Introducción a la seguridad en cómputo
Sergio A. BecerrilCELE | UNAM
Temario
• Conceptos básicos
• Ataques
• Seguridad básica
• Actualizaciones
• Buenas prácticas
• Navegación segura
Conceptos básicosIntroducción a la seguridad en cómputo
千里之行 始于足下Lao Tsé
¿Qué es seguridad?
• Confianza
• Tranquilidad
• Protección
La importancia de la información
Es un mundo digital Tendencia irreversible Más que una alternativa
• Es un mundo globalizado Inevitable, compartir información No tenemos control del ambiente externo
• No es solo la información Cada dispositivo que interactúa es importante Recordemos los recursos informáticos
Seguridad informática
“Los pilares de la seguridad” Confidencialidad
Prevenir la divulgación de información, o el acceso a los recursos informáticos, a entidades no autorizadas.
Solo aquellos autorizados podrán acceder a la información.
• Integridad Mantener la fidelidad del estado de la información o los recursos
informáticos.
La información no se puede modificar sin autorización.
• Disponibilidad Garantizar que la información o los recursos informáticos podrán ser
utilizados por entidades autorizadas.
La información estará utilizable siempre que se necesite.
Elementos adicionales
AAA Autenticación: Comprobar la identidad de quien pretende
acceder a los recursos. Autorización: Comprobar los privilegios de quien
pretende acceder a los recursos. Auditoría: Mantener registros de las entidades y
operaciones involucradas.
• No repudio Garantizar que las entidades involucradas en la
manipulación de los recursos no puedan negar su participación.
Seguridad informática
• Confianza en los recursos informáticos Integridad
Disponibilidad
No repudio
• Tranquilidad acerca de los recursos informáticos Integridad
Disponibilidad
Confidencialidad
• Protección de los recursos informáticos Confidencialidad
Cifrado
Autenticación, Autorización, Auditoría
No es solo la información
• Recursos informáticos Equipos: computadoras, móviles, tablets...
Periféricos: impresoras, cámaras, monitores...
Almacenamiento removible
Dispositivos de interconexión
• Entidades Organizaciones
Usuarios
Creadores
Administradores
Términos comunes
• ActivoCualquier elemento de importancia para la organización
• VulnerabilidadCualquier debilidad en un activo
• AmenazaUn peligro posible que puede explotar una vulnerabilidad, causando
daño a los activos.
Términos comunes
• Riesgo
El potencial de una amenaza de explotar una vulnerabilidad en un activo en particular.
• Impacto
La afectación sobre la confidencialidad, integridad, disponibilidad, etc., asociada a un riesgo específico.
• Ataque
Cualquier intento de explotar una vulnerabilidad, con el objeto de afectar los activos.
Términos comunes
• EventoCualquier cambio al comportamiento normal de un sistema, ambiente,
proceso, flujo o persona.
• IncidenteCualquier evento atribuible, de raíz, a una causa humana.
• PolíticaDefinición de seguridad para algún sistema, organización u otra entidad.
Consecuencias
• Pérdida
• Modificación
• Divulgación
Atacantes
• HackerPersona con profundo conocimiento del funcionamiento de algún
sistema.
• CrackerPersona que viola la seguridad de algún sistema informático para
beneficio propio.
• IntrusoPersona que intenta violar la seguridad de algún sistema informático.
Problemas comunes Contraseñas
Contraseñas débiles
Reutilización de contraseñas
• Configuraciones
Inercia
Comodidad
• Actualizaciones
Deshabilitación / no configuración
Ausencia de ambiente de pruebas
Navegación web
Sitios peligrosos
“Visión de túnel”
Ataques a la seguridad informáticaIntroducción a la seguridad en cómputo
Nobody ever defended anything successfully; there is only attack and
attack and attack some more.G.A. George S. Patton
¿Qué es un ataque?
Un atentado sobre la seguridad de un sistema, que deriva de una amenaza inteligente; un acto inteligente que es un
intento deliberado de evadir servicios de seguridad, y violar la política de seguridad de un sistema (IETF)
Explota una vulnerabilidad
Precedido por una amenaza inteligente
Conlleva un impacto
Vulnerabilidad
Amenaza
Ataque
Vulnerabilidades
Una debilidad de un activo o grupo de activos, que puede ser explotada por una o más
amenazas (ISO 27005).
• Presentes en todo elemento de cómputo
• Por diseño o inherente
Vulnerabilidades
• Las podemos controlar• No podemos controlar la amenaza
• Las podemos corregir• Vasta mayoría, error humano
• Las podemos evitar• Buenas prácticas / experiencia
Vulnerabilidades comunes
• En software• CWE top 25
• En hardware• Acceso
• Sensible a elementos
• De configuración
• De usuario
Detección/explotación de vulnerabilidades
• Escáner de puertos
• Enumerador de red
• Escáner de vulnerabilidades en red
• Escáner de aplicaciones web
• Fuzzer
• Analizador estático de código
Core Impact
http://www.youtube.com/watch?v=SsI41_ZYB8c
Nessus
http://www.youtube.com/watch?v=-7ThbeAMqkw
Metasploit
http://www.youtube.com/watch?v=A5-E69E1G8U
Zed Attack Proxy
http://www.youtube.com/watch?v=5RmHyZkQo_8
Malware
• Virus• El primer tipo de código malicioso
• ILOVEYOU (2000, Macro Word, adjunto e-mail, PC)
50 millones en 10 días
Malware
• Trojan horse• Control remoto inadvertido
• Flashback (2011, Applet, Web, Mac)
600,000 Macs infectadas
Malware
• Spyware• Recolección no autorizada de información
• Gator (c. 2004, información personal y reemplazo de anuncios, Kazaa, MS Windows)40 millones de “usuarios”
Malware
• Worm• Virus autorreplicable
• Stuxnet/Flame/Duqu/Gauss (2010-2012, P2P RPC y Zero-Day, USB, SCADA)½ millón de infecciones
Malware
• Bots• Worm + trojan
• BredoLab (2009-2010, escalamiento de privilegios, adjunto e-mail, PC)30,000,000 de bots,
3,600 millones de spam/día
Ataques
• Denial of Service (DOS)
• Spoofing
• Snooping / MITM
• Skimming
Aún más ataques!
• Trashing
• Phreaking
• DNS Poisoning
• …
Bluetooth
http://www.youtube.com/watch?v=1c-jzYAH2gw
WiFi
http://www.youtube.com/watch?v=e0udwPoUR9k
Phishing
• Sitio web falso
• Robo de información
• Distribuidos por e-mail
Pharming
• Similar a phishing
• Sustitución de servidores DNS
• Sitios remotos o locales
Scams
• Engaños por dinero o diversión
• Provenientes usualmente del extranjero
• Pueden implicar contacto directo con la víctima
• Nuevas tendencias: móviles, secuestros…
Ingeniería social
• El ataque humano más difícil – y el más productivo
• Psicología + conocimiento insider
• No requiere conocimiento técnico
Ejemplos de ingeniería social
Mauersby & Storch (Contabilidad)
• Llamada de soporte, 7:49 hrs
• “Hay problemas y me gustaría verificar algunos datos”
• Usuario nunca revela su contraseña
• 100% de registros fiscales robados
Ejemplos de ingeniería social
Proveedor de servicios, telefonía móvil
• 3 llamadas: recepción, contabilidad, *, publicaciones
• “Necesito una copia del directorio de empleados
• 1 pieza de información: Código de compras
• Directorio enviado (fuga de talento)
Ejemplos de ingeniería social
• Compañía de tarjetas de crédito
• Buzón de voz temporal para empleada de viaje
• Dos llamadas telefónicas: telecom y servicios
• Robo de identidad
Ejemplos de ingeniería social
• Security Pacific National Bank
• Empleado temporal con acceso a cuarto de transferencias
• Dos llamadas: transferencias y *
• 10 millones de dólares en cuenta suiza
La psicología del atacante
• Reto personal
• Credibilidad
• Ganancia económica
• Retribución
Advanced Persistent Threat
• Decidido
• Con dominio tecnológico
• Conocimiento profundo de víctima
• Puede aplicar casi cualquier técnica
Caso de estudio: Aaron Barr
• Investigación sobre anonymous• Objetivo: contrato con gobierno E.U.
• Reveló hallazgos a “líderes” del grupo
• Barr: “Me suponía que algo así pasaría…”
Caso de estudio: Aaron BarrRepercusiones
• Control completo de servidores• hbgary.com
• hbgaryfederal.com
• Divulgación de todos los e-mails de HBGary
• Daño colateral• DOS sobre rootkit.org (Greg Hoglung, CEO)
Seguridad básicaIntroducción a la seguridad en cómputo
El caos es inherente a todas las cosas complejas. Pelea con diligencia.
Gautama Buda
Seguridad por capas
• Lechuga, no cebolla
• Todos los niveles son esenciales
• Permite modularidad
• ¡No olvides al usuario!
Seguridad en el host
• Contraseñas
• Cuentas no privilegiadas
• Cifrado
• Antivirus
• Firewall
• HIDS
• Seguridad física
Contraseñas
• Modificadores• Longitud
• Complejidad
• Reutilización• Hace irrelevante la fortaleza
• 1 sitio vulnerable = todos los sitios explotados
• Contraseñas viejas = mayor ventana de ataque
complong
Una nueva fuerza bruta
• Sitios y sistemas reforzados• Hashes, timeouts, bloqueos, retrasos…
• Evolución lógica: ataques fuera de línea• Obtener hashes, comparar fuera
• Dos técnicas:• Tablas arcoiris
• Generación bajo demanda
Tablas arcoiris
• Hashes pre-generados
• Algoritmo/espacio específicas
• Limitante: espacio en disco
• Disponibles a un bajo costo!
Generación bajo demanda
• Permiten variabilidad
• HW disponible• AMD Radeon HD7970 (~500 USD): 8,200 millones pw/s
• Computable en paralelo• Botnets, supercómputo, diseños personalizados…
$12,000728 PWs (~7 E14 PWs)12 hrs (~8.3 E9 PWs/s)
Soluciones
• Políticas de contraseña• Longevidad (historial, mínima/máxima vida)
• Secpol/passwdqc
• Evitar reutilización• Peor aún que un post-it
• Unificación: KeePass, LastPass…
Sugerencia del chef
• Frase de contraseña + desplazamiento
“Más vale tarde que nunca”
masvaletardequenunca
jqwfqo35q4e3137h7hdq
MasValeTardeQueNunca
JqwFqo3%q4e3!73H7hdq7220
3620
Más allá del login
• Contraseñas de BIOS
• Segundo factor
• Booteo removible
• ¿Qué tan paranoicos estamos?
Cuentas de usuario
• Vasta mayoría, administrativas (Windows)
• Hasta un 90% de vulnerabilidades corregidas eliminando privilegios (Windows)
• La vasta cantidad de tareas no requieren permisos de administrador
Riesgo de cuentas administrativas
• Instalación inadvertida
• Malware
• Privilegios inmediatos
¡No ignores las advertencias!
Cuentas limitadas en UNIX
• Comportamiento predeterminado
• Privilegios con sudo
• Siempre solicitar contraseña
Seguridad básica(Parte II)
Introducción a la seguridad en cómputo
Any sufficiently advanced technology is indistinguishable from magic.
Arthur C. Clarke
Cifrado
• Capa adicional de protección
• Depende de un secreto (llave)
• Puede implicar pérdida de información
• Implementable a diferentes niveles
Cifrado “nativo”
• Bitlocker (disco completo)• Enterprise/Ultimate (Vista, 7)
• Pro/Enterprise (8)
• eCryptfs (directorio /home)• Ubuntu (11.04+)
• FileVault (directorio /home)• OS X 10.3 (Panther)+
Cifrado por aplicación
• TrueCrypt (Win, Mac, Linux)
• eCryptfs (linux)
• Gpg (UNIX, Mac)
Truecrypt
http://www.youtube.com/watch?v=kh-nRyV44yI
BitLocker
http://www.youtube.com/watch?v=UJHgmujh1C4
Antivirus
• Útil, pero no omnipotente
• Suele integrarse con AntiSpyware
• Enteramente dependiente de firmas
• Debe instalarse *antes* de conectividad, programas
Escaneos antivirus
• Escaneos periódicos útiles, no la mejor opción
• Escaneos bajo demanda:• Ejecución de programas
• Descarga de archivos
• Conexión de medios removibles
• Habilitar heurística
¿Qué antivirus me conviene?
• Soluciones gratuitas tan efectivas como comerciales
• Desventajas: administración centralizada
• Si permite el presupuesto, decidir por administración y extras (e.g. spyware)
IDS de Host
• Detecta modificaciones a archivos
• Crea hashes y monitorea periódicamente
• Útil en equipos críticos
• Parcialmente implementados en AVs
Seguridad física
• Pantallas de privacidad
• Candados
• Dispositivos biométricos
• Bloqueos/borrados remotos
Seguridad en red
• Monitoreo
• Firewall
• IDS
• IPS
• Honeypots
• Seguridad en dispositivos pasivos
Comunicación en redes
• Información + metadatos
• Unidad: paquetes/tramas/datagramas
• Información encapsulada sucesivamente
Modelo TCP/IP
Monitoreo de red
• Análisis de cabeceras
• Búsqueda de patrones
• Detección de orígenes/destinos
• Puede trabajar en todas las capas
Seguridad básica(Parte III)
Introducción a la seguridad en cómputo
Experience: that most brutal of teachers. But you learn, my God do
you learn. C.S. Lewis
Firewall
• Tres tipos• Paquetes
• Estado
• Aplicación
• Análisis de cabeceras y/o contenidos
• Debe colocarse en perímetro interno
(N)IDS
• Análisis de cabeceras
• Flujos, firmas (patrones), bitácoras…
• Debe colocarse en perímetro interno
• Alerta sobre comportamiento sospechoso
IPS
• IDS con retroalimentación
• Puede tomar acción de respuesta
• Sustancialmente más complejo
• Sustancialmente más caro
Honeypots
• “Policías encubiertos”
• Baja/alta interacción
• Genéricos (investigación) / personalizados (trampa)
Dispositivos pasivos
• Políticas de acceso• Quién, cuándo, desde dónde…
• No olvidar acceso físico
• Contraseñas/configuraciones predeterminadas
• Redundancia
Seguridad en aplicaciones
• Origen
• Licenciamiento
• Actualizaciones
• Configuración
• Metadatos
• Intercomunicación
• Respaldos
Origen de aplicaciones
• Descargas• Malware/spyware
• Pop-ups
• Corrupción• MITM
• Vulneraciones
• Bugs
Origen de aplicaciones
• Sumas de seguridad
• Sitios confiables
• Proveedores confiables
• Políticas organizacionales
Licenciamiento
• Copias ‘crackeadas’
• FOSS / propietario
• Versiones de prueba
Licenciamiento
• Sitios confiables• ¿Demasiado bueno para ser verdad?
• Proveedores• Contratos
• Reputación
• Análisis de licencia• Implicaciones de desarrollo
Actualizaciones
• Vulnerabilidades
• Ausencia de funcionalidad
• Desastres – modificación, pérdida, vulneración…
Actualizaciones
• Parches de seguridad
• Firmas/patrones
• Ambiente de pruebas
Seguridad básica(Parte IV)
Introducción a la seguridad en cómputo
Imagination is more important than knowledge.
Albert Einstein
Configuraciones
• Accesos predeterminados
• Funcionalidad adicional
• Información compartida
• Inicios automáticos
Configuraciones
• Manuales• Internos, de preferencia
• Tutoriales, blogs, foros, documentación…
• Mejores prácticas• CIS
• Políticas organizacionales
Metadatos
• Documentos
• Imágenes
• Audio
• Video
Metadatos
• Office• Herramientas oficiales (http://bit.ly/OmRFBO)
• PDF• Integrado (http://bit.ly/PlGYgb)
• Imágenes• Eliminación de EXIF
Intercomunicación
• Conéctate a _______
• Accesos remotos
• Divulgación de información
• Tan seguro como el elemento más débil
Intercomunicación
• Limitar alcance• ¿Necesito conectividad con el servicio?
• Gmail
Respaldos
• Automatizados/periódicos
• ¿A dónde va mi información?
• No solo datos, también configuraciones
Respaldos
• Múltiples copias, múltiples sitios
• División de información
• Desconfiar de servicios online
• Verificar accesos
• Analizar media apropiado
Movilidad
• Cómputo en nube• ¿Quién controla el servicio?
• ¿Qué ocurre ante un apagón?
• ¿De quién es mi información?
• SAAS• Google docs/mail/…
• Office, Corel, Adobe…
Dispositivos móviles
• Hogar – oficina – nube
• Robo / extravío
• Snooping/spoofing
• Aplicaciones
Dispositivos móviles
• Habilitar contraseña
• Deshabilitar conexiones innecesarias• Hardware
• Servicios
• Habilitar cifrado
Seguridad en InternetIntroducción a la seguridad en cómputo
Imagination is more important than knowledge.
Albert Einstein
Mínimo privilegio
• Piedra angular de seguridad
• “Dar al César lo que es del César”… y ni un grano más
• Incluyéndome a mí mismo