Seguridad Informatica IV (Hacking y Auditoría)
Transcript of Seguridad Informatica IV (Hacking y Auditoría)
-
5/26/2018 Seguridad Informatica IV (Hacking y Auditor a)
1/7
19th May 2012
Y llegamos a la cuarta y ulma parte de esta saga que es una leve introduccin a seguridad Informace (y como dir
profe Hidalgo de Dibujo computarizado: hemos visto menos del 5%). En este cierre el objevo es mostrar
amalgama de lo visto en los temas pasados y dar la introduccin al concepto de Auditora de seguridad. Correspond
la cuarta cadena de la presentacin disponible en Prezi.com
Parte 1 -Programacin (segura) [http://rfuentess.blogspot.com/2012/04/seguridad-infromatica-i-programacion.html]
Parte 2 - Mitos y Realidades [http://rfuentess.blogspot.com/2012/05/seguridad-infromatica-ii-mitos-y.html]
Parte 3 - Categoras y medios [http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categorias-y.html]
Parte 4 - Hacking y Auditora
[http://3.bp.blogspot.com/-QM-db5xt9Pk/T58oJf7PftI/AAAAAAAAANg/xSic8a2F99Q/s1600/seg01.png]
La presentacin enPrezi es pblica y de l ibre uso[http://prezi.com/rfutmm8dpzx1/introduccion-a-seguridad-perspectiva-de-un-programador-junior/] .
Durante las entradas anteriores hice mucho nfasis que en un S.O. no es sinnimo de seguridad y no es por
sea anti-Mac o pro-Microsoft ni nada por el estilo, si no que un ataque no necesariamente tiene que ser informtpara poder comprometer la integridad de los datos o inclusos equipos informticos completos.
Esa combinacin de posibles ataques (la mayora caen en un termino denominado Ingeniera social) es la ra
por la cual Android esta plagado de malware. No importa el hecho que este diseado con seguridad desde un in
y que posea 22 bloques de control. Si el usuario final decide que quiere instalar esa App de Angry Birds porque
gratuita o llego creyendo que es la liga oficial ( Phising) y en realidad es un malware ese usuario ya vali quiote
dispositivo mvil ha quedado comprometido, en un solo da puede perder todo su saldo antes SMS fortuitos,
fotos pueden estar ahora en otros servidores y puede estar recibiendo chantajes por el sexting que practicaba.
Seguridad informtica IV (Hacking y auditora)
Men rapido:
Vectores de ataques
Vectores de ataques
Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-
1 de 7 01-04
-
5/26/2018 Seguridad Informatica IV (Hacking y Auditor a)
2/7
Algo parecido puede apreciarse del caso del troyano de Flashback que tuvo impacto en el sistema operativo
cree lleg a controlar mas de medio milln de dispositivos vendidos por Apple, la vulnerabilidad explota
proviene de Java y si mediante estas vulnerabilidades no lo consegua se hacia pasar por un certificado de Ap
Inc [http://www.genbeta.com/mac/es-falso-que-mac-sea-mas-seguro-por-ser-unix-entrevistamos-a-luis-corrons-sobre-flashba
y-la-seguridad-en-mac] . Y como se propago? Mediante otras tcnicas de ataques indirectos, al visitar paginas
pueden ser reales y no mal intencionados pero que han cado bajo control de otros (o parte de lo que despliega
estos servidores tambin son complejos y al igual que con un usuario hay muchas formas de afectarles y de
ah intentar afectar a los usuarios que los visiten.Por ultimo, todo programa o proyecto siempre tendr alguna vulnerabilidad y algunas no sern evidentes
siquiera percibidas por sus creadores) y habr gente cuyo trabajo (legal o ilegal sin importar su tica) sea busc
como ejecutar esos exploits tan poco conocidos ya que hay mercado para sus compras. (Por Ej. El gobie
gringo al comprar en un cuarto de milln de dlar un exploit para iOS [http://www.zdnet.com/blog/sec
/us-government-pays-250000-for-ios-exploit/11044?tag=content;siu-container] ).
Y no por ultimo viene el manejo adecuado de actualizaciones y parches crticos de seguridad, donde las compa
uegan un rol importante para proteger a los usuarios y estos vienen jugando el siguiente rol al actualizar (o
hacerlo) en el primer caso parece serle mas un estorbo a ciertas compaas que una obligacin mientras que
el segundo puede ser resultado de nuestra inhabilidad (por ejemplo licencia pirata de Windows 7 o de Adobe C
o falta de inters/memoria para realizar la actualizacin y es justamente por eso que muchos de los programas
solo hacer clic y robar contrasea o ejecutar Malware funcionan hoy en da (a pesar de ser amenazas b
conocidas) .
En sntesis existen muchas formas de lograr la ejecucin de malware en un sistema y el S.O. no es garanta
seguridad total, incluso nuestros hbitos pueden jugar en nuestra contray en otros casos podemos rec
ataques solo por navegar por nuestros sitios diarios.
[]
En toda las entradas pasadas he hecho mencin de exploits y de malware con los cuales se pueden log
ciertos objetivos en la victima y pueden ser desde robar informacin sensible (que suele estar por encima de
capa del kernel) o ejecutar cdigo arbitrario (El cual puede ver limitado por el S.O.) o un ataque de escalamie
en privilegio para realizar los pasos anteriores. Y las herramientas para lograrlo cada vez son mas simples y
consecuente el nivel de conocimiento requerido mucho menor. Es decir, gran parte de los ataques hoy en
puede realizarse sin tener conocimientos y por aos fueron los principales tipos de ataques.
[http://2.bp.blogspot.com/-AqnY_BBDj9I/T7cfEUD6N
/AAAAAAAAAPI/vYN3h1-pKiI/s1600/segiv_01.PNG]
Ejemplos de ataques ( hacking no tico)
Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-
2 de 7 01-04
-
5/26/2018 Seguridad Informatica IV (Hacking y Auditor a)
3/7
Algunos ejemplos de sinfines de casos.
Con lo anterior viene una pregunta clave Qu tanto se requiere para hacer mucho dao? Y la respuesta
Depende de todo un conjunto de eventos y manejos de parte del objetivos y los recursos de los atacantes. P
tratar de ello es que utilizo la imagen anterior Nivel de expertises para hacer dao. En ella estn de izquierd
derecha una escala de poco (izquierda) a mucho (derecha) requerimiento de Expertise para lograr cie
ataques.
El primer caso es Sony, aunque es especial, el ataque en si no estuvo tan simple pero todo los errores acumula
por Sony [http://www.europapress.es/portaltic/videojuegos/noticia-experto-denuncia-sony-usaba-software-antiguo-firew
servidores-20110506165535.html] y sus respuesta s al evento lo vuelven el peor fiasco del 2011 y lo deja com
demostracin de que tan mal pueden salir las cosas hoy en da. El segundo caso, iWiks se trata de una
diseada originalmente para el pblico mexicano pero que no duro ni un da en su inauguracin (21 de enero
2011) Por qu? Tomaron control de ella mediantes herramientas que explotaban vulnerabilidades b
conocidos y otras vulnerabilidades del S.O anfitrin y de la versin de servidor que este ejecutaba (Esta es la
del blog del primer ataque exitoso a dicha red [http://www.therror.com/weblog/2011/
/como_hackee_iwiks_en_10_minutos_el_dia_de_lanzamiento] ), en conclusin este fiasco se debi a programadores q
sabiendo hacer las cosas (montar una red social funcional an sin interfaz esttica tiene su truco) les falloauditoria de seguridad y en esto coincide con Sony, por inocentes les fue feo. Por cierto, iWiks sigue en pie en
portal [http://iwiks.com/] despus de un tiempo sabtico para reforzarse y auditarse a si mismo.
El siguiente caso tambin es importante y requiere un enfoque distinto a usar programitasya que se trata de
robos de certificados de empresas que controlan el SSL en la web. Ellas son las que nos permiten navegar
forma segura en Internet (como nuestras tarjetas de crdito). Hay dos ataques importantes que ocurrieron el a
pasado a dos certificadoras: Comodo fue la primera victima y Mozilla documento el caso en su b
[http://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-follow-up/] adems la publicacin del hac
[http://packetstormsecurity.org/news/view/18896/Comodo-Hacker-Outs-Himself.html] quien realizo el ataque. La segu
empresa afectada fuee DigiNotar, cuyo ataque alcanzo afectar varios certificados [http://blog.segu-info.com
/2011/09/consiguen-certificados-ssl-falsos-de-la.html#axzz1vC1faDv6] que ella otorgaba. Qu se logro con e
ataques? Eliminar la confianza de estar donde creemos estar (elemento fundamental). Tal vez el caso mas son
es que se cree que Irn utilizo esto para engaar y capturar informacin clave de luchadores de derec
humanos [http://es.globalvoicesonline.org/2011/09/05/iran-sonrie-el-regimen-esta-leyendo-tus-correos/] . Se puede leer
poco ms en esta nota de Kapersky lab [http://threatpost.com/en_us/blogs/comodo-diginotar-attacks-expose-crumb
foundation-ca-system-090211] .
El siguiente caso tambin es importante y requiere un enfoque distinto a usar programitas y se trata de los ro
de certificados de empresas SSL. Ellas son las que nos permiten navegar de forma segura en Internet (co
nuestras tarjetas de crdito [http://rfuentess.blogspot.com/2011/06/protegiendo-la-tarjeta-de-credito-en.html] ). Hay
ataques importantes: Comodo en el que Mozilla documento en su blog [http://blog.mozilla.org/security/2011/25/comodo-certificate-issue-follow-up/] y la publicacin del mismo hacker [http://packetstormsecurity.org/news/view/18
/Comodo-Hacker-Outs-Himself.html] y la segunda que fue de DigiNotar que alcanzo varios certificados [http://blog.se
info.com.ar/2011/09/consiguen-certificados-ssl-falsos-de-la.html#axzz1vC1faDv6] . Qu se logro con esos ataque
Eliminar la confianza de estar donde creemos estar (elemento fundamental). Tal vez el caso mas sonado es qu
Se cree que Irn utilizo esto para engaar y capturar informacin clave de luchadores de derechos huma
[http://es.globalvoicesonline.org/2011/09/05/iran-sonrie-el-regimen-esta-leyendo-tus-correos/] . Se puede leer un poco m
en esta nota de Kapersky lab [http://threatpost.com/en_us/blogs/comodo-diginotar-attacks-expose-crumbling-foundat
ca-system-090211] .
Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-
3 de 7 01-04
-
5/26/2018 Seguridad Informatica IV (Hacking y Auditor a)
4/7
Y el ltimo caso es Stuxnet, en palabras simplonas un malware enfocado en fregar un motor clave en el sistema
enfriamiento de una planta nuclear en Irn al atacar un sistema SCADA [http://es.wikipedia.org/wiki/Stuxnet] (tecnolo
vieja y nacida antes de los protocolos de seguridad pero amo y seor en los sistemas industriales). Lo que tiene
especial, es toda la inteligencia detrs del ataque: El malware saba exactamente que regin del planeta bus
saba identificar exactamente que planta nuclear atacar y conoca a la perfeccin el lugar del motor dentro
sistema SCADA y su modelo y los drivers del mismo. Por eso lo pongo como el ataque mas sofisticado en e
serie de ejemplos, la informacin que se obtuvo de antemano logro hacer un ataque a distancia con un fue
impacto negativo en la victima (Detener la operacin de la planta).
Pero bueno, dejemos de hablar de los chicos malos y hablemos del proceso para evitar estas fallas. De hecho e
primer tema ya hable de ellas, al menos para el desarrollo de aplicaciones, al hacer mencin de los 25 errores
programacin ms comunes. Una auditora a una aplicacin tiene los siguientes pasos (Esquema general)
[http://1.bp.blogspot.com
/-09yyS93Bdd0/T7cfdZmp_8I/AAAAAAAAAPQ/gmiWCdFn8UE/s1600/segiv_02.PNG]
Modelo generar de Hacking tico.
No voy a entrar a muchos detalles sobre ellos por ahora pero basta decir que se trata de un proceso que in
bajo contrato y solicitud explicita del que da el servicio hacia un auditor interno o contratado (nada de buen
intenciones) y se hace la revisin del proyecto o de un dispositivo en particular (de acuerdo a lo estipulado
contrato) con objetivo de crear documentacin sobre los pasos realizados y recomendaciones para su correc
Solamente los pasos Reporte y Revisin de huellas difiere de un esquema no tico. Las personas q
practican estas auditorias se les suele denominar hackers de sombrero blanco (y el negro para los chicos mal
y el gris para los anti-heroes).
Todo el rollo que me he soltado anteriormente tiene como objetivo dar a entender porque es vital p
Auditorias: Hacking tico
Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-
4 de 7 01-04
-
5/26/2018 Seguridad Informatica IV (Hacking y Auditor a)
5/7
cualquier proyecto informtico realizar auditorias en algn punto.Si no se tiene el entrenamiento, se debe
contratar a un tercero.
Una auditora de seguridad completa VA MUCHO ABARCA MAS QUE SOLO REVISAR MAQUINAS y firewa
De hecho es lo ltimo que se hace. Una auditora toma el todo de la empresa para el proyecto o los mltip
proyectos es un proceso continuo donde se toma todo los ngulos posibles (infraestructura, protocolos
compartir informacin, el cumplimiento de leyes de la(s) nacin(es) donde ofrece el servicio, polticas hacia
empleados, directivos, clientes, etc.).
[http://4.bp.blogspot.com/-UOKbpIzBYDc/T7cgQ-x8R-I/AAAAAAAAAPY/K34Da-1MW8Q/s1600/segiv_03.PNG]
Un esquema ejemplo de auditorias de seguridad.
ES la combinacin de todos los elementos lo que hace que el proyecto tenga seguridad y es esta combinaci
que se debe de ver reflejado en las polticas de control de acceso de los firewalls, en el control de los equipos
zonas DMZ o dentro de la empresa, el pasar la informacin el que tan rpido una persona es dado de baja de
empresa (incluyendo sus credenciales virtuales) y un sinfn de elementos. Aquellos que participan en todas es
fases y que hacen las pruebas se les denomina: Auditores de seguridad.
Los costos del descuido de estas defensas se puede apreciar en la cada catastrfica de Sony en la Bolsa
Auditora de seguridad informtica
Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-
5 de 7 01-04
-
5/26/2018 Seguridad Informatica IV (Hacking y Auditor a)
6/7
puede apreciar por la bancarrota de las empresas que fueron comprometidas al robarles los certificados SSL y
muchas mas catstrofes. No implementarlo siembre terminara mal.
[http://www.smbc-
comics.com/comics/20110506.gif]
Despues de todo este rollo, un buen tip para volver loco al administrador de sistemas (Tira comica de SMBC)
Parte 1 -Programacin (segura) [http://rfuentess.blogspot.com/2012/04/seguridad-infromatica-i-programacion.html]
Parte 2 - Mitos y Realidades [http://rfuentess.blogspot.com/2012/05/seguridad-infromatica-ii-mitos-y.html]
Parte 3 - Categoras y medios [http://rfuentess.blogspot.com/2012/05/seguridad-informatica-iii-categorias-y.html]
Parte 4 - Hacking y Auditora
Men rapido:
Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-
6 de 7 01-04
-
5/26/2018 Seguridad Informatica IV (Hacking y Auditor a)
7/7
Posted 19th May 2012 by Raul Fuentes
Labels:Auditoria,conceptos seguridad,Profesionales,Seguridad,Seguridad Internet
Comentar como:
Publicar
0 Add a comment
Seguridad informtica IV (Hacking y auditora) | Baluarte en el mar del caos http://rfuentess.blogspot.com/2012/05/seguridad-informatica-
7 de 7 01-04