Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
36
Fuga de información //INTRODUCCION Fuga de información http://www.uid0.com.ar
-
Upload
oscar-gonzalez -
Category
Technology
-
view
1.154 -
download
2
description
http://www.uid0.com.ar Breve descripción de la charla: La fuga de información es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para minimizar el impacto y se deben tener en cuenta la implementacion de procesos para mitigar en el caso desafortunado que así ocurra.
Transcript of Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Fuga de información
http://www.uid0.com.ar
Fuga de información
• IANUX Soluciones | Comunidad de Software Libre
http://ianux.com | http://saltalug.org.ar
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
LPIC Oscar Gonzalez, Senior IT Specialist
http://www.uid0.com.ar
Fuga de información
Agenda:
• Que es un ataque informático?
• Seguridad Informática
• Técnicas de Intrusión | Hacking
• Tools | Backtrack
• Contra-medidas o Hardening.
• Tips para prevenir
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Que es la fuga de información?
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Es la salida no controlada de información que hace que esta
llegue a personas no autorizadas o sobre la que su responsable
pierde el control.
Seguridad InformáticaF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
la implementación de seguridad informática debe proveer:
1) Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
2) Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
3) Confidencialidad de la información: Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.
Un ataque ocurre cuando una persona o un grupo de personas intenta acceder, modificar o dañar un sistema o entorno.
Estos ataques generalmente intentan lograr algunos de estos objetivos:
Que es un ataque informático?F
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
Atacar la privacidadAtacar la integridadAtacar la disponibilidadAtacar la autenticidad
Las personas que atacan sistemas se ven motivadas por diferentes razones:
Porque?F
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
Por diversión o desafío.Por venganza.Por terrorismo.Rédito económico.Ventaja competitiva.Poder
ProblemáticaLos problemas de inseguridad actuales no se encuentran favorecidos únicamente por usuarios maliciosos, sino que muchas veces se encuentran ayudados por malas implementaciones de las aplicaciones, desconocimiento, negligencia, etc.Hemos catalogado los principales factores que pueden generar problemas de seguridad en:
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
• Falta de políticas y/o normativas
• Uso de Protocolos inseguros
• Ambiente multilenguaje y multiproveedor
• Dispersión geográfica
• Falta de actualización de software de base
• Uso incorrecto de las aplicaciones
• Errores en los programas
• Errores de configuración
• Passwords
• Falta de supervisión y/o control.
Conociendo al enemigo
InvestigaciónPenetraciónPersistenciaExpansiónLogro del objetivo
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Es importante conocer la forma en que proceden los intrusos para conocer la manera de detenerlos y evitar la fuga de información
En general los intrusos realizan las mismas actividades cuando desean ingresar o atacar a un sistema, por lo que podemos generalizar los pasos en:
InvestigaciónF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
Siempre antes de realizar un ataque, los intrusos realizan un estudio del objetivo.Generalmente consiste en obtener la siguiente información:
● Información de la empresa objetivo.
● Información del dominio objetivo: conociendo el nombre de la empresa se puede obtener su información de dominio a través de consultas tipo WHOIS.
● Información de los servidores: una vez que el intruso obtuvo el dominio, puede realizar consultas NSLOOKUP para conocer cuáles son los servidores que tiene la empresa.
I
N
V
E
S
T
I
G
A
C
I
O
N
InvestigaciónF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
Identificación de la plataforma: uno de los principales datos que buscan de sus objetivos es la plataforma sobre la que trabajan (Windows, Linux, Novell, etc.). Esto se puede realizar mediante la utilización de técnicas de OS fingerprint | Banner Identification.
Identificación de los servicios: otra información importante que buscan obtener los atacantes son los servicios que ofrecen los servidores objetivos. Esto se puede realizar mediante escaneadores de puertos (port-scanners)
Identificación de las personas: empleados de it, jefes etc
I
N
V
E
S
T
I
G
A
C
I
O
N
Contramedidas:
Como primer contramedida, es necesario restringir la información que se difundirá a través de los servicios de DNS y WHOIS.
También se puede incluir filtrado de paquetes, para evitar la detección de
la plataforma y los servicios y un Sistema de Detección de Intrusos (IDS)
para detectar cuando se está produciendo un escaneo de puertos.
InvestigaciónF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
I
N
V
E
S
T
I
G
A
C
I
O
N
Banner Identificationtelnet 192.168.1.1 22nc -v -n 192.168.27.1 22wine sl.exe -v -b 192.168.27.1xprobe2 192.168.27.1amap -B 192.168.27.1 80ingenieria_social -XD Target Enumerationnmap -sS -p 139 -O -D 24.213.28.234 192.168.27.1Identificación de registros / dominioshttp://archive.orgIdentificación del Sistema OperativoNetcraft http://news.netcraft.com/GFI LANguard N.S.SAutoScan (backtrack)Scanrand scanrand -b10M -N 192.168.27.1:80,25,22,443rotex http://www.robtex.com/maltego
PenetraciónF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
P
E
N
E
T
R
A
C
I
O
N
En esta situación el atacante intentará acceder al objetivo. Para realizar este paso, utilizan diferentes técnicas:
• Explotación de vulnerabilidades: existe algún producto instalado que permita la ejecución de código arbitrario.
• Debilidad de contraseñas: una contraseña débil puede permitir el ingreso de intrusos.
• Servicios mal configurados: un servicio que no esté adecuadamente configurado puede permitir que intrusos hagan uso abusivo del mismo, o incluso, que ejecuten código arbitrario.
PenetraciónF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
P
E
N
E
T
R
A
C
I
O
N
Contramedidas
• Explotación de vulnerabilidades: actualización constante del software instalado.
• Debilidad de contraseñas: definir una política de contraseñas robusta.
• Servicios mal configurados: revisar periódicamente la configuración de los servicios.
Como contra-medida general, siempre tenemos que tener en cuenta al filtrado de paquetes y la revisión periódica de los
archivos de logs para conocer los eventos que han sucedido en el sistema.
PersistenciaF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
P
E
R
S
I
S
T
E
N
C
I
A
Una vez que un atacante ha logrado ingresar a un sistema, generalmente realiza actividades para evitar ser detectado y deja herramientas o puertas traseras en el sistema para poder mantener un acceso permanente.
Para evitar ser detectado, en general un atacante busca los archivos de auditoría o log del sistema, para borrarlos o modificarlos ocultando su acceso y sus actividades. En Windows NT/2000, se puede realizar borrando el contenido del Visor de Sucesos :(.
Contramedidas:Para evitar que un intruso elimine los archivos de log, se puede optar por mantenerlos guardados fuera del lugar donde se generan.
Es complicado evitar la copia de archivos, pero puede detectarse la modificación de ellos. Existen herramientas que crean un hash de los archivos de sistema, y avisan al administrador en caso de detectar una modificación.
ExpansiónF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
Muchas veces, el objetivo final de un ataque no es el primer sistema atacado, sino que se utilizan varios saltos intermedios para lograr realizar un
ataque sin ser rastreados.
Esto puede generar que nuestro sistema sea víctima y a la vez sea atacante.
Nuevamente, las contramedidas son el filtrado de paquetes, los sistemas IDS, y el control periódico de
los archivos de log.
E
X
P
A
N
S
I
O
N
Logro del ObjetivoF
uga
de in
form
ació
n
//IN
TR
OD
UC
CIO
N
En este punto podríamos decir que la tarea del intruso ha llegado a su objetivo. A partir de aquí, podemos esperar diferentes acciones por parte del intruso:
L
O
G
R
O
D
E
L
O
B
J
E
T
I
V
O
Desaparecer sin dejar rastroAvisar al administrador que se ha ingresado al sistemaComentar los fallos de seguridad encontrados a sus colegasHacer públicos los fallos de seguridadVender información y/o botnets
Que es lo que pasa, cuando no le doy importancia a los
detalles...
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
1. El cliente es el primer testigoy la calidad del servicio disminuye.2. Otras personas utilizan nuestro paquete de hosting, servidor, cuenta de : email , bancaria , tarjetas de creditos etc
En resumen el sector de IT queda expuesto y se pierden clientes y potenciales negocios ya que los activos se ven involucrados y expuestos al mejor postor.
Cuando sucede un ataque muchas veces no se damos ni cuenta. Y buscamos responsables y causas para analizar porque fallaron.
Tips para prevenir (Empresas)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Clasifique rigurosamente la información de su empresa y definir que se debe proteger
* Patentes* Información personal delicada, como por ejemplo expedientes médicos* Contratos con terceros, nóminas, currículums de empleados* Números de tarjeta de crédito, operaciones bancarias en general.
Cualquier empresa, por pequeña que sea, tiene información que no desea que llegue a sus competidores.
Tips para prevenir (Empresas)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Control de acceso al edificio, cerraduras en todas las puertas, cámaras de video vigilancia, extintores, uso de materiales ignífugos en suelos y techos, salidas de emergencia, concesión y revocación de tarjetas de acceso, tornos para controlar el acceso de los empleados de uno en uno ... y cualquier otra cosa de ésta índole que evite el robo o pérdida por accidente (incendio, terremoto, ...) de la información clave de la empresa.
Hay que hacer especial hincapié en controlar el acceso físico a todos los datos críticos de la empresa, separándolos de los demás y permitiendo sólo su acceso a las personas responsables de ellos, siempre de una forma controlada y guardando un escrupuloso registro de cada acceso.
SEGURIDAD FISICA
Tips para prevenir (Empresas)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Esto es lo que uno entiende por "seguridad" cuando habla de servidores, bases de dato, ... Una buena seguridad lógica debe controlar aspectos como una buena gestión de usuarios, hardening de los servidores, política de mantenimiento y parcheado de los servicios, topología de red, restricción de permisos ...
SEGURIDAD LÓGICA
Tips para prevenir (Empresas)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Un error muy típico en las empresas pequeñas es guardar las copias de seguridad de todas las bases de datos en un cajón sin cerradura, encima de un armario o en la mesa del administrador de la red, donde resulta facilísimo llevárselas a casa, copiarlas y volverlas a dejar en su sitio.No tiene ningún sentido establecer unos durísimos controles de seguridad lógica si luego dejamos los backups tirados encima de un armario.Como poco, las copias de seguridad deberían estar en un armario ignífugo cerrado, dentro de un despacho también cerrado. Debería hacerse un rigurosísimo control del acceso a las mismas. También es conveniente que estas copias no estuvieran en el mismo edificio que los servidores de la empresa, ya que pudiera haber una catástrofe (incendio, inundación) y se perderían tanto la copia como el original. Algunas empresas tienen el centro de backup en otra ciudad y graban los datos síncronamente a través de líneas dedicadas.Otro concepto importante a mencionar en este punto es la continuidad de negocio. Esto viene a ser un plan a seguir ante un desastre natural - pongamos que se quema el edificio. Debe existir un plan detallado que cubra el procedimiento a seguir para levantar el servicio (reinicio de servidores, en qué órden, cabinas de discos, comunicaciones, ...) y deben hacerse unas pruebas anuales de dicho plan, con su correspondiente informe. Todo esto lo piden en auditorías.
COPIAS DE SEGURIDAD
Tips para prevenir (Empresas)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
En un mundo globalizado, donde nuestros usuarios se conectan con sus portátiles al CPD, cualquiera, desde cualquier lugar del mundo, puede estar robándonos datos.
Debe existir un estricto control de quién puede conectarse y con qué medios. Debe garantizarse que lo hagan desde un sistema operativo que cumple unos requisitos (firewall, antivirus, parches de seguridad, ...),que se valida el usuario de forma segura (certificado + usuario/password), que todos los protocolos de conexión van cifrados.
Pero el problema es que el usuario, desde casa, puede pinchar un pendrive y copiarse toda la información sin dejar casi ningún rastro. Así pues, ante la posibilidad casi nula de controlar lo que hace el usuario, debemos hacer que firme una política de buen uso, donde se especifique la limitación del uso de los equipos de conexión al trabajo, etc, etc ...
Aparte de poner difícil que nos roben, nuestra preocupación debería ser que siempre quede rastro de las acciones de los usuarios, y más en un entorno móvil, y tener las herramientas legales necesarias para empapelarle (léase política de buen uso).
MOVILIDAD DE USUARIOS
Tips para prevenir (Empresas)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Clásico entre los clásicos. Todo usuario puede enviarse documentos por correo, y no habrá ningún tipo de rastro de lo que ha enviado si le pone un nombre cualquiera y lo envía comprimido con contraseña (como mucho el tamaño, y también puede comprimirse junto a otro archivo inútil para variarlo).
El acceso a los logs del servidor de correo no nos servirá de mucho en este caso.
REENVÍO DE FICHEROS POR MAIL
Tips para prevenir (Empresas)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
La LOPD (Ley Orgánica de Protección de datos) se ocupa de velar por el derecho a la privacidad de las personas. Todas las empresas que manejen archivos (texto u ordenador) con datos personales tienen obligación de declarar estos archivos ante la AEPD (la Agencia de Protección de Datos) y de proteger dicha información. Como ejemplo de estos ficheros estaría el fichero de nóminas de la empresa y los historiales médicos de un hospital.
La auditoría de la LOPD se encarga de revisar el entorno en el que se encuentran dichos ficheros así como la existencia de controles adecuados para garantizar que esa información se trata de forma segura. Se miran cosas como los usuarios que tienen acceso, las políticas de renovación de usuarios, los accesos remotos a la empresa, la auditoría de accesos a dichos ficheros, la descripción de ficheros temporales (papel u ordenador) ... y la existencia de una serie de procedimientos que describirían en detalle cómo se realizan todos estos puntos.
AUDITORÍAS OBLIGATORIAS : LOPD (Ley Orgánica de Protección de datos)
Tips para prevenir (Empresas)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
PCI-DSS se encarga de garantizar la seguridad de las operaciones realizadas con tarjetas de crédito. Esta auditoría trata de garantizar que todo punto por donde pasen tarjetas de crédito es seguro: seguridad física, cifrado de las comunicaciones, segmentación de la red, logs centralizados, gestión de usuarios y paswords, formación de empleados, existencia de WAPs, gestión de eventos de seguridad, detectores de intrusos, antivirus, ... y un larguísimo etc de cosas.
La sanción por no pasar PCI-DSS es simplemente la retirada de los permisos de VISA, MASTERCARD, etc para procesar sus tarjetas (se les remite a ellos el resultado de la auditoría).
AUDITORÍAS OBLIGATORIAS : PCI-DSS
Seguir estos tips y pasar estas auditorías no garantiza que nuestra información no sea robada, pero al menos existe un estandard que seguir que pondrá las cosas mucho más
difíciles.
Tips para prevenir (Internauta)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Administrar de manera segura multiples contraseñasKeepass : http://keepass.info/
Verificar los certificados SSL , no validar certificados autofirmados porque si, ni usar ssl v2 ni v3
Navegar en internet de ser posible en la versión https de la web a visitar , instalar plugings http://enigform.mozdev.org/https://www.eff.org/https-everywhereGreasemonkey + script redirect httpsNoScript + Config https
No utilizar proxys anónimos, salvo que sean propios.
Tips para prevenir (Internauta)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Utilizar la pc como un usuario sin privilegios de administrador. Solo utilizar la maquina como administrador cuando se necesite realizar configuraciones e instalaciones de apps.
Firewall local Politica Inbound: bloquear todo menos los puertos que se utilicen (80,443,53 etc según) Politica Outbound: bloquear todo menos los puertos que se utilicen (21,22,25,465,587,993,995 etc según)
Tips para prevenir (Internauta)
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Antivirus : Instalar un antivirus que trabaje en base a heurística, los basados en firma son obsoletos y fácilmente burlados.
No instalar plugings o aplicaciones addons para ver películas bajar / crakear programas etc , destinar una maquina física o virtual destinada para ver películas bajar musica etc.
Utilizar los protocolos seguros para todos los servicios como por ejemplo pops imaps smtps https, scp en vez de ftp etc etc
Sentido común y tener una maquina para probar cosas nuevas!
Clase de fraudes comunes
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Pharming es la explotación de una vulnerabilidad en los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio a otra máquina distinta.
Clase de fraudes comunes
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Phishing es un término que denomina un tipo de delito dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Clase de fraudes comunes
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
El SMiShing es el término que se le ha dado a un tipo de “Phishing” que se realiza por medio de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil.
http://youtu.be/vC8HUruv_Qk
Cuando ya estamos hasta las manos
como procedemos?
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
No hay recetas magicas, el ataque es mucho mas facil pero una vez infectado no se sabe por donde empezar para tapar el augero.
Monitorear todo las actividades de un servidor (caidas de los sitios, cargas de cpu, colas de email, cantidad de logueos, cantidad de procesos, memoria utilizada, espacio en disco utilizado , que el sistema de logs este funcionando etc etc)
Analizar todas las incidencias si o si!Ejemplo de estar hasta las manos :(
Dudas? | Preguntas?
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
Gracias !!!
Hasta la proxima....
Fug
a de
info
rmac
ión
//I
NT
RO
DU
CC
ION
