1

Vulnerabilidades de los sistemas

informáticos

formador Ezequiel Llarena Borges

http://youtu.be/fDhAyoGALv4/

2

formador Ezequiel Llarena Borges

• Responsables de las vulnerabilidades que

afectan a los sistemas informáticos

• Debilidad en el diseño de los protocolos utilizados en las redes o No prevén situaciones anómalas o mal

comportamiento de alguna de las partes de la comunicación (DoS)

o Información sensible en texto plano (FTP, SMTP, Telnet)

o Security Not My Problem (SNMP)

3

• Errores de programación

• Configuración inadecuada de los sistemas informáticos

• Políticas de Seguridad deficientes/inexistentes

• Desconocimiento y falta sensibilidad de los usuarios y de los responsables de informática

• Disponibilidad de herramientas que facilitan ataques

• Limitación gubernamental tamaño claves criptográficas y a la utilización de este tipo de tecnologías

• Existencia de “puertas traseras” en los sistemas

• Descuido de los fabricantes

4

• Que afectan a equipos

• Que afectan a programas y aplicaciones informáticas

• Routers y cable-módems

• Cámaras web y servidores de vídeo

• Impresoras, escáneres, faxes…

• Teléfonos móviles y Smartphones

• Agendas electrónicas y tablets

5

• Sistemas operativos

• Servidores

• Bases de datos

• Navegadores

• Aplicaciones de ofimática

• Otras utilidades y aplicaciones informáticas

• Vulnerabilidades descubiertas en sus

productos

• Graves consecuencias a sus usuarios

• 2003 contra Microsoft vulnerable a virus

• Fallos masivos y en cascada en las redes

• Alertas de seguridad poco legibles para el

público general y elocuentes para los intrusos

6

• CERT: http://www.cert.org/

• CERT – INTECO: http://cert.inteco.es/

• SANS Institute: http://www.sans.org/

• OSSTMM (Open Source Security Testing Metodology Manual) http://www.isecom.org/osstmm/

• OWASP (Open Web Aplication Security Project) http://www.owasp.org/

formador Ezequiel Llarena Borges

7

• Conocer situación real de un sistema

• Mejorar su seguridad

• Verificar que los mecanismos de seguridad

funcionan correctamente

• Pueden establecer ranking en función de la

severidad

• Justificar la implantación nuevas de medidas

de seguridad

• Obtención de más recursos económicos

• Priorizar medidas a implantar en función de

las vulnerabilidades detectadas

• Selección de medidas basada en relación

coste/beneficio

8

• Parches del sistema operativo

• Seguridad del sistema de ficheros

• Cuentas y usuarios

• Servicios y aplicaciones instaladas

• Protocolos y servicios de red

• Control de acceso a los recursos

• Registros y auditorías de eventos

• Antivirus, cortafuegos, gestores backups

Revisión de

equipos y servidores

• Alcance y objetivos de las pruebas

• Conocimiento y experiencia del equipo que analiza las vulnerabilidades y realiza pruebas de intrusión en el sistema

• Aplicación de metodologías para realizar las pruebas

• Actualización periódica base datos vulnerabilidades

• Controlar y limitar riesgos derivados de las pruebas (disminución rendimiento equipos, DoS, exposición datos sensible)

• Pruebas periódicas o momentos puntuales

• Registras puntuaciones y resultados obtenidos para posterior análisis evolución seguridad

Aspectos importantes

9

• Elaborar una completa documentación o informe

Resumen ejecutivo Informe técnico detallado

Dirigido a personal no técnico Describa sistema objeto de estudio

Breve descripción trabajos realizados Recursos analizados y pruebas realizadas

Conclusiones gral. y recomendaciones Vulnerabilidades detectadas

Tratar no usar terminología técnica Medidas propuestas de mejora seguridad

Asegurar calidad pruebas realizadas y

evaluación por terceros

OSSTMM: Manual propuestas pruebas de auditoría técnica de seguridad

OWASP: Proyecto para evaluar seguridad aplicaciones web

NIST: Guía de pruebas de seguridad de red

CVE: Vulnerabilidades y Exposiciones Comunes (Publicación de Parches)

10

Evaluación de la

seguridad

TESTS DE PENETRACIÓN

(Herramienta Metodológica)

Tests de Penetración Externos

Tests de Penetración Internos

Evaluación de la

seguridad

Generación informes, análisis resultados, presentación de las conclusiones sobre la seguridad

Penetración, explotación huecos detectados

Detección y verificación vulnerabilidades en servidores estándar y aplicaciones propias

Averiguar tipo información susceptible de ser robada

11

Análisis de

vulnerabilidades

Realizados desde exterior de la red de la organización

Escaneo de puertos y detección

de protocolos utilizados

Análisis tráfico

cursado

Rango de direcciones

utilizado

Servicios ofrecidos

Política usuarios

passwords

Análisis de

vulnerabilidades

Realizados desde exterior de la red de la organización

Intentos conexión vía

Internet

Redes

Wifi

Intentos DoS

Explotación agujeros

seguridad conocidos

12

Análisis de

vulnerabilidades

Realizados desde interior de la red de la organización

Protocolos utilizados y servicios ofrecidos

Autenticación de usuarios

Políticas de contraseñas

Verificación seguridad lógica

(permisos y restricciones a los recursos software)

Análisis de

vulnerabilidades

Realizados desde interior de la red de la organización

Explotación agujeros de seguridad conocidos

Seguridad estaciones de

trabajo

Evaluación comportamiento antivirus y

otras herramientas

seguridad

Nivel detección intrusos

13

Herramientas comerciales y

freeware

NESSUS

SATAN

SPIKE ISS

NIKTO

Herramientas de evaluación de

vulnerabilidades

Nessus: Herramienta más utilizada, código abierto, soporte Linux y Windows

NMAP: Escanea puertos NMAP para descubrir servicios objetos de estudio

NASL: Lenguaje propietario para definir pruebas a partir base datos vulnerabilidades

CVE: Vulnerabilidades y Exposiciones Comunes (Publicación de Parches)

14

• Falsos positivos, hacen perder tiempo

• Falsos negativos, no se detectan algunos “huecos”, evitables si herramientas y bases datos vulnerabilidades actualizadas

• Impacto rendimiento del sistema, puede llegar a ralentizar de forma importante el sistema informático

Limitaciones y problemas

Herramientas de evaluación de

vulnerabilidades

• Replicar métodos de un posible atacante externo

• Sólo se dispone de información pública

• Identificar y explotar posibles agujeros seguridad

• Test penetración de aplicaciones

• Ataques simulados completos

Análisis de “caja negra”

• Equipo de auditoría dispone toda la información necesaria

• Configuración elementos de red

• Código fuente de las aplicaciones

• Documentación técnica sobre medidas seguridad implantadas

• Manuales de uso

• Archivos de configuración de servidores y aplicaciones

Análisis de “caja blanca”