros y procesos que deben ser ocultados[Root Processes]: Procesos que no serán infectados por el RootKit.[Hidden Services]: Servicios que no se listarán[Hidden RegKeys]: Claves del registro ocultas[Hidden RegValues]: Valores del registro ocultos.
Configuración II[Startup Run]: Ejecutables que se ejecutan cada vez que se inicia el RootKit.
[Free Space]: Espacio que se añade a cada disco duro.
[Hidden Ports]: Puertos abiertos que han de ser ocultados de aplicaciones tipo OpPorts, FPort, Active Ports, Tcp View etc…
[Settings]: 8 valores para configurar diferentes cosas.
DetecciónLo mejor es no tener que detectarlos, pues no es tarea fácil. Para ello hay que evitar que entren en nuestra máquina:
Actualizar los parches del sistema
Utilizar antivirus
Utilizar firewalls
Utilizar Sistemas Operativos modernos
Si entran y somos capaces de detectarlos, la única solución fiable es formatear.
DetecciónLo mas fácil es detectarlo antes de que se instale. (Antivirus, antispyware, etc…)Si ya esta instalado se puede detectar de tres maneras:
Casualidad.Cuelgues de la máquinaSoftware AntiRootKit
Tripwire.http://www.tripwire.com/products/technology/index.cfm
RootkitRevealer de Sysinternalshttp://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
Blacklight de F-Securehttp://www.f-secure.com/blacklight/try.shtml
Las principales estrategias para poder detectarlos son:Detectar la presencia del propio RootKit.Detectar los recursos que esconden. Hacer de su virtud, su principal debilidad.
En Modo - Usuario:Puenteando las intercepciones a las llamadas de la API (escribiendo tus propias API)Detectarlos en modo “Kernel”
En modo – KernelExaminar directamente la estructura de datos en modo Kernel sin hacer llamadas a las APIsVerificación de “KiServiceTable”Verificación de las firmas de las funciones que están en memoria.
Ambos se pueden detectar.Herramientas de Debugging:
http://www.microsoft.com/whdc/devtools/debugging/ http://www.sysinternals.com/ntw2k/freeware/livekd.shtml
Técnicas de Detección
Futuro - Presente
Rootkits de BIOS programados con ACPI presentados en BlackHat Conference Enero 2006
Rootkits de BBDD presentados en Microsoft BlueHat Conference 2006
Rootkits VM presentados por Microsoft Research y Universidad Michigan Marzo 2006.
Actualizaciones de Seguridad
TTimpactoimpacto
TTriesgoriesgo
Terminología y Consideraciones acerca de las actualizaciones de Seguridad
Herramientas de Monitorización y Auditoria
El objetivo es dejar un Servidor en Día-0.Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.Existen Zero Day Exploits
Auditorias de seguridadNo son las únicas que deben hacerseSe deben realizar de forma automática y de forma manual [“artesana”].Con la visión de un atacante y con la visión del administrador.
Auditoría Caja Negra
Se realiza desde fueraOfrece la visión de un hackerNo puede ser ejecutada desde dentro Falsos positivosNo garantiza “Servidor Seguro”No todos los escáner ofrecen los mismos resultados.SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …
Scanners de Vulnerabilidades
Satan, Saint, Sara
Shadow Security Scannerhttp://www.safety-lab.com
GFI Languard Network Security Scannerhttp:///www.gfihispana.com
Retinahttp://www.eeye.com
Nessushttp://www.nessus.org
NetBrute, R3X
Auditoría Caja Blanca
Se realiza internamente
Con privilegios y visualización completa del sistema
Se utilizan herramientas proporcionadas por el fabricante o propias
MBSAEXBPAMOM 2005….
Actualizaciones en Microsoft
Security Patch
Critical Update
Update
Hotfix
Update Roll-Up
Service Pack
Niveles de Severidad
TechNet Security Bulletin Search:http://www.microsoft.com/technet/security/current.asp
Rating Definition
CriticalExploitation could allow the propagation of an Internet worm such as Code Red or Nimda without user action
ImportantExploitation could result in compromise of the confidentiality, integrity, or availability of users’ data or of the integrity or availability of processing resources
Moderate
Exploitation serious but mitigated to a significant degree by factors such as default configuration, auditing, need for user action, or difficulty of exploitation
Low Exploitation is extremely difficult, or impact is minimal
Gestión de Actualizaciones
MBSAAyuda a identificar sistemas Windows vulnerables.
Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software.Escanea distintas versiones de Windows y distintas aplicaciones.Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos. Genera informes XML sobre los resultados de cada equipo.
Corre en Windows Server 2003, Windows 2000 y Windows XPSe integra con SMS 2003 SP1, con SUS y WSUS
MBSA
EXBPAExamina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft.
Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas.Juzga la salud general del sistema.Ayuda a resolver los problemas encontrados.
Busca también Actualizaciones de Seguridad que falten.
EXBPA
Herramientas para la Gestión de Actualizaciones
Usuario Final y Pequeña Empresa:Microsoft Update
Pequeña y Mediana Empresa:Windows Software Update Services
Mediana Empresa y Corporaciones:SMS and the SMS Software Update Services Feature Pack
Productos de TercerosCompañía Producto URL
Altiris, Inc. Altiris Patch Management http://www.altiris.com
BigFix, Inc. BigFix Patch Manager http://www.bigfix.com
Configuresoft, Inc. Security Update Manager http://www.configuresoft.com
Ecora, Inc. Ecora Patch Manager http://www.ecora.com
GFI Software, Ltd. GFI LANguard Network Security Scanner http://www.gfi.com
Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com
LANDesk Software, Ltd LANDesk Patch Manager http://www.landesk.com
Novadigm, Inc. Radia Patch Manager http://www.novadigm.com
PatchLink Corp. PatchLink Update http://www.patchlink.com
Shavlik Technologies HFNetChk Pro http://www.shavlik.com
St. Bernard Software UpdateExpert http://www.stbernard.com
Fortificación de Servidores
FortificaciónConsiste en la aplicación de tres principios:
Defensa en Profundidad (DP):Máximo número de medidas de protección que se puedan aplicar siempre que:
Una medida no anule a otra
No haya deterioro en la disponibilidad del sistema
Mínimo Punto de Exposición (MPE):Un servidor solo ejecutar aquello que es estrictamente necesario para su rol
Mínimo Privilegio Posible (MPP):Cada componente del sistema se ejecuta con el menor de los privilegios necesarios.
Se puede automatizar en función del rol
Plantillas de seguridadDefinen los valores necesarios para las directivas de seguridad de los servidores en función de su rol y su entorno.
Se pueden aplicar de forma local o a través del dominio.
Afectan a los siguientes componentes:
Guía de Seguridad en Windows Server 2003
•Cuentas de usuario.•Auditorías.•Derechos de usuarios.•Opciones de seguridad.•Visor de sucesos.
•Grupos restringidos.•Servicios.•Claves de registro.•Sistema de ficheros.
Herramientas
Análisis y configuración
Resultante de políticas.Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO.
Presenta dos herramientas:RSoP. Herramienta gráfica.
GPRESULT. Línea de Comando.
GPMC
Seguridad en Servidores:Windows 2003 SP1
Mejoras en la seguridad del SistemaPost Setup Security Updates
Protección del Servidor durante el periodo en el que se instala el Servidor y la instalación de las últimas actualizaciones.
Windows Firewall esta activado por defecto si explícitamente no se configura de otra manera durante la instalación.
Mejoras en la Seguridad del SistemaPost Setup Security Updates
Mejoras en la Seguridad del Sistema
Post Setup Security Updates Se invoca después de:
Actualización de Windows NT4 a Windows Server 2003 SP1
Instalación combinada de Windows Server 2003 y SP1
NO invocada después de: Actualización desde Windows 2000 a Windows
Server 2003 SP1 Actualización desde Windows Server 2003 a SP1
Mejoras en la Seguridad del Sistema Data Execution Prevention
Se configura en el Boot.ini /noexecute=PolicyLevel OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa
para aplicaciones que se configuran específicamente. OptOut – Se activan tanto el Software DEP como el Hardware DEP.
Solo se deshabilitan para aplicaciones especificadlas en al lista de excepciones.
AlwaysOn – El Software DEP y el Hardware DEP siempre están habilitadas. Cualquier excepción es ignorada.
AlwaysOff – El Software DEP y el Hardware DEP están deshabilitadas.
Mejoras en la Seguridad del Sistema
Security Configuration Wizard Identifica puertos abiertos
El asistente se debe de ejecutar con las aplicaciones requeridas y los servicios arrancados.
Selecciona el role del servidor de la base de datos de configuración.
Configura los servicios requeridos. Configura los puertos para el Firewall de Windows Configura la seguridad para LDAP y SMB Configura una política de auditoria Configura los parámetros específicos de los roles que
tiene el servidor.
Mejoras en la Seguridad del Sistema
Security Configuration Wizard La configuración se salva en un fichero XML. Se aplica por el asistente
Se puede aplicar una política de seguridad existente a otro equipo.
Se puede aplicar desde la línea de comando. scwcmd.exe configure /p:webserverpolicy.xml Se puede usar en scripts Sripts de instalación desatendida
Security Configuration Wizard
Seguridad en Clientes
Bests Practices
Fortificación estación de TrabajoWindows XP Service Pack 2
Guía de fortificación de estaciones de Windows XP (http://www.microsoft.com/spain/technet)
Utilización de Firewall
Navegación restringida
Uso de Antivirus/Antispyware
Formación del usuario
Malicious Software Removal Malicious Software Removal ToolTool
ObjetivosObjetivosReducir el Impacto del malware en usuarios Reducir el Impacto del malware en usuarios WindowsWindows
Entender las tendencias del malwareEntender las tendencias del malware
DistribuciónDistribuciónWindows UpdateWindows Update
Centro de DescargasCentro de Descargas
Sitio WebSitio Web
Reporte disponible públicamenteReporte disponible públicamente
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9 92CDE33E99A9
Actividad de MSRTActividad de MSRT
2.7 billones de 2.7 billones de ejecucionesejecuciones
270 millones de equipos270 millones de equipos
0
750.000.000
1.500.000.000
2.250.000.000
3.000.000.000
Resultados MSRTResultados MSRT
16 millones de infecciones16 millones de infecciones
5.7 millones de equipos infectados5.7 millones de equipos infectados
1 infección cada 3111 infección cada 311
16
5,7
(mil
lio
ns)
Resultado Acumulado
Infecciones desde Enero '05
Equipos desde Junio '05
Reducción del ImpactoReducción del Impacto
75-100%; 25
50-74%; 12
25-49%; 7
0-24%; 6
Incremento; 3
Decremento; 50
Entender las tendenciasEntender las tendencias
238372
592641
781
1.151
3.538
InstantMessaging
Worm
Virus ExploitWorm
P2P Worm Rootkit MassMailingWorm
BackdoorTrojans
Tipo de Malware (miles de equipos)
Troyanos de puerta trasera son la amenaza Troyanos de puerta trasera son la amenaza mas significante y mas crecientemas significante y mas creciente
Los Rootkits son una amenaza emergenteLos Rootkits son una amenaza emergente
Ingeniería Social 35%Ingeniería Social 35%
Como ayuda VistaComo ayuda Vista
Contra el Malware..Contra el Malware..PrevenciónPrevención
AislamientoAislamiento
RemediosRemedios
PrevenciónPrevención
Vulnerabilidad de SoftwareVulnerabilidad de Software •Ciclo de desarrollo seguroCiclo de desarrollo seguro•Actualizaciones AutomáticasActualizaciones Automáticas•Windows Firewall/IPSecWindows Firewall/IPSec•Data Execution ProtectionData Execution Protection•Address Space Layout RandomizationAddress Space Layout Randomization
AmenazaAmenaza Tecnología en VistaTecnología en Vista
Ingeniería SocialIngeniería Social •User Account ControlUser Account Control•Windows DefenderWindows Defender
Vulnerabilidad de la PolíticaVulnerabilidad de la Política •Contraseña de Administrador en BlancoContraseña de Administrador en Blanco•Firma de drivers en 64 bitFirma de drivers en 64 bit•Política de Firewall por RedPolítica de Firewall por Red
AislamientoAislamientoAmenazaAmenaza Tecnología en VistaTecnología en Vista
Comportamiento del SistemaComportamiento del Sistema Integridad de Sistemas de 64-bit Integridad de Sistemas de 64-bit
Recursos del SistemaRecursos del Sistema Fortificación de ServiciosFortificación de ServiciosFirewall Bidireccional Firewall Bidireccional IE Protected ModeIE Protected Mode
Configuración del SistemaConfiguración del Sistema User Account ControlUser Account ControlWindows DefenderWindows Defender
RemediosRemediosAmenazaAmenaza Tecnología en VistaTecnología en Vista
Estado de la SeguridadEstado de la Seguridad Centro de Seguridad de WindowsCentro de Seguridad de Windows
Limpieza de Spyware Limpieza de Spyware Windows DefenderWindows Defender
Limpieza de Virus Limpieza de Virus Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool
Mejoras en la Seguridad del Sistema
Data Execution Prevention• Forzada por el hardware y el software
• Hardware DEP
• Requiere que el procesador lo soporte o implemente
• El procesador marca áreas de la memoria como No Ejecutable excepto si específicamente contiene código ejecutable.
• Puede causar problemas de compatibilidad.
•Software DEP• Funcionalidad en cualquier procesador que soporte
Windows Server 2003
• Protege los binarios del sistema de ataques relacionados con el manejo de las excepciones del sistema.
• Es raro que cause problemas de compatibilidad.
Stack
Return Address
Locals
Protección de la MemoriaProtección de la Memoria Data Execution Protection Data Execution ProtectionAddress Space Layout RandomizationAddress Space Layout Randomization
DEPDEP
Previous Frames
Parameters
Code
Application Code
Library Code
Windows Code
LoadLibrary()LoadLibrary()
ASLRASLR
Integridad de Sistemas de 64 Integridad de Sistemas de 64 bitbitApplication
CreateFile()
Kernel32.dllCreateFileW()
ntdll.dllZwCreateFile()
Interrupt Dispatch Table
2E
System Service Dispatch Table
NtCreateFile()
Interrupt Dispatch TableInterrupt Dispatch Table
Global Descriptor TableGlobal Descriptor Table
System Service Dispatch System Service Dispatch TableTable
Cambio fundamental en la Cambio fundamental en la operativa de Windowsoperativa de Windows
Hace que el sistema funcione bien como un usuario Hace que el sistema funcione bien como un usuario estándarestándar
Proporciona un método seguro para ejecutar aplicaciones Proporciona un método seguro para ejecutar aplicaciones en un contexto elevadoen un contexto elevado
Requiere marcar las aplicaciones que no sean UACRequiere marcar las aplicaciones que no sean UAC
Deja claro las acciones que tienen un impacto en todo el equipoDeja claro las acciones que tienen un impacto en todo el equipo
Virtualización del registro y ficheros para proporcionar Virtualización del registro y ficheros para proporcionar compatibilidad.compatibilidad.
Escrituras en el registro de la maquina son redirigidas a Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios localizaciones de usuario si el usuario no tiene privilegios administrativosadministrativos
Efectivamente: cuentas estándar pueden ejecutar aplicaciones Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.que necesitan cuentas de administración de manera segura.
Protección de cuentas UsuarioProtección de cuentas UsuarioUAC (User Account Control)UAC (User Account Control)
Nos ayuda a implementar el principio de menor privilegio Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas:de dos maneras distintas:
1.1. El usuario no necesita tener privilegios administrativos para El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios realizar ciertas tareas para las que se necesitas esos privilegios – En cambio:– En cambio:
Se le pregunta al usuario por credenciales con mas privilegiosSe le pregunta al usuario por credenciales con mas privilegios
2.2. Aunque el usuario tenga privilegios superiores( Ejem. un Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitadosantes de que esos derechos sean ejercitados
No se necesita volver a proporcionar las credenciales, solo se No se necesita volver a proporcionar las credenciales, solo se necesita el consentimientonecesita el consentimiento
Leer: Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspxx
Internet Explorer 7Internet Explorer 7Además de ser compatible con UAC, incluirá:Además de ser compatible con UAC, incluirá:
Modo ProtegidoModo Protegido que solo permite a IE navegar sin mas que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar permisos, aunque el usuario los tenga. Ejem. Instalar softwaresoftware
Modo de “Solo-lectura”, excepto para los ficheros temporales Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de de Internet cuando el navegador esta en Zona de seguridad de InternetInternet
Filtro contra PhisingFiltro contra Phising que actualiza Microsoft cada poco que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datostiempo y usa una red global de fuentes de datos
ActiveX Opt-in, da al usuario el control de los controles ActiveX Opt-in, da al usuario el control de los controles ActivexActivex
Todos los datos de cache se eliminan con un solo clickTodos los datos de cache se eliminan con un solo click
MIC & UIPI
Mandatory Integrity Control (MIC).Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.
Niveles de Integridad: Bajo, Medo, Alto y de Sistema
Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad
A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso
User Interfacer Privilege Isolation (UIPI)Bloquea el acceso de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.
Filtro anti-PhishingFiltro anti-PhishingProtección dinámica contra Webs Protección dinámica contra Webs FraudulentasFraudulentasRealiza 3Realiza 3 chequeos para proteger al usuario de chequeos para proteger al usuario de posibles timos:posibles timos:
1.1. Compara el Sitio Web con la lista local de sitios legítimos conocidosCompara el Sitio Web con la lista local de sitios legítimos conocidos
2.2. Escanea el sitio Web para conseguir características comunes a los Escanea el sitio Web para conseguir características comunes a los sitios con Phisingsitios con Phising
3.3. Cheque el sitio con el servicio online que tiene Microsoft sobre sitios Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada horareportados que se actualiza varias veces cada hora
Level 1: Warn Suspicious Website
Signaled
Level 2: Block Confirmed Phishing Site
Signaled and Blocked
Dos niveles de Aviso y protección en la barra de Dos niveles de Aviso y protección en la barra de estado de IE7estado de IE7
Windows DefenderWindows Defender
MonitorizaciónMonitorización
DetecciónDetección
LimpiezaLimpieza
Software ExplorerSoftware Explorer
SpyNetSpyNet
10 Immutable Laws of Security
1If an attacker can persuade you to run his program on your computer, it's not your computer anymore.
2If an attacker can alter the operating system on your computer, it's not your computer anymore.
3If an attacker has unrestricted physical access to your computer, it's not your computer anymore.
4If you allow an attacker to upload programs to your website, it's not your website anymore.
5 Weak passwords prevail over strong security.
6 A machine is only as secure as the administrator is trustworthy.
7 Encrypted data is only as secure as the decryption key.
8 An out-of-date virus scanner is only marginally better than no virus scanner at all.
9 Absolute anonymity isn't practical, in real life or on the Web.
10 Technology is not a panacea.
http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp
¿ Preguntas ?
Web MVPs
TechNews
Suscripción gratuita enviando un mail:mailto:[email protected]
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker.
Sistemas http://www.microsoft.com/spain/HOLsistemas
Desarrollo http://www.microsoft.com/spain/HOLdesarrollo
Contacto
Chema [email protected]
http://www.elladodelmal.com
http://www.vista-tecnica.com
http://www.informatica64.com/retohacking