Вы находитесь на странице: 1из 121

Conceptos b´asicos de seguridad aplicada a redes de ordenadores

Departamento de Sistemas Telem´aticos y Computaci´on (GSyC)

http://gsyc.urjc.es

Marzo de 2011

Telem´aticos y Computaci´on (GSyC) http://gsyc.urjc.es Marzo de 2011 GSyC - 2011 Conceptos b´asicos de seguridad 1

c 2011 GSyC

Algunos derechos reservados. Este trabajo se distribuye bajo la licencia Creative Commons Attribution Share-Alike 3.0

Convenciones empleadas

En espa˜nol, la conjunci´on disyuntiva o tiene dos significados opuestos

Diferencia, separaci´on, t´erminos contrapuestos carne o pescado, blanco o negro

Equivalencia alquiler o arrendamiento, arreglar o reparar

Para evitar esta ambig¨uedad, usaremos dos siglas muy comunes en ingl´es

Para indicar oposici´on, versus, abreviada como vs p.e. comprar vs alquilar

Para indicar equivalencia, also known as, abreviado aka p.e. el rey aka el monarca

Introducci´on

Introducci´on

Actualmente los ordenadores conectados a la red son omnipresentes: usuarios particulares, todo tipo de empresas, comercios, bancos, hospitales, organismos gubernamentales

Un ataque puede ser muy da˜nino

Diversa motivaci´on de los atacantes

Diversi´on, reto personal

Vandalismo

Robo de informaci´on buscando beneficio o chantaje

Activismo pol´ıtico

Crimen organizado, terrorismo

Espionaje

Etc

Los mayores riesgos provienen de empleados o ex-empleados

Introducci´on

El resultado de un ataque puede ser

Una p´erdida econ´omica directa

P´erdida de muchos otros activos,

p.e. la imagen de la v´ıctima en un website defacement

Simplemente echar un vistazo causa un da˜no serio y compromete un sistema

Comprometer (2)Exponer o poner a riesgo a alguien o algo en una acci´on o caso aventurado

Hackers

Hackers

Hack en ingl´es ordinario, significa cortar en rodajas, cortar en tajos, trocear, desbrozar

A partir de los a˜nos 60, en inform´atica, se le da el significado de truco: usar, configurar o programar un sistema para ser usado de forma distinta a la esperada habitualmente Hacker significa, entre otras cosas, una persona que se cuela en un ordenador o red de ordenadores. Es una palabra que no tiene una definici´on universalmente aceptada

En el lenguaje, prensa y medios generalistas, hacker suele tener connotacciones negativas En la comunidad especializada, para una persona que comete delitos se emplea el t´ermino cracker

Hackers

hacker n. [originally, someone who makes furniture with an axe]

1 A person who enjoys exploring the details of programmable systems and how to stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary

2 One who programs enthusiastically (even obsessively) or who enjoys programming rather than just theorizing about programming

3 A person capable of appreciating hack value

4 A person who is good at programming quickly

5 An expert at a particular program, or one who frequently does work using it or on it; as in a Unix hacker

6 An expert or enthusiast of any kind. One might be an astronomy hacker, for example

7 One who enjoys the intellectual challenge of creatively overcoming or circumventing limitations.

8 (deprecated) A malicious meddler who tries to discover sensitive information by poking around. Hence password hacker, network hacker. The correct term for this sense is cracker

Eric S. Raymond, The jargon file v4.2.0

Hackers

Clasificaci´on de los hackers

Seg´un su motivaci´on

White hat hacker. Motivaci´on leg´ıtima, hacking ´etico. Prueba su propio sistema o el de otro, por el que est´a contratado, con autorizaci´on previa expl´ıcita

Red team: Atacantes Blue team: Defensores

Grey hat hacker. Invade un sistema sin autorizaci´on del responsable, notifica posteriormente que ha podido burlar la seguridad. Tal vez solicite una cantidad de dinero razonable

Black hat hacker. Cracker. Delincuente. Actividades de vandalismo, fraude, robo de identidad, pirater´ıa

Hackers

Seg´un su nivel de conocimientos, en los extremos est´an

Elite: Minor´ıa m´as avanzada que es capaz de descubrir t´ecnicas nuevas

Neophyte, noob, newbie: principiante

Lamer: persona que alardea de habilidades de las que carece, con falta de capacidad y de conocimiento. A pesar de tener experiencia

Script kiddie: principiante que no sabe lo que hace, usa ciegamente aplicaciones desarrolladas por otros sin comprenderlas ni saber adaptarse a un m´ınimo cambio

Hackers

Otros t´erminos relativos a personas

BOFH: bastard Operator From Hell (infame administrador del demonio). Personaje de los libros de S.Travaglia. Por extensi´on, administrador de sistemas autoritario

Luser (loser+user). Usuario ordinario (despectivo)

Spammer: persona que env´ıa correo basura

Phreaker: usuario con conocimientos avanzados sobre las redes de telefon´ıa, que puede llegar a hacer actividades no autorizadas

Hackers

Principio de Kerckhoffs

Principio de Kerckhoffs: Los algoritmos deben ser p´ublicos; s´olo las claves deben ser son secretas

Rogues knew a good deal about lock-picking long before locksmiths discussed it among themselves. If a lock is not so inviolable as it has hitherto been deemed to be, surely it is to the interest of honest persons to know this fact, and the spread of the knowledge is necessary to give fair play to those who might suffer by ignorance

A.C.Hobbs, 1853

El sistema no debe depender del secreto y debe poder ser robado por el enemigo sin causar problemas

A. Kerckhoffs, 1883

Hackers

Dos principios contrapuestos

1 Security through obscurity (Seguridad mediante la oscuridad)

2 Security by design Dise˜nar desde el principio cada elemento del sistema para ser seguro

Confiar solamente en (1) es sin duda una mala idea. En general se prefiere solamente (2). Aunque en ocasiones se defiende (2) complementado con (1)

Hackers

Una vez descubierta una vulnerabilidad, un hacker (sombrero gris o blanco) puede aplicar varias pol´ıticas para revelarla

Full disclosure. (Divulgaci´on masiva)

Responsible disclosure (Revelaci´on responsable)

Security through obscurity (Seguridad mediante la oscuridad)

Conceptos b´asicos

Seguridad de una red inform´atica

Es una definici´on controvertida, una definici´on operacional puede ser

Un sistema inform´atico (hardware, software, red) es seguro si sus usuarios pueden confiar en que se comportar´a de la manera esperada

Si espero acceder a mis datos, pero no puedo, esto es un fallo de seguridad. Tanto si la causa es un intruso, un fallo en el software o un incendio

La seguridad nunca es algo absoluto. Con la suficiente (motivaci´on/tiempo/dinero/habilidad/suerte) un atacante siempre podr´a comprometer un sistema

Conceptos b´asicos

Para ISO-7498/OSI

Seguridad inform´atica: mecanismos que minimizan la vulnerabilidad de bienes y recursos

Bien: algo de valor

Vulnerabilidad: debilidad que se puede explotar para violar un sistema o la informaci´on que contiene.

Conceptos b´asicos

Seguridad:Soluciones t´ecnicas

Nivel f´ısico: Proteger el cable de escuchas ¿y si no hay cable?

Nivel de enlace: Cifrar al enviar y descifrar al recibir

Nivel de red: IPsec, cifrado en IPv6. Cortafuegos

Nivel de transporte: Cifrado de conexiones. SSL

Pero no solo hay fallos de seguridad t´ecnicos, sino humanos, relativos a ingenier´ıa social

Conceptos b´asicos

Tipos de seguridad

Confidencialidad/secreto Solo las personas autorizadas tienen acceso a leer (y por tanto copiar) la informaci´on

Integridad de los datos Solo las personas autorizadas pueden modificar datos o programas. En disco, backup, papel

Disponibilidad Los servicios deben estar disponibles de la forma prevista

¿Es posible la integridad sin confidencialidad? ¿Es posible la confidencialidad sin integridad?

Conceptos b´asicos

Consistencia El sistema debe comportarse correctamente, de la forma esperada

Control/auditor´ıa Posibilidad de saber qui´en ha accedido a qu´e recurso, cu´ando y c´omo

Conceptos b´asicos

Control de acceso Basado en identidad vs basado en capabilities 1

No repudio Mecanismo que impide que las entidades que participan en una comunicaci´on nieguen haberlo hecho

No repudio con prueba de origen No repudio con prueba de destino

1 El vocabulario y algunos matices no son universales, pero las ideas fundamentales s´ı

Conceptos b´asicos

Control de acceso basado en identidad

Identificaci´on La entidad indica su identidad

Autenticaci´on aka acreditaci´on El sistema comprueba que la identidad puede ser considerada cierta

Autorizaci´on El sistema consulta en un ACL, access control list qu´e puede hacer esa entidad con ese objeto

¿Es posible un sistema con autenticaci´on pero sin mecanismo de autorizaci´on? ¿Es posible la autorizaci´on (basada en identidad) sin un mecanismo de autenticaci´on?

Autenticaci´on

Conceptos b´asicos

Tres categor´ıas, combinables Sistemas basados en algo que se conoce Sistemas basados en algo que se posee Sistemas basados en caracter´ıstica o acto del usuario

Conceptos b´asicos

Para ser viable, un sistema de autenticaci´on debe

Ser fiable, con probabilidad muy elevada Nunca puede haber certeza absoluta sobre la identidad. Se establecen unas pruebas y se considera que, de superarse, se puede proceder

Baja tasa de falsos positivos Baja tasa de falsos negativos

Economicamente factible

Resistente a ciertos ataques

Aceptable por el usuario

Conceptos b´asicos

Control de acceso basado en capabilities

capability: capacidad, competencia El enfoque tradicional basado en identidad presenta algunas debilidades, especialmente en entornos con varios dominios (varias entidades autenticadoras)

Es necesaria una relaci´on de confianza entre los dominios, o bien autenticarse en cada dominio

Es necesario propagar entre los dominios los cambios en los usuarios y en sus permisos asignados

Complica la delegaci´on (si la delegaci´on es un requisito)

Complica la revocaci´on

El control de acceso basado en capabilities puede resolver estos problemas

Conceptos b´asicos

Control de acceso basado en capabilities

Enfoque basado en tokens de autoridad, autorizan a acceder a cierto recurso con ciertos derechos, sin atender a la identidad

Se puede a˜nadir identificaci´on y autenticaci´on para facilitar la auditor´ıa, pero la identidad no es la base del control de acceso

token: ficha, vale, llave

Conceptos b´asicos

Control de acceso

Conceptos b´asicos Control de acceso B a s a d o e n i d e

Basado en identidad

acceso B a s a d o e n i d e n t i d

Basado en capabilities

Conceptos b´asicos

Tipos de ataque

Ataques pasivos Escuchar o monitorizar transmisiones, analizar tr´afico Ataques activos

Enmascaramiento

Retransmisi´on

¿Qu´e tiene de malo retransmitir?

Modificaci´on Denegaci´on de servicio, denial-of-service attack, DoS attack

Conceptos b´asicos

Sistema de reto-respuesta

M´etodos basados en el intercambio de mensajes Un reto es un nounce, un valor que solamente se usa una vez para un prop´osito

A

---E(R)--->

B

A

<----R----

B

Si A env´ıa un reto cifrado a B y B es capaz de devolverlo en claro (o con otro cifrado), B demuestra a A que conoce el secreto

Pero B no revela el secreto

Criptograf´ıa

Principios criptogr´aficos

Criptolog´ıa = criptograf´ıa (inventar c´odigos) + criptoan´alisis (atacarlos)

La garant´ıa de la integridad est´a basada en alg´un mecanismo con redundancia, que evite que una modificaci´on de los mismos resulte en otro mensaje v´alido.

Es habitual la inclusi´on de marcas de tiempo (hora l´ogica vs hora f´ısica) como defensa ante los ataques por retransmisi´on

Criptograf´ıa

Criptograf´ıa de Clave Secreta

Criptograf´ıa de Clave Secreta

La misma clave que cifra, descifra

Muchos algoritmos: DES (obsoleto), triple DES, AES (o Rijndael). Oficial gobierno EEUU desde 2001), twofish, etc etc Problemas

Haces falta muchas claves: una por cada pareja de posibles comunicantes ¿C´omo transmitir las claves de forma segura?

Criptograf´ıa

Autenticaci´on con clave secreta: Kerberos

Autenticaci´on con clave secreta: Kerberos

Kerberos: protocolo de autenticaci´on, sobre red no segura

Publicado por el MIT en 1993, RFC 1510, a˜no 1993 RFC 4120, a˜no 2005

El MIT tambi´en ofrece implementaciones con licencia tipo BSD.

Muy ampliamente usado: Windows, Unix, Linux, MacOS, OpenVMS

Criptograf´ıa sim´etrica, basado en DES, 3DES, RC4

Cliente/servidor, ambos autenticados

Depende de un tercero en el que cliente y servidor conf´ıan

Criptograf´ıa

Autenticaci´on con clave secreta: Kerberos

Kerberos usa el protocolo de autenticaci´on Needham-Schroeder

Alice y Bob conf´ıan en un servidor, con el que comparten una clave privada

Alice se autentica con el Servidor empleando una clave privada

El servidor le da a Alice un ticket cifrado con la clave privada de B, con una con clave de sesi´on y marca de hora,

Alice env´ıa a Bob el ticket

Alice y Bob intercambian mensajes con la clave de sesi´on

Criptograf´ıa

Autenticaci´on con clave secreta: Kerberos

Inconvenientes de Kerberos

El servidor es un punto unico´ continuamente disponible

Requiere una sincronizaci´on estricta de los relojes para evitar ataques por repetici´on

de fallo: necesita estar

Criptograf´ıa

Criptograf´ıa de clave p´ublica

Criptograf´ıa de clave p´ublica

Aparece con el algoritmo Diffie-Hellman, a˜no 1976

Clave de cifrado o p´ublica E y de descifrado o privada D distintas (asim´etricas)

D(E (P)) = P

Muy dificil romper el sistema (p.e. obtener D) teniendo E .

Permite intercambiar claves por canal no seguro

La clave privada sirve para descifrar. Debe mantenerse en secreto

La clave p´ublica sirve para cifrar. Puede conocerla todo el mundo (lo importante es que se conozca la clave correcta)

Criptograf´ıa

Criptograf´ıa de clave p´ublica

Conociendo la clave p´ublica de alguien, podemos cifrar un mensaje que solo ´el, con su clave privada, podr´a descifrar

Los algoritmos de clave p´ublica son mucho m´as lentos que los de clave secreta (100 a 1000 veces). Por eso se suelen usar s´olo para el intercambio de claves sim´etricas de sesi´on

RSA

Criptograf´ıa

Criptograf´ıa de clave p´ublica

De Rivest, Shamir y Adleman, a˜no 1978 Algorimo de clave p´ublica, muy extendido Adem´as de cifrar, sirve para firmar

Criptograf´ıa

Criptograf´ıa de clave p´ublica

Autenticaci´on con clave p´ublica

de clave p´ublica Autenticaci´on con clave p´ublica 1,2: A obtiene la clave   p´ublica

1,2:

A

obtiene

la

clave

 

p´ublica

de

B

3:

A

env´ıa

su

remite

y

un

reto

cifrado

con

la

clave

de

B

4,5:

B

obtiene

la

clave

 

p´ublica

de

A

6:

B

cifra,

con

la

clave

de

A:

el

reto

de

A,

un

reto

nuevo

 

y

una

clave

sim´etrica

 

7:

A

env´ıa

el

reto

de

B

con

la

clave

sim´etrica,

que

se

emplear´a

en

la

sesi´on

 

Funci´on hash

Criptograf´ıa

Funci´on hash

T´ecnica b´asica para garantizar integridad de un mensaje

hash:

a

mess,

jumble,

or

muddled.

to

chop

into

small

pieces;

make

into

hash;

mince.

to

muddle

or

mess

up.

Funci´on que, a partir de un bloque arbitrario de datos (message), genera de forma determinista un valor hash, aka message digest, aka digest. Este valor hash identifica de forma pr´acticamente un´ıvoca al mensaje, de forma que un cambio en el mensaje, aunque sea peque˜no, provoque un cambio en el valor hash Es posible que dos mensajes distintos generen el mismo valor hash, aunque muy dif´ıcil

koji@mazinger:~$

59d15a16ce90c8ee97fa7c211b7673a8 ubuntu-10.10-desktop-i386.iso

md5sum

ubuntu-10.10-desktop-i386.iso

Criptograf´ıa

Funci´on hash

Funci´on hash ideal:

F´acil de generar Muy dif´ıcil generar el mensaje a partir del hash Muy dif´ıcil modificar el mensaje manteniendo el hash Muy dif´ıcil encontrar dos mensajes con el mismo hash Ejemplos de funciones hash: MD5, SHA-1

Firmas digitales

Criptograf´ıa

Firmas digitales

Algoritmos como RSA tienen la propiedad de que tambi´en puede usarse la clave privada para cifrar y la p´ublica para descifrar E (D(P)) = P

A

partir de un mensaje, se genera un digest

El

c´odigo se encripta con la clave privada y se transmite junto

con el mensaje

El receptor

Descifra el mensaje con la clave p´ublica del emisor Genera de nuevo el c´odigo hash Si el c´odigo hash de la firma y del mensaje coinciden, el mensaje solo puedo enviarlo el origen

Firma digital

Criptograf´ıa

Firmas digitales

Adem´as de la firma manuscrita tradicional, en Espa˜na (ley 59/2003) y muchos otros paises puede emplearse una firma digital, con el mismo valor legal Permite enviar un mensaje firmado, esto es, con autenticaci´on, integridad y no repudio Requisitos

Generaci´on f´acil

No rechazable

´

Unica: solo su propietario puede generarlo

F´acilmente verificable por propietario y receptores

Depender del mensaje y del autor

Inclusi´on de sello de tiempo

Revocaci´on del certificado por el firmante

¿M´as o menos seguro que la firma tradicional?

A

---

Mensaje,

Criptograf´ıa

Firmas digitales

B

Privada_A(Digest)--->

Publica_A(Privada_A(Digest))

Hash

=

Digest_recibido

(Mensaje)

=

Digest_recalculado

Si Digest_recibido=Digest_recalculado, entonces el mensaje lo ha enviado A

Criptograf´ıa

Herramientas de cifrado

Herramientas de cifrado

Los algoritmos de cifrado tal y como los definen los matem´aticos no suelen ser pr´acticos para el administrador o usuario final

A partir de los algoritmos (normalmente unos pocos) se desarrollan diversas implementaciones, librer´ıas, aplicaciones, protocolos

PGP

Criptograf´ıa

PGP: Pretty Good Privacy

Herramientas de cifrado

Philip Zimmermann, a˜no 1991

Implementaci´on de RSA muy popular

Claves de al menos 128 bits

Base de est´andar OpenPGP RFC 1991 (a˜no 1996), RFC 5581 (A˜no 2009)

En la actualidad es m´as habitual emplear GPG (GNU Privacy Guard), implementaci´on de OpenPGP alternativa a PGP

Diversos front-ends: Gpg4win para Windows, Seahorse para GNOME, KGPG para KDE, Mac GPG para Mac OS, Enigform para Firefox

Habitualmente se usa para encriptar y firmar ficheros, correos, etc

Criptograf´ıa

Cifrado de particiones

Herramientas de cifrado

En ocasiones resulta m´as conveniente cifrar particiones completas del disco duro

eCryptfs Sistema de ficheros cifrado, compatible con la norma POSIX. Habitual en Linux

Encrypting File System Nativo en Microsoft Windows

FileVault Nativo en Mac OS

TrueCrypt Disponible para Windows, Linux, Mac OS. Uso sencillo, potente, muy popular. C´odigo fuente disponible con licencia gratuita no libre

Basados en AES, Triple DES o similares

DRM

Criptograf´ıa

DRM

Buena parte del tr´afico en internet corresponde a las redes p2p y a las descargas directas A su vez, una buena parte de este (pero no todo) se corresponde con contenidos protegidos por Copyright DRM: Digital rights management

Sistema de control de acceso a contenidos digitales (m´usica, v´ıdeo, juegos y libros) para evitar que sean utilizado en formas no permitidas por el distribuidor

Desde el siglo XVIII se reconoce a los autores los derechos sobre su creaci´on intelectual. El DRM busca la protecci´on de estos derechos

Basado en criptograf´ıa

Criptograf´ıa

DRM

La industria de contenidos dice:

La copia es un delito

El DRM beneficia al usuario, ya que si el autor no recibe compensaci´on, no habr´a creaci´on

Miguel de Cervantes dice:

No hagas muchas pragm´aticas; y si las hicieres, procura que sean buenas, y, sobre todo, que se guarden y cumplan; que las pragm´aticas que no se guardan, lo mismo es que si no lo fuesen; antes dan a entender que el pr´ıncipe que tuvo discreci´on y autoridad para hacerlas, no tuvo valor para hacer que se guardasen; y las leyes que atemorizan y no se ejecutan, vienen a ser como la viga, rey de las ranas: que al principio las espant´o, y con el tiempo la menospreciaron y se subieron sobre ella.

Criptograf´ıa

DRM

Limitaciones del DRM

Criptograf´ıa relativamente vulnerable, puesto que el atacante t´ıpicamente tambi´en es usuario leg´ıtimo, y tiene acceso a un dispositivo con todas las claves. Aunque estas claves tengan cierta protecci´on

Frecuentemente implementado en hardware no actualizable

El usuario final con equipos dom´esticos no podr´a copiar el contenido, pero equipos capaces de trabajar a bajo nivel probablemente s´ı podr´an

Cualquier material (excepto el interactivo) es vulnerable al agujero anal´ogico

Criptograf´ıa

DRM

Inconvenientes para el usuario leg´ıtimo

Es frecuente que el DRM Resulte inc´omodo Impida usos legales de los contenidos Conlleve p´erdida del acceso, por obsolescencia

Malware

Malware

Malware: Malicious software

Caracter´ısticas del malware

Software malitencionado, hostil, intrusivo, molesto. No confundir con software defectuoso Atendiendo principalmente a su forma de propagaci´on, se habla de: virus, gusanos, troyanos, spyware, adware deshonesto

En el lenguaje no especializado se suele usar la palabra virus para nombrar gen´ericamente a todo el malware

Independientemente de su forma de propagaci´on, el software malicioso puede realizar diferente actividad da˜nina. Esta actividad la realiza una parte de cada aplicaci´on maliciosa, la carga (payload)

Malware

Caracter´ısticas del malware

Virus, gusanos y troyanos pueden llevar pr´acticamente cualquier carga

El spyware suele llevar una carga que realiza acciones similares

El adware suele llevar una carga que realiza acciones similares

Entre la carga m´as habitual del malware:

Puertas traseras, rootkits, inclusi´on en Botnets, keyloggers y fraudulent dialers

Otras actividades delictivas realizadas en redes de ordenadores, realizadas fundamentalmente mediante ingenier´ıa social:

Spamming y phising

Motivaci´on

Malware

Caracter´ısticas del malware

Las aplicaciones maliciosas se desarrollan por diferente motivaci´on

Diversi´on, prueba de una idea, vandalismo, sabotaje, beneficio econ´omico, extorsi´on, o incluso, antiguamente, ser bienintencionados

Se conocen casos de malware probablemente escrito por desarrolladores de antivirus y por desarrolladores de aplicaciones comerciales (para desincentivar el uso de aplicaciones obtenidas ilegalmente)

Malware

Caracter´ısticas del malware

El malware puede tener objetivos

Muy espec´ıficos. P.e. Sabotaje de gaseoducto en Siberia en 1982 Virus Stuxnet en 2010

Muy amplios P.e. Botnet BredoLab, a˜no 2010

Virus inform´atico

Malware

Tipos de malware

Programa malicioso que es capaz de copiarse a s´ı mismo en otro fichero.

Para transmitirse a otro ordenador, es necesario que el usuario copie el fichero, mediante la red o mediante un dispositivo de almacenamiento

Como todo el malware, puede llevar diversa carga

Virus no residente

Virus residente

Un virus puede infectar

Malware

Tipos de malware

Binarios

Scripts o similares (p.e. autorun.inf)

Sectores de arranque de discos, disquetes, pendrives

Documentos con macros: procesadores de texto, hojas de c´alculo

Ficheros de configuraci´on de p´aginas web, escrito por clientes web

Cualquier otro fichero, aprovechando vulnerabilidades de desbordamiento de b´ufer o condiciones de carrera

Gusano

Malware

Tipos de malware

Gusano inform´atico, iWorm Programa malicioso capaz de replicarse a trav´es de la red, usando esta activamente

No necesita la intervenci´on del usuario para su replicaci´on

No necesita vincularse a ning´un programa o fichero.

Suele detectarse por un aumento de consumo de recursos

Troyano

Malware

Tipos de malware

Malware incluido en un programa, que realiza alguna tarea leg´ıtima, pero adicionalmente incluye una carga maliciosa.

No se propaga por s´ı mismo

Puede llevar pr´acticamente cualquier carga, tal vez lo m´as frecuente en la actualidad es la instalaci´on de una puerta trasera para que la v´ıctima forme parte de una botnet

El usuario puede obtenerlos de redes p2p, sitios web poco fiables, por correo, mensajer´ıa instant´anea,etc

Spyware

Malware

Tipos de malware

Tipo de malware que no se propaga por s´ı mismo y viene

incluido en una aplicaci´on util´ esto a un troyano)

La carga siempre es similar: captura informaci´on del usuario (p´aginas web visitadas, aplicaciones empleadas, correos de contactos) y la transmite a un servidor.

Hecho por empresa no oculta. Supuestamente notifica al usuario de su actividad, en los EULA (End user license agreement), de legalidad variable. Herramienta de marketing: si no eres el cliente, eres el producto

para el usuario (parecido en

Malware

Tipos de malware

En ocasiones se usa la palabra spyware para nombrar una cosa distinta:

Carga abiertamente delectiva incluida en un virus, gusano o troyano, que roba informaci´on muy sensible del usuario:

n´umeros de tarjeta de cr´edito, contrase˜nas, cuentas bancarias, etc

Adware deshonesto

Malware

Tipos de malware

El adware (advertising-supported software), en s´ı mismo, es perfectamente leg´ıtimo

Pero puede llegar a ser malware, p.e. secuestrando el navegador (browser hijacking): alterando p´agina de inicio, marcadores, mostrando ventanas emergentes, etc

Beneficio econ´omico directo para el atacante Normalmente prohibido por los t´erminos del anunciante o plataforma de publicidad (Google AdWords, Yahoo! Search Marketing, etc)

Carga

Malware

Carga del malware

La carga del software malicioso puede realizar diferentes actividades perniciosas

Destruir ficheros, corromper el sistema de ficheros

Vandalizar p´aginas web (defacement)

Convertir el ordenador en un zombi, desde el que

Realizar otros ataques (ocultando la identidad del atacante) Enviar spam Realizar DOS o DDOS [distributed] denial of service attack

En ocasiones el DDoS no proviene de un ataque intencionado:

efecto slashdot, VIPDoS, similitud con direcci´on popular (p.e. utube.com), clientes NTP mal configurados (D-Link, Netgear) En ocasiones el DDOS se realiza con el consentimento del propietario del equipo (como el ataque a Visa y Paypal en 2010 en represalia a su pol´ıtica contra WikiLeaks)

Backdoor

Malware

Carga del malware

M´etodo para evitar los procedimientos de autenticaci´on ordinarios

Puede instalarse en una aplicaci´on, en hardware, en un compilador

Casi imposible en software libre

En ocasiones lo instala el creador del sistema como un huevo de pascua, pero luego es explotado por un atacante

Sim´etrico: cualquiera puede explotarlo Asim´etrico: solo el creador del backdoor puede utilizarlo

Rootkit

Malware

Carga del malware

Originalmente, conjunto de herramientas para que un atacante humano consiguiera y mantuviera privilegios de root en una m´aquina Unix

T´ecnicas cl´asicas: basadas en SUID, vulnerabilidad del PATH o incluso alias

Actualmente se le da un significado m´as amplio: software que permite el acceso privilegiado al sistema, ocultandose activamente

P.e. modificando el comportamiento de ls y p (o sus equivalentes) Incluso puede luchar activamente contra la eliminaci´on Un rootkit inactivo equivale a un virus, gusano o troyano

Primeros rootkit: Un atacante consigue privilegios de root en un sistema, instala un rootkit que deja una puerta trasera, y adem´as la oculta

Malware

Carga del malware

Caso peculiar y muy famoso: Esc´andalo del rootkit XCP de Sony BMG (a˜no 2005) En ocasiones es el propio usuario quien instala un rootkit para:

Evitar protecciones anti-copia

Evitar el control de licencias de software

Evitar ser detectados haciendo trampa en juegos online

Mecanismos anti-robo

Botnet

Malware

Carga del malware

Red de ordenadores zombi. Conjunto de equipos que, sin autorizaci´on de su propietario, realizan actividades maliciosas

Controlados por un bot herder aka bot master

La forma t´ıpica de dar las ´ordenes es mediante un bot de irc

Es frecuente que el bot master alquile su red a terceros

Keyloggers

Malware

Carga del malware

Mecanismo por el que se capturan las pulsaciones sobre el teclado Pueden colocarse

En el SO: n´ucleo, drivers de teclado

Formularios web

Captura de telnet o similar

Firmware

Dispositivos f´ısicos en el teclado

Malware

Carga del malware

Tambi´en pueden funcionar mediante

Captura optica´

Criptoan´alisis ac´ustico

Captura de radiaci´on electromagn´etica (de un teclado cableado)

Pueden incluir funcionalidad adicional

Captura de pantalla

Captura de webcam o micr´ofono

Fraudulent dialer

Malware

Carga del malware

Sin el consentimiento del usuario, hace una llamada telef´onica

A n´umeros de pago

Para formar botnet o similar

En ocasiones, pueden tener el consentimiento del usuario, a quien enga˜nan En desuso cuando aparece la banda ancha

Malware

Medidas contra el malware

Medidas contra el malware

Mantener las actualizaciones de seguridad al d´ıa

Esto no sirve para los zero-day attacks

Formaci´on de los usuarios

No ejecuci´on de programas de fuente dudosa

Precauci´on con pendrives y similares, especialmente en el arranque

Uso de cortafuegos

Uso de software antivirus (actualizado)

Uso de IDS (Instrusion Detection System)

Las plataformas de uso mayoritario suelen presentar mayor riesgo

Honeypots

Malware

Medidas contra el malware

Un honeypot (se˜nuelo) es un ordenador conectado a la red como trampa para estudiar el comportamiento de los atacantes

Honeypot para producci´on, en el interior de un sistema real

Honeypot de investigaci´on, para conocer nuevas t´ecnicas

Ataques basados en ingenier´ıa social

Ataques basados en ingenier´ıa social

Algunos ataques se basan no tanto en hardware y software (que tambi´en) sino en ingenier´ıa social: enga˜nar a una persona

Obviamente, la formaci´on del usuario es especialmente importante

Algunos de ellos son simples timos con siglos de historia, adaptados a internet

Veremos spam y phising

Spam

Ataques basados en ingenier´ıa social

Spam

Env´ıo indiscriminado de mensajes no solicitados

No solo en correo electr´onico: tambi´en en mensajer´ıa instant´anea, grupos de news, blogs, wikis, sms, telefon´ıa IP, fax

Originalmente, SPAM es una marca de carne de cerdo en lata. Toma el significado actual a partir de un sketch de los Monty Python

Es legal en ciertos casos, dependiendo de las legislaciones

Ataques basados en ingenier´ıa social

Spam

El spam puede anunciar productos o servicios reales (sean legales o ilegales), aunque en su gran mayoria se trata de estafas, cartas nigerianas, phising, etc

Se estima que el volumen de spam en el correo actualmente es superior al 90 %, 95 % o incluso 97 %

Los spammers obtienen las direcciones procesando masivamente p´aginas web (propias o ajenas), cadenas de correo, directorios, fuerza bruta o mediante ingenier´ıa social

Los mensajes suelen ofuscar su contenido, para dificultar su detecci´on por parte de los filtros

Ataques basados en ingenier´ıa social

Spam

Cadenas de correo

Reenv´ıa esto a 20 amigos o tendr´as 20 a˜nos de mala suerte An´onimos e intemporales, para que duren Tambi´en pueden estar aparentemente bienintencionados (aviso de virus, actividad criminal) Puede ser m´as o menos da˜nino, pero es un tipo de spam. Debemos formar a nuestros usuarios para que no las sigan. Nunca. No es posible determinar su autenticidad Se emplean para conseguir direcciones de correo Frecuentemente incluyen bulos (hoax) Pueden incluir falsos avisos de virus

jdbgmgr.exe, virus del osito

No es cierto que Coca Cola dar´a un c´entimo a los ni˜nos pobres de Uganda por cada correo reenviado

Adem´as ¿c´omo podr´ıa saberlo?

En las contadas ocasiones en que el hecho es cierto, la situaci´on puede haber cambiado, pero la cadena sigue

Ataques basados en ingenier´ıa social

Spam

Legislaci´on espa˜nola sobre Spam

Ley 34/2002, de 11 de Julio de Servicios de la Sociedad de Informaci´on y Comercio Electr´onico, art 21

1 Queda prohibido el env´ıo de comunicaciones publicitarias o promocionales por correo electr´onico u otro medio de comunicaci´on electr´onica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2 Lo dispuesto en el apartado anterior no ser´a de aplicaci´on cuando exista una relaci´on contractual previa, siempre que el prestador hubiera obtenido de forma l´ıcita los datos de contacto del destinatario y los empleara para el env´ıo de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contrataci´on con el cliente.

En todo caso, el prestador deber´a ofrecer al destinatario la posibilidad de oponerse al

tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo

gratuito, tanto en el momento de recogida de los datos como en cada una de las

comunicaciones comerciales que le dirija.

La ley estadounidense (CAN-SPAM Act, 2003) es m´as laxa

Ataques basados en ingenier´ıa social

CAPTCHA

Spam

CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart En la actualidad, cualquier blog, wiki, formulario etc donde sea sencillo escribir se llenar´a r´apidamente de Spam, a menos que se proteja con algo como un CAPTCHA Texto o audio deformado de forma que solo puede ser reconocido por una persona, no por un programa

Problem´atico para personas con deficiencia visual

El CAPTCHA es vulnerable a

Mejoras en los OCR

Defectos en la implementaci´on que permitan puentearlo Su resoluci´on por verdaderos humanos

Pagados, en paises de muy baja renta Enga˜nados

Ataques basados en ingenier´ıa social

Spam

T´ecnicas anti-spam

Son preferibles los falsos negativos antes que los falsos positivos

El usuario debe evitar publicar su correo de forma capturable por los spammers

Usando im´agenes Alterando el correo de forma legible por un humano. es mejor juan.perez@empresa.QUITAESTO.com que juan.perez.QUITAESTO@empresa.com Mejor a´un:

juan.perez [arroba] empresa [punto] com juan.perez [at] empresa [dot] com

El usuario nunca debe responder al spam, ni para solicitar la baja

Ataques basados en ingenier´ıa social

Spam

Filtro reto-respuesta (challenge-response spam filtering) T´ecnica anti-spam que solicita al origen de correo dudoso una confirmaci´on (reenv´ıo, respuesta a pregunta, CAPTCHA) Muy controvertida:

Si el origen del spam es falso, se molesta a un usuario leg´ıtimo Puede verse como mala educaci´on con el emisor Muy problem´atico con emisores no humanos, leg´ıtimos

Ataques basados en ingenier´ıa social

Spam

DNSBL (DNS-based Blackhole) Lista negra de posibles spammers Muy problem´atico

La direcci´on IP incluida puede ser din´amica La direcci´on IP incluida puede ser la de un administrador algo descuidado, v´ıctima de un Open Relay

Listas grises Los correos dudosos se retrasan unas horas T´ecnica bastante eficaz

Filtros bayesianos An´alisis estadistico del contenido, basado en aprendizaje a partir de ejemplos T´ecnica bastante eficaz

Ataques basados en ingenier´ıa social

Spam

T´ecnicas Anti-Spam propuestas para el futuro

Autenticaci´on del emisor Sistemas basados en coste

Phising

Ataques basados en ingenier´ıa social

Phising

Actividad delictiva consistente en capturar informaci´on especialmente sensible como nombres de usuario, contrase˜nas y n´umeros de tarjeta de cr´edito

Basado fundamentalmente en ingenier´ıa social (e-mail o mensajer´ıa instant´anea)

Suplantaci´on de p´aginas web de proveedores de correo, entidades financieras etc

Frecuentemente basado en la manipulaci´on de enlaces html

Ataques basados en ingenier´ıa social

Cartas nigerianas

El timador

Phising

Solicita ayuda para supuestamente sacar fondos del pais

Solicita ayuda para pagar una fianza (spanish prisioner, letter from Jerusalem. s. XVIII)

Comunica un supuesto premio de loteria o herencia

Compra un art´ıculo subastado y falsifica su pago

Finje una relaci´on amorosa (romance scam)

Se hace pasar por una ONG y pide donativos para alguna causa

Ofrece mercanc´ıa, alquiler o empleo

Tal vez por ebay

En ocasiones la v´ıctima acaba secuestrada o asesinada Scamb baiting: anzuelos para timadores

Ataques basados en ingenier´ıa social

Phising

El timador ofrece enviar un dinero que la v´ıctima debe reenviar, guardando una comisi´on

El dinero puede ser real (para borrar el rastro de otras

actividades, o emplear cuantas bancarias respetables)

O puede ser dinero proveniente de cheque sin fondos o similar:

figura en la cuenta, pero luego no se consolida

Algunas t´ecnicas de ataque

Algunas t´ecnicas empleadas en los ataques

Los ataques descritos en todo este tema pueden emplear infinidad de t´ecnicas distintas A t´ıtulo ilustrativo veremos algunos ejemplos:

Manipulaci´on de enlaces, ataques basados en SUID, ataques por variables inseguras como PATH, IP spoofing, ARP spoofing, DNS spoofing, mail spoofing, file-sharing network spoofing y desbordamiento de buffer

Algunas t´ecnicas de ataque

Manipulaci´on de enlaces

Manipulaci´on de enlaces

Un enlace en HTML est´a compuesto de:

URL: Uniform resource locator P´agina que abrir´a el navegador cuando el usuario haga clic p.e: http://www.urjc.es Texto del enlace p.e. P´agina web de la URJC

El uso t´ıpico es este:

<a

href="http://www.urjc.es">P´agina

web

de

la

URJC</a>

Pero un atacante podr´ıa usarlo as´ı

<a

href="http://www.soymuymalo.com">http://www.urjc.es</a>

Cualquier navegador moderno advertir´a al usuario de que este enlace es peligroso, pero hay t´ecnicas similares, m´as avanzadas

Algunas t´ecnicas de ataque

Manipulaci´on de enlaces

Otro enga˜no

<a

href="http://www.urjc.es.jx4237.tk">P´agina

de

la

URJC</a>

Algunas t´ecnicas de ataque

Ataques basados en SUID

Ataques basados en SUID

Una manera tradicional de instalar un rootkit en Unix est´a basada en la activaci´on del SUID Sea un fichero perteneciente a un usuario

-rwxr-xr-x

1

koji

koji

50

2009-03-24

12:06

holamundo

Si lo ejecuta un usuario distinto

invitado@mazinger:~$

./holamundo

El proceso pertenece al usuario que lo ejecuta, no al due˜no del fichero

koji@mazinger:~$

ps

-ef

|grep

holamundo

invitado 2307

2260

22

12:16

pts/0

00:00:00

holamundo

koji

2309

2291

0

12:16

pts/1

00:00:00

grep

holamundo

Este comportamiento es el normal y es lo deseable habitualmente

Algunas t´ecnicas de ataque

Ataques basados en SUID

Pero en ocasiones deseamos que el proceso se ejecute con los permisos del due˜no del ejecutable, no del usuario que lo invoca

Esto se consigue activando el bit SUID (set user id) chmod u+s fichero chmod u-s fichero En un listado detallado aparece una s en lugar de la x del due˜no (o una S si no hab´ıa x)

El bit SUID permite que ciertos usuarios modifiquen un fichero, pero no de cualquier manera sino a trav´es de cierto ejecutable

-rwsr-xr-x

1

root

root

29104

2008-12-08

10:14

/usr/bin/passwd

-rw-r--r--

1

root

root

1495

2009-03-23

19:56

/etc/passwd

Algunas t´ecnicas de ataque

Ataques basados en SUID

El bit SUID tambi´en puede ser un problema de seguridad. Una shell con el SUID activo, es un rootkit

En el caso de los scripts, lo que se ejecuta no es el fichero con el script, sino el int´erprete Un int´erprete con bit SUID es muy peligroso, normalmente la activaci´on del SUID en un script no tiene efecto

Para buscar ficheros con SUID activo:

find / -perm +4000

El bit SGID es an´alogo, cambia el GID chmod g+s fichero

Algunas t´ecnicas de ataque

Ataques por PATH inseguro

Ataques por PATH inseguro

Un usuario principiante ejecuta

koji@mazinger:~/pruebas$

total

-rw-r--r--

4

1

koji

koji

27

ls

-l

2009-10-07

19:02

holamundo

Intenta invocar el mandato holamundo escribiendo

koji@mazinger:~/pruebas$

pero obtiene

bash:

holamundo:

orden

no

holamundo

encontrada

Algunas t´ecnicas de ataque

Ataques por PATH inseguro

Problema 1 El fichero no ten´ıa permisos de ejecuci´on Problema 1: Soluci´on

koji@mazinger:~/pruebas$

chmod

ugo+x

holamundo

¿Problema resuelto?

koji@mazinger:~/pruebas$

total

-rwxr-xr-x

No ha bastado. El usuario vuelve a ejecutar

ls

-l

4

1

koji

koji

27

2009-10-07

19:02

holamundo

koji@mazinger:~/pruebas$

pero vuelve a obtener

holamundo

bash:

holamundo:

orden

no

encontrada

Algunas t´ecnicas de ataque

Ataques por PATH inseguro

Problema 2 Aunque el fichero est´a en el directorio actual (directorio punto), la shell no lo buscar´a all´ı, sino donde indique la variable de entorno PATH, que contiene una lista de directorios, separados por el car´acter dos puntos

koji@mazinger:~/pruebas$

/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

echo

$PATH

Lo buscar´a en /usr/local/sbin Si no lo encuentra, lo buscar´a en /usr/local/bin Si sigue sin encontrarlo, lo buscar´a en /usr/local/sbin etc Pero no lo buscar´a en el directorio punto

Algunas t´ecnicas de ataque

Ataques por PATH inseguro

Problema 2: Soluci´on 1 (recomendada) Invocar el mandato indicando expl´ıcitamente que el fichero est´a en el directorio punto

koji@mazinger:~/pruebas$

./holamundo

¡hola

mundo!

Problema 2: Soluci´on 2 Indicar el trayecto absoluto del mandato

koji@mazinger:~/pruebas$

¡hola

mundo!

/home/koji/pruebas/holamundo

Algunas t´ecnicas de ataque

Ataques por PATH inseguro

Problema 2: Soluci´on 3 Modificamos la variable de entorno PATH para a˜nadir al final el directorio punto Como queremos que el cambio sea permanente, debemos modificar la variable en un fichero de configuraci´on , por ejemplo ~/.bashrc

export

PATH=$PATH:.

El cambio no se produce de inmediato, sino cuando se ejecute de nuevo ~/.bashrc

Al invocarlo expl´ıcitamente

koji@mazinger:~/pruebas$

source

~/.bashrc

Al abrir una nueva terminal

Algunas t´ecnicas de ataque

Ataques por PATH inseguro

Problema 2: Soluci´on 4 ¡Muy peligrosa! Modificamos la variable de entorno PATH para a˜nadir al principio el directorio punto export PATH=.:$PATH Supongamos que un atacante escribe un script con el nombre ls y el contenido

#!/bin/bash

rm

-rf

$HOME

Al escribir la orden ls en un directorio que contenga este fichero, se ejecutar´ıa este script, y no /bin/ls

IP spoofing

Algunas t´ecnicas de ataque

Spoofing

spoof: literalmente parodia, burla, broma. En este contexto, suplantaci´on IP spoofing:

El atacante falsifica la direcci´on IP que consta como origen de un datagrama

El paquete no podr´a recibir respuesta, pero no es relevante, suele usarse para enmascarar el origen de un ataque DOS

Hay telescopios de internet que realizan backscatter analysis (mirar el tr´afico devuelvo por la v´ıctima), o monitorizaci´on de la actividad de gusanos, capturando tr´afico dirigido a rangos de direcciones inexistentes

ARP Spoofing

Algunas t´ecnicas de ataque

Spoofing

El atacante responde a una solicitud de ARP, mintiendo. Aunque haya respuestas leg´ıtimas, la v´ıctima suela quedarse con las falsas porque el atacante es m´as insistente (respuestas gratuitas)

Hay motivos leg´ıtimos para ARP Spoofing: registro de un cliente por motivos de facturaci´on o servicio redundante transparente

Algunas t´ecnicas de ataque

Pharming/DNS Spoofing

Pharming/DNS Spoofing

Ataque contra un servidor de DNS, un nombre de dominio se resuelve en una direcci´on IP falsa 2 El atacante consigue alterar el ficheros hosts de los clientes

%SystemRoot%\system32\drivers\etc\hosts (MS Windows) /etc/hosts (Linux)

/private/etc/hosts (MacOS)

El atacante modifica

El firmware del router inal´ambrico dom´estico que sirve DNS Cualquier otro servidor de DNS (DNS cache poisoning)

2 Existe cierta controversia por los matices entre pharming y DNS spoofing, aqui los consideraremos sin´onimos

Algunas t´ecnicas de ataque

Pharming/DNS Spoofing

Otros tipos de Spoofing

Mail spoofing

Falsificaci´on del remite de un correo. Trivial, puesto que no hay ninguna protecci´on. Si bien, en la actualidad

Un SMTP serio no har´a esto Un SMTP de otro tipo pocas veces superar´a los filtros anti-spam

File-sharing network spoofing

Falsificaci´on de servidores en redes p2p

Algunas t´ecnicas de ataque

Desbordamiento de buffer

Desbordamiento de buffer

Un programa escribe datos en un buffer pero, por error, sigue escribiendo mas all´a del l´ımite, sobreescribiendo posiciones de memoria contiguas Caso t´ıpico:

char *strcpy(char *dest, const char *src);

Solamente es posible en algunos lenguajes de programaci´on

Puede pasar cualquier cosa: si se escribe fuera de la zona de memoria protegida por el SSOO, produce excepci´on y fin del programa

Las arquitecturas m´as habituales no tienen separaci´on entre memoria para datos y para programa, con lo que el atacante puede insertar c´odigo

Si el programa tiene privilegios especiales, p.e. SUID, el riesgo aumenta

Algunas t´ecnicas de ataque

Desbordamiento de buffer

El programador tiene que ser muy cuidadoso

Comprobar siempre que el tama˜no de la zona de destino sea suficiente

Tener en cuenta que puede recibir una cadena incorrectamente terminada

etc

strncpy(buf,

if

(n

>

0)

buf[n

-

str,

n);

1]=

’\0’;

Gesti´on del riesgo

Gesti´on del riesgo

Preguntas clave para mejorar la seguridad de nuestro sistema

¿Qu´e intento proteger y cu´anto vale para mi?

¿Qu´e necesito para protegerlo?

¿Cuanto tiempo, esfuerzo y dinero estoy dispuesto a emplear? Es necesario el apoyo de la direcci´on de la empresa/organismo, en autoridad y recursos

Para ello es necesario

Identificaci´on de los activos (assets) y de su valor

Indentificaci´on de las amenazas

C´alculo de los riesgos

Mediante an´alisis coste-beneficio Mediante best practices (pr´acticas recomendables)

Gesti´on del riesgo

Indentificaci´on de los activos

Tangibles:

Ordenadores, equipos de comunicaciones y cableado, datos, backups, libros, software comprado, etc

Intangibles:

Salud e integridad f´ısica del persona, privacidad, contrase˜nas, reputaci´on, disponibilidad

No debemos limitar los activos al ´ambito de la red. P.e. una contrase˜na es un activo, ya est´e en un fichero con cifrado fuerte o en un post it

Gesti´on del riesgo

Identificaci´on de los riesgos

Malware, crackers, etc

No disponibilidad de personal:

Enfermedad: individual o epidemia. Bajas

No disponibiliad de un servicio:

Red, energ´ıa

Inundaci´on, fuego, sabotaje, vandalismo

Robo de soporte de datos, ordenadores de escritorio, port´atiles

Vulneraci´on de NDA (Non-disclosure agreement)

Desaparici´on de proveedor de bienes o servicios

Fallo hardware

Fallo software

Gesti´on del riesgo

An´alisis coste-beneficio

Procedimiento com´un en muchas ingenier´ıas Calcular el coste de la p´erdida de un activo Calcular la probabilidad de una p´erdida Calcular el coste de la prevenci´on Decidir con todo ello las medidas a tomar

Gesti´on del riesgo

Best practices

Best practices/pr´acticas recomendables

El an´alisis coste-beneficio puede ser de utilidad, pero en el ´ambito de las TIC es de dif´ıcil aplicaci´on

De forma complementaria/alternativa se desarrollan una serie de normas pr´acticas, recomendaciones, (rules of thumb), relativamente universales y consensuadas por la comunidad de especialistas en seguridad: las best practices

Gesti´on del riesgo

Best practices

Ejemplo de pr´acticas recomendables

Seguridad f´ısica: todo acceso f´ısico al equipo de red debe estar convenientemente protegido: acceso a estancias, armarios, llaves, etc

Todas las aplicaciones, SSOO y drivers deben actualizarse con regularidad

Todas las contrase˜nas deben ser de calidad

El acceso remoto debe limitarse por usuario y por direcci´on IP

Avisos legales en pantallas de login, constancia de que las normas han sido comunicadas y aceptadas, etc

Cierta monitorizaci´on de la actividad de los usuarios

Timeout adecuado para el cierre de sesiones por inactividad

Gesti´on del riesgo

Best practices

Deshabilitaci´on de todos los servicios no necesarios

Tr´afico inal´ambrico encriptado correctamente

Uso correcto de cortafuegos

Uso correcto de antivirus (especialmente a la entrada de la red)

Uso de VPN para tr´afico que circule por redes p´ublicas

Uso de VLAN si es necesario segregar servicios y/o usuarios dentro de la organizaci´on

Control de direcci´on IP/MAC por parte de los switches

Uso de versiones seguras de los protocolos. Actualizaci´on de rutas, DNS, etc

Mecanismos de auditor´ıa funcionando correctamente

Test de intrusi´on, preferentemente realizado por especialista externo

Gesti´on del riesgo

Calidad de las contrase˜nas

Calidad de las contrase˜nas

Las contrase˜nas son un elemento fundamental en cualquier mecanismo de autenticaci´on, su calidad es de vital importancia

Es imprescindible emplear palabras clave seguras, que no aparezcan en diccionarios, evitando nombres o fechas significativas, combinando s´ımbolos, y de la mayor longitud posible. No solo nuestras contrase˜nas deben ser seguras, tambi´en las de nuestros usuarios

Se pueden probar con password crackers, p.e. John the ripper Se puede revisar su calidad cuando el usuario las est´a definiendo

Gesti´on del riesgo

Calidad de las contrase˜nas

Ejemplos de malas contrase˜nas:

123456

4312

toby

r2d2

tornillo

fromage

Fuenlabrada06

Contrase˜nas que parecen buenas, pero son malas:

XCV330

NCC-1701-A

ARP2600V

Gesti´on del riesgo

Calidad de las contrase˜nas

Buenas contrase˜nas Esto ser´ıan buenas contrase˜nas (si no estuvieran publicadas aqu´ı)

Contrase~na

Nemot´ecnico

----------------------------------------------------

QuReMa:

Queridos

Reyes

Magos:

3x4doze

3x4=doce

 

1pt,tp1

uno

para

todos,todos

para

uno

lh10knpr

le

hare

una

oferta

que

no

podr´a

rechazar

19dy500n

19

dias

y

500

noches

 

waliaYS

we

all

live

in

a

Yellow

Submarine

R,cmqht?

Rascay´u,

cuando

mueras

que

har´as

t´u?

Gesti´on del riesgo

Calidad de las contrase˜nas

Es conveniente que busquemos e inutilicemos las contrase˜nas d´ebiles de nuestros usuarios, ya que suponen un primer punto de entrada en nuestro sistema

En Unix, el root no puede leer las contrase˜nas. Pero en otros entornos s´ı. Y muchos usuarios emplean siempre la misma contrase˜na Ejemplo:

1 Juan Torpe usa como contrase˜na dgj441iU en juan.torpe@hotmail.com

2 Juan Torpe se registra en www.politonosdebisbalgratis.com, con su cuenta de correo y su contrase˜na de siempre

3 El administrador malicioso de este web ya conoce el nombre de Juan, su cuenta de correo y su contrase˜na.

Adem´as, puede usar la funci´on ¿contrase˜na olvidada? y colarse en cualquier otra cuenta de Juan

Debemos instruir a nuestros usuarios sobre esto

Gesti´on del riesgo

Calidad de las contrase˜nas

Los usuarios sin duda olvidar´an en ocasiones su contrase˜na y tendremos que generarles una nueva, de forma segura

Pero es muy poco profesional que nosotros como administradores olvidemos una contrase˜na. Debemos usar diferentes contrase˜nas en diferentes servicios, y guardarlas de forma medianamente segura (gpg, lastpass, etc)

Antivirus

Gesti´on del riesgo

Antivirus

Antivirus: Software que detecta e inutiliza malware, al que puede reconocer por

Su firma

Su comportamiento

El malware aprovecha vulnerabilidades. Es poco probable que el malware comprometa un sistema

Con todas las actualizaciones al dia

Con un cortafuegos bien configurado

Donde el usuario solamente ejecuta software de origen fiable

Un antivirus ofrece una protecci´on adicional

Puede evitar propagaci´on aunque no haya contagio

Puede proteger contra algunos zero-day attacks (o no)

Gesti´on del riesgo

Antivirus

Inconvenientes de los antivirus

Los antivirus no est´an exentos de inconvenientes:

Penalizaci´on del rendimiento Falsos positivos Falsa sensaci´on de seguridad Pol´ıtica de precios de renovaci´on poco clara

Gesti´on del riesgo

Monitorizaci´on de usuarios

Monitorizaci´on de la actividad de los usuarios

Siempre es necesario un cierto control de la actividad de los usuarios Aspecto espinoso, son necesarias muchas consideraciones ´eticas, legales, psicol´ogicas, etc

Extremo laxo, monte de or´egano: el usuario puede realizar cualquier actividad, visitar cualquier web, instalar cualquier aplicaci´on Extremo autoritario, ministerio de la verdad: el usuario tiene opciones muy limitadas y nula privacidad Seg´un nuestros requerimientos, debemos fijar la pol´ıtica adecuada, que normalmente estar´a en alg´un punto intermedio

Gesti´on del riesgo

Monitorizaci´on de usuarios

T´ecnicamente es trivial conocer Qu´e aplicaciones ejecuta un usuario Qu´e servicios usa Qu´e p´aginas web consulta

Gesti´on del riesgo

Monitorizaci´on de usuarios

Un mismo aspecto se puede monitorizar en distintos niveles de profundidad, debemos cumplir los requerimientos de seguridad respetando todo lo posible la privacidad del usuario

No es lo mismo saber d´onde llama que saber qu´e dice

Origen, destino, fecha y asunto de un correo se consideran p´ublicos. El contenido goza de una protecci´on legal muy especial

Es diferente saber cu´anto ocupa su home que hacer un listado de su home

No es lo mismo ver el contenido de un fichero que hacer una b´usqueda ciega de una cadena en un fichero

Una cosa es saber que entra en facebook (10 minutos o 2 horas) y otra, monitorizar por completo su sesi´on

Gesti´on del riesgo

Monitorizaci´on de usuarios

Delitos contra el secreto de las comunicaciones

C´odigo penal espa˜nol:

Art´ıculo 197.1 El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electr´onico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios t´ecnicos de escucha, transmisi´on, grabaci´on o reproducci´on del sonido o de la imagen, o de cualquier otra se˜nal de comunicaci´on, ser´a castigado con las penas de prisi´on de uno a cuatro a˜nos y multa de doce a veinticuatro meses. Art´ıculo 197.2

Las mismas penas se impondr´an al que, sin estar autorizado, se apodere, utilice o

modifique, en perjuicio de tercero, datos reservados de car´acter personal o familiar de

otro que se hallen registrados en ficheros o soportes inform´aticos, electr´onicos o

telem´aticos, o en cualquier otro tipo de archivo o registro p´ublico o privado. Iguales

penas se impondr´an a quien, sin estar autorizado, acceda por cualquier medio a los

mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un

tercero

Gesti´on del riesgo

Monitorizaci´on de usuarios

En Espa˜na,

si una empresa facilita medios a un empleado (correo electr´onico, tel´efono, etc) para que realice su trabajo y le advierte

expl´ıcitamente de que son unicamente´

de que ser´a controlado entonces la empresa puede monitorizar estas comunicaciones

para trabajar, y le advierte

Tribunal Supremo, Sala de lo Social, Sentencia de 26/09/2007 aunque el trabajador tiene derecho al respeto a su intimidad, no puede imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las instrucciones establecidas por ´esta para su uso y al margen de los controles previstos para esa utilizaci´on y para garantizar la permanencia del servicio

Test de intrusi´on

Gesti´on del riesgo

Test de intrusi´on

(Transparencias de Alejandro Ramos, www.securitybydefault.com)

Referencias

Referencias

Practical UNIX and internet security S. Garfinkel, G. Spanfford. Ed. O’Reilly

Data and computer communications W. Stallings. Ed. Prentice Hall

Computer networking J.F. Kurose. Ed. Pearson