Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is...
Transcript of Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is...
![Page 1: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/1.jpg)
Inseguridad y computación en la bnube
Bogota, Colombia, Junio de 2011
Armando Carvajalj
Msc Seguridad Información
Gerente Arquitecto de soluciones
Globaltek Security
![Page 2: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/2.jpg)
Índice de la conferencia• Antecedentes, Terminología, Definiciones
• Riesgos de la computación en la nube
• Recomendaciones
• Casos de Uso: Algunas propuestas tomadas de RSA 2011
• Predicciones, Conclusiones
• Demostración de jailbreak y pruebas de fortalezas de las claves en un dispositivo móvilclaves en un dispositivo móvil
![Page 3: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/3.jpg)
ANTECEDENTES, DEFINICIONES Y TERMINOLOGIA SOBRE LATERMINOLOGIA SOBRE LA COMPUTACION EN LA NUBE
![Page 4: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/4.jpg)
Computacion en la nubeComputacion en la nube• 1961, John McCarthy propone que la computación en red sea como un servicio, tal como la electricidad [1]
• 2009, Algunas personas no Tomada de:// / /
creen que este concepto sea nuevo, Bruce Scheneir [2]
http://blogempresarios.com/los-peligros-del-cloud-computing-ii/
![Page 5: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/5.jpg)
Computacion en la nubeComputacion en la nube• 2009, NIST: «Cloud computing is a model
for enabling convenient on demandfor enabling convenient, on‐demand network access to a shared pool of configurable and reliable computing resources (network, servers, storage, applications, services) that can be rapidly provisioned and released with minimal Tomada de:
// / /pconsumer management effort or service provider interaction» [3]
http://blogempresarios.com/los-peligros-del-cloud-computing-ii/
![Page 6: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/6.jpg)
Computacion en la nube, sin p ,complejidad: [4]
Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html
![Page 7: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/7.jpg)
SaaS: Software as a service• Es un servicio de software integrado que proporciona a los usuarios herramientas fundamentales para la operación del negocio: Correo, ofimática, Backups, Correo.
• No es de uso exclusivo de una organización en particular
Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html
![Page 8: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/8.jpg)
PaaS: Plataforma como servicio • Servicio ofrecido en la nube para los desarrolladores de aplicaciones
• Utilizando herramientas proporcionadas por el proveedor, pueden crear aplicaciones sin la p pnecesidad de instalar programas en el punto finalp
Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html
![Page 9: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/9.jpg)
IaaS: Infraestructura como servicio • Almacenamiento, capacidad de computo, redes, servidores e infraestructura de alto desempeño sin tener que realizar grandes inversiones en infraestructura y recurso humano para que las administre
Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html
![Page 10: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/10.jpg)
Computacion en la nube, un punto p , pde vista muy simple:
Tomada de: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index-html Tomado de “Cloud Computing: A Brave New World for Security and Privacy, RSA 2011”
![Page 11: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/11.jpg)
RIESGOS DE LA COMPUTACION EN LA NUBELA NUBE
![Page 12: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/12.jpg)
Evidencia:
Creciente numero alarmante de Incidentes
d id d d lde seguridad de la información
http://cloutage.org/
![Page 13: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/13.jpg)
Evidencia: No queremos leerlo
![Page 14: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/14.jpg)
Riesgos por políticas débiles de:• Los controles de acceso por usuario, proceso y recursos a utilizar son débiles: Autenticación, ,Autorización, Accounting (AAA)
• Autenticación: Identificación única débil paraAutenticación: Identificación única débil para rendición de cuentas
• Suplantación: No se esta haciendo autenticación• Suplantación: No se esta haciendo autenticación de doble factor como mínimo
![Page 15: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/15.jpg)
Riesgos por políticas débiles en:• Baja frecuencia de actualización en el Análisis de riesgosriesgos
• No se están haciendo suficientes análisis de vulnerabilidades y pruebas de penetración alvulnerabilidades y pruebas de penetración al puno final
El hi i d t l bilid d l• El hipervisor puede tener vulnerabilidades, el punto final puede tener vulnerabilidades, ej: i d l Bl k b l t bl t ?)ipad, el Black berry, la tablet marca xyz?)
![Page 16: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/16.jpg)
Riesgos por políticas débiles en:• Protección de datos sensibles: No sabemos que es confidencial, de uso interno, publicoes confidencial, de uso interno, publico
• Cifrado de Comunicaciones confidenciales
SIEM Débil l ió d t b d• SIEM: Débil correlación de eventos basados en logs y gestión de incidentes
• Débil cadena de custodia en Investigación Forense
![Page 17: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/17.jpg)
RECOMENDACIONES
![Page 18: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/18.jpg)
RECOMENDACIONES• Debemos alinearnos al negocio e iniciar por un único proceso que se pueda medirun único proceso que se pueda medir
• Por ejemplo probar un prototipo de un nuevo producto del proceso de ventas que rompaproducto del proceso de ventas que rompa paradigmas, no solo que baje costos
D b di l di i t d l• Debemos medir el rendimiento de los servicios ofrecidos de los proveedores
• Debemos pedir SLA a los proveedores
![Page 19: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/19.jpg)
RECOMENDACIONESRECOMENDACIONES• SLA: Como se me resarcirán por los daños a mi patrimonio cuando el proveedor de computación en la nube incumpla lo pactado en seguridad de la información:
• Por ejemplo un ataque DDoS me dejo por fuera de mis sistemas de información por 3 días…Es esto posible, hay evidencias?
![Page 20: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/20.jpg)
RECOMENDACIONES• Obtenga compromisos de los proveedores respecto de como se manejara larespecto de como se manejara la Confidencialidad y la Integridad de los datos sensibles…sensibles…
• Generalmente la disponibilidad no suele ser un problema en la computación en la nubeun problema en la computación en la nube
• Haga análisis de riesgos del negocio en ciclos y id l fid i lid d i id d!!mida la confidencialidad y privacidad!!
![Page 21: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/21.jpg)
RECOMENDACIONES• Mida el grado de resiliencia de su organización (Gobierno, Seginfo, BCP) para mantenerse en la nube
• Clasifique su información antes de entrar a la computación en la nube (que es publico, que es de uso interno, que es confidencial)
• Cree una oficina de gestión de proyectos
![Page 22: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/22.jpg)
RECOMENDACIONESCO C O S• Siga las políticas de «cloud computing» de su segmento de mercado (En EEUU para el sectorsegmento de mercado (En EEUU para el sector gobierno es mandatorio ir hacia la computación en la nube)computación en la nube)
• Cree modelos, arquitecturas y caminos que d d l l d ógeneren seguridad a la alta dirección
![Page 23: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/23.jpg)
RECOMENDACIONES• Diseñe primero para el subproceso critico del negocio que probara antes de irse a la nube,
• No se lance a la nube sin modelar (arquitectar)
• No espere a que le digan «Mejor No» por queNo espere a que le digan «Mejor No» por que usted infunde inseguridad y miedo,
• Si le dicen no Muestre su mapa de riesgos del• Si le dicen no…Muestre su mapa de riesgos del proceso que llevara a la nube, esto infunde seguridad y decisiónseguridad y decisión
![Page 24: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/24.jpg)
RECOMENDACIONES• Haga segregación de datos
A dit l i i t t d• Audite los servicios contratados
• Informe mensualmente a la gente del negocio sobre las amenazas cambiantes
• Antes de entrar a la nube asegúrese que el proveedor permite cumplir con las regulaciones de su mercado: PCI, SOX, Circular 052, etc
![Page 25: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/25.jpg)
APROXIMACIONES DE SOLUCIONES
CASOS DE USO
TOMADOS DE RSA 2011TOMADOS DE RSA 2011
![Page 26: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/26.jpg)
Tomado de: Trusted IaaS Charlton Barreto, Intel Hemma Prafullchandra, HyTrust, RSA 2011
![Page 27: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/27.jpg)
PREDICCIONES PARA LOS SIGUIENTES 10 ANIOSSIGUIENTES 10 ANIOS
![Page 28: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/28.jpg)
PREDICCIONES• En los próximos 10 anos la computación en la nube permitirá crecer el contenido para adultos en internet (nos atrae lo prohibido / falla que es intrinseca al ser humano=vulnerabilidad ☺)
• Crecerán las amenazas persistentes en forma polimorfica por el desafio y el extasis generado en nuestro cerebro al quebrar un sistema de información (Vulnerabilidad intrínseca al ser humano ☺ )
![Page 29: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/29.jpg)
PREDICCIONES• Aumento de incidentes por medio de dispositivos móviles / inalámbricosdispositivos móviles / inalámbricos
• Apple y google competirán por el primer t di iti ó il dpuesto en dispositivos móviles para acceder a
la nube
• Apple/Tablet tendrá la mayor cantidad de aplicaciones disponibles para acceder a la nube y también la mayoría de fallas!
![Page 30: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/30.jpg)
PREDICCIONES• Se romperá el cifrado RSA por el aumento computacional distribuido en la nubecomputacional distribuido en la nube
• Aumentaran los incidentes por hacking de webservices (La nube es puro web)webservices (La nube es puro web)
• Aumento descontrolado de ataques DDoS en l bla nube
![Page 31: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/31.jpg)
PREDICCIONES• Aumento de incidentes en seguridad de la información sobre datos sensiblesinformación sobre datos sensibles
• Creceran los ataques desde el móvil por errores involuntarios de los usuarioserrores involuntarios de los usuarios
• El perímetro se desplazará hacia el usuario
![Page 32: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/32.jpg)
PREDICCIONES (DELIRIOS)• Los hinodoros inteligentes conectados a la nube en forma proactiva nos anticiparannube en forma proactiva nos anticiparan posibles complicaciones por enfermedades latenteslatentes
• Las pantallas de nuestros computadores seran de cristal transparente y por medio dede cristal transparente y por medio de sensores no necesitaremos teclados y mouses
![Page 33: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/33.jpg)
CONCLUSIONESCONCLUSIONES• …Igual que antes: Si tenemos conciencia de los problemas enunciados tenemos soluciones que no necesariamente son de índole técnica
• El autor de esta charla insiste en volver al principio fundamental de hacer análisis de riesgos y generar métricas que muestren la gestión del riesgo en la nube (SGSI), como si fuera un PYG mensual
![Page 34: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/34.jpg)
CONCLUSIONESCONCLUSIONES• Seguridad, privacidad, y responsabilidad para con los datos de mis clientes y los míos propios son los «principales problemas»de la computación en la nube
• Los proveedores deben ser mas transparentes con nosotros los clientes respecto de como me responderán por la seguridad de mi información
![Page 35: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/35.jpg)
CONCLUSIONES• La computación en la nube esta madurando y llego para quedarse entre nosotrosllego para quedarse entre nosotros
• No es justo que se madure a punta de ensayo t i f ióy error con nuestra información
• El fin justifica los medios?, es decir hay que bajar costos así sea que nos toque pasar a la nube y luego resolvemos lo del cuento de seguridad?
![Page 36: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/36.jpg)
CONCLUSIONESCONCLUSIONES• Abogado del Diablo: Estamos exagerando?
• Quien asumirá los problemas legales y financieros de los impactos a la privacidad?p p
![Page 37: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/37.jpg)
DEMO: HACKING DE UN IPHONE QUE PUEDE ACCEDER A LA NUBE
![Page 38: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/38.jpg)
DEMO I
JAILBREAK IPHONE 3JAILBREAK IPHONE 3
![Page 39: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/39.jpg)
Paso 1: Descarga de la imagen ISOPaso 1: Descarga de la imagen ISO
• Se debe descargar la imagen ISO conSe debe descargar la imagen ISO con extensión ipsw que sea igual o mayor a la versión de su iPhone desde el sitio:versión de su iPhone desde el sitio: http://www.felixbruns.de/iPod/firmware/
![Page 40: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/40.jpg)
Paso 2: Descargar el software para hacer el JailbreakJailbreak
• Existen varias opciones como son:
• Redsnow
• Sn0wbreezeSn0wbreeze
• blackRain
P t d R d 0• Para este caso se descarga Redsn0w
![Page 41: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/41.jpg)
Paso 3: Se ejecuta como administrador redsn0w
![Page 42: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/42.jpg)
Paso 4: Modo DFU:
![Page 43: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/43.jpg)
Paso 5: exploit que permita abrir las bandas para permitir que el celular funcione con la tarjeta SIM depermitir que el celular funcione con la tarjeta SIM de
cualquier proveedor
![Page 44: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/44.jpg)
DEMO II
ROMPER LA CLAVE DEL ROOT
![Page 45: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/45.jpg)
Ataque de diccionarioq• hydra –t 8 –l root –f –P password.lst ‐S IP‐IPHONE ssh2
• Clave = alpineClave alpine
• Todos los IPHONE usan como administrador el usuario root con la clave alpineusuario root con la clave alpine
• Es un riesgo para la seguridad de la i f ió ?información?
• Si alguien se apodera del root de mi iphone podría ver mi información sensible?
![Page 46: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/46.jpg)
Sera difícil una sesión SSH?Sera difícil una sesión SSH?
![Page 47: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/47.jpg)
Que es consolidated db?Que es consolidated.db?
![Page 48: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/48.jpg)
DEMO III
ANÁLISIS DE VULNERABILIDADES PARA UN DISPOSITIVO MOVILPARA UN DISPOSITIVO MOVIL
![Page 49: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/49.jpg)
Tengo IP en un teléfono móvil?Tengo IP en un teléfono móvil?
![Page 50: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/50.jpg)
Vulnerabilidades en IPHONE4
![Page 51: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/51.jpg)
Los Iphone 4 ver 4.3.3 (8J2) a la fecha tienen fallas:
![Page 52: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/52.jpg)
BIBLIOGRAFIA• [1] McCarthy, J., “Centennial Keynote Address”, MIT, 1961Address , MIT, 1961
• [2] Bruce Schneir, www scheneier com/blog/archives/2009/06/clwww.scheneier.com/blog/archives/2009/06/cloud_computing.html
[3] P t M ll d Ti G NIST• [3] Peter Mell and Tim Grance, NIST, csrc.nist.gov/groups/SNS/cloud‐
ti / l d ti 25 tcomputing/cloud‐computing‐v25.ppt
![Page 53: Inseguridad y computación en la nube...Computacion en la nube • 2009, NIST: «Cloud computing is a model for enabling convenient, on‐demand network access to a shared pool of](https://reader031.fdocuments.mx/reader031/viewer/2022011818/5e8779b5452692274301a079/html5/thumbnails/53.jpg)
BIBLIOGRAFIABIBLIOGRAFIA• [4] CLOUD SECURITY. A Comprehensive Guide to Secure Cloud Computing. Ronald L. Krutz and Russell Dean Vines. Cloud Computing Fundamentals. Chapter 2.
• …