Normas de seguridad e higiene para el equipo de cómputo y las generaciones de las computadoras.
Introducción a la seguridad en cómputo
description
Transcript of Introducción a la seguridad en cómputo
Introducción a la seguridad en cómputo
Sergio A. BecerrilCELE | UNAM
Temario
• Conceptos básicos
• Ataques
• Seguridad básica
• Actualizaciones
• Buenas prácticas
• Navegación segura
Conceptos básicosIntroducción a la seguridad en cómputo
千里之行 始于足下Lao Tsé
¿Qué es seguridad?
• Confianza
• Tranquilidad
• Protección
La importancia de la información Es un mundo digital
Tendencia irreversible Más que una alternativa
• Es un mundo globalizado Inevitable, compartir información No tenemos control del ambiente externo
• No es solo la información Cada dispositivo que interactúa es importante Recordemos los recursos informáticos
Seguridad informática
“Los pilares de la seguridad” Confidencialidad
Prevenir la divulgación de información, o el acceso a los recursos informáticos, a entidades no autorizadas.
Solo aquellos autorizados podrán acceder a la información.
• Integridad Mantener la fidelidad del estado de la información o los recursos
informáticos.
La información no se puede modificar sin autorización.
• Disponibilidad Garantizar que la información o los recursos informáticos podrán ser
utilizados por entidades autorizadas.
La información estará utilizable siempre que se necesite.
Elementos adicionales AAA
Autenticación: Comprobar la identidad de quien pretende acceder a los recursos.
Autorización: Comprobar los privilegios de quien pretende acceder a los recursos.
Auditoría: Mantener registros de las entidades y operaciones involucradas.
• No repudio Garantizar que las entidades involucradas en la
manipulación de los recursos no puedan negar su participación.
Seguridad informática• Confianza en los recursos informáticos
Integridad
Disponibilidad
No repudio
• Tranquilidad acerca de los recursos informáticos Integridad
Disponibilidad
Confidencialidad
• Protección de los recursos informáticos Confidencialidad
Cifrado
Autenticación, Autorización, Auditoría
No es solo la información
• Recursos informáticos Equipos: computadoras, móviles, tablets... Periféricos: impresoras, cámaras, monitores... Almacenamiento removible Dispositivos de interconexión
• Entidades Organizaciones Usuarios Creadores Administradores
Términos comunes
• ActivoCualquier elemento de importancia para la organización
• VulnerabilidadCualquier debilidad en un activo
• AmenazaUn peligro posible que puede explotar una vulnerabilidad, causando
daño a los activos.
Términos comunes• Riesgo
El potencial de una amenaza de explotar una vulnerabilidad en un activo en particular.
• ImpactoLa afectación sobre la confidencialidad, integridad, disponibilidad, etc., asociada
a un riesgo específico.
• AtaqueCualquier intento de explotar una vulnerabilidad, con el objeto de afectar los
activos.
Términos comunes
• EventoCualquier cambio al comportamiento normal de un sistema, ambiente,
proceso, flujo o persona.
• IncidenteCualquier evento atribuible, de raíz, a una causa humana.
• PolíticaDefinición de seguridad para algún sistema, organización u otra entidad.
Consecuencias
• Pérdida
• Modificación
• Divulgación
Atacantes
• HackerPersona con profundo conocimiento del funcionamiento de algún
sistema.
• CrackerPersona que viola la seguridad de algún sistema informático para
beneficio propio.
• IntrusoPersona que intenta violar la seguridad de algún sistema informático.
Problemas comunes Contraseñas
Contraseñas débiles
Reutilización de contraseñas
• Configuraciones Inercia
Comodidad
• Actualizaciones Deshabilitación / no configuración
Ausencia de ambiente de pruebas
Navegación web Sitios peligrosos
“Visión de túnel”
Ataques a la seguridad informáticaIntroducción a la seguridad en cómputo
Nobody ever defended anything successfully; there is only attack and
attack and attack some more.G.A. George S. Patton
¿Qué es un ataque?Un atentado sobre la seguridad de un sistema, que deriva de
una amenaza inteligente; un acto inteligente que es un intento deliberado de evadir servicios de seguridad, y violar la
política de seguridad de un sistema (IETF)
Explota una vulnerabilidad
Precedido por una amenaza inteligente
Conlleva un impacto
Vulnerabilidad
Amenaza
Ataque
Vulnerabilidades
Una debilidad de un activo o grupo de activos, que puede ser explotada por una o más
amenazas (ISO 27005).
• Presentes en todo elemento de cómputo
• Por diseño o inherente
Vulnerabilidades
• Las podemos controlar• No podemos controlar la amenaza
• Las podemos corregir• Vasta mayoría, error humano
• Las podemos evitar• Buenas prácticas / experiencia
Vulnerabilidades comunes
• En software• CWE top 25
• En hardware• Acceso
• Sensible a elementos
• De configuración
• De usuario
Detección/explotación de vulnerabilidades
• Escáner de puertos
• Enumerador de red
• Escáner de vulnerabilidades en red
• Escáner de aplicaciones web
• Fuzzer
• Analizador estático de código
Core Impact
http://www.youtube.com/watch?v=SsI41_ZYB8c
Nessus
http://www.youtube.com/watch?v=-7ThbeAMqkw
Metasploit
http://www.youtube.com/watch?v=A5-E69E1G8U
Zed Attack Proxy
http://www.youtube.com/watch?v=5RmHyZkQo_8
Malware
• Virus• El primer tipo de código malicioso
• ILOVEYOU (2000, Macro Word, adjunto e-mail, PC)
50 millones en 10 días
Malware
• Trojan horse• Control remoto inadvertido
• Flashback (2011, Applet, Web, Mac)
600,000 Macs infectadas
Malware
• Spyware• Recolección no autorizada de información
• Gator (c. 2004, información personal y reemplazo de anuncios, Kazaa, MS Windows)40 millones de “usuarios”
Malware
• Worm• Virus autorreplicable
• Stuxnet/Flame/Duqu/Gauss (2010-2012, P2P RPC y Zero-Day, USB, SCADA)½ millón de infecciones
Malware
• Bots• Worm + trojan
• BredoLab (2009-2010, escalamiento de privilegios, adjunto e-mail, PC)30,000,000 de bots,
3,600 millones de spam/día
Ataques
• Denial of Service (DOS)
• Spoofing
• Snooping / MITM
• Skimming
Aún más ataques!
• Trashing
• Phreaking
• DNS Poisoning
• …
Bluetooth
http://www.youtube.com/watch?v=1c-jzYAH2gw
WiFi
http://www.youtube.com/watch?v=e0udwPoUR9k
Phishing
• Sitio web falso
• Robo de información
• Distribuidos por e-mail
Pharming
• Similar a phishing
• Sustitución de servidores DNS
• Sitios remotos o locales
Scams
• Engaños por dinero o diversión
• Provenientes usualmente del extranjero
• Pueden implicar contacto directo con la víctima
• Nuevas tendencias: móviles, secuestros…
Ingeniería social
• El ataque humano más difícil – y el más productivo
• Psicología + conocimiento insider
• No requiere conocimiento técnico
Ejemplos de ingeniería social
Mauersby & Storch (Contabilidad)
• Llamada de soporte, 7:49 hrs
• “Hay problemas y me gustaría verificar algunos datos”
• Usuario nunca revela su contraseña
• 100% de registros fiscales robados
Ejemplos de ingeniería social
Proveedor de servicios, telefonía móvil
• 3 llamadas: recepción, contabilidad, *, publicaciones
• “Necesito una copia del directorio de empleados
• 1 pieza de información: Código de compras
• Directorio enviado (fuga de talento)
Ejemplos de ingeniería social
• Compañía de tarjetas de crédito
• Buzón de voz temporal para empleada de viaje
• Dos llamadas telefónicas: telecom y servicios
• Robo de identidad
Ejemplos de ingeniería social
• Security Pacific National Bank
• Empleado temporal con acceso a cuarto de transferencias
• Dos llamadas: transferencias y *
• 10 millones de dólares en cuenta suiza
La psicología del atacante
• Reto personal
• Credibilidad
• Ganancia económica
• Retribución
Advanced Persistent Threat
• Decidido
• Con dominio tecnológico
• Conocimiento profundo de víctima
• Puede aplicar casi cualquier técnica
Caso de estudio: Aaron Barr
• Investigación sobre anonymous• Objetivo: contrato con gobierno E.U.
• Reveló hallazgos a “líderes” del grupo
• Barr: “Me suponía que algo así pasaría…”
Caso de estudio: Aaron BarrRepercusiones
• Control completo de servidores• hbgary.com
• hbgaryfederal.com
• Divulgación de todos los e-mails de HBGary
• Daño colateral• DOS sobre rootkit.org (Greg Hoglung, CEO)
Seguridad básicaIntroducción a la seguridad en cómputo
El caos es inherente a todas las cosas complejas. Pelea con diligencia.
Gautama Buda
Seguridad por capas
• Lechuga, no cebolla
• Todos los niveles son esenciales
• Permite modularidad
• ¡No olvides al usuario!
Seguridad en el host
• Contraseñas
• Cuentas no privilegiadas
• Cifrado
• Antivirus
• Firewall
• HIDS
• Seguridad física
Contraseñas
• Modificadores• Longitud
• Complejidad
• Reutilización• Hace irrelevante la fortaleza
• 1 sitio vulnerable = todos los sitios explotados• Contraseñas viejas = mayor ventana de ataque
complong
Una nueva fuerza bruta
• Sitios y sistemas reforzados• Hashes, timeouts, bloqueos, retrasos…
• Evolución lógica: ataques fuera de línea• Obtener hashes, comparar fuera
• Dos técnicas:• Tablas arcoiris
• Generación bajo demanda
Tablas arcoiris
• Hashes pre-generados
• Algoritmo/espacio específicas
• Limitante: espacio en disco
• Disponibles a un bajo costo!
Generación bajo demanda
• Permiten variabilidad
• HW disponible• AMD Radeon HD7970 (~500 USD): 8,200 millones pw/s
• Computable en paralelo• Botnets, supercómputo, diseños personalizados…
$12,000728 PWs (~7 E14 PWs)12 hrs (~8.3 E9 PWs/s)
Soluciones
• Políticas de contraseña• Longevidad (historial, mínima/máxima vida)
• Secpol/passwdqc
• Evitar reutilización• Peor aún que un post-it
• Unificación: KeePass, LastPass…
Sugerencia del chef
• Frase de contraseña + desplazamiento
“Más vale tarde que nunca”
masvaletardequenunca
jqwfqo35q4e3137h7hdq
MasValeTardeQueNunca
JqwFqo3%q4e3!73H7hdq7220
3620
Más allá del login
• Contraseñas de BIOS
• Segundo factor
• Booteo removible
• ¿Qué tan paranoicos estamos?
Cuentas de usuario
• Vasta mayoría, administrativas (Windows)
• Hasta un 90% de vulnerabilidades corregidas eliminando privilegios (Windows)
• La vasta cantidad de tareas no requieren permisos de administrador
Riesgo de cuentas administrativas
• Instalación inadvertida
• Malware
• Privilegios inmediatos
¡No ignores las advertencias!
Cuentas limitadas en UNIX
• Comportamiento predeterminado
• Privilegios con sudo
• Siempre solicitar contraseña
Seguridad básica(Parte II)
Introducción a la seguridad en cómputo
Any sufficiently advanced technology is indistinguishable from magic.
Arthur C. Clarke
Cifrado
• Capa adicional de protección
• Depende de un secreto (llave)
• Puede implicar pérdida de información
• Implementable a diferentes niveles
Cifrado “nativo”
• Bitlocker (disco completo)• Enterprise/Ultimate (Vista, 7)
• Pro/Enterprise (8)
• eCryptfs (directorio /home)• Ubuntu (11.04+)
• FileVault (directorio /home)• OS X 10.3 (Panther)+
Cifrado por aplicación
• TrueCrypt (Win, Mac, Linux)
• eCryptfs (linux)
• Gpg (UNIX, Mac)
Truecrypt
http://www.youtube.com/watch?v=kh-nRyV44yI
BitLocker
http://www.youtube.com/watch?v=UJHgmujh1C4
Antivirus
• Útil, pero no omnipotente
• Suele integrarse con AntiSpyware
• Enteramente dependiente de firmas
• Debe instalarse *antes* de conectividad, programas
Escaneos antivirus
• Escaneos periódicos útiles, no la mejor opción
• Escaneos bajo demanda:• Ejecución de programas
• Descarga de archivos
• Conexión de medios removibles
• Habilitar heurística
¿Qué antivirus me conviene?
• Soluciones gratuitas tan efectivas como comerciales
• Desventajas: administración centralizada
• Si permite el presupuesto, decidir por administración y extras (e.g. spyware)
IDS de Host
• Detecta modificaciones a archivos
• Crea hashes y monitorea periódicamente
• Útil en equipos críticos
• Parcialmente implementados en AVs
Seguridad física
• Pantallas de privacidad
• Candados
• Dispositivos biométricos
• Bloqueos/borrados remotos
Seguridad en red
• Monitoreo
• Firewall
• IDS
• IPS
• Honeypots
• Seguridad en dispositivos pasivos
Comunicación en redes
• Información + metadatos
• Unidad: paquetes/tramas/datagramas
• Información encapsulada sucesivamente
Modelo TCP/IP
Monitoreo de red
• Análisis de cabeceras
• Búsqueda de patrones
• Detección de orígenes/destinos
• Puede trabajar en todas las capas
Seguridad básica(Parte III)
Introducción a la seguridad en cómputo
Experience: that most brutal of teachers. But you learn, my God do
you learn. C.S. Lewis
Firewall
• Tres tipos• Paquetes
• Estado
• Aplicación
• Análisis de cabeceras y/o contenidos
• Debe colocarse en perímetro interno
(N)IDS
• Análisis de cabeceras
• Flujos, firmas (patrones), bitácoras…
• Debe colocarse en perímetro interno
• Alerta sobre comportamiento sospechoso
IPS
• IDS con retroalimentación
• Puede tomar acción de respuesta
• Sustancialmente más complejo
• Sustancialmente más caro
Honeypots
• “Policías encubiertos”
• Baja/alta interacción
• Genéricos (investigación) / personalizados (trampa)
Dispositivos pasivos
• Políticas de acceso• Quién, cuándo, desde dónde…
• No olvidar acceso físico
• Contraseñas/configuraciones predeterminadas
• Redundancia
Seguridad en aplicaciones
• Origen
• Licenciamiento
• Actualizaciones
• Configuración
• Metadatos
• Intercomunicación
• Respaldos
Origen de aplicaciones
• Descargas• Malware/spyware
• Pop-ups
• Corrupción• MITM
• Vulneraciones
• Bugs
Origen de aplicaciones
• Sumas de seguridad
• Sitios confiables
• Proveedores confiables
• Políticas organizacionales
Licenciamiento
• Copias ‘crackeadas’
• FOSS / propietario
• Versiones de prueba
Licenciamiento
• Sitios confiables• ¿Demasiado bueno para ser verdad?
• Proveedores• Contratos
• Reputación
• Análisis de licencia• Implicaciones de desarrollo
Actualizaciones
• Vulnerabilidades
• Ausencia de funcionalidad
• Desastres – modificación, pérdida, vulneración…
Actualizaciones
• Parches de seguridad
• Firmas/patrones
• Ambiente de pruebas
Seguridad básica(Parte IV)
Introducción a la seguridad en cómputo
Imagination is more important than knowledge.
Albert Einstein
Configuraciones
• Accesos predeterminados
• Funcionalidad adicional
• Información compartida
• Inicios automáticos
Configuraciones
• Manuales• Internos, de preferencia
• Tutoriales, blogs, foros, documentación…
• Mejores prácticas• CIS
• Políticas organizacionales
Metadatos
• Documentos
• Imágenes
• Audio
• Video
Metadatos
• Office• Herramientas oficiales (http://bit.ly/OmRFBO)
• PDF• Integrado (http://bit.ly/PlGYgb)
• Imágenes• Eliminación de EXIF
Intercomunicación
• Conéctate a _______
• Accesos remotos
• Divulgación de información
• Tan seguro como el elemento más débil
Intercomunicación
• Limitar alcance• ¿Necesito conectividad con el servicio?
• Gmail
Respaldos
• Automatizados/periódicos
• ¿A dónde va mi información?
• No solo datos, también configuraciones
Respaldos
• Múltiples copias, múltiples sitios
• División de información
• Desconfiar de servicios online
• Verificar accesos
• Analizar media apropiado
Movilidad
• Cómputo en nube• ¿Quién controla el servicio?
• ¿Qué ocurre ante un apagón?
• ¿De quién es mi información?
• SAAS• Google docs/mail/…
• Office, Corel, Adobe…
Dispositivos móviles
• Hogar – oficina – nube
• Robo / extravío
• Snooping/spoofing
• Aplicaciones
Dispositivos móviles
• Habilitar contraseña
• Deshabilitar conexiones innecesarias• Hardware
• Servicios
• Habilitar cifrado
Seguridad en InternetIntroducción a la seguridad en cómputo
Imagination is more important than knowledge.
Albert Einstein
Mínimo privilegio
• Piedra angular de seguridad
• “Dar al César lo que es del César”… y ni un grano más
• Incluyéndome a mí mismo