COMISARIA GENERAL DE POLICÍA JUDICIAL U.D.E.F. … · ... (virus, caballo de Troya, ...), o un...

Jefe del Grupo de Seguridad Lógica

Inspector Pablo Alonso

COMISARIA GENERAL DE POLICÍA JUDICIAL U.D.E.F. CENTRAL

BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

ORGANIZACIÓN OPERATIVA

BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

SECCIÓN OPERATIVA I SECCIÓN OPERATIVA II SECCIÓN TÉCNICA

PROTECCIÓN AL MENOR I y II

FRAUDE A LAS TELECOMUNICACIONES

FRAUDES EN INTERNET I y II

SEGURIDAD LÓGICA

INFORMES APOYO TÉCNICO FORMACIÓN ESTUDIOS I + D

PROPIEDAD INTELECTUAL

Comisaría General de Policía Judicial

REDES ABIERTAS

BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA

La seguridad informática se encarga de la identificación de las vulnerabilidades de un sistema y d e l e s t a b l e c i m i e n t o d e contramedidas que eviten que las distintas amenazas posibles exploten estas vulnerabilidades.

¿Que es la seguridad?

“Proceso consistente en mantener un nivel aceptable de riesgo percibido”

Richard Bejtlich. El Tao de la monitorización de seguridad en redes

Eventualmente TODO sistema de seguridad

FALLARÁ.

CONCEPTO DE SEGURIDAD

Objetivos de la seguridad

• Garantizar el CID – Confidencialidad: Que nadie más lo vea – Integridad: Que nadie más lo cambie – Disponibilidad: Que siempre esté ahí

• Implantar las reglas de Oro – Autenticación: Quién es – Autorización: Qué puede hacer – Auditoría: Qué ocurrió

• Asegurar el No Repudio – Que nadie pueda decir que él NO FUE

Conceptos Básicos

• Vulnerabilidad. – Punto o aspecto del sistema o sus aplicaciones

que es susceptible de ser atacado o de dañar la seguridad del mismo. Representan las debilidades o aspectos falibles o atacables en un sistema informático.

• Amenaza. – Posible peligro para el sistema. Puede ser una

persona (hacker), un programa (virus, caballo de Troya, ...), o un suceso natural o de otra índole (fuego, inundación, etc.). Representan los pos ib les atacantes o factores que aprovechan las debilidades del sistema.

• Contramedida. – Técnicas de protección del sistema contra las

amenazas.


Seguridad Informática CARACTERISTICAS A GARANTIZAR

•Disponibilidad – El sistema se mantiene funcionando eficientemente y es

capaz de recuperarse rápidamente en caso de fallo.

•Integridad – Permite asegurar que no se ha falseado la información, es

decir, que los datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que se haya producido ninguna modificación.

•Confidencialidad – Capacidad del sistema para evitar que personas no

autorizadas puedan acceder a la información almacenada en él.


Seguridad Informática OTROS ASPECTOS

•Autenticidad – Permite asegurar el origen de la información. La identidad

del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser.

•Consistencia – Asegurar que el sistema se comporta como se supone que

debe hacerlo con los usuarios autorizados

•Aislamiento – Regular el acceso al sistema, impidiendo que personas no

autorizadas entren en él.

•Auditoria – Capacidad de determinar qué acciones o procesos se han

llevado a cabo en el sistema, y quién y cuándo las han llevado a cabo.


Seguridad Informática PRINCIPIOS FUNDAMENTALES

•Principio de menor privilegio – Cualquier objeto (usuario, administrador, programa, sistema,

etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno más.

•Principio del eslabón más débil – En todo sistema de seguridad, el máximo grado de seguridad no

es la suma de toda la cadena de medidas sino el grado de seguridad de su eslabón más débil.

•Punto de control centralizado – Se trata de establecer un único punto de acceso a nuestro

sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por él. No se trata de utilizar un sólo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema.


Seguridad Informática PRINCIPIOS FUNDAMENTALES

• Seguridad en caso de fallo – Este principio afirma que en caso de que cualquier

mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro.

• Participación universal – Cualquier mecanismo de seguridad que establezcamos

puede ser vulnerable si existe la participación voluntaria de algún usuario autorizado para romperlo.

• Simplicidad – Mantener las cosas lo más simples posibles, las hace más

fáciles de comprender mientras que la complejidad permite esconder múltiples fallos.


Seguridad Física y Ambiental

• La norma ISO establece dos categorías:

– Áreas Seguras: Con la finalidad de impedir el acceso no autorizado a las instalaciones de la organización.

– Seguridad en los equipos: A fin de impedir la perdida, daño o robo de la información.

• Distingue tres fases:

– Antes de la contratación.

– Durante el desarrollo del empleo.

– En el cese o cambio de puesto de trabajo.

SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.

Antes de la contratación.

– Se deben definir y documentar los ro les y responsab i l i dades en seguridad describiendo el puesto de trabajo de acuerdo al documento de políticas de seguridad.

– Se deben investigar los antecedentes y referencias del candidato.

– Los ro les , responsab i l idades , términos y condiciones del puesto de trabajo deben figurar en el contrato.

Durante la contratación.

– Informar, concienciar y motivar a los empleados para el cumplimiento de los términos y condiciones establecidos en materia de seguridad.

– Formar y capacitar al personal sobre sus funciones y procedimientos respecto de la seguridad.

– Fijar y documentar un régimen disciplinario para las infracciones en materia de seguridad

En el cese o cambio de puesto de trabajo.

– Se deben definir y documentar los roles y responsabilidades tras el cese incluyendo cualquier cuestión relacionada con los acuerdos de confidencialidad.

– Fijar procedimientos de devolución de todo el material proporcionado por la organización. En caso de equipos cedidos o vendidos al trabajador garantizar la limpieza de los equipos.

– Retirar los derechos de acceso que pudieran habérsele otorgado.

– Los cambios de puesto de trabajo deben tratarse como si fueran un cese y una nueva contratación.

• El establecimiento de una política de seguridad

• El análisis de riesgos y los planes de contingencia

• La asignación de responsabilidades • La política de personal

MEDIDAS DE PROTECCIÓN ADMINISTRATIVAS Y ORGANIZATIVAS

POLÍTICAS DE SEGURIDAD

• a) Ninguna seguridad • La medida más simple posible es no hacer ningún esfuerzo en

seguridad y tener la mínima, cualquiera que sea, por ejemplo la que proporcione el vendedor de forma preestablecida.

• b) Seguridad a través de ser desconocido • Con este planteamiento se supone que un sistema es seguro sólo

porque nadie sabe de él.

• c) Seguridad para anfitrión • El modelo plantea reforzar la seguridad de cada máquina anfitrión

por separado, y hacer todo el esfuerzo para evitar o reducir los problemas de

• seguridad que puedan afectar a ese anfitrión específico.

• d) Seguridad para redes • Conforme los entornos se hacen más grandes y diversos, es más

difícil • asegurar anfitrión por anfitrión, por ello ahora se tiende hacia un

modelo • de seguridad para redes

La seguridad requiere una visión global

DINÁMICA DE LA SEGURIDAD

La Seguridad NO es un proceso puntual, es un proceso CONTINUO.

Estimación

Protección

Detección

Respuesta

RIESGO PARA LAS ORGANIZACIONES

Riesgo = Amenaza x Vulnerabilidad x Valor del bien

Amenaza Pasiva: Confidencialidad (sniffer)

Amenaza Activa: Cambian el estado del sistema

Es un conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Se definen o clasifican a partir de una política de seguridad.

•Intrusiones para mal uso.- son ataques en puntos débiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos.

•Intrusiones anómalas.- se basa en la observación de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado.

¿Que es una intrusión?

TIPOS DE ATAQUES

•Ataques contra la Disponibilidad – Denegación de Servicios DOS, DDOS

•Ataques contra la Integridad – Defacement.

•Ataques contra la Confidencialidad – Fuerza Bruta, Robo de Credenciales, Robo de cookies,

Robo de información técnicas de inyección.


Denegación de servicio

• Ataque DOS: Colapsar un sistema sobrecargándolo de peticiones, de forma que sus usuarios legítimos no puedan acceder.

• Ataque DDOS: es un ataque DOS distribuido. Se usan múltiples equipos “zombis” que lanzan el ataque simultáneamente.


Botnets

•Sus funciones originales eran el control de canales y la simulación de part ic ipantes en juegos multijugador.

• A c t u a l m e n t e s e u s a n esencialmente para Ataques de DDoS, envío de (SPAM), alojar herramientas y componentes destinados al fraude (Phising), manipulación de encuestas, votaciones y juegos online y distribución de malware.


• E l t e r m i n o “ b o t n e t ” h a c e referencia a una red de bots (originalmente robots de IRC que simulaban una identidad dentro de un canal).

Tipo de programa diseñado específicamente para cometer delitos (crímenes) de tipo financiero o similares, intentando pasar desapercibido por la víctima. Por extensión, también hace referencia a aplicaciones web diseñadas con los mismos objetivos.

Un crimeware puede robar identidades, datos confidenciales, contraseñas, información bancaria, etc. También puede servir parta robar la identidad o espiar a una persona o empresa.

El término fue ideado por Peter Cassidy, Secretario General del Anti-Phishing Working Group, para distinguir este tipo de software de otros malignos como malwares, spywares, adwares, etc. (Aunque muchas veces éstos emplean técnicas similares para propagarse o actuar).

La industria del crimeware sigue creciendo a través de la puesta en desarrollo y comercialización de nuevos paquetes de exploits pre-compilados que se suman a la oferta de alternativas destinadas a facilitar las maniobras delictivas a través de Internet.

CRIMEWARE

Black Hole Exploits Kit, una aplicación web desarrollada en Rusia pero que además incorpora para su interfaz el idioma inglés, y cuya primera versión (beta por el momento) está intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en función de una serie de características que intentan diferenciarlo del resto.

Por ejemplo, adquirir este crimeware durante 1 año (por el momento el tiempo máximo) tiene un costo de $ 1500 dólares, mientras que una licencia semestral y trimestral, cuestan $ 1000 y $ 700 respectivamente.

BLACK HOLE EXPLOITS KIT

BLACK HOLE EXPLOITS KIT

• Objetivos de un ataque:

– Denegación de Servicio (DoS). – Robo de la información (BBDD,

propiedad industrial…). – Destruir / dañar información. – Controlar la máquina objetivo

(BotNets, SPAM, DDoS).

¿QUÉ SE BUSCA EN UN ATAQUE?

TIPOS DE VULNERABILIDADES

• Técnicas (bug) – Cross Site Scripting – Inyección SQL – Inyección de comandos – Falsificación de frames – Desbordamiento de búfer – Listado directorios – Archivos/directorios backup – Archivos de configuración – Etc.

• Lógicas o funcionales (flaw) – Autenticación defectuosa

– Fallos en lógica de negocio: no se valida un número de tarjeta o de cuenta

– Modificación de precios

– Modificación de cookies – Escalada de privilegios

horizontal/vertical

– SSL no requerido

– Criptografía pobre

– Info++ en mensajes de error

– Etc.

• MODELO DE ESTRUCTURA DE RED

INTERNET

passwd=xyz

&rid=3’+union+select+top+1

+password+from+usuarios=‘1&

“dame la primera password de la tabla que almacena las cuentas de usuarios”

“la primera password de la tabla de usuarios es ’6h4r15B’”

Usuario malicioso

EL ATAQUE A SERVICIOS WEB CON TECNICAS SQL INJECTION

Tecnicas de Inyección

. E l uso de tecn i cas de inyecc ión , particularmente la inyección de SQL, son muy frecuentes en todo tipo de incidentes de seguridad en aplicaciones web.

• Ocurre cuando los datos proporcionados por el usuario se envían a un interprete como parte de un comando o consulta sin validarlos.

• El atacante puede manipular la entrada para forzar al interprete a ejecutar otras consultas extrayendo o modificando los registros de la base de datos.


Ejemplos de SQL Inyection

• ‘ OR ‘1’=‘1

• ‘;UPDATE usuarios SET (password) VALUES (md5 (‘mipass’)) where user=‘admin

• ‘ EXEC master..xp-cmdshell ‘cmd


Soluciones.

• Validación de entrada: Comprobar longitud, tipo, sintaxis … de todos los datos de entrada antes de ser mostrados o almacenados.

• Permitir los mínimos privilegios necesarios a las aplicaciones que conectan a bases de datos.

• Evitar mensajes de error detallados.


Cross Site Scripting (XSS)

• El Cross site scripting, también conocido como XSS, es un tipo de inyección HTML que se produce cuando una aplicación toma datos introducidos por el usuario y los envía al navegador sin validarlos o codificarlos.

• El script malicioso suele estar construido en JavaScript pero existen variantes en otros lenguajes de script.


Cross Site Scripting (XSS)

• Permite al atacante ejecutar código en el navegador de la victima.

• Sus finalidades pueden ser: – Desfigurar una web (“Deface”) – Insertar contenido inadecuado. – Robo de sesiones – Ataques de suplantación (“Phising”) – Tomar el control del navegador


Soluciones.

• Validación de entrada: • Usar un mecanismo de validación de entrada

que compruebe longitud, tipo, sintaxis … de todos los datos de entrada antes de ser

mostrados o almacenados. • Codificación de salida: • Codificar los datos de forma apropiada. (ej,

HTML Entities o MS Anti XSS library) de modo que no puedan llegar a mostrarse o almacenarse en forma ejecutable.


¿Qué es un exploit?

Es una pieza de software, un fragmento de datos, o una secuencia de comandos cuyo objetivo es automatizar el aprovechamiento de una vulnerabilidad.

Ejemplo de exploit

Troyanos

LA CREACIÓN DE TROYANOS En 4 simples pasos:

Diseño Ocultación Verificación Distribución

Creación de un troyano

Mediante el uso de “packers” comerciales o gratuitos

Creación del Software

La Ingeniería Inversa

La Ocultación

ASPack ASProtect

Armadillo EXECryptor

FSG MEW

NSPack PECompact

UPack Telock

“Packers” comerciales:

CREACIÓN DE TROYANOS Las Técnicas de ocultación

• RBN, ofrece una completa infraestructura para los ciberdelitos. Phishing, malware, ataques DDoS, pornografía infantil…etc son soportados por este ISP ruso. Para ello, se pone a disposición del cliente varias botnets, shells remotas en servidores crackeados, servidores centralizados de gestión de estas actividades…etc.

• La RBN se encuentra en S. Petersburgo (Rusia) y proporciona alojamiento web. Su actividad está tan íntimamente relacionada con la industria del malware, que muchos nodos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores.

• En los últimos años no es fácil encontrar un incidente criminal a gran escala en la que no aparezcan por algún sitio las siglas RBN (o "TooCoin" o "ValueDot", nombres anteriores con los que ha sido conocida).

RUSSIAN BUSINESS NETWORK (Equipos a prueba de balas)

RUSSIAN BUSINESS NETWORK (Equipos a prueba de balas)

Usuario malicioso Usuario malicioso

Ejemplo de ataque

CONSEJOS GENERALES

• Deshabilitar servicios y cuentas no utilizados. • Actualización de S.O. y aplicaciones (parches). • Uso de “buenas” contraseñas. • Utilización de Firewalls • Chequeo de integridad de aplicaciones y S.O. • Back-ups periódicos. • Análisis periódico de logs, monitorizar y graficar estadísticas. • Auditar con escaners de vulnerabilidades • Consultar Listas de vulnerabilidades • Limitar y controlar uso de programación del lado del cliente

(javascript) • Técnicas de defensa a fondo y puntos de choque en redes • Limitar tiempo querys • Desarrollo seguro de aplicaciones web. • Encriptación del tráfico


CONTACTO

• BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

• C\ Julian Gonzalez Segador s/n 28.043 Madrid

• Tfno. 91/582.24.67 • Fax. 91/582.24.84 • Web: http://www.policia.es/bit/index.htm • E-mail: [email protected]

[email protected]


COMISARIA GENERAL DE POLICÍA JUDICIAL U.D.E.F. … · ... (virus, caballo de Troya, ...), o un...

Documents

Transcript of COMISARIA GENERAL DE POLICÍA JUDICIAL U.D.E.F. … · ... (virus, caballo de Troya, ...), o un...