Tendencias de la Tecnologíaen Seguridad Informática
Victor H. MonteroVictor H. [email protected]@cybsec.com
21 de Septiembre de 200621 de Septiembre de 2006Hotel Hotel SheratonSheraton
Buenos Aires Buenos Aires -- ARGENTINAARGENTINA
2
© 2006
Tendencias de la Tecnología en Seguridad Informática
AgendaAgenda
Tendencias Legacy
Mecanismos de defensa
Ataques: nuevos objetivos
3
© 2006
Tendencias de la Tecnología en Seguridad Informática
TendenciasTendenciasLegacyLegacy
4
© 2006
Tendencias de la Tecnología en Seguridad Informática
Management de la Seguridad Informática
Normativas
Administración LOGS
Infraestructura de Clave Pública (PKI)
Concientización
Proyectos informáticos en entornos seguros
Programación segura en Aplicaciones Web
Seguridad en Redes Inalámbricas
Segmentación de redes internas críticas
Sistemas de Prevensión de Intrusiones (IPS)
Tendencias Legacy
5
© 2006
Tendencias de la Tecnología en Seguridad Informática
MecanismosMecanismosde defensade defensa
6
© 2006
Tendencias de la Tecnología en Seguridad InformáticaMecanismos de Defensa
Pretty Good Privacy (PGP)
Web Application Firewall (WAF)
Secure Enhaced Linux (SELinux)
Network Admission Control (NAC)
Adhiriendo el concepto de Defensa en Profundidad,
analizaremos cuatro mecanismos de protección
que operan en distintos niveles y ámbitos:
7
© 2006
Tendencias de la Tecnología en Seguridad Informática
PGP PGP -- PrettyPretty GoodGood PrivacyPrivacy
Para algunas compañías, la implementación de una Infraestructura de Clave Pública es algo que escapa a las posibilidades.
Incluso en numerosos casos, la instalación y
administración de un Certificate Server es
difícil de justificar y manteer, o aún
innecesario.
Una alternativa es el uso de PGP en su
forma más simple: Claves Públicas/Privadas
sin la utilización de Certificados Digitales.
Mecanismos de Defensa
8
© 2006
Tendencias de la Tecnología en Seguridad Informática
PGP PGP -- PrettyPretty GoodGood PrivacyPrivacy
Beneficios:- Integridad- Confidencialidad (*)- No repudio
Desventajas:- Administración descentralizada- Solución no escalable- Posibilidad de efectuar ataques de
MITM+Ingeniería Social
Mecanismos de Defensa
9
© 2006
Tendencias de la Tecnología en Seguridad Informática
El Top Ten de los problemas de seguridad en aplicaciones Web
• Unvalidated Input: los valores de entrada de la aplicación no son
validados.
• Broken Access Control: las restricciones de qué puede hacer un usuario
validado no son implementadas apropiadamente.
• Broken Authentication: las credenciales de autenticación y/o los tokens de
sesión no están debidamente protegidos.
• Cross Site Scripting: la aplicación Web puede ser utilizada como medio de
transporte para ejecutar código Javascript arbitrario en el Navegador del
usuario final.
• Buffer Overflows: la aplicación Web y/o el servidor Web no verifican el
tamaño de los arreglos, permitiendo sobrescribir porciones de memoria.
WAF WAF –– Web Web ApplicationApplication FirewallFirewall
Mecanismos de Defensa
10
© 2006
Tendencias de la Tecnología en Seguridad Informática
El Top Ten de los problemas de seguridad en aplicaciones Web
• Injection Flaws: la aplicación pasa parámetros no validados cuando accede
a sistemas externos (por ejemplo bases de datos) o al sistema operativo. Esto
puede permitir a un atacante “inyectar” comandos en el sistema externo o
ejecutar comandos en el sistema operativo.
• Improper Error Handling: no se manejan debidamente las condiciones de
error.
• Insecure Storage: la aplicación no almacena de forma segura los datos y/o
archivos enviados por el usuario.
• Application Denial of Service: la aplicación es susceptible a que atacantes
denieguen el servicio a otros usuarios legítimos.
• Insecure Configuration Management: la configuración del servidor Web
alojando la aplicación es insegura.
WAF WAF –– Web Web ApplicationApplication FirewallFirewall
Mecanismos de Defensa
11
© 2006
Tendencias de la Tecnología en Seguridad Informática
Técnicas de Ataque / Intrusión Web
WAF WAF –– Web Web ApplicationApplication FirewallFirewall
Cross Site Scripting
Cross Site Request Forgeries
Session Prediction
Session FixationO.S. Commanding
SSI Injection
Path TraversalLDAP Injection
SQL Injection
Null Bytes
Archivos por Parámetros
Cross Site Tracing
Inverse Lookup Log Corruption
Phishing
Mecanismos de Defensa
12
© 2006
Tendencias de la Tecnología en Seguridad Informática
• VALIDAR EL INPUT y el OUTPUT• Limitar longitud y tipo de los parámetros
• White-List Approach vs Black-List Approach
• Escapear caracteres especiales
• Utilizar Stored Procedures o Consultas Parametrizadas.
• No mostrar mensajes de error
• ¿ Firewall Capa 3 (TCP/IP) ?• No nos protege: todos los ataques mencionados ocurren a través del puerto del Web Server (autorizado).
• ¿ IDS/IPS ?
• Nos puede proteger: permite rechazar patrones de ataques.
WAF WAF –– Web Web ApplicationApplication FirewallFirewall
Soluciones
Mecanismos de Defensa
13
© 2006
Tendencias de la Tecnología en Seguridad Informática
En las soluciones se mencionan cambios a nivel de código entonces, ¿por qué un WAF?
• Tiempo de implementación de los cambios a nivel de código (desarrollo + testing).
• Tiempo de entrenamiento (en programación segura) de los programadores.
• Factor humano: los programadores, como buenos humanos, no están exentos de cometer errores.
• Productos de terceros de los cuales no se tiene acceso al código fuente y dependemos de que el proveedor solucione los problemas.
• Sistemas Legacy
WAF WAF –– Web Web ApplicationApplication FirewallFirewall
¿Por qué es necesario un WAF?
Mecanismos de Defensa
14
© 2006
Tendencias de la Tecnología en Seguridad Informática
Un WAF nos permite:• Acotar los tiempos: se detecta una nueva vulnerabilidad y se actualiza el WAF para protegernos.• Acotar el impacto de los errores de los programadores.• Proteger sistemas Legacy de los cuales se conocen las vulnerabilidades.• Proteger productos de terceros de los cuales se conocen las vulnerabilidades.• Poner foco en la problemática de seguridad de las aplicaciones Web: El administrador del WAF está formado en seguridad y es su foco principal, no siendo generalmente éste el caso de los programadores.
… reducir riesgos en el corto plazo …
WAF WAF –– Web Web ApplicationApplication FirewallFirewall
¿Cómo lo soluciona un WAF?
Mecanismos de Defensa
15
© 2006
Tendencias de la Tecnología en Seguridad Informática
Arquitectura Web Física Típica
WAF WAF –– Web Web ApplicationApplication FirewallFirewall
Mecanismos de Defensa
16
© 2006
Tendencias de la Tecnología en Seguridad Informática
WAF WAF –– Web Web ApplicationApplication FirewallFirewall
Mecanismos de Defensa
Solución WAF
17
© 2006
Tendencias de la Tecnología en Seguridad Informática
NAC NAC –– NetworkNetwork AdmissionAdmission ControlControl
Integración de soluciones de seguridad hasta ahora aisladas:
antivirus, IPSs, 802.1x, anti-spyware, SUS.
Cuatro características fundamentales:
1) Verificación y evaluación de cumplimiento de políticas (usuarios y dispositivos)
II) Imposición de Políticas y Control de AccesoIII) RemediaciónIV) Flexibilidad de implementación – Política consistente
Mecanismos de Defensa
18
© 2006
Tendencias de la Tecnología en Seguridad Informática
NAC NAC –– NetworkNetwork AdmissionAdmission ControlControl
Mecanismos de Defensa
INTERNET
PolicyServer
AntiVirusServer
CoreSwitch
WLANAccessPoint
Firewall
Participante dered remoto (VPN)
Participantes de red locales
Dispositivos de acceso a la red
19
© 2006
Tendencias de la Tecnología en Seguridad Informática
NAC NAC –– NetworkNetwork AdmissionAdmission ControlControl
Pros:- Interoperabilidad entre plataformas ampliamente difundidas- Especificación abierta- Seguridad proactiva
Refuerza el cumplimiento de políticas de seguridadNivela la seguridad en el entorno de red que controlaManejo de “cuarentenas” para entidades que no cumplen la política establecida
Contras:- Pocos fabricantes en el mercado. Únicamente soluciones
propietarias.- Tecnología inmadura aún.- Necesidad de agentes locales ejecutándose en servidores y
estaciones de trabajo.
Mecanismos de Defensa
20
© 2006
Tendencias de la Tecnología en Seguridad Informática
SELinuxSELinux –– SecuritySecurity EnhacedEnhaced LinuxLinux
Mecanismos de Defensa
No es una nueva distribución de Linux. Es una extensión al Kernel de Linux diseñada para forzar políticas de control de acceso estrictas, aplicable a cualquier distribución de Linux.
Difundido e implementado por organismos fuertemente comprometidos con la seguridad informática (NSA y MITRE Corporation, entre otros)
Al igual que el Kernel de Linux, el código fuente de esta extensión es liberado a la comunidad Open Source.
21
© 2006
Tendencias de la Tecnología en Seguridad Informática
SELinuxSELinux –– SecuritySecurity EnhacedEnhaced LinuxLinux
Linux/UNIX StandardUtiliza la técnica de control de acceso discrecional (DAC). Basa las decisiones de acceso en la identidad y propiedad. Cada usuario tiene control absoluto sobre los archivos y procesos que le pertenecen, heredando estos últimos los derechos del usuario que los invoca. No se controla el flujo de los datos.
SELinuxSuma la potencia de las técnicas de Control de acceso mandatorio(MAC) y políticas asociadas (Control de acceso basado en roles, Type Enforcement, Multi-Level Security) a los mecanismos de seguridad nativos de Linux, con el objetivo de permitir forzar la separación de información en base a requerimientos de confidencialidad e integridad.
Mecanismos de Defensa
22
© 2006
Tendencias de la Tecnología en Seguridad Informática
SELinuxSELinux –– SecuritySecurity EnhacedEnhaced LinuxLinux
FuncionamientoOperaciónOperación
DACDAC
SELinux
MAC
SELinux
MAC PolíticasPolíticas
Primer chequeo realizado a nivel DAC
Consulta la Base de Datos de políticas para realizar chequeos adicionales
El DAC implementado
nativamente en Linux tiene
prioridad sobre el MAC
Si un acceso es denegado por
los permisos tradicionales de
Linux, entonces SELinux no
toma partido.
Mecanismos de Defensa
23
© 2006
Tendencias de la Tecnología en Seguridad Informática
SELinuxSELinux –– SecuritySecurity EnhacedEnhaced LinuxLinuxPros:
- Permite limitar a programas de usuario y servidores del sistema al mínimo nivel de privilegios que necesitan para ejercer su función.
- La seguridad de un sistema Linux no modificado depende de la correctitud del kernel, todas las aplicaciones privilegiadas, y sus respectivas configuraciones. Un problema en cualquiera de esas áreas puede permitir el compromiso del sistema. En contraste, la seguridad de un sistema SELinux depende principalmente de la correctituddel kernel y la configuración de su política de seguridad.
Contras:- Difícil de configurar- Mediano impacto en performance
Mecanismos de Defensa
24
© 2006
Tendencias de la Tecnología en Seguridad Informática
Ataques: Ataques: Nuevos objetivosNuevos objetivos
25
© 2006
Tendencias de la Tecnología en Seguridad InformáticaAtaques: Nuevos objetivos
Si bien en el último año se desprendieron
numerosas líneas de investigación sobre nuevas
metodologías de ataques y búsqueda de
vulnerabilidades en tecnologías recientes, gran
parte del foco está puesto en:
Client Side Attacks
BlackBerry
VoIP
26
© 2006
Tendencias de la Tecnología en Seguridad Informática
• Segmentación de redes públicas en DMZs.• Servidores hardenizados.• Stateful Firewalls / Proxys Reversos.• Intrusion Prevention Systems.• Monitoreo intenso de todo el tráfico que traspasa el perímetro.• Etc, etc, etc…
ClientClient SideSide AttacksAttacks
¿Cuáles son los principales problemas con los que se encuentra un atacante externo en la actualidad?
… conclusión: ya no es tan fácil efectuar una intrusión
remotamente como lo era hace unos pocos años …
Ataques: Nuevos objetivos
27
© 2006
Tendencias de la Tecnología en Seguridad Informática
El nivel de seguridad informática global de toda una instalación es igual al nivel
del eslabón menos seguro
ClientClient SideSide AttacksAttacks
Sin embargo, los bad boys siempre tuvieron bien en claro algo:
Con esta premisa, los chicos malos comenzaron desde hace ya algunos años a buscar un nuevo eslabón, distinto de los que venían utilizando en sus viejas andanzas, pero que permitiese llegar a su objetivo con la misma facilidad que en otras épocas…
Ataques: Nuevos objetivos
28
© 2006
Tendencias de la Tecnología en Seguridad Informática
ClientClient SideSide AttacksAttacks
El objetivo es claro: escalar privilegios sobre la red interna
perpetrando el ataque remotamente.
En forma natural y casi lineal, surgieron las siguientes
preguntas:
- Quien tiene acceso a la red de la compañía en forma interna y externa?- Quien es el que abre cuanto mail de chistes le llega?- Quien ejecuta cuanto programa de ruiditos raros aparece?- Quien visita los sitios de futbol, blogs, noticias, y “esos otros”también siempre que puede…?
Ataques: Nuevos objetivos
29
© 2006
Tendencias de la Tecnología en Seguridad Informática
ClientClient SideSide AttacksAttacks
La respuesta
puede ser una sola…
aquel a quien fríamente se lo denomina…
“Usuario”
Ataques: Nuevos objetivos
30
© 2006
Tendencias de la Tecnología en Seguridad Informática
ClientClient SideSide AttacksAttacks
Existen numerosas vulnerabiliades que afectan al software
comúnmente instalado en las PCs clientes:
Navegadores de Internet
Clientes de correo electrónico
Mensajeros instantáneos
Reproductores multimedia
Etc…
Ataques: Nuevos objetivos
31
© 2006
Tendencias de la Tecnología en Seguridad Informática
ClientClient SideSide AttacksAttacks
La idea? Atacar la PC del usuario, para usarla
como salto a la red interna.
Dos posibilidades:
La PC del usuario se encuentra conectada físicamente a la red interna
La PC del usuario se encuentra conectada remotamente a la red interna (vía Internet)
32
© 2006
Tendencias de la Tecnología en Seguridad Informática
ClientClient SideSide AttacksAttacks
Qué puede dificultar estos ataques?.
Implementación de seguridad en workstations:
Antivirus, antispyware, Personal Firewalls
Concientización del usuario
Implementación de filtros antispam corporativos
Implementación de filtros de contenido
Utilización de Proxies HTTP
Ataques: Nuevos objetivos
33
© 2006
Tendencias de la Tecnología en Seguridad Informática
BlackBerryBlackBerry
Infraestructura:
Dispositivos Handheld
Red Movil (GSM)
Red RIM
Comunicación sobre Internet
BlackBerry Enterprise Server
BlackBerry Enterprise Server Connectors
BlackBerry Management Tools
Ataques: Nuevos objetivos
34
© 2006
Tendencias de la Tecnología en Seguridad Informática
BlackBerryBlackBerry
Impacto en caso de ataques exitosos:
- Dispositivos Handheld- Divulgación de información- Control remoto del dispositivo de un usuario
- Red Movil (GSM)- Redirección de la comunicación
- Red RIM- Toma de control de la infraestructura RIM
- Comunicación sobre Internet- Impersonalización del servidor BlackBerry- Ataques de fuerza bruta
- BlackBerry Enterprise Server- Ejecución de código malicioso y escalación de privilegios
- BlackBerry Enterprise Server Connectors- Modificación de Políticas- Envío de mensajes masivos- Instalación de software en las handhelds
Ataques: Nuevos objetivos
35
© 2006
Tendencias de la Tecnología en Seguridad Informática
VoIPVoIP
- Posibilidad de efectuar llamadas fraudulentas- SPIT (SPAM sobre VoIP)- Phishing telefónico- Denegaciones de servicio- Toma de conexiones establecidas- Escuchas telefónicas- Modificación de datos en la llamada
Numerosos problemas de seguridad detectados:
Se están desarrollando numerosas herramientas para automatizar muchos de los ataques listados!
Ataques: Nuevos objetivos
36
© 2006
Tendencias de la Tecnología en Seguridad Informática
Otros temas Otros temas fashionfashion……
Rainbow Tables
Ataques: Nuevos objetivos
Bluetooth
Drivers Hacking
Técnicas de bypass de IPSs
Seguridad en sistemas industriales
37
© 2006
Tendencias de la Tecnología en Seguridad Informática
Otros temas Otros temas fashionfashion……
Ataques: Nuevos objetivos
Cada uno de estos temas y técnicas está siendo investigado en profundidad por especialistas y entusiastas en cada extremo del mundo…
CybsecLabsIndonesianDivision
38
© 2006
Tendencias de la Tecnología en Seguridad Informática
ConclusionesConclusiones
Resulta cada vez más sorprendente la agilidad y dinamismo que adquiere el rubro de la Seguridad de la Información.
Día a día, vemos como paralelamente al desarrollo de poderosas herramientas para proteger los activos, específicamente la información, se inventan nuevas técnicas y metodologías de ataque que pueden colapsar numerosos mecanismos de defensa supuestos infalibles.
Todo lo que hemos comentado quizá no es una buena noticia, pero es la realidad. LO UNICO QUE NO PUEDE PENSARSE ES QUE HAY QUE ASUMIR LA DERROTA, POR QUE LA SITUACIÓN NO DA PARA ELLO.
La solución continúa siendo la misma: aplicar estrategias adecuadas, disponer de recursos y estar constantemente actualizado, y………. si es necesario, buscar aliados que dispongan del know-how y la tecnología, para que sean nuestros socios en la misión de mantener día a día los sistemas funcionando y seguros.
39
© 2006
Tendencias de la Tecnología en Seguridad Informática
Preguntas?Preguntas?
Top Related