Jefe del Grupo de Seguridad Lógica
Inspector Pablo Alonso
COMISARIA GENERAL DE POLICÍA JUDICIAL U.D.E.F. CENTRAL
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
ORGANIZACIÓN OPERATIVA
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
SECCIÓN OPERATIVA I SECCIÓN OPERATIVA II SECCIÓN TÉCNICA
PROTECCIÓN AL MENOR I y II
FRAUDE A LAS TELECOMUNICACIONES
FRAUDES EN INTERNET I y II
SEGURIDAD LÓGICA
INFORMES APOYO TÉCNICO FORMACIÓN ESTUDIOS I + D
PROPIEDAD INTELECTUAL
Comisaría General de Policía Judicial
REDES ABIERTAS
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
La seguridad informática se encarga de la identificación de las vulnerabilidades de un sistema y d e l e s t a b l e c i m i e n t o d e contramedidas que eviten que las distintas amenazas posibles exploten estas vulnerabilidades.
¿Que es la seguridad?
“Proceso consistente en mantener un nivel aceptable de riesgo percibido”
Richard Bejtlich. El Tao de la monitorización de seguridad en redes
Eventualmente TODO sistema de seguridad
FALLARÁ.
CONCEPTO DE SEGURIDAD
Objetivos de la seguridad
• Garantizar el CID – Confidencialidad: Que nadie más lo vea – Integridad: Que nadie más lo cambie – Disponibilidad: Que siempre esté ahí
• Implantar las reglas de Oro – Autenticación: Quién es – Autorización: Qué puede hacer – Auditoría: Qué ocurrió
• Asegurar el No Repudio – Que nadie pueda decir que él NO FUE
Conceptos Básicos
• Vulnerabilidad. – Punto o aspecto del sistema o sus aplicaciones
que es susceptible de ser atacado o de dañar la seguridad del mismo. Representan las debilidades o aspectos falibles o atacables en un sistema informático.
• Amenaza. – Posible peligro para el sistema. Puede ser una
persona (hacker), un programa (virus, caballo de Troya, ...), o un suceso natural o de otra índole (fuego, inundación, etc.). Representan los pos ib les atacantes o factores que aprovechan las debilidades del sistema.
• Contramedida. – Técnicas de protección del sistema contra las
amenazas.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Seguridad Informática CARACTERISTICAS A GARANTIZAR
•Disponibilidad – El sistema se mantiene funcionando eficientemente y es
capaz de recuperarse rápidamente en caso de fallo.
•Integridad – Permite asegurar que no se ha falseado la información, es
decir, que los datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que se haya producido ninguna modificación.
•Confidencialidad – Capacidad del sistema para evitar que personas no
autorizadas puedan acceder a la información almacenada en él.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Seguridad Informática OTROS ASPECTOS
•Autenticidad – Permite asegurar el origen de la información. La identidad
del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser.
•Consistencia – Asegurar que el sistema se comporta como se supone que
debe hacerlo con los usuarios autorizados
•Aislamiento – Regular el acceso al sistema, impidiendo que personas no
autorizadas entren en él.
•Auditoria – Capacidad de determinar qué acciones o procesos se han
llevado a cabo en el sistema, y quién y cuándo las han llevado a cabo.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Seguridad Informática PRINCIPIOS FUNDAMENTALES
•Principio de menor privilegio – Cualquier objeto (usuario, administrador, programa, sistema,
etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno más.
•Principio del eslabón más débil – En todo sistema de seguridad, el máximo grado de seguridad no
es la suma de toda la cadena de medidas sino el grado de seguridad de su eslabón más débil.
•Punto de control centralizado – Se trata de establecer un único punto de acceso a nuestro
sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por él. No se trata de utilizar un sólo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Seguridad Informática PRINCIPIOS FUNDAMENTALES
• Seguridad en caso de fallo – Este principio afirma que en caso de que cualquier
mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro.
• Participación universal – Cualquier mecanismo de seguridad que establezcamos
puede ser vulnerable si existe la participación voluntaria de algún usuario autorizado para romperlo.
• Simplicidad – Mantener las cosas lo más simples posibles, las hace más
fáciles de comprender mientras que la complejidad permite esconder múltiples fallos.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Seguridad Física y Ambiental
• La norma ISO establece dos categorías:
– Áreas Seguras: Con la finalidad de impedir el acceso no autorizado a las instalaciones de la organización.
– Seguridad en los equipos: A fin de impedir la perdida, daño o robo de la información.
• Distingue tres fases:
– Antes de la contratación.
– Durante el desarrollo del empleo.
– En el cese o cambio de puesto de trabajo.
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
Antes de la contratación.
– Se deben definir y documentar los ro les y responsab i l i dades en seguridad describiendo el puesto de trabajo de acuerdo al documento de políticas de seguridad.
– Se deben investigar los antecedentes y referencias del candidato.
– Los ro les , responsab i l idades , términos y condiciones del puesto de trabajo deben figurar en el contrato.
Durante la contratación.
– Informar, concienciar y motivar a los empleados para el cumplimiento de los términos y condiciones establecidos en materia de seguridad.
– Formar y capacitar al personal sobre sus funciones y procedimientos respecto de la seguridad.
– Fijar y documentar un régimen disciplinario para las infracciones en materia de seguridad
En el cese o cambio de puesto de trabajo.
– Se deben definir y documentar los roles y responsabilidades tras el cese incluyendo cualquier cuestión relacionada con los acuerdos de confidencialidad.
– Fijar procedimientos de devolución de todo el material proporcionado por la organización. En caso de equipos cedidos o vendidos al trabajador garantizar la limpieza de los equipos.
– Retirar los derechos de acceso que pudieran habérsele otorgado.
– Los cambios de puesto de trabajo deben tratarse como si fueran un cese y una nueva contratación.
• El establecimiento de una política de seguridad
• El análisis de riesgos y los planes de contingencia
• La asignación de responsabilidades • La política de personal
MEDIDAS DE PROTECCIÓN ADMINISTRATIVAS Y ORGANIZATIVAS
POLÍTICAS DE SEGURIDAD
• a) Ninguna seguridad • La medida más simple posible es no hacer ningún esfuerzo en
seguridad y tener la mínima, cualquiera que sea, por ejemplo la que proporcione el vendedor de forma preestablecida.
• b) Seguridad a través de ser desconocido • Con este planteamiento se supone que un sistema es seguro sólo
porque nadie sabe de él.
• c) Seguridad para anfitrión • El modelo plantea reforzar la seguridad de cada máquina anfitrión
por separado, y hacer todo el esfuerzo para evitar o reducir los problemas de
• seguridad que puedan afectar a ese anfitrión específico.
• d) Seguridad para redes • Conforme los entornos se hacen más grandes y diversos, es más
difícil • asegurar anfitrión por anfitrión, por ello ahora se tiende hacia un
modelo • de seguridad para redes
DINÁMICA DE LA SEGURIDAD
La Seguridad NO es un proceso puntual, es un proceso CONTINUO.
Estimación
Protección
Detección
Respuesta
RIESGO PARA LAS ORGANIZACIONES
Riesgo = Amenaza x Vulnerabilidad x Valor del bien
Amenaza Pasiva: Confidencialidad (sniffer)
Amenaza Activa: Cambian el estado del sistema
Es un conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Se definen o clasifican a partir de una política de seguridad.
•Intrusiones para mal uso.- son ataques en puntos débiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos.
•Intrusiones anómalas.- se basa en la observación de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado.
¿Que es una intrusión?
TIPOS DE ATAQUES
•Ataques contra la Disponibilidad – Denegación de Servicios DOS, DDOS
•Ataques contra la Integridad – Defacement.
•Ataques contra la Confidencialidad – Fuerza Bruta, Robo de Credenciales, Robo de cookies,
Robo de información técnicas de inyección.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Denegación de servicio
• Ataque DOS: Colapsar un sistema sobrecargándolo de peticiones, de forma que sus usuarios legítimos no puedan acceder.
• Ataque DDOS: es un ataque DOS distribuido. Se usan múltiples equipos “zombis” que lanzan el ataque simultáneamente.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Botnets
•Sus funciones originales eran el control de canales y la simulación de part ic ipantes en juegos multijugador.
• A c t u a l m e n t e s e u s a n esencialmente para Ataques de DDoS, envío de (SPAM), alojar herramientas y componentes destinados al fraude (Phising), manipulación de encuestas, votaciones y juegos online y distribución de malware.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
• E l t e r m i n o “ b o t n e t ” h a c e referencia a una red de bots (originalmente robots de IRC que simulaban una identidad dentro de un canal).
Tipo de programa diseñado específicamente para cometer delitos (crímenes) de tipo financiero o similares, intentando pasar desapercibido por la víctima. Por extensión, también hace referencia a aplicaciones web diseñadas con los mismos objetivos.
Un crimeware puede robar identidades, datos confidenciales, contraseñas, información bancaria, etc. También puede servir parta robar la identidad o espiar a una persona o empresa.
El término fue ideado por Peter Cassidy, Secretario General del Anti-Phishing Working Group, para distinguir este tipo de software de otros malignos como malwares, spywares, adwares, etc. (Aunque muchas veces éstos emplean técnicas similares para propagarse o actuar).
La industria del crimeware sigue creciendo a través de la puesta en desarrollo y comercialización de nuevos paquetes de exploits pre-compilados que se suman a la oferta de alternativas destinadas a facilitar las maniobras delictivas a través de Internet.
CRIMEWARE
Black Hole Exploits Kit, una aplicación web desarrollada en Rusia pero que además incorpora para su interfaz el idioma inglés, y cuya primera versión (beta por el momento) está intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en función de una serie de características que intentan diferenciarlo del resto.
Por ejemplo, adquirir este crimeware durante 1 año (por el momento el tiempo máximo) tiene un costo de $ 1500 dólares, mientras que una licencia semestral y trimestral, cuestan $ 1000 y $ 700 respectivamente.
BLACK HOLE EXPLOITS KIT
• Objetivos de un ataque:
– Denegación de Servicio (DoS). – Robo de la información (BBDD,
propiedad industrial…). – Destruir / dañar información. – Controlar la máquina objetivo
(BotNets, SPAM, DDoS).
¿QUÉ SE BUSCA EN UN ATAQUE?
TIPOS DE VULNERABILIDADES
• Técnicas (bug) – Cross Site Scripting – Inyección SQL – Inyección de comandos – Falsificación de frames – Desbordamiento de búfer – Listado directorios – Archivos/directorios backup – Archivos de configuración – Etc.
• Lógicas o funcionales (flaw) – Autenticación defectuosa
– Fallos en lógica de negocio: no se valida un número de tarjeta o de cuenta
– Modificación de precios
– Modificación de cookies – Escalada de privilegios
horizontal/vertical
– SSL no requerido
– Criptografía pobre
– Info++ en mensajes de error
– Etc.
passwd=xyz
&rid=3’+union+select+top+1
+password+from+usuarios=‘1&
“dame la primera password de la tabla que almacena las cuentas de usuarios”
“la primera password de la tabla de usuarios es ’6h4r15B’”
Usuario malicioso
EL ATAQUE A SERVICIOS WEB CON TECNICAS SQL INJECTION
Tecnicas de Inyección
. E l uso de tecn i cas de inyecc ión , particularmente la inyección de SQL, son muy frecuentes en todo tipo de incidentes de seguridad en aplicaciones web.
• Ocurre cuando los datos proporcionados por el usuario se envían a un interprete como parte de un comando o consulta sin validarlos.
• El atacante puede manipular la entrada para forzar al interprete a ejecutar otras consultas extrayendo o modificando los registros de la base de datos.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Ejemplos de SQL Inyection
• ‘ OR ‘1’=‘1
• ‘;UPDATE usuarios SET (password) VALUES (md5 (‘mipass’)) where user=‘admin
• ‘ EXEC master..xp-cmdshell ‘cmd
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Soluciones.
• Validación de entrada: Comprobar longitud, tipo, sintaxis … de todos los datos de entrada antes de ser mostrados o almacenados.
• Permitir los mínimos privilegios necesarios a las aplicaciones que conectan a bases de datos.
• Evitar mensajes de error detallados.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Cross Site Scripting (XSS)
• El Cross site scripting, también conocido como XSS, es un tipo de inyección HTML que se produce cuando una aplicación toma datos introducidos por el usuario y los envía al navegador sin validarlos o codificarlos.
• El script malicioso suele estar construido en JavaScript pero existen variantes en otros lenguajes de script.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Cross Site Scripting (XSS)
• Permite al atacante ejecutar código en el navegador de la victima.
• Sus finalidades pueden ser: – Desfigurar una web (“Deface”) – Insertar contenido inadecuado. – Robo de sesiones – Ataques de suplantación (“Phising”) – Tomar el control del navegador
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
Soluciones.
• Validación de entrada: • Usar un mecanismo de validación de entrada
que compruebe longitud, tipo, sintaxis … de todos los datos de entrada antes de ser
mostrados o almacenados. • Codificación de salida: • Codificar los datos de forma apropiada. (ej,
HTML Entities o MS Anti XSS library) de modo que no puedan llegar a mostrarse o almacenarse en forma ejecutable.
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
¿Qué es un exploit?
Es una pieza de software, un fragmento de datos, o una secuencia de comandos cuyo objetivo es automatizar el aprovechamiento de una vulnerabilidad.
Creación de un troyano
Mediante el uso de “packers” comerciales o gratuitos
Creación del Software
La Ingeniería Inversa
La Ocultación
ASPack ASProtect
Armadillo EXECryptor
FSG MEW
NSPack PECompact
UPack Telock
“Packers” comerciales:
CREACIÓN DE TROYANOS Las Técnicas de ocultación
• RBN, ofrece una completa infraestructura para los ciberdelitos. Phishing, malware, ataques DDoS, pornografía infantil…etc son soportados por este ISP ruso. Para ello, se pone a disposición del cliente varias botnets, shells remotas en servidores crackeados, servidores centralizados de gestión de estas actividades…etc.
• La RBN se encuentra en S. Petersburgo (Rusia) y proporciona alojamiento web. Su actividad está tan íntimamente relacionada con la industria del malware, que muchos nodos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores.
• En los últimos años no es fácil encontrar un incidente criminal a gran escala en la que no aparezcan por algún sitio las siglas RBN (o "TooCoin" o "ValueDot", nombres anteriores con los que ha sido conocida).
RUSSIAN BUSINESS NETWORK (Equipos a prueba de balas)
CONSEJOS GENERALES
• Deshabilitar servicios y cuentas no utilizados. • Actualización de S.O. y aplicaciones (parches). • Uso de “buenas” contraseñas. • Utilización de Firewalls • Chequeo de integridad de aplicaciones y S.O. • Back-ups periódicos. • Análisis periódico de logs, monitorizar y graficar estadísticas. • Auditar con escaners de vulnerabilidades • Consultar Listas de vulnerabilidades • Limitar y controlar uso de programación del lado del cliente
(javascript) • Técnicas de defensa a fondo y puntos de choque en redes • Limitar tiempo querys • Desarrollo seguro de aplicaciones web. • Encriptación del tráfico
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA
CONTACTO
• BRIGADA DE INVESTIGACIÓN TECNOLÓGICA
• C\ Julian Gonzalez Segador s/n 28.043 Madrid
• Tfno. 91/582.24.67 • Fax. 91/582.24.84 • Web: http://www.policia.es/bit/index.htm • E-mail: [email protected]
BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA