Vmontero Tendencias de La Tecnologia en Seguridad Informatica

Tendencias de la Tecnologa
en Seguridad Informtica
Victor H. Montero
vmontero@cybsec.com
21 de Septiembre de 2006
Hotel Sheraton
Buenos Aires - ARGENTINA
Tendencias de la Tecnologa en Seguridad Informtica
2006
Agenda
Tendencias Legacy
Mecanismos de defensa
Ataques: nuevos objetivos
2
2006
Tendencias
Legacy
3
Tendencias Legacy
2006
Management de la Seguridad Informtica

Normativas
Administracin LOGS
Infraestructura de Clave Pblica (PKI)
Concientizacin
Proyectos informticos en entornos seguros
Programacin segura en Aplicaciones Web
Seguridad en Redes Inalmbricas
Segmentacin de redes internas crticas
Sistemas de Prevensin de Intrusiones (IPS)
4
2006
Mecanismos
de defensa
5
Mecanismos de Defensa
2006
Adhiriendo el concepto de Defensa en Profundidad,

analizaremos cuatro mecanismos de proteccin
que operan en distintos niveles y mbitos:
Pretty Good Privacy (PGP)

Web Application Firewall (WAF)
Secure Enhaced Linux (SELinux)
Network Admission Control (NAC)
6
2006
PGP - Pretty Good Privacy
Para algunas compaas, la implementacin de una

Infraestructura de Clave Pblica es algo que escapa a las
posibilidades.
Incluso en numerosos casos, la instalacin y

administracin de un Certificate Server es
difcil de justificar y manteer, o an
innecesario.
Una alternativa es el uso de PGP en su

forma ms simple: Claves Pblicas/Privadas
sin la utilizacin de Certificados Digitales. 7
2006
PGP - Pretty Good Privacy
Beneficios:
- Integridad
- Confidencialidad (*)
- No repudio
Desventajas:
- Administracin descentralizada
- Solucin no escalable
- Posibilidad de efectuar ataques de
MITM+Ingeniera Social
8
2006
WAF Web Application Firewall

El Top Ten de los problemas de seguridad en aplicaciones Web
Unvalidated Input: los valores de entrada de la aplicacin no son
validados.
Broken Access Control: las restricciones de qu puede hacer un usuario
validado no son implementadas apropiadamente.
Broken Authentication: las credenciales de autenticacin y/o los tokens de
sesin no estn debidamente protegidos.
Cross Site Scripting: la aplicacin Web puede ser utilizada como medio de
transporte para ejecutar cdigo Javascript arbitrario en el Navegador del
usuario final.
Buffer Overflows: la aplicacin Web y/o el servidor Web no verifican el
tamao de los arreglos, permitiendo sobrescribir porciones de memoria.
9
2006

El Top Ten de los problemas de seguridad en aplicaciones Web
Injection Flaws: la aplicacin pasa parmetros no validados cuando accede
a sistemas externos (por ejemplo bases de datos) o al sistema operativo. Esto
puede permitir a un atacante inyectar comandos en el sistema externo o
ejecutar comandos en el sistema operativo.
Improper Error Handling: no se manejan debidamente las condiciones de
error.
Insecure Storage: la aplicacin no almacena de forma segura los datos y/o
archivos enviados por el usuario.
Application Denial of Service: la aplicacin es susceptible a que atacantes
denieguen el servicio a otros usuarios legtimos.
Insecure Configuration Management: la configuracin del servidor Web
alojando la aplicacin es insegura.
10
2006

Tcnicas de Ataque / Intrusin Web
Null Bytes Session Prediction

SSI Injection
Phishing Cross Site Scripting
O.S. Commanding
Session Fixation
Inverse Lookup Log Corruption
Cross Site Request Forgeries
SQL Injection Archivos por Parmetros
Path Traversal
LDAP Injection
Cross Site Tracing
11
2006

Soluciones
VALIDAR EL INPUT y el OUTPUT

Limitar longitud y tipo de los parmetros
White-List Approach vs Black-List Approach
Escapear caracteres especiales
Utilizar Stored Procedures o Consultas Parametrizadas.
No mostrar mensajes de error
Firewall Capa 3 (TCP/IP) ?

No nos protege: todos los ataques mencionados ocurren a travs del
puerto del Web Server (autorizado).
IDS/IPS ?
Nos puede proteger: permite rechazar patrones de ataques.
12
2006

Por qu es necesario un WAF?
En las soluciones se mencionan cambios a nivel de cdigo entonces,

por qu un WAF?
Tiempo de implementacin de los cambios a nivel de cdigo

(desarrollo + testing).
Tiempo de entrenamiento (en programacin segura) de los
programadores.
Factor humano: los programadores, como buenos humanos, no
estn exentos de cometer errores.
Productos de terceros de los cuales no se tiene acceso al cdigo
fuente y dependemos de que el proveedor solucione los problemas.
Sistemas Legacy 13
2006

Cmo lo soluciona un WAF?
Un WAF nos permite:

Acotar los tiempos: se detecta una nueva vulnerabilidad y se
actualiza el WAF para protegernos.
Acotar el impacto de los errores de los programadores.
Proteger sistemas Legacy de los cuales se conocen las
vulnerabilidades.
Proteger productos de terceros de los cuales se conocen las
vulnerabilidades.
Poner foco en la problemtica de seguridad de las aplicaciones Web:
El administrador del WAF est formado en seguridad y es su foco
principal, no siendo generalmente ste el caso de los programadores.
reducir riesgos en el corto plazo 14

2006
Arquitectura Web Fsica Tpica
15
2006
Solucin WAF
16
2006
NAC Network Admission Control
Integracin de soluciones de seguridad hasta ahora

aisladas:
antivirus, IPSs, 802.1x, anti-spyware, SUS.
Cuatro caractersticas fundamentales:
1) Verificacin y evaluacin de cumplimiento de polticas

(usuarios y dispositivos)
II) Imposicin de Polticas y Control de Acceso
III) Remediacin
IV) Flexibilidad de implementacin Poltica consistente
17
2006

Participantes de Dispositivos de
red locales acceso a la red
WLAN
Access
Point
Core
Switch
Policy AntiVirus
Firewall Server Server
INTERNET
Participante de
red remoto (VPN) 18
2006
Pros:
- Interoperabilidad entre plataformas ampliamente difundidas
- Especificacin abierta
- Seguridad proactiva
Refuerza el cumplimiento de polticas de seguridad
Nivela la seguridad en el entorno de red que controla
Manejo de cuarentenas para entidades que no cumplen la
poltica establecida
Contras:
- Pocos fabricantes en el mercado. nicamente soluciones
propietarias.
- Tecnologa inmadura an.
- Necesidad de agentes locales ejecutndose en servidores y
estaciones de trabajo. 19
2006
SELinux Security Enhaced Linux
No es una nueva distribucin de Linux. Es una extensin al

Kernel de Linux diseada para forzar polticas de control de
acceso estrictas, aplicable a cualquier distribucin de Linux.
Difundido e implementado por organismos fuertemente

comprometidos con la seguridad informtica (NSA y MITRE
Corporation, entre otros)
Al igual que el Kernel de Linux, el cdigo fuente de esta

extensin es liberado a la comunidad Open Source.
20
2006
Linux/UNIX Standard
Utiliza la tcnica de control de acceso discrecional (DAC). Basa las
decisiones de acceso en la identidad y propiedad. Cada usuario tiene
control absoluto sobre los archivos y procesos que le pertenecen,
heredando estos ltimos los derechos del usuario que los invoca. No
se controla el flujo de los datos.
SELinux
Suma la potencia de las tcnicas de Control de acceso mandatorio
(MAC) y polticas asociadas (Control de acceso basado en roles,
Type Enforcement, Multi-Level Security) a los mecanismos de
seguridad nativos de Linux, con el objetivo de permitir forzar la
separacin de informacin en base a requerimientos de
confidencialidad e integridad.
21
2006
Funcionamiento
Operacin
Operacin
Primer chequeo
realizado a nivel
DAC
El DAC implementado DAC

DAC
nativamente en Linux tiene

prioridad sobre el MAC
SELinux
SELinux
Polticas
Polticas
Si un acceso es denegado por MAC
MAC
los permisos tradicionales de

Consulta la Base
Linux, entonces SELinux no de Datos de
polticas para
toma partido. realizar chequeos
adicionales 22
2006

Pros:
- Permite limitar a programas de usuario y servidores del
sistema al mnimo nivel de privilegios que necesitan para
ejercer su funcin.
- La seguridad de un sistema Linux no modificado depende de
la correctitud del kernel, todas las aplicaciones
privilegiadas, y sus respectivas configuraciones. Un
problema en cualquiera de esas reas puede permitir el
compromiso del sistema. En contraste, la seguridad de un
sistema SELinux depende principalmente de la correctitud
del kernel y la configuracin de su poltica de seguridad.
Contras:
- Difcil de configurar
- Mediano impacto en performance
23
2006
Ataques:
Nuevos objetivos
24
Ataques: Nuevos objetivos
2006
Si bien en el ltimo ao se desprendieron

numerosas lneas de investigacin sobre nuevas
metodologas de ataques y bsqueda de
vulnerabilidades en tecnologas recientes, gran
parte del foco est puesto en:
Client Side Attacks

BlackBerry
VoIP
25
2006
Client Side Attacks

Cules son los principales problemas con los que se
encuentra un atacante externo en la actualidad?
Segmentacin de redes pblicas en DMZs.

Servidores hardenizados.
Stateful Firewalls / Proxys Reversos.
Intrusion Prevention Systems.
Monitoreo intenso de todo el trfico que traspasa el permetro.
Etc, etc, etc
conclusin: ya no es tan fcil efectuar una intrusin

remotamente como lo era hace unos pocos aos
26
2006
Client Side Attacks

Sin embargo, los bad boys siempre tuvieron bien en claro algo:
El nivel de seguridad informtica global

de toda una instalacin es igual al nivel
del eslabn menos seguro
Con esta premisa, los chicos malos comenzaron desde hace ya
algunos aos a buscar un nuevo eslabn, distinto de los que
venan utilizando en sus viejas andanzas, pero que permitiese
llegar a su objetivo con la misma facilidad que en otras
pocas 27
2006
Client Side Attacks

El objetivo es claro: escalar privilegios sobre la red interna
perpetrando el ataque remotamente.
En forma natural y casi lineal, surgieron las siguientes

preguntas:
- Quien tiene acceso a la red de la compaa en forma interna y

externa?
- Quien es el que abre cuanto mail de chistes le llega?
- Quien ejecuta cuanto programa de ruiditos raros aparece?
- Quien visita los sitios de futbol, blogs, noticias, y esos otros
tambin siempre que puede?
28
2006
Client Side Attacks

aquel a quien framente se lo denomina
La respuesta
puede ser una sola
Usuario 29
2006
Client Side Attacks
Existen numerosas vulnerabiliades que afectan al software

comnmente instalado en las PCs clientes:
Navegadores de Internet
Clientes de correo electrnico
Mensajeros instantneos
Reproductores multimedia
Etc
30
2006
Client Side Attacks
La idea? Atacar la PC del usuario, para usarla

como salto a la red interna.
Dos posibilidades:
La PC del usuario se encuentra conectada

fsicamente a la red interna
La PC del usuario se encuentra conectada

remotamente a la red interna (va Internet)
31
2006
Client Side Attacks
Qu puede dificultar estos ataques?.

Implementacin de seguridad en workstations:
Antivirus, antispyware, Personal Firewalls
Concientizacin del usuario
Implementacin de filtros antispam corporativos
Implementacin de filtros de contenido
Utilizacin de Proxies HTTP
32
2006
BlackBerry
Infraestructura:
Dispositivos Handheld
Red Movil (GSM)
Red RIM
Comunicacin sobre Internet
BlackBerry Enterprise Server
BlackBerry Enterprise Server Connectors
BlackBerry Management Tools

33
2006
BlackBerry
Impacto en caso de ataques exitosos:
- Dispositivos Handheld
- Divulgacin de informacin
- Control remoto del dispositivo de un usuario
- Red Movil (GSM)
- Redireccin de la comunicacin
- Red RIM
- Toma de control de la infraestructura RIM
- Comunicacin sobre Internet
- Impersonalizacin del servidor BlackBerry
- Ataques de fuerza bruta
- BlackBerry Enterprise Server
- Ejecucin de cdigo malicioso y escalacin de privilegios
- BlackBerry Enterprise Server Connectors
- Modificacin de Polticas
- Envo de mensajes masivos
- Instalacin de software en las handhelds
34
2006
VoIP
Numerosos problemas de seguridad detectados:
- Posibilidad de efectuar llamadas fraudulentas

- SPIT (SPAM sobre VoIP)
- Phishing telefnico
- Denegaciones de servicio
- Toma de conexiones establecidas
- Escuchas telefnicas
- Modificacin de datos en la llamada
Se estn desarrollando numerosas herramientas

para automatizar muchos de los ataques listados! 35
2006
Otros temas fashion
Rainbow Tables
Bluetooth
Drivers Hacking
Tcnicas de bypass de IPSs
Seguridad en sistemas industriales
36
2006
Otros temas fashion

Cada uno de estos temas y tcnicas est siendo investigado
en profundidad por especialistas y entusiastas en cada
extremo del mundo
CybsecLabs
Indonesian
Division
37
2006
Conclusiones
Resulta cada vez ms sorprendente la agilidad y dinamismo que
adquiere el rubro de la Seguridad de la Informacin.
Da a da, vemos como paralelamente al desarrollo de poderosas

herramientas para proteger los activos, especficamente la informacin,
se inventan nuevas tcnicas y metodologas de ataque que pueden
colapsar numerosos mecanismos de defensa supuestos infalibles.
Todo lo que hemos comentado quiz no es una buena noticia, pero es la

realidad. LO UNICO QUE NO PUEDE PENSARSE ES QUE HAY QUE
ASUMIR LA DERROTA, POR QUE LA SITUACIN NO DA PARA ELLO.
La solucin contina siendo la misma: aplicar estrategias adecuadas,

disponer de recursos y estar constantemente actualizado, y. si
es necesario, buscar aliados que dispongan del know-how y la
tecnologa, para que sean nuestros socios en la misin de mantener da
a da los sistemas funcionando y seguros. 38
2006
Preguntas?
39

Vmontero Tendencias de La Tecnologia en Seguridad Informatica

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Vmontero Tendencias de La Tecnologia en Seguridad Informatica

Uploaded by

Copyright:

Available Formats

Tendencias de la Tecnologa

Management de la Seguridad Informtica

Adhiriendo el concepto de Defensa en Profundidad,

Pretty Good Privacy (PGP)

PGP - Pretty Good Privacy

Para algunas compaas, la implementacin de una

Incluso en numerosos casos, la instalacin y

Una alternativa es el uso de PGP en su

PGP - Pretty Good Privacy

WAF Web Application Firewall

WAF Web Application Firewall

WAF Web Application Firewall

Null Bytes Session Prediction

WAF Web Application Firewall

VALIDAR EL INPUT y el OUTPUT

No mostrar mensajes de error

Firewall Capa 3 (TCP/IP) ?

WAF Web Application Firewall

En las soluciones se mencionan cambios a nivel de cdigo entonces,

Tiempo de implementacin de los cambios a nivel de cdigo

WAF Web Application Firewall

Un WAF nos permite:

reducir riesgos en el corto plazo 14

WAF Web Application Firewall

Arquitectura Web Fsica Tpica

WAF Web Application Firewall

NAC Network Admission Control

Integracin de soluciones de seguridad hasta ahora

Cuatro caractersticas fundamentales:

1) Verificacin y evaluacin de cumplimiento de polticas

NAC Network Admission Control

NAC Network Admission Control

SELinux Security Enhaced Linux

No es una nueva distribucin de Linux. Es una extensin al

Difundido e implementado por organismos fuertemente

Al igual que el Kernel de Linux, el cdigo fuente de esta

SELinux Security Enhaced Linux

SELinux Security Enhaced Linux

El DAC implementado DAC

nativamente en Linux tiene

los permisos tradicionales de

SELinux Security Enhaced Linux

Si bien en el ltimo ao se desprendieron

Client Side Attacks

Client Side Attacks

Segmentacin de redes pblicas en DMZs.

conclusin: ya no es tan fcil efectuar una intrusin

Client Side Attacks

El nivel de seguridad informtica global

Client Side Attacks

En forma natural y casi lineal, surgieron las siguientes

- Quien tiene acceso a la red de la compaa en forma interna y

Client Side Attacks

puede ser una sola

Client Side Attacks

Existen numerosas vulnerabiliades que afectan al software

Clientes de correo electrnico

Client Side Attacks

La idea? Atacar la PC del usuario, para usarla

La PC del usuario se encuentra conectada

La PC del usuario se encuentra conectada

Client Side Attacks

Qu puede dificultar estos ataques?.

Concientizacin del usuario