David Pereira - web.certicamara.com · secuencias de comandos en el navegador de la victima los...

Bogotá, martes 05 de septiembre de 2017.

David PereiraPeligros del Mundo Virtual

David PereiraDavid Pereira


üCEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC, CICP, CCISO

ü+20 Años de experiencia en Seguridad Informática y DFIR

üHacker Ético – Pentester en diversas Entidades en el mundo, de ámbitos como el Financiero, Energético, Militar, Inteligencia, Diplomático, Minero, entre otros

ü Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares y Policía, en varios Países.

AgendaAgenda


1.Ciberseguridad2.Términos Comunes3.Vectores de ataque técnico:

• Phishing (Robo de Claves y Datos Sensibles en Vivo) • El Internet de las Cosas….Otra Amenaza?

o Alguien Nos Mira……..o Puse Candado…. Me voy tranquil@

• Inyección de SQL (Demostración en vivo)• Ataques WEB Avanzados del lado del cliente (Demostración en vivo)

4. Hardware para Hacking:

• Rubber Ducky• Keylogger WiFi• WiFi Pinneaple

AgendaAgenda


5. Amenazas de alto riesgo (demostración en vivo): • Malware indetectable

6. Vectores de ataque a humanos - Ingeniería social (demostraciones en vivo)

• Hackeando al humano• Programación neurolingüística • Lenguaje no verbal

CiberseguridadCiberseguridad


Estrategias Políticas Estándares

Seguridad de las Operaciones en el Ciberespacio

Reducción de Amenaza

Reducción de Vulnerabilidad DisuaciónAseguramiento

de la Info.Respuesta a IncidentesResiliencia Recuperación

de Desastres

GlosarioGlosario


Ciberamenaza: Actividad maliciosa potencial que puede ocurrir en el ciberespacio.

El Atacante debe contar con:

Ciberataque:

Asalto que aprovecha una vulnerabilidad en un sistema conectado al Ciberespacio.

Oportunidad Capacidad Intención

ConceptosConceptos


Amenaza:Peligro potencial de que ocurra algún evento adverso que pueda afectar la prestación de un servicio.

Vulnerabilidad:Debilidad existente por: Diseño, Desarrollo, Implementación, Configuración de una aplicación o servicio que puede ser aprovechada por un potencial atacante para tomar ventaja de ella.

Ataque:Asalto directo a un sistema o sus componentes que puedan afectar la Integridad, Disponibilidad o Confidencialidad de la información.

Malware:Tipo específico de software creado con propositos dañinos, maliciosos e incluso económicos.Ej. Ransomeware, Rootkit, Troyano, Sparse, Oligomorficos.

Vectores de ataque técnicoVectores de ataque técnico


Phishing:

Falsificación de un sitio web con el objetivo de recibir la solicitud de login o acceso de un usuario que ha llegado a él por medio de un enlace malicioso en un correo electrónico o un ataque de redireccionamiento, a fin de robar sus credenciales o información privilegiada.

Vectores de Ataque: El internet de las cosas (IoT) Vectores de Ataque: El internet de las cosas (IoT)


Son tecnologías que nos permiten interconectar diversos dispositivos de uso cotidiano con la Internet;

Todos de alguna u otra forma interactuamos con el IoT:

El Internet de las Cosas (IoT:Internet of Things)



Demos:Alguien nos Mira……

Fantasmas?

Ya puse Candado…..estoy tranquil@

Vectores de Ataque: Vectores de Ataque: Inyección SQLInyección SQL


Inyección SQL (SQLi)

La Inyección de SQL es un ataque dirigido a explotar fallas de diseño en la programacion y desarrollo de un sitio web que conecte con una Base de Datos;No es culpa de la Base de Datos, es un tema del Desarrollo;Demo…….

Vectores de ataque WEBVectores de ataque WEB


Ataques WEB del lado del ClienteMultiples ataques pueden ser generados contra el cliente al navegar un sitio WEB; algunos ejemplos son:

Inyección (LDAP, SQL, Comandos)Ocurre cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados.



XSS

Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencias de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.



XSS



CSRF

Un ataque CSRF obliga al navegador de una victima autenticada a enviar una petición HTTP falsificada, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la víctima para generar pedidos que la aplicación vulnerable asume como peticiones legítimas provenientes de la victima.



Sitio Malicioso.com

1. El Cliente navega un sitio Legitimo

2. El Cliente visita un sitio malicioso generando una sesion en otra pestaña.

3. Por medio de la sesion establecida, con el cliente, el sitio malicioso envia peticiones al sitio legitimo en nombre de la victima

Sitio Legitimo.com

CSRF



JavaScript

Al navegar un sitio, se ejecutan de manera automática múltiples códigos de tipo Script.Esto puede ser utilizado para generar diversos ataques, desde capturar datos hasta ejecutar comandos de Sistema Operativo en la máquina víctima.



Session Fixation

Un atacante puede enviar por correo electronico una sesion previamente establecida con un id generado para el atacante y cuando la víctima haga click sobre el enlace va a ser dirigido al sitio para recibir sus credenciales pero va a loguearse con el id de sesión del atacante.

Vectores de ataque: Hardware para HackingVectores de ataque: Hardware para Hacking


Rubber Ducky

Es un dispositivo que se asemeja a una memoria USB, pero en realidad es un teclado programable de alta velocidad;Posee una Memoria SD que puede almacenar diversos tipos de Scripts a fin de ser ejecutados tan pronto sea introducida la “Memoria USB” en el PC, MAC o Servidor;



Rubber Ducky



Keylogger USB / WiFi

Es un dispositivo que se asemeja a una memoria USB, pero en realidad es un puente entre el teclado del Usuario y la CPU;Funciona como un dispositivo de almacenamiento que graba todo lo que el usuario escriba en el teclado; incluso lo puede enviar en tiempo real via WiFi;



Keylogger USB / WiFi



WiFi Pinneaple

Es un dispositivo que puede simular cualquier Nombre de Red Inalambrica (SSID), y de esta forma lograr que un dispositivo se conecte a el, y escuchar su tráfico (sniffing) y tomar Nombres de Usuario, Contraseñas, datos bancarios o cualquier otro tipo de información;



WiFi Pinneaple

Amenazas de alto riesgo: Malware IndetectableAmenazas de alto riesgo: Malware Indetectable


Existen muchas amenazas de alto riesgo para un usuario final, pero pensamos que una de las más peligrosas consiste en el Malware que ningún mecanismo de Antimalware o de detección esté en capacidad de contramedir o detectar.

Tenemos muchos ejemplos de técnicas avanzadas utilizadas para generar la indetectabilidad, pero mencionaremos algunas:

1. Codificación, Ofuscación, Encripción2. Separación Entre Cabby, Stub y Payload3. Shell Scripting4. Anti Heuristica5. Anti Debugging6. Alta Latencia

Amenazas de alto riesgo: Malware IndetectableAmenazas de alto riesgo: Malware Indetectable


Vectores de Ataque: Malware Ofuscado - Crypters

Malware Detectable Ofuscación del

Payload

Descomposición en Ensamblador

STUB

Payload

Aplicación Aparentemente

Legítima

Antimalware no detecta Anomalía

STUB

Payload

Revisión Antimalware

Vectores de Ataque a HumanosVectores de Ataque a Humanos


Hackeando al Humano

La naturaleza de las personas es confiar los unos en los otros, y de eso se vale la Ingeniería Social, que podemos definir como: El Arte del Engaño; Se utiliza para recabar información que normalmente una persona no compartiría.

Algunas Técnicas:Dumpster DivingTailgatingPiggyBacking



Programación Neurolingüística (PNL)

Estas técnicas se pueden utilizar para tratar de:1. Detectar la veracidad de las respuestas de una persona2. Determinar el nivel de Convencimiento que se está logrando3. Influenciar a la persona para lograr un objetivo



Programación Neurolingüística (PNL)



Lenguaje No Verbal

Nuestro cuerpo y expresiones no mienten!Por medio de este conocimiento podemos determinar factores de conexión o desconexión de una persona para con su interlocutor, niveles de stress, comodidad, aprehensión, etc.

Se basa en reacciones límbicas que no controlamos conscientemente.


Preguntas? Inquietudes?


!Muchas Gracias!

David Pereira@d4v1dp3r31r4

https://twitter.com/d4v1dp3r31r4


David PereiraCiberseguridad Corporativa

AgendaAgenda


1.Antiphishing para todos2.Prevención de Ataques DNS3.Detección de Ataques WEB

• Para usuarios finales• Para administradores y webmasters

4.Detección de Ataques DoS y DDoS:5.Mitigación Efectiva de Ataques DoS y DDoS6.Antimalware Avanzado para Usuarios Finales7.Antimalware Avanzado para TI9.Protección de SQLi

Antiphishing para TodosAntiphishing para Todos


El Phishing crece día a día, en una progresión geométrica que tiende al infinito;

La única manera efectiva de defendernos es concientizarnos y decidir no ser nunca más una víctima;

Tenemos ciertos parametros que nos permiten identificar el Phishing y algunas herramientas.

Qué debo Buscar? (Validez del Certificado SSL)

Herramientas:

Netcraft AntiPhishing ToolbarPhishtank

Prevención de Ataques DNSPrevención de Ataques DNS


Existen muchos ataques contra los Servidores DNS;

Entre algunos de los más peligrosos tenemos el ataque Reflejado y Amplificado de DNS:

AtacanteHace spoof

de la IP de la Victima

Botnet del Atacante

Peticiones Pequeñas

Origen Falso

Respuestas Amplificadas de los

Open Resolvers

Servidor Victima

Prevención de Ataques DNSPrevención de Ataques DNS


Prevención y Mitigación:

• No Recursividad en Nuestros Servidores DNS Autoritativos

• Verificación de Ip de Origen (Anti Spoofing)

• Lista de Hosts permitidos o de confianza

• Response Rate Limiting

Detección de Ataques WEB para Usuarios Detección de Ataques WEB para Usuarios


No es simple para un usuario el lograr detectar que esta recibiendo un ataque a traves de un Sitio WEB;

No obstante existen algunas herramientas y procedimientos que pueden disminuir el nivel de riesgo del Usuario; entre otros tenemos:

• Suite de Seguridad• Sentido Comun• Siempre Desconfiar

Herramientas:

• NoScript• Ghostery• Better Privacy• Ad Blocker

Detección de Ataques WEB para Detección de Ataques WEB para Sysadmins Sysadmins


Un Sysadmin tiene a la mano herramientas que permiten incrementar su nivel de seguridad y disminuir el nivel de riesgo; algunos ejemplos son:

• WAF• Reglados de Detección Fuertes• IPS IDS• Logging• Correlacionamiento• SIEM• Proxy Terminacion SSL

Detección DoS y DDoSDetección DoS y DDoS


Tipos de Ataques DoS - DDoS

• TCP SYN Flood• TCP SYN - ACK Reflection Flood (DRDoS)• TCP Spoofed SYN Flood• TCP ACK Flood• TCP IP Fragmented Attack• HTTP and HTTPS Flood Attacks• INTELLIGENT HTTP and HTTPS Attacks • ICMP Echo Request Flood• UDP Flood Attack• DNS Amplification Attacks

Mitigación DoS - DDoSMitigación DoS - DDoS


Syn Proxy

Syn

Syn / Ack

AckCliente Legitimo

Atacante

Syn - Spoof

Syn/ Ack hacia el Spoof

AggressiveAging

Cierre de las Sesiones no contestadas

X SYN Proxy



Source Rate Limiting:

Cuando hay un número limitado de ips origen para una Botnet, ella puede utilizar sus IP para enviar paquetes con alta carga (agresivos).Estos paquetes consumen recursos del servidor; este tipo de ataques reciben el nombre de Multi-threaded

Mediante la identificación de valores atípicos en direcciones IP que rompen las normas, se puede denegar el acceso a ancho de banda excesivo.

Como las direcciones IP en este tipo de ataques no son predecibles, es importante no perder de vista a millones de direcciones IP y su comportamiento para aislar a los valores extremos.Este aislamiento sólo se puede hacer en el hardware.



Connection Limiting:

Demasiadas conexiones pueden causar sobrecarga en un Servidor.

Limitando el numero de solicitudes de conexiones nuevas, se le puede dar alivio al Servidor.

Esto se logra dándole preferencia a las conexiones existentes y limitando las solicitudes de nuevas conexiones, permitiendo un mejor uso de la memoria del Servidor



Dynamic FilteringEl filtrado Estático es una técnica común en firewalls, routers, etc. y se lleva a cabo por medio de ACL.

El Filtrado Dinámico es requerido cuando el tipo de ataque y los atacantes cambian constantemente.

El Filtrado Dinámico se logra identificando los comportamientos fuera de lo normal y castigando este comportamiento por un periodo corto de tiempo, creando reglas de Filtrado de corta duración durante el ataque y eliminándolas posteriormente.



Granular Rate Limiting

Los ataques DDoS son impredecibles y en muchas oportunidades se dirigen por medio de BOTs y Scripting; los paquetes que llegan al Servidor son diferentes en cada ocasión,; no obstante hay similitudes entre los paquetes en un ataque individual.La Técnica GRL identifica las tasas de transferencia de ataques anteriores; Los umbrales se basan en comportamiento pasado, durante sesiones de entrenamiento y se ajustan adaptativamente en el tiempo.La Granularidad se aplica a parámetros disponibles en las Capas 3, 4 y los encabezados en la Capa 7; parametros como: Origen, Destino, Puertos, Metodo HTTP, URL, Agentes, Cookies, Host Referrer



Country Based Access Control Lists (ACL):

Gran parte del tráfico Botnet se origina desde un número limitado de Países.Estos Países probablemente no sean orígen de tráfico normal dentro de la Organización;

Por medio de Filtros basados en Países (IANA) se puede reducir significativamente el tráfico que recibe el Servidor y por ende la Carga, incluido tráfico spoof.

Es recomendable la implementación de estos controles a nivel de Hardware y no de Software por temas de desempeño



Dark Address Scan Prevention

Las direcciones obscuras son direcciones ip que no han sido asignadas por la IANA. (Bogon)Cualquier paquete recibido de una de estas direcciones normalmente está asociado a un ataque que involucra spoofing.

• 108.8.180.1 (whois - info: IANA Reserved)• 0.66.154.180 (whois-info: IANA Special Use, RFC 3330 )• 248.4.49.192 (whois-info: IANA Special Use, RFC 3330 )• 94.39.203.54 (whois-info: IANA Reserved)



GeoDNSPermite redireccionar las visitas de cualquier cliente de acuerdo al lugar geográfico en donde esta posicionado



Pila de Mitigación de DoS / DDoS

Antimalware para usuariosAntimalware para usuarios


Los Usuarios no tienen que estar indefensos ante el Malware Avanzado;Algunas Recomendaciones son:

• Sentido Común• Suite de Seguridad• Ciber Higiene• Revisión de Enlaces• Uso de Sandbox WEB

• https://www.virustotal.com/es/• https://virusscan.jotti.org/• http://www.threatexpert.com/submit.aspx

• No Promiscuidad• HIDS / HIPS• File Integrity Monitoring / Verifying

https://www.virustotal.com/es/

https://virusscan.jotti.org/

Antimalware avanzado para SYSADMINSAntimalware avanzado para SYSADMINS


A nivel de TI podemos contar con:

Endpoint Protection (Symantec)Consola Antimalware (Symantec, Kaspersky, etc.)HIDS / HIPS (Consola)NIDS / NIPS (Consola)File Integrity Monitoring / Verifying (Tripwire)Detección Avanzada (Sandbox) (Symantec)


Preguntas? Inquietudes?


!Muchas Gracias!

David Pereira@d4v1dp3r31r4

https://twitter.com/d4v1dp3r31r4

David Pereira - web.certicamara.com · secuencias de comandos en el navegador de la victima los...

Documents

Transcript of David Pereira - web.certicamara.com · secuencias de comandos en el navegador de la victima los...