conexión inversa. análisis forense en medios de pago
TRANSCRIPT
Anális is forens e en medios de pa go
E l mayor pe ligro de la red, es e l us uario
Técnicas de prevención y defensa
Agenda● ¿Quienes somos?● Estado actual● La armada● Caso: Ataque zulu ● Conclusiones
¿Quienes somos?
¿Quienes somos?Pedro SánchezZaragoza, SPAIN
He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI y diversas metodologías de seguridad. También colaboro sobre análisis forense informático con las fuerzas de seguridad del estado y diversas organizaciones comerciales.También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret.
Actualmente soy miembro de la Spanish Honeynet Project y trabajo en una gran organización como es ATCA
¿Quienes somos?En el año 2001, se crea un equipo multidisciplinario con el objeto de reducir el fraude en las las nuevas tecnologías.
Empezamos con una persona, aplicando controles, normas y metodologías.
Ahora somos un conjunto de personas/áreas de la empresa, en todas las especialidades de la seguridad informática.
Somos personas=profesionales. Lo que hacemos nos gusta, nada ni nadie nos impone (solo reportamos al Director General.)
¿Quienes somos?
¿Para quien trabajamos?ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales.
Durante toda su trayectoria se ha destacado por su apuesta firme por la innovación, las últimas tecnologías y la inversión en proyectos de I+D+i, siendo una compañía pionera en el uso de Software Libre.
La seguridad es una de sus máximas prioridades, lo que le ha llevado a convertirse en la primera entidad del sector financiero español en obtener la máxima certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC 27001.
También dispone de la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría
Estado actual
La seguridad tradicional ha muerto
Desactivar servicios Quitar paquetes innecesarios Cambiar banners Firewalls de red HIDS (Host IDS) ...
Si cambias tu banner...
Apache con PHP, windows con .asp …
Da exactamente igual
¿IDS's & IPS's?
No queremos añadir un usuario a /etc/passwd
No queremos una shell
No nos interesa escanear la red
Solo queremos una cosa:'Vuestro dinero'
TARJETAS DE CRÉDITO
COMPRAS FRAUDULENTAS
EXTORSIÓN
¿Y que ahí de los XSS, SQL-i?
Auditorías trimestrales Escaneo manual y automatizado de XSS, SQL-
injection, ... Lenguajes de programación cada vez más
seguros Firewalls de aplicación (WEB, FTP, …) en
TODAS las entidades financieras Mod-security Juniper ...
La seguridad tal y como la conocemosHA MUERTO
SÓLO UN COMPLETO IGNORANTE INTENTARÍA
ENTRAR EN UN BANCO
El usuario domestico...
SOFWARE PIRATA CON TROYANOS
0-DAYS (ADOBE, IEXPLORE, …)
EL PROPIO USUARIO
Nuevos troyanos
Keylogger, Captura imágenes
Consola de administración remota
Totalmente indetectables
Hechos por profesionales
¿Es suficiente la seguridadactual de los usuarios?
Equipo actualizado Software legal Antivirus Firewall ...
¿Quien es la victima más fácil?
2.- Medidas actuales
Medidas actuales en Banca Electrónica
¿De verdad es suficiente?
Validación usuario/password Teclados virtuales Tarjeta de coordenadas DNI-e Tarjetas Chip (EMV) Verificación por SMS, tokens, algún día ...
Medidas actuales en BE
Autopsy Case 1: Preguntale a Dimitri Autopsy Case 2: Man in the mobile
TRES Ejemplos REALES
Autopsy Case 2
El mito de dimitri
Case 1
•Autopsia del ataque:
•PASO 1:
1.- El cliente hace 'click' en un vinculo sobre un falso correo
2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña
1
2
3.- El cliente introduce los datos y pulsa el botón enviar
4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo
3 4
Case 1•PASO 2:
3.- El cliente recibe la página con sus datos y un campo más en el que le piden el DNI
2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente
4.- El cliente introduce los datos y pulsa el botón enviar
1.- El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente
12
455.- El malo envia el
nuevo valor (dni) e intenta hacer una trasferencia automatica
Case 1•PASO 3:
3.- El cliente recibe la página con sus datos y un campo más la solicitud de su token
2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente
4.- El cliente introduce los datos y pulsa el botón enviar
1.- Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo
12
455.- El malo envia el
nuevo valor (token) y realiza una transferencia automaticamente
Otras cosas que obtuvimos...
Modificado Original
Otras cosas que obtuvimos...
Modificado Original
Man in the mobile
● El atacante roba el nombre de usuario y contraseña en línea utilizando un software malicioso
● El atacante infecta el dispositivo móvil del usuario obligandole a instalar una aplicación maliciosa bajo su desconocimiento total. Este paso se realiza a través del envío de un SMS con un enlace malicioso al móvil.
● El atacante inicia la sesión con las credenciales robadas obligando a la autenticación a través de SMS. .
● Un SMS se envía al dispositivo móvil del usuario con el código de autenticación. El software malicioso intercepta el SMS y lo reenvía a otro terminal controlado por el atacante, sin dejar rastro de ello en el terminal de la víctima.
● El atacante se apropia del código de autenticación y completa la operación.
La armada
La armada● Spectum:
● Servidor con relay abierto con una lógica que captura correos en formato raw para su posterior análisis en base a patrones.
● Ulises:● Sonda espacial (araña) que busca en internet
nombres de dominios iguales a los que protegemos en base a hash de imágenes.
● Perdido:● Honeyweb, en base a un patrón de ataques a la
página web entra el atacante en modo simulación.
La armada● Arwen:
● Servidores con una base de datos de tarjetas de crédito
● Heracles:● FTP's anónimos con objeto de recopilar lo que suben
los usuarios o delincuentes● Rare:
● Wifi abierta ● Odin
● Nodo de salida de TOR● Zeus
● Proxy abierto
348
passwords
Conclusiones
Conclusiones● Por mucho que pongamos medios y seguridad en los
sistemas de autenticacion seguimos pensando que el usuario está en IRAK (nunca sabes cuando te va a explotar)
● Tenemos un nuevo vector de ataque muy difícil de superar. (seguimos pensando)
● Aun con todo hay que ser proactivos y tener artes adivinatorias
● ¿Habrá que utilizar privilegios no administrativos en los móviles.?
● Los ciberdelincuentes van ganando, hay que retomar la seguridad y enfocarla a la conciencia
● El hecho de disponer de sensores, nos ayuda en el arte de la predicción.
● No solo debemos de tener tecnología, si no disponer de capacidad analítica.
● Los clientes nos dan un buen 'feedback'● Aumentemos la percepción de la seguridad en
la sociedad
