html5-img
1 / 118

Security On Site I

Security On Site I. Chema Alonso MVP Windows Server Security Informática 64 chema@informatica64.com. Agenda. Principios de Seguridad Ataques a Sistemas Actualizaciones de Seguridad Seguridad en Servidores Seguridad en Clientes. Principios de Seguridad. Seguridad.

gavril
Download Presentation

Security On Site I

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Security On Site I Chema AlonsoMVP Windows Server SecurityInformática 64chema@informatica64.com

  2. Agenda • Principios de Seguridad • Ataques a Sistemas • Actualizaciones de Seguridad • Seguridad en Servidores • Seguridad en Clientes

  3. Principios de Seguridad

  4. Seguridad • La seguridad depende de 3 factores: • Procesos: • Procedimientos y operaciones en nuestros entornos • Personas • Poca formación • Tecnología: • Estándares (TCP/IP) • Productos de los fabricantes (IIS,Apache) • Desarrollos personales

  5. ¿Porque Atacan? Hacer Daño • Alterar, dañar or borrar información • Denegar servicio • Dañar la imagen pública Motivos Personales • Desquitarse • Fundamentos políticos o terrorismo • Gastar una broma • Lucirse y presumir Motivos Financieros • Robar información • Chantaje • Fraudes Financieros

  6. Impacto de los Ataques Pérdida de Beneficios Daños en la reputación Deterioro de la confianza de los inversores Datos comprometidos Daños en la confianza de los clientes Interrupción de los procesos de Negocio Consecuencias legales (LOPD/LSSI)

  7. Bug • Un error de software o computer bug, que significa bicho de computadora, es el resultado de una falla de programación introducida en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870. Fuente: Wikipedia en Español

  8. Exploit • Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software. • Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son: • Vulnerabilidades de desbordamiento de pila o buffer overflow. • Vulnerabilidades de condición de carrera (Race condition). • Vulnerabilidades de error de formato de cadena (format string bugs). • Vulnerabilidades de Cross Site Scripting (XSS). • Vulnerabilidades de inyección SQL (SQL injection). • Vulnerabilidades de inyeccion de caraceres (CRLF). Fuente: Wikipedia en Español

  9. Payload • In computer virus jargon, the payload of a virus or worm is any action it is programmed to take other than merely spreading itself. The term is used for all intended functions, whether they actually work or not. Fuente: Wikipedia

  10. Software Seguro • El software Fiable es aquel que hace lo que se supone que debe hacer. • El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas. • Son los sorprendentes “algo mas” los que producen inseguridad. • Para estar seguro, debes de ejecutar solo software perfecto :-) • O, hacer algo para mitigar ese “algo mas”

  11. Código y poder • El código fuente es poder • Tanto para defenderse como para atacar • Compartir el código es compartir el poder. • Con los atacantes y defensores • Publicar el código fuente sin hacer nada más degrada la seguridad • Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.

  12. Proceso explotación Vulnerabilidad 1.- Se descubre una vulnerabilidad a) Por el fabricante b) Por un tercero 2.- Se aprende a explotarlo a) Ingeniería inversa de Código b) Ingeniería inversa de Patch 3.- Se usa un Payload para automatizar

  13. Win32 Linux/Unix Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus Nombre del Virus Lion Slammer BugBear Slapper Ramen Klez Scalper Nimda CodeRed Blaster Riesgo Impacto tiempo

  14. Vulnerabilidades http://www.securityfocus.com/bid

  15. Sofisticación de los Ataques vs. Conocimientos requeridos

  16. Ataques a Sistemas

  17. Ataque:Envenenamiento ARP

  18. Técnicas de Spoofing • Las técnicas spoofing tienen como objetivo suplantar validadores estáticos Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

  19. Niveles Afectados Nombres de dominio Direcciones de correo electrónico Nombres de recursos compartidos SERVICIO RED Dirección IP ENLACE Dirección MAC

  20. Tipos de técnicas de Spoofing • Spoofing ARP • Envenenamiento de conexiones. • Man in the Middle. • Spoofing IP • Rip Spoofing. • Hijacking. • Spoofing SMTP • Spoofing DNS • WebSpoofing.

  21. Ataque ARP Man In The Middle 1.1.1.2 esta en99:88:77:66:55:44 1.1.1.1 esta en 99:88:77:66:55:44 1.1.1.1 ¿Quien tiene 1.1.1.2? 1.1.1.2 esta en 00:11:22:33:44:55:66 1.1.1.2

  22. Protección contra Envenenamiento • Medidas preventivas. • Cifrado de comunicaciones. • IPSec. • Cifrado a nivel de Aplicación: • S/MIME. • SSL. • Certificado de comunicaciones.

  23. Protección contra Envenenamiento • Medidas reactivas. • Utilización de detectores de Sniffers. • Utilizan test de funcionamiento anómalo. • Test ICMP. • Test DNS. • Test ARP. • Sistemas de Detección de Intrusos

  24. Frase vs. Passwords ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ●

  25. Ataque:SQL – Injection

  26. Explotación del Ataque • Aplicaciones con mala comprobación de datos de entrada. • Datos de usuario. • Formularios • Text • Password • Textarea • List • multilist • Datos de llamadas a procedimientos. • Links • Funciones Scripts • Actions • Datos de usuario utilizados en consultas a base de datos. • Mala construcción de consultas a bases de datos.

  27. Riesgos • Permiten al atacante: • Saltar restricciones de acceso. • Elevación de privilegios. • Extracción de información de la Base de Datos • Parada de SGBDR. • Ejecución de comandos en contexto usuario bd dentro del servidor.

  28. Tipos de Ataques • Ejemplo 1: • Autenticación de usuario contra base de datos. Select idusuario from tabla_usuarios Where nombre_usuario=‘$usuario’ And clave=‘$clave’; Usuario Clave ****************

  29. Tipos de Ataques • Ejemplo 1 (cont) Select idusuario from tabla_usuarios Where nombre_usuario=‘Administrador’ And clave=‘’ or ‘1’=‘1’; Usuario Administrador Clave ‘ or ‘1’=‘1

  30. Tipos de Ataques • Ejemplo 2: • Acceso a información con procedimientos de listado. http://www.miweb.com/prog.asp?parametro1=hola Ó http://www.miweb.com/prog.asp?parametro1=1

  31. Tipos de Ataques • Ejemplo 2 (cont): http://www.miweb.com/prog.asp?parametro1=‘ union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:\boot.ini”); shutdown -- Ó http://www.miweb.com/prog.asp?parametro1=-1 union select .....; otra instrucción; --

  32. Contramedidas • No confianza en medias de protección en cliente. • Comprobación de datos de entrada. • Construcción segura de sentencias SQL. • Fortificación de Servidor Web. • Códigos de error. • Restricción de verbos, longitudes, etc.. • Filtrado de contenido HTTP en Firewall. • Fortificación de SGBD. • Restricción de privilegios de motor/usuario de acceso desde web. • Aislamiento de bases de datos.

  33. Ataque:Cross-Site Scripting (XSS)

  34. Explotación del Ataque • Datos almacenados en servidor desde cliente. • Datos van a ser visualizados por otros cliente/usuario. • Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

  35. Riesgos • Ejecución de código en contexto de usuario que visualiza datos. • Navegación dirigida • Webspoofing • Spyware • Robo de credenciales • Ejecución de acciones automáticas • Defacement

  36. Tipos de Ataques • Mensajes en Foros. • Firma de libro de visitas. • Contactos a través de web. • Correo Web. • En todos ellos se envían códigos Script dañinos.

  37. Contramedidas • Fortificación de aplicación • Comprobación fiable de datos • Fortificación de Clientes • Ejecución de clientes en entorno menos privilegiado. • Fortificación de navegador cliente. • MBSA. • Políticas.

  38. Ataque:Troyanos“Hay un amigo en mi”

  39. Definición • Programa que se ejecuta sobre nuestra máquina y cuyo control no depende de nosotros. • Los Hackers lo llaman “Boyfriend”. • Mil formas, mil colores, mil objetivos.

  40. Obtención de Privilegios • El programa corre sobre nuestra máquina. • Corre con una identificación de usuario del sistema. • Debe obtener privilegios para poder ejecutarse. • ¿Cómo los obtiene?

  41. Obtención de Privilegios • Fallo en la cadena: • Procesos: • Sistema no cerrado. • Tecnología: • Fallo en sw de sistema operativo • Fallo en sw ejecución de códigos. • Personas: • Ingeniería Social: “¡Que lindo programita!” • Navegación privilegiada

  42. Objetivos • Control remoto: • Instalan “suites” de gestión del sistema. • Robo de información • Modificación del sistema: • Phishing • Creación de usuarios • Planificación de tareas • ....

  43. Instalación del Troyano • Se suele acompañar de “un caballo” para tranquilizar a la víctima. • Se añaden a otro software. • EJ: Whackamole • Joiners, Binders • Incluidos en documentos que ejecutan código: • Word, excel, swf, .class, pdf, html, etc...

  44. Instalación del Troyano • Simulando ser otro programa • P2P, HTTP Servers • Paquetes Zip autodescomprimibles • Programas con fallo de .dll • Instaladores de otro SW

  45. Troyanos “Comerciales” • Su difusión es extrema. • Se han hecho famosos debido a su extensión. • Suelen ser utilizados por principiantes • Casi todos los sistemas Anti-Malware son capaces de detectarlos. • Aún así siguen siendo útiles porque mutan.

  46. Algunos • Back Orifice • NetBus • NetDevil • SubSeven • Ptakks • ......

  47. Detección de Troyanos • Anti-Mallware • Antivirus • AntiSpyware • Comportamiento anómalo del sistema • Configuraciones nuevas • Cambio en páginas de navegación • Puertos • ....

  48. Prevención contra Troyanos • Defensa en Profundidad • Mínimo Privilegio Posible • Mínimo punto de exposición • Gestión de updates de seguridad • Antivirus/AntiSpyware • Ejecución controlada de programas • Navegación segura

  49. Ataque:RootKits“Los Otros”

  50. Definición • Software malintencionado que tiene total control de la maquina infectada y es TOTALMENTE INVISIBLE, tanto para para los usuarios de la maquina como para todo el software que se ejecuta en ella.

More Related