Bogotá, martes 05 de septiembre de 2017.
David PereiraPeligros del Mundo Virtual
David PereiraDavid Pereira
Bogotá, martes 05 de septiembre de 2017.
üCEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC, CICP, CCISO
ü+20 Años de experiencia en Seguridad Informática y DFIR
üHacker Ético – Pentester en diversas Entidades en el mundo, de ámbitos como el Financiero, Energético, Militar, Inteligencia, Diplomático, Minero, entre otros
ü Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares y Policía, en varios Países.
AgendaAgenda
Bogotá, martes 05 de septiembre de 2017.
1.Ciberseguridad2.Términos Comunes3.Vectores de ataque técnico:
• Phishing (Robo de Claves y Datos Sensibles en Vivo) • El Internet de las Cosas….Otra Amenaza?
o Alguien Nos Mira……..o Puse Candado…. Me voy tranquil@
• Inyección de SQL (Demostración en vivo)• Ataques WEB Avanzados del lado del cliente (Demostración en vivo)
4. Hardware para Hacking:
• Rubber Ducky• Keylogger WiFi• WiFi Pinneaple
AgendaAgenda
Bogotá, martes 05 de septiembre de 2017.
5. Amenazas de alto riesgo (demostración en vivo): • Malware indetectable
6. Vectores de ataque a humanos - Ingeniería social (demostraciones en vivo)
• Hackeando al humano• Programación neurolingüística • Lenguaje no verbal
CiberseguridadCiberseguridad
Bogotá, martes 05 de septiembre de 2017.
Estrategias Políticas Estándares
Seguridad de las Operaciones en el Ciberespacio
Reducción de Amenaza
Reducción de Vulnerabilidad DisuaciónAseguramiento
de la Info.Respuesta a IncidentesResiliencia Recuperación
de Desastres
GlosarioGlosario
Bogotá, martes 05 de septiembre de 2017.
Ciberamenaza: Actividad maliciosa potencial que puede ocurrir en el ciberespacio.
El Atacante debe contar con:
Ciberataque:
Asalto que aprovecha una vulnerabilidad en un sistema conectado al Ciberespacio.
Oportunidad Capacidad Intención
ConceptosConceptos
Bogotá, martes 05 de septiembre de 2017.
Amenaza:Peligro potencial de que ocurra algún evento adverso que pueda afectar la prestación de un servicio.
Vulnerabilidad:Debilidad existente por: Diseño, Desarrollo, Implementación, Configuración de una aplicación o servicio que puede ser aprovechada por un potencial atacante para tomar ventaja de ella.
Ataque:Asalto directo a un sistema o sus componentes que puedan afectar la Integridad, Disponibilidad o Confidencialidad de la información.
Malware:Tipo específico de software creado con propositos dañinos, maliciosos e incluso económicos.Ej. Ransomeware, Rootkit, Troyano, Sparse, Oligomorficos.
Vectores de ataque técnicoVectores de ataque técnico
Bogotá, martes 05 de septiembre de 2017.
Phishing:
Falsificación de un sitio web con el objetivo de recibir la solicitud de login o acceso de un usuario que ha llegado a él por medio de un enlace malicioso en un correo electrónico o un ataque de redireccionamiento, a fin de robar sus credenciales o información privilegiada.
Vectores de Ataque: El internet de las cosas (IoT) Vectores de Ataque: El internet de las cosas (IoT)
Bogotá, martes 05 de septiembre de 2017.
Son tecnologías que nos permiten interconectar diversos dispositivos de uso cotidiano con la Internet;
Todos de alguna u otra forma interactuamos con el IoT:
El Internet de las Cosas (IoT:Internet of Things)
Vectores de Ataque: El internet de las cosas (IoT) Vectores de Ataque: El internet de las cosas (IoT)
Bogotá, martes 05 de septiembre de 2017.
Vectores de Ataque: El internet de las cosas (IoT) Vectores de Ataque: El internet de las cosas (IoT)
Bogotá, martes 05 de septiembre de 2017.
Demos:Alguien nos Mira……
Fantasmas?
Ya puse Candado…..estoy tranquil@
Vectores de Ataque: Vectores de Ataque: Inyección SQLInyección SQL
Bogotá, martes 05 de septiembre de 2017.
Inyección SQL (SQLi)
La Inyección de SQL es un ataque dirigido a explotar fallas de diseño en la programacion y desarrollo de un sitio web que conecte con una Base de Datos;No es culpa de la Base de Datos, es un tema del Desarrollo;Demo…….
Vectores de ataque WEBVectores de ataque WEB
Bogotá, martes 05 de septiembre de 2017.
Ataques WEB del lado del ClienteMultiples ataques pueden ser generados contra el cliente al navegar un sitio WEB; algunos ejemplos son:
Inyección (LDAP, SQL, Comandos)Ocurre cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados.
Vectores de ataque WEBVectores de ataque WEB
Bogotá, martes 05 de septiembre de 2017.
XSS
Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencias de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.
Vectores de ataque WEBVectores de ataque WEB
Bogotá, martes 05 de septiembre de 2017.
XSS
Vectores de ataque WEBVectores de ataque WEB
Bogotá, martes 05 de septiembre de 2017.
CSRF
Un ataque CSRF obliga al navegador de una victima autenticada a enviar una petición HTTP falsificada, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la víctima para generar pedidos que la aplicación vulnerable asume como peticiones legítimas provenientes de la victima.
Vectores de ataque WEBVectores de ataque WEB
Bogotá, martes 05 de septiembre de 2017.
Sitio Malicioso.com
1. El Cliente navega un sitio Legitimo
2. El Cliente visita un sitio malicioso generando una sesion en otra pestaña.
3. Por medio de la sesion establecida, con el cliente, el sitio malicioso envia peticiones al sitio legitimo en nombre de la victima
Sitio Legitimo.com
CSRF
Vectores de ataque WEBVectores de ataque WEB
Bogotá, martes 05 de septiembre de 2017.
JavaScript
Al navegar un sitio, se ejecutan de manera automática múltiples códigos de tipo Script.Esto puede ser utilizado para generar diversos ataques, desde capturar datos hasta ejecutar comandos de Sistema Operativo en la máquina víctima.
Vectores de ataque WEBVectores de ataque WEB
Bogotá, martes 05 de septiembre de 2017.
Session Fixation
Un atacante puede enviar por correo electronico una sesion previamente establecida con un id generado para el atacante y cuando la víctima haga click sobre el enlace va a ser dirigido al sitio para recibir sus credenciales pero va a loguearse con el id de sesión del atacante.
Vectores de ataque: Hardware para HackingVectores de ataque: Hardware para Hacking
Bogotá, martes 05 de septiembre de 2017.
Rubber Ducky
Es un dispositivo que se asemeja a una memoria USB, pero en realidad es un teclado programable de alta velocidad;Posee una Memoria SD que puede almacenar diversos tipos de Scripts a fin de ser ejecutados tan pronto sea introducida la “Memoria USB” en el PC, MAC o Servidor;
Vectores de ataque: Hardware para HackingVectores de ataque: Hardware para Hacking
Bogotá, martes 05 de septiembre de 2017.
Rubber Ducky
Vectores de ataque: Hardware para HackingVectores de ataque: Hardware para Hacking
Bogotá, martes 05 de septiembre de 2017.
Keylogger USB / WiFi
Es un dispositivo que se asemeja a una memoria USB, pero en realidad es un puente entre el teclado del Usuario y la CPU;Funciona como un dispositivo de almacenamiento que graba todo lo que el usuario escriba en el teclado; incluso lo puede enviar en tiempo real via WiFi;
Vectores de ataque: Hardware para HackingVectores de ataque: Hardware para Hacking
Bogotá, martes 05 de septiembre de 2017.
Keylogger USB / WiFi
Vectores de ataque: Hardware para HackingVectores de ataque: Hardware para Hacking
Bogotá, martes 05 de septiembre de 2017.
WiFi Pinneaple
Es un dispositivo que puede simular cualquier Nombre de Red Inalambrica (SSID), y de esta forma lograr que un dispositivo se conecte a el, y escuchar su tráfico (sniffing) y tomar Nombres de Usuario, Contraseñas, datos bancarios o cualquier otro tipo de información;
Vectores de ataque: Hardware para HackingVectores de ataque: Hardware para Hacking
Bogotá, martes 05 de septiembre de 2017.
WiFi Pinneaple
Amenazas de alto riesgo: Malware IndetectableAmenazas de alto riesgo: Malware Indetectable
Bogotá, martes 05 de septiembre de 2017.
Existen muchas amenazas de alto riesgo para un usuario final, pero pensamos que una de las más peligrosas consiste en el Malware que ningún mecanismo de Antimalware o de detección esté en capacidad de contramedir o detectar.
Tenemos muchos ejemplos de técnicas avanzadas utilizadas para generar la indetectabilidad, pero mencionaremos algunas:
1. Codificación, Ofuscación, Encripción2. Separación Entre Cabby, Stub y Payload3. Shell Scripting4. Anti Heuristica5. Anti Debugging6. Alta Latencia
Amenazas de alto riesgo: Malware IndetectableAmenazas de alto riesgo: Malware Indetectable
Bogotá, martes 05 de septiembre de 2017.
Vectores de Ataque: Malware Ofuscado - Crypters
Malware Detectable Ofuscación del
Payload
Descomposición en Ensamblador
STUB
Payload
Aplicación Aparentemente
Legítima
Antimalware no detecta Anomalía
STUB
Payload
Revisión Antimalware
Vectores de Ataque a HumanosVectores de Ataque a Humanos
Bogotá, martes 05 de septiembre de 2017.
Hackeando al Humano
La naturaleza de las personas es confiar los unos en los otros, y de eso se vale la Ingeniería Social, que podemos definir como: El Arte del Engaño; Se utiliza para recabar información que normalmente una persona no compartiría.
Algunas Técnicas:Dumpster DivingTailgatingPiggyBacking
Vectores de Ataque a HumanosVectores de Ataque a Humanos
Bogotá, martes 05 de septiembre de 2017.
Programación Neurolingüística (PNL)
Estas técnicas se pueden utilizar para tratar de:1. Detectar la veracidad de las respuestas de una persona2. Determinar el nivel de Convencimiento que se está logrando3. Influenciar a la persona para lograr un objetivo
Vectores de Ataque a HumanosVectores de Ataque a Humanos
Bogotá, martes 05 de septiembre de 2017.
Programación Neurolingüística (PNL)
Vectores de Ataque a HumanosVectores de Ataque a Humanos
Bogotá, martes 05 de septiembre de 2017.
Lenguaje No Verbal
Nuestro cuerpo y expresiones no mienten!Por medio de este conocimiento podemos determinar factores de conexión o desconexión de una persona para con su interlocutor, niveles de stress, comodidad, aprehensión, etc.
Se basa en reacciones límbicas que no controlamos conscientemente.
Bogotá, martes 05 de septiembre de 2017.
Preguntas? Inquietudes?
Bogotá, martes 05 de septiembre de 2017.
!Muchas Gracias!
David Pereira@d4v1dp3r31r4
Bogotá, martes 05 de septiembre de 2017.
David PereiraCiberseguridad Corporativa
AgendaAgenda
Bogotá, martes 05 de septiembre de 2017.
1.Antiphishing para todos2.Prevención de Ataques DNS3.Detección de Ataques WEB
• Para usuarios finales• Para administradores y webmasters
4.Detección de Ataques DoS y DDoS:5.Mitigación Efectiva de Ataques DoS y DDoS6.Antimalware Avanzado para Usuarios Finales7.Antimalware Avanzado para TI9.Protección de SQLi
Antiphishing para TodosAntiphishing para Todos
Bogotá, martes 05 de septiembre de 2017.
El Phishing crece día a día, en una progresión geométrica que tiende al infinito;
La única manera efectiva de defendernos es concientizarnos y decidir no ser nunca más una víctima;
Tenemos ciertos parametros que nos permiten identificar el Phishing y algunas herramientas.
Qué debo Buscar? (Validez del Certificado SSL)
Herramientas:
Netcraft AntiPhishing ToolbarPhishtank
Prevención de Ataques DNSPrevención de Ataques DNS
Bogotá, martes 05 de septiembre de 2017.
Existen muchos ataques contra los Servidores DNS;
Entre algunos de los más peligrosos tenemos el ataque Reflejado y Amplificado de DNS:
AtacanteHace spoof
de la IP de la Victima
Botnet del Atacante
Peticiones Pequeñas
Origen Falso
Respuestas Amplificadas de los
Open Resolvers
Servidor Victima
Prevención de Ataques DNSPrevención de Ataques DNS
Bogotá, martes 05 de septiembre de 2017.
Prevención y Mitigación:
• No Recursividad en Nuestros Servidores DNS Autoritativos
• Verificación de Ip de Origen (Anti Spoofing)
• Lista de Hosts permitidos o de confianza
• Response Rate Limiting
Detección de Ataques WEB para Usuarios Detección de Ataques WEB para Usuarios
Bogotá, martes 05 de septiembre de 2017.
No es simple para un usuario el lograr detectar que esta recibiendo un ataque a traves de un Sitio WEB;
No obstante existen algunas herramientas y procedimientos que pueden disminuir el nivel de riesgo del Usuario; entre otros tenemos:
• Suite de Seguridad• Sentido Comun• Siempre Desconfiar
Herramientas:
• NoScript• Ghostery• Better Privacy• Ad Blocker
Detección de Ataques WEB para Detección de Ataques WEB para Sysadmins Sysadmins
Bogotá, martes 05 de septiembre de 2017.
Un Sysadmin tiene a la mano herramientas que permiten incrementar su nivel de seguridad y disminuir el nivel de riesgo; algunos ejemplos son:
• WAF• Reglados de Detección Fuertes• IPS IDS• Logging• Correlacionamiento• SIEM• Proxy Terminacion SSL
Detección DoS y DDoSDetección DoS y DDoS
Bogotá, martes 05 de septiembre de 2017.
Tipos de Ataques DoS - DDoS
• TCP SYN Flood• TCP SYN - ACK Reflection Flood (DRDoS)• TCP Spoofed SYN Flood• TCP ACK Flood• TCP IP Fragmented Attack• HTTP and HTTPS Flood Attacks• INTELLIGENT HTTP and HTTPS Attacks • ICMP Echo Request Flood• UDP Flood Attack• DNS Amplification Attacks
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
Syn Proxy
Syn
Syn / Ack
AckCliente Legitimo
Atacante
Syn - Spoof
Syn/ Ack hacia el Spoof
AggressiveAging
Cierre de las Sesiones no contestadas
X SYN Proxy
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
Source Rate Limiting:
Cuando hay un número limitado de ips origen para una Botnet, ella puede utilizar sus IP para enviar paquetes con alta carga (agresivos).Estos paquetes consumen recursos del servidor; este tipo de ataques reciben el nombre de Multi-threaded
Mediante la identificación de valores atípicos en direcciones IP que rompen las normas, se puede denegar el acceso a ancho de banda excesivo.
Como las direcciones IP en este tipo de ataques no son predecibles, es importante no perder de vista a millones de direcciones IP y su comportamiento para aislar a los valores extremos.Este aislamiento sólo se puede hacer en el hardware.
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
Connection Limiting:
Demasiadas conexiones pueden causar sobrecarga en un Servidor.
Limitando el numero de solicitudes de conexiones nuevas, se le puede dar alivio al Servidor.
Esto se logra dándole preferencia a las conexiones existentes y limitando las solicitudes de nuevas conexiones, permitiendo un mejor uso de la memoria del Servidor
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
Dynamic FilteringEl filtrado Estático es una técnica común en firewalls, routers, etc. y se lleva a cabo por medio de ACL.
El Filtrado Dinámico es requerido cuando el tipo de ataque y los atacantes cambian constantemente.
El Filtrado Dinámico se logra identificando los comportamientos fuera de lo normal y castigando este comportamiento por un periodo corto de tiempo, creando reglas de Filtrado de corta duración durante el ataque y eliminándolas posteriormente.
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
Granular Rate Limiting
Los ataques DDoS son impredecibles y en muchas oportunidades se dirigen por medio de BOTs y Scripting; los paquetes que llegan al Servidor son diferentes en cada ocasión,; no obstante hay similitudes entre los paquetes en un ataque individual.La Técnica GRL identifica las tasas de transferencia de ataques anteriores; Los umbrales se basan en comportamiento pasado, durante sesiones de entrenamiento y se ajustan adaptativamente en el tiempo.La Granularidad se aplica a parámetros disponibles en las Capas 3, 4 y los encabezados en la Capa 7; parametros como: Origen, Destino, Puertos, Metodo HTTP, URL, Agentes, Cookies, Host Referrer
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
Country Based Access Control Lists (ACL):
Gran parte del tráfico Botnet se origina desde un número limitado de Países.Estos Países probablemente no sean orígen de tráfico normal dentro de la Organización;
Por medio de Filtros basados en Países (IANA) se puede reducir significativamente el tráfico que recibe el Servidor y por ende la Carga, incluido tráfico spoof.
Es recomendable la implementación de estos controles a nivel de Hardware y no de Software por temas de desempeño
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
Dark Address Scan Prevention
Las direcciones obscuras son direcciones ip que no han sido asignadas por la IANA. (Bogon)Cualquier paquete recibido de una de estas direcciones normalmente está asociado a un ataque que involucra spoofing.
• 108.8.180.1 (whois - info: IANA Reserved)• 0.66.154.180 (whois-info: IANA Special Use, RFC 3330 )• 248.4.49.192 (whois-info: IANA Special Use, RFC 3330 )• 94.39.203.54 (whois-info: IANA Reserved)
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
GeoDNSPermite redireccionar las visitas de cualquier cliente de acuerdo al lugar geográfico en donde esta posicionado
Mitigación DoS - DDoSMitigación DoS - DDoS
Bogotá, martes 05 de septiembre de 2017.
Pila de Mitigación de DoS / DDoS
Antimalware para usuariosAntimalware para usuarios
Bogotá, martes 05 de septiembre de 2017.
Los Usuarios no tienen que estar indefensos ante el Malware Avanzado;Algunas Recomendaciones son:
• Sentido Común• Suite de Seguridad• Ciber Higiene• Revisión de Enlaces• Uso de Sandbox WEB
• https://www.virustotal.com/es/• https://virusscan.jotti.org/• http://www.threatexpert.com/submit.aspx
• No Promiscuidad• HIDS / HIPS• File Integrity Monitoring / Verifying
Antimalware avanzado para SYSADMINSAntimalware avanzado para SYSADMINS
Bogotá, martes 05 de septiembre de 2017.
A nivel de TI podemos contar con:
Endpoint Protection (Symantec)Consola Antimalware (Symantec, Kaspersky, etc.)HIDS / HIPS (Consola)NIDS / NIPS (Consola)File Integrity Monitoring / Verifying (Tripwire)Detección Avanzada (Sandbox) (Symantec)
Bogotá, martes 05 de septiembre de 2017.
Preguntas? Inquietudes?
Bogotá, martes 05 de septiembre de 2017.
!Muchas Gracias!
David Pereira@d4v1dp3r31r4