FOX News Insider

Target: Cronología

● Atacantes engañan a un proveedor HVAC de Target

● Usan sus credenciales para acceder al sistema de control de aire

● Doble ataque:– Infectan servidores de archivos Windows

– Infectan terminales POS (no parchados)

● POS infectados envían datos de tarjetas de crédito a servidores Windows infectados, quienes los transmiten a servidores externos

Target: ¿Qué falló?

● Excesiva confianza en proveedores● No hubo una real preocupación por la seguridad

– No habían oficiales de seguridad ni CISO

– Los terminales POS eran Windows XP no actualizados y sin medidas anti-malware

● “Pero si están en una red aislada. ¿Quién podría atacarnos?”

● Hubo alertas tempranas, pero fueron ignoradas

Target: ¿Qué falló?

● Mal manejo posterior al incidente– CEO despedido

– Preocupados más por “comprar cajitas” que de entrenar a sus empleados

– Información mal dada al público● Incompleta al principio: Dijeron que fueron 40 y no 70

millones de registros de clientes los afectados● Tardía: El ataque se realizó un mes antes, y recién cuando

un investigador la reveló públicamente la reconocieron

Protección de la InformaciónUna necesidad en los tiempos modernos

Cristián Rojas, CSSLPConsultor independiente en Seguridad de la InformaciónProfesor de Seguridad de la Información, MTIG PUC

Foto: perspec_photo88 / CC BY-SA 2.0

En esta sesión

1. ¿Qué es la seguridad?

2. ¿Quiénes son los enemigos?

3. ¿Cuáles son las consecuencias de un ataque?

4. ¿Es importante la seguridad?

5. ¿Qué hacemos para proteger nuestra información?

¿Qué es la seguridad?

Seguridad de la Información

● Capacidad de un sistema de operar en un ambiente hostil– Por ejemplo, Internet

– ¿Hay algún otro?

● CIA

¿ ?

CIA: Confidencialidad

● La información sólo puede ser mostrada a quién corresponde– Controles de acceso

– Encriptación

– Esteganografía

CIA: Integridad

● La información no debe ser alterada por terceros– Los datos transmitidos, procesados y almacenados

deben ser tan precisos como quien los originó quiso

– El software debe desempeñarse en forma confiable

● Aspectos:– Hashing

– Autenticidad (Certificados Digitales, etc.)

– No-repudiación

CIA: Disponibilidad (Availability)

● La información debe estar disponible– ¿Cuándo?

– ¿Para quién?

● Aspectos:– Uptime

– Redundancia

– SLA's

– DoS

Información

Confidencialidad

Integridad Disponibilidad(Availability)

¿Quiénes son los enemigos?

Me han contado que los mejores crackers del mundo hacen esta

pega en 60 minutos...Lamentablemente yo necesito a

alguien que la haga en 60 segundos.

"Swordfish", Warner Bros, 2001.

Curiosos

“The Shining”, Warner Bros., 1980.

Malware automatizado

“Terminator 3: Rise or the Machines”, Warner Bros. 2003.

(Ex) empleados disgustados

“Office Space”, 20th Century Fox, 1999.

Cibercriminales

Ciberactivistas

Foto: sklathill / CC BY-SA

Auspiciadores estatales

Fuente: “Alchemy”, Wikipedia

¿Cuáles son las consecuencias de un ataque?

Howard, Lipner: “The Security Development Lifecycle”

El modelo STRIDE● Spoofing● Tampering● Repudiation● Information Disclosure● Denial of Service● Elevation of Privilege

Spoofing

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Tampering

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Repudiation

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Information Disclosure

“Star Wars IV: A New Hope”, LucasFilm, 1977.

Denial of Service

“Star Wars VI: Return of the Jedi”, LucasFilm, 1983.

Elevation of Privilege

“Star Wars IV: A New Hope”, LucasFilm, 1977.

¿Es importante la seguridad?(Mejor dicho, ¿tiene valor la seguridad?)

¿o pegada con cinta de embalaje?

¿Seguridad integrada?

Requisitos Diseño Implementación Pruebas Operación

1X 1X7X

15X

100X

IBM Systems Sciences Institute, “Implementing Software Inspections”

generando a los atacantes ganancias por

USD 53.7millones

De las cuales entre

1-3 millonesya han sido vendidas en el

mercado negro

Target: Los números

40millones

de tarjetas de crédito robadas

70millones

de registros de clientes robados

46%de caída en las ganancias de Target respecto al año

anterior

0oficiales de seguridad en

Target

200Millones (USD)

costará a bancos comunitarios y cooperativas reemitir

la mitadde las tarjetas de crédito robadas

Krebs on Security: “The Target Breach, By the Numbers”

¿Qué podemos hacer para proteger nuestra información?

¿Qué información tenemos y quién puede acceder a ella?

Multipass!

“The Fifth Element”, Gaumont, 1997.

Ojo con la amenaza interna

Wi-Fi, BYOD y trabajo remoto

ed.cl

El eslabón más débil: La password

● Usar buenas passwords– Largas, que combinen

números, mayúsculas, minúsculas y símbolos

– Que no tengan información relacionable (ej. fecha de cumpleaños, nombres...) http//xkcd.com/936

Ars Technica: “Stanford’s password policy shuns one-size-fits-all security”

El eslabón más débil: La password

● No usar una sóla password para todo. Usar compartimentalización– ¿Y cómo recordamos tantas passwords?

● Protegerlas tanto durante el transporte como al almacenarlas

● No usar passwords cognitivas

Dorkly, “How to Make Yourself Hack-Proof”

Otras formas de autentificación

● Factores de Autentificación:– Conocimiento

– Propiedad

– Característica

● 2FA: El uso de 2 de éstos es considerado seguro

● “Algo que eres” es delicado

purpleslog@flickr (CC BY 2.0)

Auditar periódicamente

Riesgos

Sistemas

Configuraciones

Usuarios

I know ISO27001!

Los desafíos de la Nube

Foto: perspec_photo88 / CC BY-SA 2.0

Herramientas de seguridad

● Criptografía– Simétrica

– Asimétrica

– Hashing

● Anti-malware● Gestión de identidades

● Detección de intrusos (IDS)

● Protección contra pérdida de datos (DLP)

● Firewalls● Scanners de seguridad● Security Information and

Event Management (SIEM)

Pero no podemos olvidar la herramienta más importante

Google Street View

Desarrollar aplicaciones seguras

● Hacer el software seguro desde el principio

● Adentrarse en conceptos de seguridad para programación

● Auditar código, configuraciones, servicios, ejecutables...

Developers!

No olvidarse de los usuarios

ianlloyd@flickr

Estar siempre listos

nick19@flickr

“No seas un idiota”*

● Puedes saber sólo lo que el usuario te dice

● Puedes compartir sólo lo que el usuario te diga

● ... y con quién te lo diga● ... y sólo si él quiere

hacer algo que lo requiera

* Graham Lee, “Don't be a dick”

En resumen

● Las amenazas a la información pueden venir de fuera, pero también quienes manejan la información pueden constituir una amenaza a ésta

● El valor de la seguridad no puede verse en términos de ROI, sino en el evitar perder el valor ganado con el uso de sistemas de información

● La seguridad es algo que se debe pensar desde el principio, no “pegar con cinta de embalaje” después de la implementación de sistemas de información

Bibliografía interesante

● Verizon, “2014 Data Breach Investigations Report”● Counsil on Cybersecurity, “The Critical Security Controls

for Effective Cyber Defense” (ver. 5.0)● Imperva: “The Anatomy of an Anonymous Attack”● Adam Shostack, “Threat Modeling: Designing for Security”● OWASP Top 10 2013● Ross Anderson, “Security Engineering”● NIST, SP 800-100, “Information Security Handbook: A

Guide for Managers”● NIST, SP 800-61 rev. 2, “Computer Security Incident

Handling Guide”

Sitios web interesantes

● SOPHOS, “Naked Security” y “60 Second Security”https://nakedsecurity.sophos.com

● ESET, “We Live Security”http://www.welivesecurity.com/la-es/

● Ars Technica, Risk Assessment – Security & Hacktivismhttp://arstechnica.com/security/

Muchas gracias por su atención.¿Preguntas? ¿Inquietudes?