Índice
1.El problema
2.Clasificación de la información
3.Escenario de robo/fuga de información
4.Evolución de los ataques
5.Respuesta ante ataques
6.Preguntas
miércoles 3 de octubre de 12
El problema
• Cada vez tratamos con más información
• Mayor volumen de tráfico a través de Internet
• Incremento de usuarios que acceden a los datos
miércoles 3 de octubre de 12
Conductas detectadas
• Uso de aplicaciones no autorizadas
• Uso indebido de dispositivos de trabajo
• Acceso no autorizado (físico y lógico)
• Seguridad en trabajadores remotos
• Uso indebido de claves
miércoles 3 de octubre de 12
Origen del robo
Fuente: INEGI
24%
76%
Interno Externo
Europa / USA
33%
67%
Interno Externo
México
miércoles 3 de octubre de 12
Perdida de información
71%
29%
Robo de informaciónExtravío de dispositivos
miércoles 3 de octubre de 12
Ataques comunes
•Ataques malware
•Fallos de software
•Errores humanos
•Actos de espionaje e invasión
•Actos de sabotaje y vandalismo
miércoles 3 de octubre de 12
Presupuesto en seguridad
0
25
50
75
100
2006 2007 2008
111222
1823
2424
2668
611
1111
10
12713
161514
Desconocido10% +8-10%6-7%3-5%1-2%1% -
Fuente: CSI Survey
miércoles 3 de octubre de 12
Términos
• Integridad: Es la garantía de que los datos están protegidos de ser modificados de manera accidental o deliberada
• Disponibilidad: Es la capacidad de permitir que la información esté accesible para ser obtenida
• Activo: Recurso del sistema de información que es necesario para que la organización funcione correctamente
• Amenaza: Evento que puede desencadenar un incidente en la organización. Implica que se vean afectados los activos de la empresa (pérdidas ó daños). Es el origen de un posible ataque
• Impacto: Es la medida en la que se materializa una amenaza
• Riesgo: Probabilidad de que se produzca un impacto determinado en un activo, dominio ó en toda la organización
• Vulnerabilidad: Exposición a una amenaza de un activo debido a los defectos de un sistema
• Ataque: Evento que atenta sobre los sistemas que rodean un activo con el fin de comprometerlos
miércoles 3 de octubre de 12
VulnerabilidadImpacto
Activo Amenaza
Riesgo
Implementación
Servicio de salvaguarda
Mecanismos de salvaguarda
Frecuencia de materialización
Reduce
PreventivaMinimizadora
ReduceDecisión
Se incorpora a
miércoles 3 de octubre de 12
Tipos de información
• Restringida: Información de uso exclusivo de un grupo de personas de la organización
• Altamente confidencial
• Confidencial
• Interna
• Pública
miércoles 3 de octubre de 12
Threats to data• Insecurity of access to information derived from users unconsciously
miércoles 3 de octubre de 12
Threats to data• Malicious users create insecurity in the management of corporate
information
miércoles 3 de octubre de 12
Threats to data• Corporate information suffers an additional threat to the possibility of
external attacks by hackers or competitors
miércoles 3 de octubre de 12
Ataque clásico
• Buscan servidores corporativos vulnerables expuestos en la DMZ
• Una vez dentro de la DMZ se repìte el proceso para saltar a una base de datos o LDAP en la red interna
• Una vez en la red interna se analizan claves haciendo sniffing de la red local para robar datos de los diferentes sistemas
miércoles 3 de octubre de 12
Ataque clásico: Obtención de información
• Se usan diferentes herramientas que permiten ayudar a descubrir máquinas en la DMZ ó local
• GHDB
• bloques asignados
• Trashing
miércoles 3 de octubre de 12
Ataque clásico: Escaneo / Enumeración
• Análisis de zonas DNS
• GHDB/BHDB
• Identificación de sistema operativo: p0f
• Escaneo de puertos para identificar servicios disponible: nmap
• Revisión de seguridad web: w3af (sqli, directory transversal, ...)
miércoles 3 de octubre de 12
Ataque clásico: Ganar acceso
• Claves por defecto
• Identificación de software vulnerable: nessus
• Explotación de software vulnerable: metasploit
• Ataque por fuerza bruta: medusa
• Obtener fichero de claves cifradas y crackearlo: John The Ripper
miércoles 3 de octubre de 12
Ataque clásico: Mantener acceso: rootkits
• LKM para Linux (KBeast)
• LD_PRELOAD Linux (Jynx Kit)
• Connect back script Linux(darkBC)
• Control Remoto Windows (PoisonIvy rat, Blackshades rat, DarkComet rat -descontinuado-)
miércoles 3 de octubre de 12
Ataque clásico: Cubrir huellas
• Limpieza de ficheros de logs
• wtmp
• wtmpx
• utmp
• utmpx
• lastlog
• ulw.c / szapper.c
miércoles 3 de octubre de 12
APT: Advanced Persisten Threat
• Adaptación del modus operandi de mass infection botnets
• Advanced: pueden explotarse fallos publicados ó no (zero day), pero los atacantes tienen perfiles altamente cualificados.
• Persistent: la tarea puede llevar a cabo muchos meses hasta lograr acceso
• Threat: Dirigido por organizaciones con muchos recursos económicos
miércoles 3 de octubre de 12
APT: Aurora Operation
• Ataque coordinado contra 30 compañías (Google, Adobe, Juniper, ..)
• Explota una vulnerabilidad no publicada: CVE-2010-0249 que afectaba a IE6
• Instala Trojan.Hydraq (no es muy avanzado)
miércoles 3 de octubre de 12
APT: Obtención de información
• Análisis de la organización
• empleados y organigrama
• software instalado
• Herramientas:
• FOCA
• Maltego
miércoles 3 de octubre de 12
APT: investigación de explotación
• Una vez conocido el software utilizado por una organización se procede a buscar vulnerabilidades publicadas y a localizar vulnerabilidades desconocidas.
• Las aplicaciones más comunes son:
• Adobe Acrobat Reader y Adobe Flash
• Internet Explorer
• Microsoft Word, Microsoft Excel
• El payload consistirá en descargar un ejecutable para tomar control total
miércoles 3 de octubre de 12
APT: Creación de malware
• Puede hacerse a medida ó utilizarse builders para:
• ZeuS
• SpyEye
• Limbo
• Después es común utilizar packers para ocultar posibles strings que puedan ser utilizadas como firmas de antivirus
miércoles 3 de octubre de 12
APT: Protocolo C&C
• Es un protocolo que permite a los atacantes tomar control de la máquina infectada y realizar tareas de gestión o incluso acceder a diferentes partes de la red
• Suele ser un protocolo obfuscado para evitar ser detectado
• Puede usar ssl
• Puede estar camuflado
• como tweets
• como protocolo DNS
miércoles 3 de octubre de 12
APT: Ingeniería social / Spear phishing
• SET: Social Engineering Toolkit
• DNS Spoofing
• Phishing
• SMS Spoofing
• Mass mailer
• Wireless AP Spoofing
miércoles 3 de octubre de 12
APT SCADA
• Supervisory Control And Data Acquisition
• Procesos industriales (producción, fabricación..)
• Procesos de Infraestructura: tratamiento de agua, tuberías de gas, petroleo
• Procesos Facilities: monitorización de consumo de energía en centrales hidroeléctricas, nucleares, ..
miércoles 3 de octubre de 12
APT: SCADA STUXNET
• Descubierto en Junio 2010
• Aprovechaba una vulnerabilidad zero day que afectó a SIEMENS: CVE-2010-2772
• Atacaba infraestructuras críticas de centrales nucleares en Irán
• El primer sistema en incluir un rootkit para PLC
• Actualizable por P2P (aunque el servidor C&C no esté disponible)
miércoles 3 de octubre de 12
APT: SCADA DUQU
• Descubierto en Septiembre del 2010
• Explotaba una vulnerabilidad zero day que afectó a Microsoft Word: MS11-087
• Al igual que stuxnet, pretendía atacar programas nucleares, en el caso de Duqu afectó a: Francia, Holanda, Suiza, Ucrania, India, Irán y Sudán.
• C&C Servers: Vietnan, Belgica, India y China
miércoles 3 de octubre de 12
APT: ESPIONAJE FLAME
• También conocido como sKyWIper
• Descubierto en Mayo del 2012
• Usado para acciones de espionaje en Oriente Medio
• Es probablemente el malware más complejo de la historia
• Se propaga por la red o mediante dispositivos USB
• Controla comunicaciones Skype, Bluetooth, ...
• Es enorme, incluye un intérprete LUA
miércoles 3 de octubre de 12
APT SCADA: Obtención de información
• Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA conectados a la red
• Pais
• Tipo de dispositivo
• Fabricante
• Protocolos que acepta
• Se puede obtener información de los brouchures de los fabricantes
miércoles 3 de octubre de 12
Protección ante fuga de datos
• Data Leakage Protection
• Control de tráfico de red en diferentes protocolos
• SMTP, FTP, ..
• Análisis web: dropbox, gmail, facebook, pastebin, ..
• Endpoint: análisis de tareas realizadas en el equipo de escritorio
• Copiar ficheros confidenciales
• Realizar capturas de pantalla de información sensible
miércoles 3 de octubre de 12
Prevención de ataques clásicos
• Preventivos / proactivos
• Firewall
• IPS
• Post intrusión
• Análisis forense
miércoles 3 de octubre de 12
Prevención de APT
• Preventivo
• No es 100% eficaz
• Análisis en tiempo real de ficheros PDF, Office, ...
• Endpoint que monitoriza procesos vulnerables
• Post Intrusión
• Ejecución en una máquina virtual
• Análisis forense de malware (inmunity, ida pro, virustotal, ..)
miércoles 3 de octubre de 12