Introducción a la seguridad en cómputo

Sergio A. BecerrilCELE | UNAM

Temario

• Conceptos básicos

• Ataques

• Seguridad básica

• Actualizaciones

• Buenas prácticas

• Navegación segura

Conceptos básicosIntroducción a la seguridad en cómputo

千里之行 始于足下Lao Tsé

¿Qué es seguridad?

• Confianza

• Tranquilidad

• Protección

La importancia de la información Es un mundo digital

Tendencia irreversible Más que una alternativa

• Es un mundo globalizado Inevitable, compartir información No tenemos control del ambiente externo

• No es solo la información Cada dispositivo que interactúa es importante Recordemos los recursos informáticos

Seguridad informática

“Los pilares de la seguridad” Confidencialidad

Prevenir la divulgación de información, o el acceso a los recursos informáticos, a entidades no autorizadas.

Solo aquellos autorizados podrán acceder a la información.

• Integridad Mantener la fidelidad del estado de la información o los recursos

informáticos.

La información no se puede modificar sin autorización.

• Disponibilidad Garantizar que la información o los recursos informáticos podrán ser

utilizados por entidades autorizadas.

La información estará utilizable siempre que se necesite.

Elementos adicionales AAA

Autenticación: Comprobar la identidad de quien pretende acceder a los recursos.

Autorización: Comprobar los privilegios de quien pretende acceder a los recursos.

Auditoría: Mantener registros de las entidades y operaciones involucradas.

• No repudio Garantizar que las entidades involucradas en la

manipulación de los recursos no puedan negar su participación.

Seguridad informática• Confianza en los recursos informáticos

Integridad

Disponibilidad

No repudio

• Tranquilidad acerca de los recursos informáticos Integridad

Disponibilidad

Confidencialidad

• Protección de los recursos informáticos Confidencialidad

Cifrado

Autenticación, Autorización, Auditoría

No es solo la información

• Recursos informáticos Equipos: computadoras, móviles, tablets... Periféricos: impresoras, cámaras, monitores... Almacenamiento removible Dispositivos de interconexión

• Entidades Organizaciones Usuarios Creadores Administradores

Términos comunes

• ActivoCualquier elemento de importancia para la organización

• VulnerabilidadCualquier debilidad en un activo

• AmenazaUn peligro posible que puede explotar una vulnerabilidad, causando

daño a los activos.

Términos comunes• Riesgo

El potencial de una amenaza de explotar una vulnerabilidad en un activo en particular.

• ImpactoLa afectación sobre la confidencialidad, integridad, disponibilidad, etc., asociada

a un riesgo específico.

• AtaqueCualquier intento de explotar una vulnerabilidad, con el objeto de afectar los

activos.

Términos comunes

• EventoCualquier cambio al comportamiento normal de un sistema, ambiente,

proceso, flujo o persona.

• IncidenteCualquier evento atribuible, de raíz, a una causa humana.

• PolíticaDefinición de seguridad para algún sistema, organización u otra entidad.

Consecuencias

• Pérdida

• Modificación

• Divulgación

Atacantes

• HackerPersona con profundo conocimiento del funcionamiento de algún

sistema.

• CrackerPersona que viola la seguridad de algún sistema informático para

beneficio propio.

• IntrusoPersona que intenta violar la seguridad de algún sistema informático.

Problemas comunes Contraseñas

Contraseñas débiles

Reutilización de contraseñas

• Configuraciones Inercia

Comodidad

• Actualizaciones Deshabilitación / no configuración

Ausencia de ambiente de pruebas

Navegación web Sitios peligrosos

“Visión de túnel”

Ataques a la seguridad informáticaIntroducción a la seguridad en cómputo

Nobody ever defended anything successfully; there is only attack and

attack and attack some more.G.A. George S. Patton

¿Qué es un ataque?Un atentado sobre la seguridad de un sistema, que deriva de

una amenaza inteligente; un acto inteligente que es un intento deliberado de evadir servicios de seguridad, y violar la

política de seguridad de un sistema (IETF)

Explota una vulnerabilidad

Precedido por una amenaza inteligente

Conlleva un impacto

Vulnerabilidad

Amenaza

Ataque

Vulnerabilidades

Una debilidad de un activo o grupo de activos, que puede ser explotada por una o más

amenazas (ISO 27005).

• Presentes en todo elemento de cómputo

• Por diseño o inherente

Vulnerabilidades

• Las podemos controlar• No podemos controlar la amenaza

• Las podemos corregir• Vasta mayoría, error humano

• Las podemos evitar• Buenas prácticas / experiencia

Vulnerabilidades comunes

• En software• CWE top 25

• En hardware• Acceso

• Sensible a elementos

• De configuración

• De usuario

Detección/explotación de vulnerabilidades

• Escáner de puertos

• Enumerador de red

• Escáner de vulnerabilidades en red

• Escáner de aplicaciones web

• Fuzzer

• Analizador estático de código

Core Impact

http://www.youtube.com/watch?v=SsI41_ZYB8c

Nessus

http://www.youtube.com/watch?v=-7ThbeAMqkw

Metasploit

http://www.youtube.com/watch?v=A5-E69E1G8U

Zed Attack Proxy

http://www.youtube.com/watch?v=5RmHyZkQo_8

Malware

• Virus• El primer tipo de código malicioso

• ILOVEYOU (2000, Macro Word, adjunto e-mail, PC)

50 millones en 10 días

Malware

• Trojan horse• Control remoto inadvertido

• Flashback (2011, Applet, Web, Mac)

600,000 Macs infectadas

Malware

• Spyware• Recolección no autorizada de información

• Gator (c. 2004, información personal y reemplazo de anuncios, Kazaa, MS Windows)40 millones de “usuarios”

Malware

• Worm• Virus autorreplicable

• Stuxnet/Flame/Duqu/Gauss (2010-2012, P2P RPC y Zero-Day, USB, SCADA)½ millón de infecciones

Malware

• Bots• Worm + trojan

• BredoLab (2009-2010, escalamiento de privilegios, adjunto e-mail, PC)30,000,000 de bots,

3,600 millones de spam/día

Ataques

• Denial of Service (DOS)

• Spoofing

• Snooping / MITM

• Skimming

Aún más ataques!

• Trashing

• Phreaking

• DNS Poisoning

• …

Bluetooth

http://www.youtube.com/watch?v=1c-jzYAH2gw

WiFi

http://www.youtube.com/watch?v=e0udwPoUR9k

Phishing

• Sitio web falso

• Robo de información

• Distribuidos por e-mail

Pharming

• Similar a phishing

• Sustitución de servidores DNS

• Sitios remotos o locales

Scams

• Engaños por dinero o diversión

• Provenientes usualmente del extranjero

• Pueden implicar contacto directo con la víctima

• Nuevas tendencias: móviles, secuestros…

Ingeniería social

• El ataque humano más difícil – y el más productivo

• Psicología + conocimiento insider

• No requiere conocimiento técnico

Ejemplos de ingeniería social

Mauersby & Storch (Contabilidad)

• Llamada de soporte, 7:49 hrs

• “Hay problemas y me gustaría verificar algunos datos”

• Usuario nunca revela su contraseña

• 100% de registros fiscales robados

Ejemplos de ingeniería social

Proveedor de servicios, telefonía móvil

• 3 llamadas: recepción, contabilidad, *, publicaciones

• “Necesito una copia del directorio de empleados

• 1 pieza de información: Código de compras

• Directorio enviado (fuga de talento)

Ejemplos de ingeniería social

• Compañía de tarjetas de crédito

• Buzón de voz temporal para empleada de viaje

• Dos llamadas telefónicas: telecom y servicios

• Robo de identidad

Ejemplos de ingeniería social

• Security Pacific National Bank

• Empleado temporal con acceso a cuarto de transferencias

• Dos llamadas: transferencias y *

• 10 millones de dólares en cuenta suiza

La psicología del atacante

• Reto personal

• Credibilidad

• Ganancia económica

• Retribución

Advanced Persistent Threat

• Decidido

• Con dominio tecnológico

• Conocimiento profundo de víctima

• Puede aplicar casi cualquier técnica

Caso de estudio: Aaron Barr

• Investigación sobre anonymous• Objetivo: contrato con gobierno E.U.

• Reveló hallazgos a “líderes” del grupo

• Barr: “Me suponía que algo así pasaría…”

Caso de estudio: Aaron BarrRepercusiones

• Control completo de servidores• hbgary.com

• hbgaryfederal.com

• Divulgación de todos los e-mails de HBGary

• Daño colateral• DOS sobre rootkit.org (Greg Hoglung, CEO)

Seguridad básicaIntroducción a la seguridad en cómputo

El caos es inherente a todas las cosas complejas. Pelea con diligencia.

Gautama Buda

Seguridad por capas

• Lechuga, no cebolla

• Todos los niveles son esenciales

• Permite modularidad

• ¡No olvides al usuario!

Seguridad en el host

• Contraseñas

• Cuentas no privilegiadas

• Cifrado

• Antivirus

• Firewall

• HIDS

• Seguridad física

Contraseñas

• Modificadores• Longitud

• Complejidad

• Reutilización• Hace irrelevante la fortaleza

• 1 sitio vulnerable = todos los sitios explotados• Contraseñas viejas = mayor ventana de ataque

complong

Una nueva fuerza bruta

• Sitios y sistemas reforzados• Hashes, timeouts, bloqueos, retrasos…

• Evolución lógica: ataques fuera de línea• Obtener hashes, comparar fuera

• Dos técnicas:• Tablas arcoiris

• Generación bajo demanda

Tablas arcoiris

• Hashes pre-generados

• Algoritmo/espacio específicas

• Limitante: espacio en disco

• Disponibles a un bajo costo!

Generación bajo demanda

• Permiten variabilidad

• HW disponible• AMD Radeon HD7970 (~500 USD): 8,200 millones pw/s

• Computable en paralelo• Botnets, supercómputo, diseños personalizados…

$12,000728 PWs (~7 E14 PWs)12 hrs (~8.3 E9 PWs/s)

Soluciones

• Políticas de contraseña• Longevidad (historial, mínima/máxima vida)

• Secpol/passwdqc

• Evitar reutilización• Peor aún que un post-it

• Unificación: KeePass, LastPass…

Sugerencia del chef

• Frase de contraseña + desplazamiento

“Más vale tarde que nunca”

masvaletardequenunca

jqwfqo35q4e3137h7hdq

MasValeTardeQueNunca

JqwFqo3%q4e3!73H7hdq7220

3620

Más allá del login

• Contraseñas de BIOS

• Segundo factor

• Booteo removible

• ¿Qué tan paranoicos estamos?

Cuentas de usuario

• Vasta mayoría, administrativas (Windows)

• Hasta un 90% de vulnerabilidades corregidas eliminando privilegios (Windows)

• La vasta cantidad de tareas no requieren permisos de administrador

Riesgo de cuentas administrativas

• Instalación inadvertida

• Malware

• Privilegios inmediatos

¡No ignores las advertencias!

Cuentas limitadas en UNIX

• Comportamiento predeterminado

• Privilegios con sudo

• Siempre solicitar contraseña

Seguridad básica(Parte II)

Introducción a la seguridad en cómputo

Any sufficiently advanced technology is indistinguishable from magic.

Arthur C. Clarke

Cifrado

• Capa adicional de protección

• Depende de un secreto (llave)

• Puede implicar pérdida de información

• Implementable a diferentes niveles

Cifrado “nativo”

• Bitlocker (disco completo)• Enterprise/Ultimate (Vista, 7)

• Pro/Enterprise (8)

• eCryptfs (directorio /home)• Ubuntu (11.04+)

• FileVault (directorio /home)• OS X 10.3 (Panther)+

Cifrado por aplicación

• TrueCrypt (Win, Mac, Linux)

• eCryptfs (linux)

• Gpg (UNIX, Mac)

Truecrypt

http://www.youtube.com/watch?v=kh-nRyV44yI

BitLocker

http://www.youtube.com/watch?v=UJHgmujh1C4

Antivirus

• Útil, pero no omnipotente

• Suele integrarse con AntiSpyware

• Enteramente dependiente de firmas

• Debe instalarse *antes* de conectividad, programas

Escaneos antivirus

• Escaneos periódicos útiles, no la mejor opción

• Escaneos bajo demanda:• Ejecución de programas

• Descarga de archivos

• Conexión de medios removibles

• Habilitar heurística

¿Qué antivirus me conviene?

• Soluciones gratuitas tan efectivas como comerciales

• Desventajas: administración centralizada

• Si permite el presupuesto, decidir por administración y extras (e.g. spyware)

IDS de Host

• Detecta modificaciones a archivos

• Crea hashes y monitorea periódicamente

• Útil en equipos críticos

• Parcialmente implementados en AVs

Seguridad física

• Pantallas de privacidad

• Candados

• Dispositivos biométricos

• Bloqueos/borrados remotos

Seguridad en red

• Monitoreo

• Firewall

• IDS

• IPS

• Honeypots

• Seguridad en dispositivos pasivos

Comunicación en redes

• Información + metadatos

• Unidad: paquetes/tramas/datagramas

• Información encapsulada sucesivamente

Modelo TCP/IP

Monitoreo de red

• Análisis de cabeceras

• Búsqueda de patrones

• Detección de orígenes/destinos

• Puede trabajar en todas las capas

Seguridad básica(Parte III)

Introducción a la seguridad en cómputo

Experience: that most brutal of teachers. But you learn, my God do

you learn. C.S. Lewis

Firewall

• Tres tipos• Paquetes

• Estado

• Aplicación

• Análisis de cabeceras y/o contenidos

• Debe colocarse en perímetro interno

(N)IDS

• Análisis de cabeceras

• Flujos, firmas (patrones), bitácoras…

• Debe colocarse en perímetro interno

• Alerta sobre comportamiento sospechoso

IPS

• IDS con retroalimentación

• Puede tomar acción de respuesta

• Sustancialmente más complejo

• Sustancialmente más caro

Honeypots

• “Policías encubiertos”

• Baja/alta interacción

• Genéricos (investigación) / personalizados (trampa)

Dispositivos pasivos

• Políticas de acceso• Quién, cuándo, desde dónde…

• No olvidar acceso físico

• Contraseñas/configuraciones predeterminadas

• Redundancia

Seguridad en aplicaciones

• Origen

• Licenciamiento

• Actualizaciones

• Configuración

• Metadatos

• Intercomunicación

• Respaldos

Origen de aplicaciones

• Descargas• Malware/spyware

• Pop-ups

• Corrupción• MITM

• Vulneraciones

• Bugs

Origen de aplicaciones

• Sumas de seguridad

• Sitios confiables

• Proveedores confiables

• Políticas organizacionales

Licenciamiento

• Copias ‘crackeadas’

• FOSS / propietario

• Versiones de prueba

Licenciamiento

• Sitios confiables• ¿Demasiado bueno para ser verdad?

• Proveedores• Contratos

• Reputación

• Análisis de licencia• Implicaciones de desarrollo

Actualizaciones

• Vulnerabilidades

• Ausencia de funcionalidad

• Desastres – modificación, pérdida, vulneración…

Actualizaciones

• Parches de seguridad

• Firmas/patrones

• Ambiente de pruebas

Seguridad básica(Parte IV)

Introducción a la seguridad en cómputo

Imagination is more important than knowledge.

Albert Einstein

Configuraciones

• Accesos predeterminados

• Funcionalidad adicional

• Información compartida

• Inicios automáticos

Configuraciones

• Manuales• Internos, de preferencia

• Tutoriales, blogs, foros, documentación…

• Mejores prácticas• CIS

• Políticas organizacionales

Metadatos

• Documentos

• Imágenes

• Audio

• Video

Metadatos

• Office• Herramientas oficiales (http://bit.ly/OmRFBO)

• PDF• Integrado (http://bit.ly/PlGYgb)

• Imágenes• Eliminación de EXIF

Intercomunicación

• Conéctate a _______

• Accesos remotos

• Divulgación de información

• Tan seguro como el elemento más débil

Intercomunicación

• Limitar alcance• ¿Necesito conectividad con el servicio?

• Gmail

• Facebook

Respaldos

• Automatizados/periódicos

• ¿A dónde va mi información?

• No solo datos, también configuraciones

Respaldos

• Múltiples copias, múltiples sitios

• División de información

• Desconfiar de servicios online

• Verificar accesos

• Analizar media apropiado

Movilidad

• Cómputo en nube• ¿Quién controla el servicio?

• ¿Qué ocurre ante un apagón?

• ¿De quién es mi información?

• SAAS• Google docs/mail/…

• Office, Corel, Adobe…

Dispositivos móviles

• Hogar – oficina – nube

• Robo / extravío

• Snooping/spoofing

• Aplicaciones

Dispositivos móviles

• Habilitar contraseña

• Deshabilitar conexiones innecesarias• Hardware

• Servicios

• Habilitar cifrado

Seguridad en InternetIntroducción a la seguridad en cómputo

Imagination is more important than knowledge.

Albert Einstein

Mínimo privilegio

• Piedra angular de seguridad

• “Dar al César lo que es del César”… y ni un grano más

• Incluyéndome a mí mismo

Gracias!

Sergio A. Becerril

sab0403@gmail.comhttp://sergiob.org