Introducción a la seguridad en cómputo Sergio A. Becerril CELE | UNAM.

Introducción a la seguridad en cómputo

Sergio A. BecerrilCELE | UNAM

Temario

• Conceptos básicos

• Ataques

• Seguridad básica

• Actualizaciones

• Buenas prácticas

• Navegación segura

Conceptos básicosIntroducción a la seguridad en cómputo

千里之行始于足下Lao Tsé

¿Qué es seguridad?

• Confianza

• Tranquilidad

• Protección

La importancia de la información

Es un mundo digital Tendencia irreversible Más que una alternativa

• Es un mundo globalizado Inevitable, compartir información No tenemos control del ambiente externo

• No es solo la información Cada dispositivo que interactúa es importante Recordemos los recursos informáticos

Seguridad informática

“Los pilares de la seguridad” Confidencialidad

Prevenir la divulgación de información, o el acceso a los recursos informáticos, a entidades no autorizadas.

Solo aquellos autorizados podrán acceder a la información.

• Integridad Mantener la fidelidad del estado de la información o los recursos

informáticos.

La información no se puede modificar sin autorización.

• Disponibilidad Garantizar que la información o los recursos informáticos podrán ser

utilizados por entidades autorizadas.

La información estará utilizable siempre que se necesite.

Elementos adicionales

AAA Autenticación: Comprobar la identidad de quien pretende

acceder a los recursos. Autorización: Comprobar los privilegios de quien

pretende acceder a los recursos. Auditoría: Mantener registros de las entidades y

operaciones involucradas.

• No repudio Garantizar que las entidades involucradas en la

manipulación de los recursos no puedan negar su participación.

Seguridad informática

• Confianza en los recursos informáticos Integridad

Disponibilidad

No repudio

• Tranquilidad acerca de los recursos informáticos Integridad

Disponibilidad

Confidencialidad

• Protección de los recursos informáticos Confidencialidad

Cifrado

Autenticación, Autorización, Auditoría

No es solo la información

• Recursos informáticos Equipos: computadoras, móviles, tablets...

Periféricos: impresoras, cámaras, monitores...

Almacenamiento removible

Dispositivos de interconexión

• Entidades Organizaciones

Usuarios

Creadores

Administradores

Términos comunes

• ActivoCualquier elemento de importancia para la organización

• VulnerabilidadCualquier debilidad en un activo

• AmenazaUn peligro posible que puede explotar una vulnerabilidad, causando

daño a los activos.

Términos comunes

• Riesgo

El potencial de una amenaza de explotar una vulnerabilidad en un activo en particular.

• Impacto

La afectación sobre la confidencialidad, integridad, disponibilidad, etc., asociada a un riesgo específico.

• Ataque

Cualquier intento de explotar una vulnerabilidad, con el objeto de afectar los activos.

Términos comunes

• EventoCualquier cambio al comportamiento normal de un sistema, ambiente,

proceso, flujo o persona.

• IncidenteCualquier evento atribuible, de raíz, a una causa humana.

• PolíticaDefinición de seguridad para algún sistema, organización u otra entidad.

Consecuencias

• Pérdida

• Modificación

• Divulgación

Atacantes

• HackerPersona con profundo conocimiento del funcionamiento de algún

sistema.

• CrackerPersona que viola la seguridad de algún sistema informático para

beneficio propio.

• IntrusoPersona que intenta violar la seguridad de algún sistema informático.

Problemas comunes Contraseñas

Contraseñas débiles

Reutilización de contraseñas

• Configuraciones

Inercia

Comodidad

• Actualizaciones

Deshabilitación / no configuración

Ausencia de ambiente de pruebas

Navegación web

Sitios peligrosos

“Visión de túnel”

Ataques a la seguridad informáticaIntroducción a la seguridad en cómputo

Nobody ever defended anything successfully; there is only attack and

attack and attack some more.G.A. George S. Patton

¿Qué es un ataque?

Un atentado sobre la seguridad de un sistema, que deriva de una amenaza inteligente; un acto inteligente que es un

intento deliberado de evadir servicios de seguridad, y violar la política de seguridad de un sistema (IETF)

Explota una vulnerabilidad

Precedido por una amenaza inteligente

Conlleva un impacto

Vulnerabilidad

Amenaza

Ataque

Vulnerabilidades

Una debilidad de un activo o grupo de activos, que puede ser explotada por una o más

amenazas (ISO 27005).

• Presentes en todo elemento de cómputo

• Por diseño o inherente

Vulnerabilidades

• Las podemos controlar• No podemos controlar la amenaza

• Las podemos corregir• Vasta mayoría, error humano

• Las podemos evitar• Buenas prácticas / experiencia

Vulnerabilidades comunes

• En software• CWE top 25

• En hardware• Acceso

• Sensible a elementos

• De configuración

• De usuario

Detección/explotación de vulnerabilidades

• Escáner de puertos

• Enumerador de red

• Escáner de vulnerabilidades en red

• Escáner de aplicaciones web

• Fuzzer

• Analizador estático de código

Core Impact

http://www.youtube.com/watch?v=SsI41_ZYB8c

Nessus

http://www.youtube.com/watch?v=-7ThbeAMqkw

Metasploit

http://www.youtube.com/watch?v=A5-E69E1G8U

Zed Attack Proxy

http://www.youtube.com/watch?v=5RmHyZkQo_8

Malware

• Virus• El primer tipo de código malicioso

• ILOVEYOU (2000, Macro Word, adjunto e-mail, PC)

50 millones en 10 días

Malware

• Trojan horse• Control remoto inadvertido

• Flashback (2011, Applet, Web, Mac)

600,000 Macs infectadas

Malware

• Spyware• Recolección no autorizada de información

• Gator (c. 2004, información personal y reemplazo de anuncios, Kazaa, MS Windows)40 millones de “usuarios”

Malware

• Worm• Virus autorreplicable

• Stuxnet/Flame/Duqu/Gauss (2010-2012, P2P RPC y Zero-Day, USB, SCADA)½ millón de infecciones

Malware

• Bots• Worm + trojan

• BredoLab (2009-2010, escalamiento de privilegios, adjunto e-mail, PC)30,000,000 de bots,

3,600 millones de spam/día

Ataques

• Denial of Service (DOS)

• Spoofing

• Snooping / MITM

• Skimming

Aún más ataques!

• Trashing

• Phreaking

• DNS Poisoning

• …

Bluetooth

http://www.youtube.com/watch?v=1c-jzYAH2gw



WiFi

http://www.youtube.com/watch?v=e0udwPoUR9k



Phishing

• Sitio web falso

• Robo de información

• Distribuidos por e-mail

Pharming

• Similar a phishing

• Sustitución de servidores DNS

• Sitios remotos o locales

Scams

• Engaños por dinero o diversión

• Provenientes usualmente del extranjero

• Pueden implicar contacto directo con la víctima

• Nuevas tendencias: móviles, secuestros…

Ingeniería social

• El ataque humano más difícil – y el más productivo

• Psicología + conocimiento insider

• No requiere conocimiento técnico

Ejemplos de ingeniería social

Mauersby & Storch (Contabilidad)

• Llamada de soporte, 7:49 hrs

• “Hay problemas y me gustaría verificar algunos datos”

• Usuario nunca revela su contraseña

• 100% de registros fiscales robados


Proveedor de servicios, telefonía móvil

• 3 llamadas: recepción, contabilidad, *, publicaciones

• “Necesito una copia del directorio de empleados

• 1 pieza de información: Código de compras

• Directorio enviado (fuga de talento)


• Compañía de tarjetas de crédito

• Buzón de voz temporal para empleada de viaje

• Dos llamadas telefónicas: telecom y servicios

• Robo de identidad


• Security Pacific National Bank

• Empleado temporal con acceso a cuarto de transferencias

• Dos llamadas: transferencias y *

• 10 millones de dólares en cuenta suiza

La psicología del atacante

• Reto personal

• Credibilidad

• Ganancia económica

• Retribución

Advanced Persistent Threat

• Decidido

• Con dominio tecnológico

• Conocimiento profundo de víctima

• Puede aplicar casi cualquier técnica

Caso de estudio: Aaron Barr

• Investigación sobre anonymous• Objetivo: contrato con gobierno E.U.

• Reveló hallazgos a “líderes” del grupo

• Barr: “Me suponía que algo así pasaría…”

Caso de estudio: Aaron BarrRepercusiones

• Control completo de servidores• hbgary.com

• hbgaryfederal.com

• Divulgación de todos los e-mails de HBGary

• Daño colateral• DOS sobre rootkit.org (Greg Hoglung, CEO)

Seguridad básicaIntroducción a la seguridad en cómputo

El caos es inherente a todas las cosas complejas. Pelea con diligencia.

Gautama Buda

Seguridad por capas

• Lechuga, no cebolla

• Todos los niveles son esenciales

• Permite modularidad

• ¡No olvides al usuario!

Seguridad en el host

• Contraseñas

• Cuentas no privilegiadas

• Cifrado

• Antivirus

• Firewall

• HIDS

• Seguridad física

Contraseñas

• Modificadores• Longitud

• Complejidad

• Reutilización• Hace irrelevante la fortaleza

• 1 sitio vulnerable = todos los sitios explotados

• Contraseñas viejas = mayor ventana de ataque

complong

Una nueva fuerza bruta

• Sitios y sistemas reforzados• Hashes, timeouts, bloqueos, retrasos…

• Evolución lógica: ataques fuera de línea• Obtener hashes, comparar fuera

• Dos técnicas:• Tablas arcoiris

• Generación bajo demanda

Tablas arcoiris

• Hashes pre-generados

• Algoritmo/espacio específicas

• Limitante: espacio en disco

• Disponibles a un bajo costo!

Generación bajo demanda

• Permiten variabilidad

• HW disponible• AMD Radeon HD7970 (~500 USD): 8,200 millones pw/s

• Computable en paralelo• Botnets, supercómputo, diseños personalizados…

$12,000728 PWs (~7 E14 PWs)12 hrs (~8.3 E9 PWs/s)

Soluciones

• Políticas de contraseña• Longevidad (historial, mínima/máxima vida)

• Secpol/passwdqc

• Evitar reutilización• Peor aún que un post-it

• Unificación: KeePass, LastPass…

Sugerencia del chef

• Frase de contraseña + desplazamiento

“Más vale tarde que nunca”

masvaletardequenunca

jqwfqo35q4e3137h7hdq

MasValeTardeQueNunca

JqwFqo3%q4e3!73H7hdq7220

3620

Más allá del login

• Contraseñas de BIOS

• Segundo factor

• Booteo removible

• ¿Qué tan paranoicos estamos?

Cuentas de usuario

• Vasta mayoría, administrativas (Windows)

• Hasta un 90% de vulnerabilidades corregidas eliminando privilegios (Windows)

• La vasta cantidad de tareas no requieren permisos de administrador

Riesgo de cuentas administrativas

• Instalación inadvertida

• Malware

• Privilegios inmediatos

¡No ignores las advertencias!

Cuentas limitadas en UNIX

• Comportamiento predeterminado

• Privilegios con sudo

• Siempre solicitar contraseña

Seguridad básica(Parte II)


Any sufficiently advanced technology is indistinguishable from magic.

Arthur C. Clarke

Cifrado

• Capa adicional de protección

• Depende de un secreto (llave)

• Puede implicar pérdida de información

• Implementable a diferentes niveles

Cifrado “nativo”

• Bitlocker (disco completo)• Enterprise/Ultimate (Vista, 7)

• Pro/Enterprise (8)

• eCryptfs (directorio /home)• Ubuntu (11.04+)

• FileVault (directorio /home)• OS X 10.3 (Panther)+

Cifrado por aplicación

• TrueCrypt (Win, Mac, Linux)

• eCryptfs (linux)

• Gpg (UNIX, Mac)

Truecrypt

http://www.youtube.com/watch?v=kh-nRyV44yI

BitLocker

http://www.youtube.com/watch?v=UJHgmujh1C4

Antivirus

• Útil, pero no omnipotente

• Suele integrarse con AntiSpyware

• Enteramente dependiente de firmas

• Debe instalarse *antes* de conectividad, programas

Escaneos antivirus

• Escaneos periódicos útiles, no la mejor opción

• Escaneos bajo demanda:• Ejecución de programas

• Descarga de archivos

• Conexión de medios removibles

• Habilitar heurística

¿Qué antivirus me conviene?

• Soluciones gratuitas tan efectivas como comerciales

• Desventajas: administración centralizada

• Si permite el presupuesto, decidir por administración y extras (e.g. spyware)

IDS de Host

• Detecta modificaciones a archivos

• Crea hashes y monitorea periódicamente

• Útil en equipos críticos

• Parcialmente implementados en AVs

Seguridad física

• Pantallas de privacidad

• Candados

• Dispositivos biométricos

• Bloqueos/borrados remotos

Seguridad en red

• Monitoreo

• Firewall

• IDS

• IPS

• Honeypots

• Seguridad en dispositivos pasivos

Comunicación en redes

• Información + metadatos

• Unidad: paquetes/tramas/datagramas

• Información encapsulada sucesivamente

Modelo TCP/IP

Monitoreo de red

• Análisis de cabeceras

• Búsqueda de patrones

• Detección de orígenes/destinos

• Puede trabajar en todas las capas

Seguridad básica(Parte III)


Experience: that most brutal of teachers. But you learn, my God do

you learn. C.S. Lewis

Firewall

• Tres tipos• Paquetes

• Estado

• Aplicación

• Análisis de cabeceras y/o contenidos

• Debe colocarse en perímetro interno

(N)IDS

• Análisis de cabeceras

• Flujos, firmas (patrones), bitácoras…

• Debe colocarse en perímetro interno

• Alerta sobre comportamiento sospechoso

IPS

• IDS con retroalimentación

• Puede tomar acción de respuesta

• Sustancialmente más complejo

• Sustancialmente más caro

Honeypots

• “Policías encubiertos”

• Baja/alta interacción

• Genéricos (investigación) / personalizados (trampa)

Dispositivos pasivos

• Políticas de acceso• Quién, cuándo, desde dónde…

• No olvidar acceso físico

• Contraseñas/configuraciones predeterminadas

• Redundancia

Seguridad en aplicaciones

• Origen

• Licenciamiento

• Actualizaciones

• Configuración

• Metadatos

• Intercomunicación

• Respaldos

Origen de aplicaciones

• Descargas• Malware/spyware

• Pop-ups

• Corrupción• MITM

• Vulneraciones

• Bugs

Origen de aplicaciones

• Sumas de seguridad

• Sitios confiables

• Proveedores confiables

• Políticas organizacionales

Licenciamiento

• Copias ‘crackeadas’

• FOSS / propietario

• Versiones de prueba

Licenciamiento

• Sitios confiables• ¿Demasiado bueno para ser verdad?

• Proveedores• Contratos

• Reputación

• Análisis de licencia• Implicaciones de desarrollo

Actualizaciones

• Vulnerabilidades

• Ausencia de funcionalidad

• Desastres – modificación, pérdida, vulneración…

Actualizaciones

• Parches de seguridad

• Firmas/patrones

• Ambiente de pruebas

Seguridad básica(Parte IV)


Imagination is more important than knowledge.

Albert Einstein

Configuraciones

• Accesos predeterminados

• Funcionalidad adicional

• Información compartida

• Inicios automáticos

Configuraciones

• Manuales• Internos, de preferencia

• Tutoriales, blogs, foros, documentación…

• Mejores prácticas• CIS

• Políticas organizacionales

Metadatos

• Documentos

• Imágenes

• Audio

• Video

Metadatos

• Office• Herramientas oficiales (http://bit.ly/OmRFBO)

• PDF• Integrado (http://bit.ly/PlGYgb)

• Imágenes• Eliminación de EXIF

Intercomunicación

• Conéctate a _______

• Accesos remotos

• Divulgación de información

• Tan seguro como el elemento más débil

Intercomunicación

• Limitar alcance• ¿Necesito conectividad con el servicio?

• Gmail

• Facebook

Respaldos

• Automatizados/periódicos

• ¿A dónde va mi información?

• No solo datos, también configuraciones

Respaldos

• Múltiples copias, múltiples sitios

• División de información

• Desconfiar de servicios online

• Verificar accesos

• Analizar media apropiado

Movilidad

• Cómputo en nube• ¿Quién controla el servicio?

• ¿Qué ocurre ante un apagón?

• ¿De quién es mi información?

• SAAS• Google docs/mail/…

• Office, Corel, Adobe…

Dispositivos móviles

• Hogar – oficina – nube

• Robo / extravío

• Snooping/spoofing

• Aplicaciones

Dispositivos móviles

• Habilitar contraseña

• Deshabilitar conexiones innecesarias• Hardware

• Servicios

• Habilitar cifrado

Seguridad en InternetIntroducción a la seguridad en cómputo

Imagination is more important than knowledge.

Albert Einstein

Mínimo privilegio

• Piedra angular de seguridad

• “Dar al César lo que es del César”… y ni un grano más

• Incluyéndome a mí mismo

Gracias!

Sergio A. Becerril

[email protected]://sergiob.org

Introducción a la seguridad en cómputo Sergio A. Becerril CELE | UNAM.

Documents

Transcript of Introducción a la seguridad en cómputo Sergio A. Becerril CELE | UNAM.