Seguridad Informatica IV (Hacking y Auditoría)

5/26/2018 Seguridad Informatica IV (Hacking y Auditor a)

1/7

19th May 2012

Y llegamos a la cuarta y ulma parte de esta saga que es una leve introduccin a seguridad Informace (y como dir

profe Hidalgo de Dibujo computarizado: hemos visto menos del 5%). En este cierre el objevo es mostrar

amalgama de lo visto en los temas pasados y dar la introduccin al concepto de Auditora de seguridad. Correspond

la cuarta cadena de la presentacin disponible en Prezi.com

Parte 1 -Programacin (segura) [http://rfuentess.blogspot.com/2012/04/seguridad-infromatica-i-programacion.html]

Parte 2 - Mitos y Realidades [http://rfuentess.blogspot.com/2012/05/seguridad-infromatica-ii-mitos-y.html]

Parte 3 - Categoras y medios [http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categorias-y.html]

Parte 4 - Hacking y Auditora

[http://3.bp.blogspot.com/-QM-db5xt9Pk/T58oJf7PftI/AAAAAAAAANg/xSic8a2F99Q/s1600/seg01.png]

La presentacin enPrezi es pblica y de l ibre uso[http://prezi.com/rfutmm8dpzx1/introduccion-a-seguridad-perspectiva-de-un-programador-junior/] .

Durante las entradas anteriores hice mucho nfasis que en un S.O. no es sinnimo de seguridad y no es por

sea anti-Mac o pro-Microsoft ni nada por el estilo, si no que un ataque no necesariamente tiene que ser informtpara poder comprometer la integridad de los datos o inclusos equipos informticos completos.

Esa combinacin de posibles ataques (la mayora caen en un termino denominado Ingeniera social) es la ra

por la cual Android esta plagado de malware. No importa el hecho que este diseado con seguridad desde un in

y que posea 22 bloques de control. Si el usuario final decide que quiere instalar esa App de Angry Birds porque

gratuita o llego creyendo que es la liga oficial ( Phising) y en realidad es un malware ese usuario ya vali quiote

dispositivo mvil ha quedado comprometido, en un solo da puede perder todo su saldo antes SMS fortuitos,

fotos pueden estar ahora en otros servidores y puede estar recibiendo chantajes por el sexting que practicaba.

Seguridad informtica IV (Hacking y auditora)

Men rapido:

Vectores de ataques

Vectores de ataques

Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-

1 de 7 01-04


2/7

Algo parecido puede apreciarse del caso del troyano de Flashback que tuvo impacto en el sistema operativo

cree lleg a controlar mas de medio milln de dispositivos vendidos por Apple, la vulnerabilidad explota

proviene de Java y si mediante estas vulnerabilidades no lo consegua se hacia pasar por un certificado de Ap

Inc [http://www.genbeta.com/mac/es-falso-que-mac-sea-mas-seguro-por-ser-unix-entrevistamos-a-luis-corrons-sobre-flashba

y-la-seguridad-en-mac] . Y como se propago? Mediante otras tcnicas de ataques indirectos, al visitar paginas

pueden ser reales y no mal intencionados pero que han cado bajo control de otros (o parte de lo que despliega

estos servidores tambin son complejos y al igual que con un usuario hay muchas formas de afectarles y de

ah intentar afectar a los usuarios que los visiten.Por ultimo, todo programa o proyecto siempre tendr alguna vulnerabilidad y algunas no sern evidentes

siquiera percibidas por sus creadores) y habr gente cuyo trabajo (legal o ilegal sin importar su tica) sea busc

como ejecutar esos exploits tan poco conocidos ya que hay mercado para sus compras. (Por Ej. El gobie

gringo al comprar en un cuarto de milln de dlar un exploit para iOS [http://www.zdnet.com/blog/sec

/us-government-pays-250000-for-ios-exploit/11044?tag=content;siu-container] ).

Y no por ultimo viene el manejo adecuado de actualizaciones y parches crticos de seguridad, donde las compa

uegan un rol importante para proteger a los usuarios y estos vienen jugando el siguiente rol al actualizar (o

hacerlo) en el primer caso parece serle mas un estorbo a ciertas compaas que una obligacin mientras que

el segundo puede ser resultado de nuestra inhabilidad (por ejemplo licencia pirata de Windows 7 o de Adobe C

o falta de inters/memoria para realizar la actualizacin y es justamente por eso que muchos de los programas

solo hacer clic y robar contrasea o ejecutar Malware funcionan hoy en da (a pesar de ser amenazas b

conocidas) .

En sntesis existen muchas formas de lograr la ejecucin de malware en un sistema y el S.O. no es garanta

seguridad total, incluso nuestros hbitos pueden jugar en nuestra contray en otros casos podemos rec

ataques solo por navegar por nuestros sitios diarios.

[]

En toda las entradas pasadas he hecho mencin de exploits y de malware con los cuales se pueden log

ciertos objetivos en la victima y pueden ser desde robar informacin sensible (que suele estar por encima de

capa del kernel) o ejecutar cdigo arbitrario (El cual puede ver limitado por el S.O.) o un ataque de escalamie

en privilegio para realizar los pasos anteriores. Y las herramientas para lograrlo cada vez son mas simples y

consecuente el nivel de conocimiento requerido mucho menor. Es decir, gran parte de los ataques hoy en

puede realizarse sin tener conocimientos y por aos fueron los principales tipos de ataques.

[http://2.bp.blogspot.com/-AqnY_BBDj9I/T7cfEUD6N

/AAAAAAAAAPI/vYN3h1-pKiI/s1600/segiv_01.PNG]

Ejemplos de ataques ( hacking no tico)


2 de 7 01-04


3/7

Algunos ejemplos de sinfines de casos.

Con lo anterior viene una pregunta clave Qu tanto se requiere para hacer mucho dao? Y la respuesta

Depende de todo un conjunto de eventos y manejos de parte del objetivos y los recursos de los atacantes. P

tratar de ello es que utilizo la imagen anterior Nivel de expertises para hacer dao. En ella estn de izquierd

derecha una escala de poco (izquierda) a mucho (derecha) requerimiento de Expertise para lograr cie

ataques.

El primer caso es Sony, aunque es especial, el ataque en si no estuvo tan simple pero todo los errores acumula

por Sony [http://www.europapress.es/portaltic/videojuegos/noticia-experto-denuncia-sony-usaba-software-antiguo-firew

servidores-20110506165535.html] y sus respuesta s al evento lo vuelven el peor fiasco del 2011 y lo deja com

demostracin de que tan mal pueden salir las cosas hoy en da. El segundo caso, iWiks se trata de una

diseada originalmente para el pblico mexicano pero que no duro ni un da en su inauguracin (21 de enero

2011) Por qu? Tomaron control de ella mediantes herramientas que explotaban vulnerabilidades b

conocidos y otras vulnerabilidades del S.O anfitrin y de la versin de servidor que este ejecutaba (Esta es la

del blog del primer ataque exitoso a dicha red [http://www.therror.com/weblog/2011/

/como_hackee_iwiks_en_10_minutos_el_dia_de_lanzamiento] ), en conclusin este fiasco se debi a programadores q

sabiendo hacer las cosas (montar una red social funcional an sin interfaz esttica tiene su truco) les falloauditoria de seguridad y en esto coincide con Sony, por inocentes les fue feo. Por cierto, iWiks sigue en pie en

portal [http://iwiks.com/] despus de un tiempo sabtico para reforzarse y auditarse a si mismo.

El siguiente caso tambin es importante y requiere un enfoque distinto a usar programitasya que se trata de

robos de certificados de empresas que controlan el SSL en la web. Ellas son las que nos permiten navegar

forma segura en Internet (como nuestras tarjetas de crdito). Hay dos ataques importantes que ocurrieron el a

pasado a dos certificadoras: Comodo fue la primera victima y Mozilla documento el caso en su b

[http://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-follow-up/] adems la publicacin del hac

[http://packetstormsecurity.org/news/view/18896/Comodo-Hacker-Outs-Himself.html] quien realizo el ataque. La segu

empresa afectada fuee DigiNotar, cuyo ataque alcanzo afectar varios certificados [http://blog.segu-info.com

/2011/09/consiguen-certificados-ssl-falsos-de-la.html#axzz1vC1faDv6] que ella otorgaba. Qu se logro con e

ataques? Eliminar la confianza de estar donde creemos estar (elemento fundamental). Tal vez el caso mas son

es que se cree que Irn utilizo esto para engaar y capturar informacin clave de luchadores de derec

humanos [http://es.globalvoicesonline.org/2011/09/05/iran-sonrie-el-regimen-esta-leyendo-tus-correos/] . Se puede leer

poco ms en esta nota de Kapersky lab [http://threatpost.com/en_us/blogs/comodo-diginotar-attacks-expose-crumb

foundation-ca-system-090211] .

El siguiente caso tambin es importante y requiere un enfoque distinto a usar programitas y se trata de los ro

de certificados de empresas SSL. Ellas son las que nos permiten navegar de forma segura en Internet (co

nuestras tarjetas de crdito [http://rfuentess.blogspot.com/2011/06/protegiendo-la-tarjeta-de-credito-en.html] ). Hay

ataques importantes: Comodo en el que Mozilla documento en su blog [http://blog.mozilla.org/security/2011/25/comodo-certificate-issue-follow-up/] y la publicacin del mismo hacker [http://packetstormsecurity.org/news/view/18

/Comodo-Hacker-Outs-Himself.html] y la segunda que fue de DigiNotar que alcanzo varios certificados [http://blog.se

info.com.ar/2011/09/consiguen-certificados-ssl-falsos-de-la.html#axzz1vC1faDv6] . Qu se logro con esos ataque

Eliminar la confianza de estar donde creemos estar (elemento fundamental). Tal vez el caso mas sonado es qu

Se cree que Irn utilizo esto para engaar y capturar informacin clave de luchadores de derechos huma

[http://es.globalvoicesonline.org/2011/09/05/iran-sonrie-el-regimen-esta-leyendo-tus-correos/] . Se puede leer un poco m

en esta nota de Kapersky lab [http://threatpost.com/en_us/blogs/comodo-diginotar-attacks-expose-crumbling-foundat

ca-system-090211] .


3 de 7 01-04


4/7

Y el ltimo caso es Stuxnet, en palabras simplonas un malware enfocado en fregar un motor clave en el sistema

enfriamiento de una planta nuclear en Irn al atacar un sistema SCADA [http://es.wikipedia.org/wiki/Stuxnet] (tecnolo

vieja y nacida antes de los protocolos de seguridad pero amo y seor en los sistemas industriales). Lo que tiene

especial, es toda la inteligencia detrs del ataque: El malware saba exactamente que regin del planeta bus

saba identificar exactamente que planta nuclear atacar y conoca a la perfeccin el lugar del motor dentro

sistema SCADA y su modelo y los drivers del mismo. Por eso lo pongo como el ataque mas sofisticado en e

serie de ejemplos, la informacin que se obtuvo de antemano logro hacer un ataque a distancia con un fue

impacto negativo en la victima (Detener la operacin de la planta).

Pero bueno, dejemos de hablar de los chicos malos y hablemos del proceso para evitar estas fallas. De hecho e

primer tema ya hable de ellas, al menos para el desarrollo de aplicaciones, al hacer mencin de los 25 errores

programacin ms comunes. Una auditora a una aplicacin tiene los siguientes pasos (Esquema general)

[http://1.bp.blogspot.com

/-09yyS93Bdd0/T7cfdZmp_8I/AAAAAAAAAPQ/gmiWCdFn8UE/s1600/segiv_02.PNG]

Modelo generar de Hacking tico.

No voy a entrar a muchos detalles sobre ellos por ahora pero basta decir que se trata de un proceso que in

bajo contrato y solicitud explicita del que da el servicio hacia un auditor interno o contratado (nada de buen

intenciones) y se hace la revisin del proyecto o de un dispositivo en particular (de acuerdo a lo estipulado

contrato) con objetivo de crear documentacin sobre los pasos realizados y recomendaciones para su correc

Solamente los pasos Reporte y Revisin de huellas difiere de un esquema no tico. Las personas q

practican estas auditorias se les suele denominar hackers de sombrero blanco (y el negro para los chicos mal

y el gris para los anti-heroes).

Todo el rollo que me he soltado anteriormente tiene como objetivo dar a entender porque es vital p

Auditorias: Hacking tico


4 de 7 01-04


5/7

cualquier proyecto informtico realizar auditorias en algn punto.Si no se tiene el entrenamiento, se debe

contratar a un tercero.

Una auditora de seguridad completa VA MUCHO ABARCA MAS QUE SOLO REVISAR MAQUINAS y firewa

De hecho es lo ltimo que se hace. Una auditora toma el todo de la empresa para el proyecto o los mltip

proyectos es un proceso continuo donde se toma todo los ngulos posibles (infraestructura, protocolos

compartir informacin, el cumplimiento de leyes de la(s) nacin(es) donde ofrece el servicio, polticas hacia

empleados, directivos, clientes, etc.).

[http://4.bp.blogspot.com/-UOKbpIzBYDc/T7cgQ-x8R-I/AAAAAAAAAPY/K34Da-1MW8Q/s1600/segiv_03.PNG]

Un esquema ejemplo de auditorias de seguridad.

ES la combinacin de todos los elementos lo que hace que el proyecto tenga seguridad y es esta combinaci

que se debe de ver reflejado en las polticas de control de acceso de los firewalls, en el control de los equipos

zonas DMZ o dentro de la empresa, el pasar la informacin el que tan rpido una persona es dado de baja de

empresa (incluyendo sus credenciales virtuales) y un sinfn de elementos. Aquellos que participan en todas es

fases y que hacen las pruebas se les denomina: Auditores de seguridad.

Los costos del descuido de estas defensas se puede apreciar en la cada catastrfica de Sony en la Bolsa

Auditora de seguridad informtica


5 de 7 01-04


6/7

puede apreciar por la bancarrota de las empresas que fueron comprometidas al robarles los certificados SSL y

muchas mas catstrofes. No implementarlo siembre terminara mal.

[http://www.smbc-

comics.com/comics/20110506.gif]

Despues de todo este rollo, un buen tip para volver loco al administrador de sistemas (Tira comica de SMBC)

Parte 1 -Programacin (segura) [http://rfuentess.blogspot.com/2012/04/seguridad-infromatica-i-programacion.html]

Parte 2 - Mitos y Realidades [http://rfuentess.blogspot.com/2012/05/seguridad-infromatica-ii-mitos-y.html]

Parte 3 - Categoras y medios [http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categorias-y.html]

Parte 4 - Hacking y Auditora

Men rapido:


6 de 7 01-04


7/7

Posted 19th May 2012 by Raul Fuentes

Labels:Auditoria,conceptos seguridad,Profesionales,Seguridad,Seguridad Internet

Comentar como:

Publicar

0 Add a comment


7 de 7 01-04

Seguridad Informatica IV (Hacking y Auditoría)

Documents

Transcript of Seguridad Informatica IV (Hacking y Auditoría)