Security On Site I

Chema AlonsoMVP Windows Server Security

Informática 64 chema@informatica64.com

Agenda

Principios de Seguridad

Ataques a Sistemas

Actualizaciones de Seguridad

Seguridad en Servidores

Seguridad en Clientes

Principios de Seguridad

Seguridad

La seguridad depende de 3 factores:Procesos:

Procedimientos y operaciones en nuestros entornos

PersonasPoca formación

Tecnología:Estándares (TCP/IP)Productos de los fabricantes (IIS,Apache)Desarrollos personales

¿Porque Atacan?Motivos Personales

DesquitarseFundamentos políticos o terrorismoGastar una bromaLucirse y presumir

Motivos FinancierosRobar información

Chantaje

Fraudes Financieros

Hacer DañoAlterar, dañar or borrar información

Denegar servicio

Dañar la imagen pública

Impacto de los Ataques

Pérdida de Beneficios

Deterioro de la confianza de los

inversores

Daños en la reputación

Datos comprometidos

Interrupción de los procesos de

Negocio

Daños en la confianza de los

clientes

Consecuencias legales

(LOPD/LSSI)

Bug

Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.

Fuente: Wikipedia en Español

ExploitExploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:

Vulnerabilidades de desbordamiento de pila o buffer overflow. Vulnerabilidades de condición de carrera (Race condition). Vulnerabilidades de error de formato de cadena (format string bugs). Vulnerabilidades de Cross Site Scripting (XSS). Vulnerabilidades de inyección SQL (SQL injection). Vulnerabilidades de inyeccion de caraceres (CRLF).

Fuente: Wikipedia en Español

Payload

In computer virus jargon, the payload of a virus or worm is any action it is programmed to take other than merely spreading itself. The term is used for all intended functions, whether they actually work or not.

Fuente: Wikipedia

Software SeguroEl software Fiable es aquel que hace lo que se supone que debe hacer.

El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas.

Son los sorprendentes “algo mas” los que producen inseguridad.

Para estar seguro, debes de ejecutar solo software perfecto :-)

O, hacer algo para mitigar ese “algo mas”

Código y poder

El código fuente es poderTanto para defenderse como para atacar

Compartir el código es compartir el poder.Con los atacantes y defensores

Publicar el código fuente sin hacer nada más degrada la seguridad

Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.

Proceso explotación Vulnerabilidad1.- Se descubre una vulnerabilidad

a) Por el fabricante

b) Por un tercero

2.- Se aprende a explotarlo

a) Ingeniería inversa de Código

b) Ingeniería inversa de Patch

3.- Se usa un Payload para automatizar

185

502

58

208

336

53

11

336

31 27

SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion

Win32Win32

Linux/UnixLinux/Unix

Nombre Nombre del Virusdel Virus

Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus

Vulnerabilidades

http://www.securityfocus.com/bid

Sofisticación de los Ataques vs. Conocimientos requeridos

Ataques a Sistemas

Ataque:Envenenamiento ARP

Técnicas de Spoofing

Las técnicas spoofing tienen como objetivo suplantar validadores estáticosUn Un validador estáticovalidador estático es un medio de es un medio de autenticación que permanece autenticación que permanece invariable antes, durante y después de invariable antes, durante y después de la concesión.la concesión.

Niveles AfectadosNiveles Afectados

SERVICIOSERVICIO

REDRED Dirección IPDirección IP

ENLACEENLACEENLACEENLACE Dirección MACDirección MAC

Nombres de dominioNombres de dominio

Direcciones de correo electrónicoDirecciones de correo electrónico

Nombres de recursos compartidosNombres de recursos compartidos

Tipos de técnicas de Spoofing

Spoofing ARP• Envenenamiento de conexiones.• Man in the Middle.

Spoofing IP • Rip Spoofing.• Hijacking.

Spoofing SMTP

Spoofing DNS• WebSpoofing.

Ataque ARP Man In The Middle

¿Quien tiene

1.1.1.2?

1.1.

1.2

esta

en

99:8

8:77

:66:

55:4

4

1.1.1.2 esta en 00:11:22:33:44:55:66

1.1.1.1

1.1.1.2

1.1

.1.1

esta

en

99:8

8:7

7:6

6:5

5:4

4

Protección contra Envenenamiento

Medidas preventivas.

• Cifrado de comunicaciones.

IPSec.

Cifrado a nivel de Aplicación:• S/MIME. • SSL.

• Certificado de comunicaciones.

Medidas reactivas.

Utilización de detectores de Sniffers.

• Utilizan test de funcionamiento anómalo.

Test ICMP.

Test DNS.

Test ARP.

Sistemas de Detección de Intrusos

Protección contra Envenenamiento

Frase vs. Passwords

●●●●●● ●●●●●● ●● ●●● ●●●● ●●●●●●● ●● ●●●●●●●●●●● ●● ●●●●●●●●●●●●●●

●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●

Ataque:SQL – Injection

Explotación del Ataque

Aplicaciones con mala comprobación de datos de entrada.Datos de usuario.

FormulariosTextPasswordTextareaListmultilist

Datos de llamadas a procedimientos.LinksFunciones ScriptsActions

Datos de usuario utilizados en consultas a base de datos.

Mala construcción de consultas a bases de datos.

Riesgos

Permiten al atacante:Saltar restricciones de acceso.

Elevación de privilegios.

Extracción de información de la Base de Datos

Parada de SGBDR.

Ejecución de comandos en contexto usuario bd dentro del servidor.

Tipos de Ataques

Ejemplo 1:Autenticación de usuario contra base de datos.

Select idusuario from tabla_usuariosWhere nombre_usuario=‘$usuario’And clave=‘$clave’;

Usuario

Clave ****************

Tipos de AtaquesEjemplo 1 (cont)

Select idusuario from tabla_usuarios

Where nombre_usuario=‘Administrador’

And clave=‘’ or ‘1’=‘1’;

Usuario

Clave

Administrador

‘ or ‘1’=‘1

Tipos de Ataques

Ejemplo 2:Acceso a información con procedimientos de listado.

http://www.miweb.com/prog.asp?parametro1=hola

Ó

http://www.miweb.com/prog.asp?parametro1=1

Tipos de Ataques

Ejemplo 2 (cont):

http://www.miweb.com/prog.asp?parametro1=‘ union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:\boot.ini”); shutdown --

Ó

http://www.miweb.com/prog.asp?parametro1=-1 union select .....; otra instrucción; --

Contramedidas

No confianza en medias de protección en cliente.

Comprobación de datos de entrada.

Construcción segura de sentencias SQL.

Fortificación de Servidor Web.Códigos de error.Restricción de verbos, longitudes, etc..Filtrado de contenido HTTP en Firewall.

Fortificación de SGBD.Restricción de privilegios de motor/usuario de acceso desde web.Aislamiento de bases de datos.

Ataque:Cross-Site Scripting (XSS)

Explotación del Ataque

Datos almacenados en servidor desde cliente.

Datos van a ser visualizados por otros cliente/usuario.

Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

Riesgos

Ejecución de código en contexto de usuario que visualiza datos.

Navegación dirigidaWebspoofingSpywareRobo de credencialesEjecución de acciones automáticasDefacement

Tipos de Ataques

Mensajes en Foros.

Firma de libro de visitas.

Contactos a través de web.

Correo Web.

En todos ellos se envían códigos Script dañinos.

Contramedidas

Fortificación de aplicaciónComprobación fiable de datos

Fortificación de ClientesEjecución de clientes en entorno menos privilegiado.Fortificación de navegador cliente.

MBSA.Políticas.

Ataque:Troyanos“Hay un amigo en mi”

Definición

Programa que se ejecuta sobre nuestra máquina y cuyo control no depende de nosotros.

Los Hackers lo llaman “Boyfriend”.

Mil formas, mil colores, mil objetivos.

Obtención de Privilegios

El programa corre sobre nuestra máquina.

Corre con una identificación de usuario del sistema.

Debe obtener privilegios para poder ejecutarse.

¿Cómo los obtiene?

Obtención de Privilegios

Fallo en la cadena:Procesos:

Sistema no cerrado.

Tecnología:Fallo en sw de sistema operativoFallo en sw ejecución de códigos.

Personas:Ingeniería Social: “¡Que lindo programita!”Navegación privilegiada

Objetivos

Control remoto:Instalan “suites” de gestión del sistema.

Robo de informaciónModificación del sistema:

PhishingCreación de usuariosPlanificación de tareas....

Instalación del Troyano

Se suele acompañar de “un caballo” para tranquilizar a la víctima.

Se añaden a otro software.EJ: Whackamole

Joiners, Binders

Incluidos en documentos que ejecutan código:

Word, excel, swf, .class, pdf, html, etc...

Instalación del Troyano

Simulando ser otro programaP2P, HTTP Servers

Paquetes Zip autodescomprimibles

Programas con fallo de .dll

Instaladores de otro SW

Troyanos “Comerciales”

Su difusión es extrema.Se han hecho famosos debido a su extensión.Suelen ser utilizados por principiantesCasi todos los sistemas Anti-Malware son capaces de detectarlos.Aún así siguen siendo útiles porque mutan.

Algunos

Back Orifice

NetBus

NetDevil

SubSeven

Ptakks

......

Detección de Troyanos

Anti-MallwareAntivirusAntiSpyware

Comportamiento anómalo del sistemaConfiguraciones nuevas

Cambio en páginas de navegaciónPuertos....

Prevención contra Troyanos

Defensa en ProfundidadMínimo Privilegio PosibleMínimo punto de exposición

Gestión de updates de seguridadAntivirus/AntiSpywareEjecución controlada de programasNavegación segura

Ataque:RootKits“Los Otros”

Definición

Software malintencionado que tiene total control de la maquina infectada y es TOTALMENTE INVISIBLE, tanto para para los usuarios de la maquina como para todo el software que se ejecuta en ella.

¿Que es un RootKit?

Originalmente – Fichero Troyano con una puerta trasera

Cambia ficheros, ejmp., netstat.exe Pueden ser detectados con herramientas tipo “Tripwire”

Hoy en día – La mayoría de los “RootKits” tienen componentes en modo Kernel

Trastornan el TCB “Trusted Computer Based”Ocultan cosasOtras capacidadesDifíciles de detectar y eliminar

Premisa: El atacante lo puede instalar de manera directa o indirecta.

Breve Historia.A principios de los años 90s, los “RootKits” aparecen por primera vez en el mundo UnixAl final de los 90s, Greg Hoglund y su equipo los introducen por primera vez en los entornos Windows. http://www.rootkit.com La creación y la detección de los RootKits continua evolucionando

Modo Usuario -> Modo Kernel -> flash RAMNuevas técnicas en cada nivel

¿Que puede hacer?

Esconder: A si mismo + algo que el intruso quiera.ProcesosFicheros y su contenidoClaves y valores del registroDrivers en modo “Kernel”Puertos

Sniffing – Trafico de Red, Log de pulsaciones de tecladoElevación de Privilegios - Modificación de los testigos de acceso (access token)Cualquier cosa que un driver o el Sistema Operativo pueda hacer…

NTDLL.DLLNtQuerySystemInformation

PSAPI.DLLEnumProcesses

Aplicación (Ejem., taskmgr, tlist)

NTOSKRNL.EXE

MODO-USUARIO

MODO-KERNEL

Código Malicioso“RootKit”

Interceptación de APIs a nivel de Usuario

NTDLL.DLLNtQuerySystemInformation

PSAPI.DLLEnumProcesses

Aplicación (Ejem., taskmgr, tlist)

NTOSKRNL.EXECódigo Malicioso

“RootKit”

Interceptación de APIs a nivel del Núcleo “KERNEL”

MODO-USUARIO

MODO-KERNEL

Hacker DefenderEs el RootKit mas extendido en los sistemas Windows.Ficha:

Autores:Holy_Father holy_father@phreaker.netRatter/29A ratter@atlas.cz

Version: 1.0.0Home Page: http://rootkit.host.sk, http://hxdef.czweb.orgProgramación: DelphiSO: NT, 2000, XP

ObjetivoReescribir algunos segmentos de memoria en todos los procesos que se ejecuten en una máquina para:

Esconderse a si mismo y esconder:FicherosProcesosServicios de sistemaDrivers de sistemaClaves y valores del registroPuertos abiertos

Engañar con el espacio libre en disco.Enmascarar los cambios que realiza en memoria.Instalar una puerta trasera con tecnología de “redirector”Soporta Procesos “Root”

Configuración I

Se configura mediante un fichero INI que tiene los siguientes campos:

[Hidden Table]: Listado de directorios ficheros y procesos que deben ser ocultados[Root Processes]: Procesos que no serán infectados por el RootKit.[Hidden Services]: Servicios que no se listarán[Hidden RegKeys]: Claves del registro ocultas[Hidden RegValues]: Valores del registro ocultos.

Configuración II[Startup Run]: Ejecutables que se ejecutan cada vez que se inicia el RootKit.

[Free Space]: Espacio que se añade a cada disco duro.

[Hidden Ports]: Puertos abiertos que han de ser ocultados de aplicaciones tipo OpPorts, FPort, Active Ports, Tcp View etc…

[Settings]: 8 valores para configurar diferentes cosas.

DetecciónLo mejor es no tener que detectarlos, pues no es tarea fácil. Para ello hay que evitar que entren en nuestra máquina:

Actualizar los parches del sistema

Utilizar antivirus

Utilizar firewalls

Utilizar Sistemas Operativos modernos

Si entran y somos capaces de detectarlos, la única solución fiable es formatear.

DetecciónLo mas fácil es detectarlo antes de que se instale. (Antivirus, antispyware, etc…)Si ya esta instalado se puede detectar de tres maneras:

Casualidad.Cuelgues de la máquinaSoftware AntiRootKit

Tripwire.http://www.tripwire.com/products/technology/index.cfm

RootkitRevealer de Sysinternalshttp://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml

Blacklight de F-Securehttp://www.f-secure.com/blacklight/try.shtml

Las principales estrategias para poder detectarlos son:Detectar la presencia del propio RootKit.Detectar los recursos que esconden. Hacer de su virtud, su principal debilidad.

En Modo - Usuario:Puenteando las intercepciones a las llamadas de la API (escribiendo tus propias API)Detectarlos en modo “Kernel”

En modo – KernelExaminar directamente la estructura de datos en modo Kernel sin hacer llamadas a las APIsVerificación de “KiServiceTable”Verificación de las firmas de las funciones que están en memoria.

Ambos se pueden detectar.Herramientas de Debugging:

http://www.microsoft.com/whdc/devtools/debugging/ http://www.sysinternals.com/ntw2k/freeware/livekd.shtml

Técnicas de Detección

Futuro - Presente

Rootkits de BIOS programados con ACPI presentados en BlackHat Conference Enero 2006

Rootkits de BBDD presentados en Microsoft BlueHat Conference 2006

Rootkits VM presentados por Microsoft Research y Universidad Michigan Marzo 2006.

Actualizaciones de Seguridad

TTimpactoimpacto

TTriesgoriesgo

Terminología y Consideraciones acerca de las actualizaciones de Seguridad

Herramientas de Monitorización y Auditoria

El objetivo es dejar un Servidor en Día-0.Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.Existen Zero Day Exploits

Auditorias de seguridadNo son las únicas que deben hacerseSe deben realizar de forma automática y de forma manual [“artesana”].Con la visión de un atacante y con la visión del administrador.

Auditoría Caja Negra

Se realiza desde fueraOfrece la visión de un hackerNo puede ser ejecutada desde dentro Falsos positivosNo garantiza “Servidor Seguro”No todos los escáner ofrecen los mismos resultados.SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …

Scanners de Vulnerabilidades

Satan, Saint, Sara

Shadow Security Scannerhttp://www.safety-lab.com

GFI Languard Network Security Scannerhttp:///www.gfihispana.com

Retinahttp://www.eeye.com

Nessushttp://www.nessus.org

NetBrute, R3X

Auditoría Caja Blanca

Se realiza internamente

Con privilegios y visualización completa del sistema

Se utilizan herramientas proporcionadas por el fabricante o propias

MBSAEXBPAMOM 2005….

Actualizaciones en Microsoft

Security Patch

Critical Update

Update

Hotfix

Update Roll-Up

Service Pack

Niveles de Severidad

TechNet Security Bulletin Search:http://www.microsoft.com/technet/security/current.asp

Rating Definition

CriticalExploitation could allow the propagation of an Internet worm such as Code Red or Nimda without user action

ImportantExploitation could result in compromise of the confidentiality, integrity, or availability of users’ data or of the integrity or availability of processing resources

Moderate

Exploitation serious but mitigated to a significant degree by factors such as default configuration, auditing, need for user action, or difficulty of exploitation

Low Exploitation is extremely difficult, or impact is minimal

Gestión de Actualizaciones

MBSAAyuda a identificar sistemas Windows vulnerables.

Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software.Escanea distintas versiones de Windows y distintas aplicaciones.Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos. Genera informes XML sobre los resultados de cada equipo.

Corre en Windows Server 2003, Windows 2000 y Windows XPSe integra con SMS 2003 SP1, con SUS y WSUS

MBSA

EXBPAExamina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft.

Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas.Juzga la salud general del sistema.Ayuda a resolver los problemas encontrados.

Busca también Actualizaciones de Seguridad que falten.

EXBPA

Herramientas para la Gestión de Actualizaciones

Usuario Final y Pequeña Empresa:Microsoft Update

Pequeña y Mediana Empresa:Windows Software Update Services

Mediana Empresa y Corporaciones:SMS and the SMS Software Update Services Feature Pack

Productos de TercerosCompañía Producto URL

Altiris, Inc. Altiris Patch Management http://www.altiris.com

BigFix, Inc. BigFix Patch Manager http://www.bigfix.com

Configuresoft, Inc. Security Update Manager http://www.configuresoft.com

Ecora, Inc. Ecora Patch Manager http://www.ecora.com

GFI Software, Ltd. GFI LANguard Network Security Scanner http://www.gfi.com

Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com

LANDesk Software, Ltd LANDesk Patch Manager http://www.landesk.com

Novadigm, Inc. Radia Patch Manager http://www.novadigm.com

PatchLink Corp. PatchLink Update http://www.patchlink.com

Shavlik Technologies HFNetChk Pro http://www.shavlik.com

St. Bernard Software UpdateExpert http://www.stbernard.com

Fortificación de Servidores

FortificaciónConsiste en la aplicación de tres principios:

Defensa en Profundidad (DP):Máximo número de medidas de protección que se puedan aplicar siempre que:

Una medida no anule a otra

No haya deterioro en la disponibilidad del sistema

Mínimo Punto de Exposición (MPE):Un servidor solo ejecutar aquello que es estrictamente necesario para su rol

Mínimo Privilegio Posible (MPP):Cada componente del sistema se ejecuta con el menor de los privilegios necesarios.

Se puede automatizar en función del rol

Plantillas de seguridadDefinen los valores necesarios para las directivas de seguridad de los servidores en función de su rol y su entorno.

Se pueden aplicar de forma local o a través del dominio.

Afectan a los siguientes componentes:

Guía de Seguridad en Windows Server 2003

•Cuentas de usuario.•Auditorías.•Derechos de usuarios.•Opciones de seguridad.•Visor de sucesos.

•Grupos restringidos.•Servicios.•Claves de registro.•Sistema de ficheros.

Herramientas

Análisis y configuración

Resultante de políticas.Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO.

Presenta dos herramientas:RSoP. Herramienta gráfica.

GPRESULT. Línea de Comando.

GPMC

Seguridad en Servidores:Windows 2003 SP1

Mejoras en la seguridad del SistemaPost Setup Security Updates

Protección del Servidor durante el periodo en el que se instala el Servidor y la instalación de las últimas actualizaciones.

Windows Firewall esta activado por defecto si explícitamente no se configura de otra manera durante la instalación.

Mejoras en la Seguridad del SistemaPost Setup Security Updates

Mejoras en la Seguridad del Sistema

Post Setup Security Updates Se invoca después de:

Actualización de Windows NT4 a Windows Server 2003 SP1

Instalación combinada de Windows Server 2003 y SP1

NO invocada después de: Actualización desde Windows 2000 a Windows

Server 2003 SP1 Actualización desde Windows Server 2003 a SP1

Mejoras en la Seguridad del Sistema Data Execution Prevention

Se configura en el Boot.ini /noexecute=PolicyLevel OptIn – Se habilita el Software DEP. El Hardware DEP solo se activa

para aplicaciones que se configuran específicamente. OptOut – Se activan tanto el Software DEP como el Hardware DEP.

Solo se deshabilitan para aplicaciones especificadlas en al lista de excepciones.

AlwaysOn – El Software DEP y el Hardware DEP siempre están habilitadas. Cualquier excepción es ignorada.

AlwaysOff – El Software DEP y el Hardware DEP están deshabilitadas.

Mejoras en la Seguridad del Sistema

Security Configuration Wizard Identifica puertos abiertos

El asistente se debe de ejecutar con las aplicaciones requeridas y los servicios arrancados.

Selecciona el role del servidor de la base de datos de configuración.

Configura los servicios requeridos. Configura los puertos para el Firewall de Windows Configura la seguridad para LDAP y SMB Configura una política de auditoria Configura los parámetros específicos de los roles que

tiene el servidor.

Mejoras en la Seguridad del Sistema

Security Configuration Wizard La configuración se salva en un fichero XML. Se aplica por el asistente

Se puede aplicar una política de seguridad existente a otro equipo.

Se puede aplicar desde la línea de comando. scwcmd.exe configure /p:webserverpolicy.xml Se puede usar en scripts Sripts de instalación desatendida

Security Configuration Wizard

Seguridad en Clientes

Bests Practices

Fortificación estación de TrabajoWindows XP Service Pack 2

Guía de fortificación de estaciones de Windows XP (http://www.microsoft.com/spain/technet)

Utilización de Firewall

Navegación restringida

Uso de Antivirus/Antispyware

Formación del usuario

Malicious Software Removal Malicious Software Removal ToolTool

ObjetivosObjetivosReducir el Impacto del malware en usuarios Reducir el Impacto del malware en usuarios WindowsWindows

Entender las tendencias del malwareEntender las tendencias del malware

DistribuciónDistribuciónWindows UpdateWindows Update

Centro de DescargasCentro de Descargas

Sitio WebSitio Web

Reporte disponible públicamenteReporte disponible públicamente

http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-displaylang=es&FamilyID=47DDCFA9-645D-4495-9EDA-92CDE33E99A9 92CDE33E99A9

Actividad de MSRTActividad de MSRT

2.7 billones de 2.7 billones de ejecucionesejecuciones

270 millones de equipos270 millones de equipos

0

750.000.000

1.500.000.000

2.250.000.000

3.000.000.000

Resultados MSRTResultados MSRT

16 millones de infecciones16 millones de infecciones

5.7 millones de equipos infectados5.7 millones de equipos infectados

1 infección cada 3111 infección cada 311

16

5,7

(mil

lio

ns)

Resultado Acumulado

Infecciones desde Enero '05

Equipos desde Junio '05

Reducción del ImpactoReducción del Impacto

75-100%; 25

50-74%; 12

25-49%; 7

0-24%; 6

Incremento; 3

Decremento; 50

Entender las tendenciasEntender las tendencias

238372

592641

781

1.151

3.538

InstantMessaging

Worm

Virus ExploitWorm

P2P Worm Rootkit MassMailingWorm

BackdoorTrojans

Tipo de Malware (miles de equipos)

Troyanos de puerta trasera son la amenaza Troyanos de puerta trasera son la amenaza mas significante y mas crecientemas significante y mas creciente

Los Rootkits son una amenaza emergenteLos Rootkits son una amenaza emergente

Ingeniería Social 35%Ingeniería Social 35%

Como ayuda VistaComo ayuda Vista

Contra el Malware..Contra el Malware..PrevenciónPrevención

AislamientoAislamiento

RemediosRemedios

PrevenciónPrevención

Vulnerabilidad de SoftwareVulnerabilidad de Software •Ciclo de desarrollo seguroCiclo de desarrollo seguro•Actualizaciones AutomáticasActualizaciones Automáticas•Windows Firewall/IPSecWindows Firewall/IPSec•Data Execution ProtectionData Execution Protection•Address Space Layout RandomizationAddress Space Layout Randomization

AmenazaAmenaza Tecnología en VistaTecnología en Vista

Ingeniería SocialIngeniería Social •User Account ControlUser Account Control•Windows DefenderWindows Defender

Vulnerabilidad de la PolíticaVulnerabilidad de la Política •Contraseña de Administrador en BlancoContraseña de Administrador en Blanco•Firma de drivers en 64 bitFirma de drivers en 64 bit•Política de Firewall por RedPolítica de Firewall por Red

AislamientoAislamientoAmenazaAmenaza Tecnología en VistaTecnología en Vista

Comportamiento del SistemaComportamiento del Sistema Integridad de Sistemas de 64-bit Integridad de Sistemas de 64-bit

Recursos del SistemaRecursos del Sistema Fortificación de ServiciosFortificación de ServiciosFirewall Bidireccional Firewall Bidireccional IE Protected ModeIE Protected Mode

Configuración del SistemaConfiguración del Sistema User Account ControlUser Account ControlWindows DefenderWindows Defender

RemediosRemediosAmenazaAmenaza Tecnología en VistaTecnología en Vista

Estado de la SeguridadEstado de la Seguridad Centro de Seguridad de WindowsCentro de Seguridad de Windows

Limpieza de Spyware Limpieza de Spyware Windows DefenderWindows Defender

Limpieza de Virus Limpieza de Virus Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool

Mejoras en la Seguridad del Sistema

Data Execution Prevention• Forzada por el hardware y el software

• Hardware DEP

• Requiere que el procesador lo soporte o implemente

• El procesador marca áreas de la memoria como No Ejecutable excepto si específicamente contiene código ejecutable.

• Puede causar problemas de compatibilidad.

•Software DEP• Funcionalidad en cualquier procesador que soporte

Windows Server 2003

• Protege los binarios del sistema de ataques relacionados con el manejo de las excepciones del sistema.

• Es raro que cause problemas de compatibilidad.

Stack

Return Address

Locals

Protección de la MemoriaProtección de la Memoria Data Execution Protection Data Execution ProtectionAddress Space Layout RandomizationAddress Space Layout Randomization

DEPDEP

Previous Frames

Parameters

Code

Application Code

Library Code

Windows Code

LoadLibrary()LoadLibrary()

ASLRASLR

Integridad de Sistemas de 64 Integridad de Sistemas de 64 bitbitApplication

CreateFile()

Kernel32.dllCreateFileW()

ntdll.dllZwCreateFile()

Interrupt Dispatch Table

2E

System Service Dispatch Table

NtCreateFile()

Interrupt Dispatch TableInterrupt Dispatch Table

Global Descriptor TableGlobal Descriptor Table

System Service Dispatch System Service Dispatch TableTable

Cambio fundamental en la Cambio fundamental en la operativa de Windowsoperativa de Windows

Hace que el sistema funcione bien como un usuario Hace que el sistema funcione bien como un usuario estándarestándar

Proporciona un método seguro para ejecutar aplicaciones Proporciona un método seguro para ejecutar aplicaciones en un contexto elevadoen un contexto elevado

Requiere marcar las aplicaciones que no sean UACRequiere marcar las aplicaciones que no sean UAC

Deja claro las acciones que tienen un impacto en todo el equipoDeja claro las acciones que tienen un impacto en todo el equipo

Virtualización del registro y ficheros para proporcionar Virtualización del registro y ficheros para proporcionar compatibilidad.compatibilidad.

Escrituras en el registro de la maquina son redirigidas a Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios localizaciones de usuario si el usuario no tiene privilegios administrativosadministrativos

Efectivamente: cuentas estándar pueden ejecutar aplicaciones Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.que necesitan cuentas de administración de manera segura.

Protección de cuentas UsuarioProtección de cuentas UsuarioUAC (User Account Control)UAC (User Account Control)

Nos ayuda a implementar el principio de menor privilegio Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas:de dos maneras distintas:

1.1. El usuario no necesita tener privilegios administrativos para El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios realizar ciertas tareas para las que se necesitas esos privilegios – En cambio:– En cambio:

Se le pregunta al usuario por credenciales con mas privilegiosSe le pregunta al usuario por credenciales con mas privilegios

2.2. Aunque el usuario tenga privilegios superiores( Ejem. un Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitadosantes de que esos derechos sean ejercitados

No se necesita volver a proporcionar las credenciales, solo se No se necesita volver a proporcionar las credenciales, solo se necesita el consentimientonecesita el consentimiento

Leer: Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspxx

Internet Explorer 7Internet Explorer 7Además de ser compatible con UAC, incluirá:Además de ser compatible con UAC, incluirá:

Modo ProtegidoModo Protegido que solo permite a IE navegar sin mas que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar permisos, aunque el usuario los tenga. Ejem. Instalar softwaresoftware

Modo de “Solo-lectura”, excepto para los ficheros temporales Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de de Internet cuando el navegador esta en Zona de seguridad de InternetInternet

Filtro contra PhisingFiltro contra Phising que actualiza Microsoft cada poco que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datostiempo y usa una red global de fuentes de datos

ActiveX Opt-in, da al usuario el control de los controles ActiveX Opt-in, da al usuario el control de los controles ActivexActivex

Todos los datos de cache se eliminan con un solo clickTodos los datos de cache se eliminan con un solo click

MIC & UIPI

Mandatory Integrity Control (MIC).Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.

Niveles de Integridad: Bajo, Medo, Alto y de Sistema

Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad

A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso

User Interfacer Privilege Isolation (UIPI)Bloquea el acceso de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.

Filtro anti-PhishingFiltro anti-PhishingProtección dinámica contra Webs Protección dinámica contra Webs FraudulentasFraudulentasRealiza 3Realiza 3 chequeos para proteger al usuario de chequeos para proteger al usuario de posibles timos:posibles timos:

1.1. Compara el Sitio Web con la lista local de sitios legítimos conocidosCompara el Sitio Web con la lista local de sitios legítimos conocidos

2.2. Escanea el sitio Web para conseguir características comunes a los Escanea el sitio Web para conseguir características comunes a los sitios con Phisingsitios con Phising

3.3. Cheque el sitio con el servicio online que tiene Microsoft sobre sitios Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada horareportados que se actualiza varias veces cada hora

Level 1: Warn Suspicious Website

Signaled

Level 2: Block Confirmed Phishing Site

Signaled and Blocked

Dos niveles de Aviso y protección en la barra de Dos niveles de Aviso y protección en la barra de estado de IE7estado de IE7

Windows DefenderWindows Defender

MonitorizaciónMonitorización

DetecciónDetección

LimpiezaLimpieza

Software ExplorerSoftware Explorer

SpyNetSpyNet

10 Immutable Laws of Security

1If an attacker can persuade you to run his program on your computer, it's not your computer anymore.

2If an attacker can alter the operating system on your computer, it's not your computer anymore.

3If an attacker has unrestricted physical access to your computer, it's not your computer anymore.

4If you allow an attacker to upload programs to your website, it's not your website anymore.

5 Weak passwords prevail over strong security.

6 A machine is only as secure as the administrator is trustworthy.

7 Encrypted data is only as secure as the decryption key.

8 An out-of-date virus scanner is only marginally better than no virus scanner at all.

9 Absolute anonymity isn't practical, in real life or on the Web.

10 Technology is not a panacea.

http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp

¿ Preguntas ?

Web MVPs

TechNews

Suscripción gratuita enviando un mail:mailto:technews@informatica64.com

Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker.

Sistemas http://www.microsoft.com/spain/HOLsistemas

Desarrollo http://www.microsoft.com/spain/HOLdesarrollo

Contacto

Chema Alonsochema@informatica64.com

http://www.elladodelmal.com

http://www.vista-tecnica.com

http://www.informatica64.com/retohacking