Ing. Daniel Torres Falkonert, CISSP - · PDF file19/03/2013 2 El mundo es cada vez más...
Transcript of Ing. Daniel Torres Falkonert, CISSP - · PDF file19/03/2013 2 El mundo es cada vez más...
19/03/2013
1
Sensibilización a la Protección de Datos
19/03/20131 Daniel Torres Falkonert © 2012
Ing. Daniel Torres Falkonert, CISSP
Twitter: @bytemarehack
Ing. Daniel Torres Falkonert, CISSP
Ingeniero de Sistemas, especialista en seguridad de lainformación de la Universidad de los Andes, con unaamplia experiencia en proyectos de atención deincidentes, Informática Forense y pruebas depenetración desarrollados en diferentes empresasdel sector de las telecomunicaciones, financiero ypúblico, al igual que con varias agencias deseguridad del estado nacionales y extranjeras.
Docente universitario de nivel de pregrado y posgrado,instructor de entrenamientos profesionales en laindustria y ponente en diferentes eventos deseguridad de la información. En su tiempo libredisfruta leer historias de ciencia ficción, los juegosde vídeo, el ecoturismo y resolver retos de hacking yprogramación.
08/02/2013Seminario de Sensibilización en Seguridad de la
Información2
@bytemarehack
19/03/2013
2
El mundo es cada vez más pequeño
Las TIC (Tecnologías de la Información y la Comunicación) dan a las personas la posibilidad de crear, producir y acceder a contenidos a una escala hasta hace poco impensable.
Software, textos, música, imágenes, videos, estas obras están a clicks de distancia.
08/02/20133Seminario de Sensibilización en Seguridad de la
Información
Cada vez hay más innovaciones
técnológicas que facilitan la
creación, acceso y difusión de
información.
19/03/2013
3
Conectividad en todas partes
Manejando Comercio El Trabajo
Fuera de la ciudad En Casa
08/02/20135Seminario de Sensibilización en Seguridad de la
Información
Cada vez más alternativas
08/02/20136Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
4
La información es cada vez más valiosa
19/03/20137 Daniel Torres Falkonert © 2013
Mayor acceso a la información
Fuente: Semana.com
08/02/20138Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
5
Podemos volvernos famosos
08/02/20139Seminario de Sensibilización en Seguridad de la
Información
Esto también tiene su lado oscuro
Unas por otras
08/02/201310Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
6
Podemos conocer a nuestra alma gemela <3 <3 <3 <3
08/02/201311Seminario de Sensibilización en Seguridad de la
Información
Pero OJO!!!: Citas Mortales
08/02/201312Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
7
Casarnos <3 <3
08/02/201313Seminario de Sensibilización en Seguridad de la
Información
… y divorciarnos!!! </3 </3
08/02/201314Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
8
08/02/201315Seminario de Sensibilización en Seguridad de la
Información
Encontrar desaparecidos
08/02/201316Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
9
(Participación Ciudadana)10000
08/02/201317Seminario de Sensibilización en Seguridad de la
Información
La Razón: La Ley de Moore
“La Ley de Moore expresa que aproximadamente cada 2 años se duplica el número de transistores en un circuito integrado.” (Tomado
de Wikipedia)
08/02/201318Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
10
Espacio+Ciberespacio
• El ciberespacio se ha convertido en una extensión del mundo real.
• Cada vez le delegamos más cosas a las TIC.
• Muchas actividades ya son obsoletas
08/02/201319Seminario de Sensibilización en Seguridad de la
Información
¿Le pregunta a Google cuando está enferm@?
08/02/201320Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
11
Efectivo: Especie en vía de extinción
08/02/201321Seminario de Sensibilización en Seguridad de la
Información
Cambian las normas de Urbanidad
08/02/201322Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
12
Pero cada vez estamos más inmersos
“Temo el día en que la tecnología sobrepase nuestra
humanidad: el mundo solo tendrá una generación de
idiotas” (A. Einstein)
En un concierto
08/02/201323Seminario de Sensibilización en Seguridad de la
Información
Cada vez más dependientes
08/02/201324Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
13
¿Cuánto tiempo aguanta sin mirar el móvil?
08/02/201325Seminario de Sensibilización en Seguridad de la
Información
Ciberadictos!!
08/02/201326Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
14
¡¡¡Cyberjunkies!!!
08/02/201327Seminario de Sensibilización en Seguridad de la
Información
En problemas por culpa de Facebook
08/02/201328Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
15
En pueblo chico …
08/02/201329Seminario de Sensibilización en Seguridad de la
Información
… Infierno grande
¿y no se suponeque el mundoes cada vezmás pequeño?
:-S
08/02/201330Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
16
¿Alguna vez le han tomado una foto en la que no le gusta como sale?
Y además la han publicado!!!
Caso “Little Fatty”
•El fenómeno comenzó en china a finales del año 2002 (circa).
•Quian tenia 16 años en ese entonces.
•Le tomaron una foto en una clase
•Debido a su expresión, la foto fue usada para hacer montajes sobre cuerpos de celebridades.
•Su imagen se propagó por cientos de sitios web en cuestión de dias.
•Algunos la describieron como una de las caras máss famosas de china
•Ahora tiene hasta su propia entrada en wikipedia
08/02/201332Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
17
“Little Fatty”
08/02/201333Seminario de Sensibilización en Seguridad de la
Información
“Little Fatty”
08/02/201334Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
18
¿Cómo sobrevivir a la Humillación en Línea?
El tipo del tapabocas
08/02/201336Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
19
Su foto también se uso para hacer montajes
08/02/201337Seminario de Sensibilización en Seguridad de la
Información
Generó una búsqueda intensiva
08/02/201338Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
20
Finalmente lo encontraron
08/02/201339Seminario de Sensibilización en Seguridad de la
Información
¿Se puede llegar a poner en peligro la Vida?
19/03/2013
21
Pequeña confusión
08/02/201341Seminario de Sensibilización en Seguridad de la
Información
¿Será que eso les va a traer problemas en el futuro?
19/03/2013
22
Caer en la eternidad del ciberespacio
08/02/201343Seminario de Sensibilización en Seguridad de la
Información
Geolocalización
08/02/201344Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
23
Podría pasarle a usted
08/02/201345Seminario de Sensibilización en Seguridad de la
Información
… la información está más expuesta de lo creemos gracias a nuestro gran
amigo
19/03/2013
24
Podemos encontrar cuentas de cobro
08/02/2013Seminario de Sensibilización en Seguridad de la
Información47
… Podemos buscar hojas de vida
08/02/201348Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
25
… por lo menos nos conoce muy bien.
08/02/201349Seminario de Sensibilización en Seguridad de la
Información
¿qué tan expuestos estamos?
08/02/201350Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
26
08/02/201351Seminario de Sensibilización en Seguridad de la
Información
Múltiples fuentes de información
08/02/201352Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
27
Podemos automatizar fácilmente el proceso
08/02/201353Seminario de Sensibilización en Seguridad de la
Información
... Y podemos conseguir aún más información si sabemos dónde buscar
08/02/201354Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
28
08/02/201355Seminario de Sensibilización en Seguridad de la
Información
Es muy fácil conseguir la información de las personas.
08/02/201356Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
29
El Lado Oscuro del Ciberespacio
Daniel Torres [email protected]
@bytemarehack
08/02/2013Seminario de Sensibilización en Seguridad de la
Información57
Un negocio muy rentable
08/02/201358Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
30
Internet bajo ataque
Daniel Torres Falkonert (c) 2012
Cada vez vemos más noticias relacionadas
Daniel Torres Falkonert (c) 2012
http://www.dinero.com/
19/03/2013
31
¿Hacktivismo?
19/03/201361 Daniel Torres Falkonert © 2012
???????
08/02/2013Seminario de Sensibilización en Seguridad de la
Información62
Publicado: 09/03/2013
19/03/2013
32
Intrusos Internos:La más común de las amenazas
• Conocen de los sistemas de la organización
• En posición de llevar a cabo un ataque debido a que tienen privilegios en el sistema.
• Empleado molestos, Ex-empleados, corruptos …
• El mayor de los problemas (70-80% de los casos)
08/02/201363Seminario de Sensibilización en Seguridad de la
Información
Corrupción, el peor de los males
08/02/201364Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
33
Delincuencia Organizada
El bajo mundo del ciberespacio
08/02/201365Seminario de Sensibilización en Seguridad de la
Información
La realidad
08/02/201366Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
34
La delincuencia evoluciona
Antes Ahora
08/02/201367Seminario de Sensibilización en Seguridad de la
Información
08/02/201368Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
35
Identidades a la Venta
08/02/201369Seminario de Sensibilización en Seguridad de la
Información
Información financiera a clicks de distancia
08/02/201370Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
36
Vacantes abiertas
08/02/201371Seminario de Sensibilización en Seguridad de la
Información
¿Qué se necesita saber para ser un
“Hacker”?
¡¡¡muy poco!!!
Ahora casi cualquiera
puede serlo
19/03/2013
37
El usuario: El eslabón más débil
http://www.eltiempo.com08/02/201373
Seminario de Sensibilización en Seguridad de la Información
Hay Toneladas de Documentación
http://www.semana.com
08/02/201374Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
38
Las herramientas y técnicas utilizadas por los intrusos
son cada vez más sofisticadas
08/02/201375Seminario de Sensibilización en Seguridad de la
Información
los intrusos han cambiado sus objetivos
Antes
El objetivo era entrar al sistema
Ahora
El objetivo es mantenerse en el sistema
One Hit Wonder The King08/02/201376
Seminario de Sensibilización en Seguridad de la Información
19/03/2013
39
¿Cómo es un Ataque?
08/02/201378Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
40
http://www.smbc-comics.com
08/02/201379Seminario de Sensibilización en Seguridad de la
Información
http://www.smbc-comics.com08/02/201380Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
41
Y así se ve …
¡¡Video!!
Famos@s, los mejores señuelos
08/02/201382Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
42
… y lo mejor de todo
La mayoría se consigue libremente en Internet
08/02/201384Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
43
Plataformas de ataque
08/02/201385Seminario de Sensibilización en Seguridad de la
Información
Malware Comercial
08/02/2013Seminario de Sensibilización en Seguridad de la
Información86
19/03/2013
44
Zeus
Malware comercial:•Toolkit entre U$3.000 y U$10.000)•Alquiler del servicio (Hosting, adaptación, propagación, etc.) desde U$700•Facilidades de pago.
El constructor crea una copia única que no es detectada por el software de protección actual
Tiene EULA!!!!!!
08/02/201387Seminario de Sensibilización en Seguridad de la
Información
A Rey Muerto, Rey Puesto
08/02/201388Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
45
Crackers a sueldo
08/02/201389Seminario de Sensibilización en Seguridad de la
Información
Malware en múltiples plataformas
08/02/201390Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
46
¿Qué nos espera?
08/02/201391Seminario de Sensibilización en Seguridad de la
Información
¿Qué hacer entonces?
¿Apague y vámonos?
08/02/201392 Seminario de Sensibilización en Seguridad de la Información
19/03/2013
47
La solución no es desconectarnos
08/02/201393Seminario de Sensibilización en Seguridad de la
Información
La paranoia tampoco es la respuesta
08/02/201394Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
48
El problema es complejo
Mientras el Oficial de seguridad debe pensar en la mayor cantidad de posibles vectores de ataque, el atacante debe encontrar unas pocas vulnerabilidades para comprometer todo un sistema.
Debemos cambiar el enfoque que le damos a la seguridad de la
información
La solución
19/03/2013
49
La seguridad nos permite tomar riesgos
Es un generador de valor para las organizaciones
08/02/2013Seminario de Sensibilización en Seguridad de la
Información97
Ser consiente de la realidad
• Mito: La seguridad total es posible
• Realidad: Niveles aceptables de riesgo.
Se debe aceptar el hecho obtener seguridad 100%
es imposible.
08/02/201398Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
50
Hay cosas inevitables
Vea el problema como un desastre natural.
No se puede evitar, pero se puede mitigar su impacto
08/02/201399Seminario de Sensibilización en Seguridad de la
Información
Ni los mejores se salvan
08/02/2013100Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
51
Infiltrados Durante 10 años!!!
08/02/2013101Seminario de Sensibilización en Seguridad de la
Información
Existen muchas herramientas de seguridad
• TOR
• Ccleaner
• PGP o GNUPG
• Hushmail
• Truecrypt
• …
08/02/2013102Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
52
NO existe una aplicación Mágica que solucione el problema de la
inseguridad.
La seguridad no es algo que se instale
Tampoco es una serie de pasos que hay que seguir ciegamente
• No es que lasrecomendaciones nosirvan, solo que no sonsuficientes
• Y en otros casos noson muy prácticas …
08/02/2013104Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
53
Y en otros son simplemente ingenuas
08/02/2013105Seminario de Sensibilización en Seguridad de la
Información
Hay que usar bien los mecanismos
08/02/2013106Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
54
La seguridad es un procesoSe debe definir un enfoque de seguridad de información, y darleuna línea base para identificar los aspectos clave de un programaintegral de seguridad organizacional.
Formula Ganadora
Seminario de Sensibilización en Seguridad de la Información
Prevención
Educación
Reacción
Cooperación
08/02/2013108
19/03/2013
55
Cuál es el impacto en el Negocio?
Daniel Torres Falkonert (c) 2012
Ella no evaluó el riesgo
08/02/2013110Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
56
Identificar las necesidades
Alicia BetoMalandra
1. Confidencialidad
2. Integridad
3. Disponibilidad
4. No-Repudiación
5. Autenticidad
6. Anonimato
7. Privacidad
08/02/2013111Seminario de Sensibilización en Seguridad de la
Información
Definir los Mecanismos
Confidencialidad
Integridad
Disponibilidad
No Repudio
Autenticación
Anonimato
Privacidad
Cifrado, esteganografía
Funciones de hash
Redundancia, Políticas de calidad
Firmas digitales
Muchos métodos: Password, Certificados, pruebasde cero conocimiento
Cifrado, Proxies
Medidas de seguridad, cifrado, buenasprácticas
08/02/2013112Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
57
La Seguridad es algo dinámico
Adaptar la infraestructura a este forma de pensar* :
• Defendible• Hostil• Fértil
*Rick Lee (www.csiservices.ca)
19/03/2013113 Daniel Torres Falkonert © 2012
Y cuando ocurraun incidente?
08/02/2013Seminario de Sensibilización en Seguridad de la
Información114
19/03/2013
58
Recuerde las 7 P
Proper Prior Planning Prevents
Particularly Poor Performance
08/02/2013115Seminario de Sensibilización en Seguridad de la
Información
La clave está en la Reacción
Creación de programa de Atención
y manejo de incidentes alineadocon la misión y las políticas de laorganización, sustentado en unmodelo de capacidad y madurez.
Modelo
unificado de
control y
riesgo
Análisis
forense
Manejo de
incidentes
19/03/2013
59
Primera respuesta a incidentes y Análisis
Forense
08/02/2013117Seminario de Sensibilización en Seguridad de la
Información
Si la inseguridad es la constante en el mundodigital. Los procedimientos forenses eninformática deberían ser la norma que confirmala existencia de la constante. Sin una adecuadarespuesta a los incidentes de seguridad, ladetección y el seguimiento de los intrusos notendría sentido.
J.cano, s.rueda, d.torres
1. Información como Contrabando
1. Violación de licencias de Software
2. Posesión no autorizada de informaciónsensible/confidencial /restringida/privilegiada
3. Venta y distribución de software con fines delictivos.
2. Información como Intrumento
1. Uso de Software Malicioso
2. Violación de políticas de seguridad
3. Acceso abusivo a sistemas informático
4. Ataques de denegación de servicio
3. Información como evidencia y apoyo técnico en
investigaciónes
1. Adquisición de datos en Internet
2. Casos de Infidelidad
3. Cronología de actividad en el sistema.
4. Delitos Financieros
5. Homicidios
6. Acoso y persecución
7. Extorsiones
8. secuestros
9. Estafas
10. Extracción de Evidencia en la red
11. Descubrimiento de información en procesos civiles, comerciales, administrativos, etc.
Áreas de aplicación.
19/03/2013118 Daniel Torres Falkonert © 2013
19/03/2013
60
Las 3 reglas de oro de la computación Forense según Edwin Lugo
1. Proteja la evidencia Original
2. Proteja la evidencia Original
3. Proteja la evidencia Original
La validez de la evidencia depende de la rigurosidad de los procedimientos
utilizados
08/02/2013119Seminario de Sensibilización en Seguridad de la
Información
En caso de duda…
Pida ayuda a algún experto, pero NO
improvise con los procedimientos
forenses.
Si quiere me llama ☺☺☺☺
08/02/2013120Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
61
Análisis forense en la vida Real
19/03/2013121 Daniel Torres Falkonert © 2012
Análisis forense en la vida real
08/02/2013122Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
62
Análisis forense en la vida real
08/02/2013123Seminario de Sensibilización en Seguridad de la
Información
Análisis forense en la vida real
08/02/2013124Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
63
Tenga cuidado!!
Asegúrese de que quienes realicen los procedimientos sean verdaderos
profesionales!!!!
Daniel Torres Falkonert (c) 2012
Conclusiones: Lo que Tenemos que cambiar
Estado Actual
Estado Ideal
No hay compromisoNo Existen programas de Respuesta a incidentesFalta de cordinación con otrasentidadesNo se comparte informaciónNo hay colaboración mutua…
CompromisoCreación de programas de atención de incidentesContar con personal altamente capacitadoCoordinación a nivel internacionalCooperación entre diferentes sectoresCompartir informaciónAyuda MutuaUsuarios conscientes y colaboradores…
08/02/2013126Seminario de Sensibilización en Seguridad de la
Información
19/03/2013
64
Incorporar nuevos elementos
1. Entender la “Física” del ciberespacio1. Saber qué pasa tras bambalinas2. Comprender las propiedades de los datos digitales3. Conocer los límites y alcances de la tecnología4. “Soy trancad@ para la tecnología” YA NO ES UNA EXCUSA VÁLIDA
2. Tomar decisiones con base en una evaluación realista del riesgo y no a partir de una lista de chequeo de la que ni siquiera se entiende su proposito
3. Saber reaccionar, es decir qué hacer cuando la seguridad falle4. Ver la seguridad como un habilitador de oportunidades y no como
un conjunto de restricciones5. Mantener la seguridad lo más simple posible6. …
08/02/2013127Seminario de Sensibilización en Seguridad de la
Información
El reto
• Encontrar un equilibrio entre:
– Privacidad
– Libertad de Expresión
– Transparencia
– Seguridad
– Legislación
– Tecnología
– …
19/03/2013 Daniel Torres Falkonert (c) 2012
19/03/2013
65
“Por más tecnología que
incorporemos es necesario un
cambio social, un cambio cultural”
Eduardo Thill
Lecturas recomendadas
19 de marzo de 2013Ing. Daniel Torres Falkonert, CISSP (c) 2012130
19/03/2013
66
Preguntas
08/02/2013131Seminario de Sensibilización en Seguridad de la
Información
¡¡¡¡Muchas Gracias!!!!
Esta presentación se autodestruirá en 15 segundos…
Daniel Torres [email protected]
@bytemarehack
19/03/2013
67
08/02/2013133Seminario de Sensibilización en Seguridad de la
Información