Robo de información
Upcoming SlideShare
Loading in...5
×
 

Robo de información

on

  • 896 views

Robo de información en infraestructuras IT y SCADA

Robo de información en infraestructuras IT y SCADA

Statistics

Views

Total Views
896
Views on SlideShare
811
Embed Views
85

Actions

Likes
0
Downloads
11
Comments
0

3 Embeds 85

http://www.drainware.com 73
http://www.linkedin.com 8
https://www.linkedin.com 4

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Robo de información Robo de información Presentation Transcript

  • Robo de información en infraestructuras IT & SCADA José Ramón Palancomiércoles 3 de octubre de 12
  • Índice 1.El problema 2.Clasificación de la información 3.Escenario de robo/fuga de información 4.Evolución de los ataques 5.Respuesta ante ataques 6.Preguntasmiércoles 3 de octubre de 12
  • El problemamiércoles 3 de octubre de 12
  • El problema • Cada vez tratamos con más información • Mayor volumen de tráfico a través de Internet • Incremento de usuarios que acceden a los datosmiércoles 3 de octubre de 12
  • Conductas detectadas • Uso de aplicaciones no autorizadas • Uso indebido de dispositivos de trabajo • Acceso no autorizado (físico y lógico) • Seguridad en trabajadores remotos • Uso indebido de clavesmiércoles 3 de octubre de 12
  • Origen del robo Fuente: INEGImiércoles 3 de octubre de 12
  • Origen del robo Europa / USA Interno Externo 24% 76% Fuente: INEGImiércoles 3 de octubre de 12
  • Origen del robo Europa / USA México Interno Externo Interno Externo 24% 33% 67% 76% Fuente: INEGImiércoles 3 de octubre de 12
  • Perdida de informaciónmiércoles 3 de octubre de 12
  • Perdida de información Robo de información Extravío de dispositivos 29% 71%miércoles 3 de octubre de 12
  • Ataques comunes •Ataques malware •Fallos de software •Errores humanos •Actos de espionaje e invasión •Actos de sabotaje y vandalismomiércoles 3 de octubre de 12
  • Presupuesto en seguridad 100 12 11 22 18 75 23 24 24 1% - 1-2% 50 6 26 3-5% 11 8 6-7% 6 8-10% 10 11 10% + 25 11 Desconocido 13 12 7 14 15 16 0 Fuente: CSI Survey 2006 2007 2008miércoles 3 de octubre de 12
  • Términos • Integridad: Es la garantía de que • Impacto: Es la medida en la que los datos están protegidos de ser se materializa una amenaza modificados de manera accidental o deliberada • Riesgo: Probabilidad de que se produzca un impacto • Disponibilidad: Es la capacidad determinado en un activo, de permitir que la información dominio ó en toda la esté accesible para ser obtenida organización • Activo: Recurso del sistema de • Vulnerabilidad: Exposición a una información que es necesario amenaza de un activo debido a para que la organización los defectos de un sistema funcione correctamente • Ataque: Evento que atenta sobre • Amenaza: Evento que puede los sistemas que rodean un desencadenar un incidente en la activo con el fin de organización. Implica que se comprometerlos vean afectados los activos de la empresa (pérdidas ó daños). Es el origen de un posible ataquemiércoles 3 de octubre de 12
  • Activo Amenaza Frecuencia de materialización Impacto Vulnerabilidad Riesgo Decisión Reduce Reduce Servicio de salvaguarda Implementación Minimizadora Preventiva Mecanismos de salvaguarda Se incorpora amiércoles 3 de octubre de 12
  • Clasificación de la informaciónmiércoles 3 de octubre de 12
  • Tipos de información • Restringida: Información de uso exclusivo de un grupo de personas de la organización • Altamente confidencial • Confidencial • Interna • Públicamiércoles 3 de octubre de 12
  • Escenarios de robo/fuga de informaciónmiércoles 3 de octubre de 12
  • Corporate Network schememiércoles 3 de octubre de 12
  • Threats to data • Insecurity of access to information derived from users unconsciouslymiércoles 3 de octubre de 12
  • Threats to data • Malicious users create insecurity in the management of corporate informationmiércoles 3 de octubre de 12
  • Threats to data • Corporate information suffers an additional threat to the possibility of external attacks by hackers or competitorsmiércoles 3 de octubre de 12
  • New concernsmiércoles 3 de octubre de 12
  • Evolución de los ataquesmiércoles 3 de octubre de 12
  • Ataque clásico • Buscan servidores corporativos vulnerables expuestos en la DMZ • Una vez dentro de la DMZ se repìte el proceso para saltar a una base de datos o LDAP en la red interna • Una vez en la red interna se analizan claves haciendo sniffing de la red local para robar datos de los diferentes sistemasmiércoles 3 de octubre de 12
  • Ataque clásico: Obtención de información • Se usan diferentes herramientas que permiten ayudar a descubrir máquinas en la DMZ ó local • GHDB • bloques asignados • Trashingmiércoles 3 de octubre de 12
  • Ataque clásico: Escaneo / Enumeración • Análisis de zonas DNS • GHDB/BHDB • Identificación de sistema operativo: p0f • Escaneo de puertos para identificar servicios disponible: nmap • Revisión de seguridad web: w3af (sqli, directory transversal, ...)miércoles 3 de octubre de 12
  • Ataque clásico: Ganar acceso • Claves por defecto • Identificación de software vulnerable: nessus • Explotación de software vulnerable: metasploit • Ataque por fuerza bruta: medusa • Obtener fichero de claves cifradas y crackearlo: John The Rippermiércoles 3 de octubre de 12
  • Ataque clásico: Mantener acceso: rootkits • LKM para Linux (KBeast) • LD_PRELOAD Linux (Jynx Kit) • Connect back script Linux(darkBC) • Control Remoto Windows (PoisonIvy rat, Blackshades rat, DarkComet rat - descontinuado-)miércoles 3 de octubre de 12
  • Ataque clásico: Cubrir huellas • Limpieza de ficheros de logs • wtmp • wtmpx • utmp • utmpx • lastlog • ulw.c / szapper.cmiércoles 3 de octubre de 12
  • APT: Advanced Persisten Threat • Adaptación del modus operandi de mass infection botnets • Advanced: pueden explotarse fallos publicados ó no (zero day), pero los atacantes tienen perfiles altamente cualificados. • Persistent: la tarea puede llevar a cabo muchos meses hasta lograr acceso • Threat: Dirigido por organizaciones con muchos recursos económicosmiércoles 3 de octubre de 12
  • APT: Aurora Operation • Ataque coordinado contra 30 compañías (Google, Adobe, Juniper, ..) • Explota una vulnerabilidad no publicada: CVE-2010-0249 que afectaba a IE6 • Instala Trojan.Hydraq (no es muy avanzado)miércoles 3 de octubre de 12
  • APT: Obtención de información • Análisis de la organización • empleados y organigrama • software instalado • Herramientas: • FOCA • Maltego • LinkedInmiércoles 3 de octubre de 12
  • APT: investigación de explotación • Una vez conocido el software utilizado por una organización se procede a buscar vulnerabilidades publicadas y a localizar vulnerabilidades desconocidas. • Las aplicaciones más comunes son: • Adobe Acrobat Reader y Adobe Flash • Internet Explorer • Microsoft Word, Microsoft Excel • El payload consistirá en descargar un ejecutable para tomar control totalmiércoles 3 de octubre de 12
  • APT: Creación de malware • Puede hacerse a medida ó utilizarse builders para: • ZeuS • SpyEye • Limbo • Después es común utilizar packers para ocultar posibles strings que puedan ser utilizadas como firmas de antivirusmiércoles 3 de octubre de 12
  • APT: Protocolo C&C • Es un protocolo que permite a los atacantes tomar control de la máquina infectada y realizar tareas de gestión o incluso acceder a diferentes partes de la red • Suele ser un protocolo obfuscado para evitar ser detectado • Puede usar ssl • Puede estar camuflado • como tweets • como protocolo DNSmiércoles 3 de octubre de 12
  • APT: Ingeniería social / Spear phishing • SET: Social Engineering Toolkit • DNS Spoofing • Phishing • SMS Spoofing • Mass mailer • Wireless AP Spoofingmiércoles 3 de octubre de 12
  • APT SCADA • Supervisory Control And Data Acquisition • Procesos industriales (producción, fabricación..) • Procesos de Infraestructura: tratamiento de agua, tuberías de gas, petroleo • Procesos Facilities: monitorización de consumo de energía en centrales hidroeléctricas, nucleares, ..miércoles 3 de octubre de 12
  • APT: SCADA STUXNET • Descubierto en Junio 2010 • Aprovechaba una vulnerabilidad zero day que afectó a SIEMENS: CVE-2010-2772 • Atacaba infraestructuras críticas de centrales nucleares en Irán • El primer sistema en incluir un rootkit para PLC • Actualizable por P2P (aunque el servidor C&C no esté disponible)miércoles 3 de octubre de 12
  • APT: SCADA DUQU • Descubierto en Septiembre del 2010 • Explotaba una vulnerabilidad zero day que afectó a Microsoft Word: MS11-087 • Al igual que stuxnet, pretendía atacar programas nucleares, en el caso de Duqu afectó a: Francia, Holanda, Suiza, Ucrania, India, Irán y Sudán. • C&C Servers: Vietnan, Belgica, India y Chinamiércoles 3 de octubre de 12
  • APT: ESPIONAJE FLAME • También conocido como sKyWIper • Descubierto en Mayo del 2012 • Usado para acciones de espionaje en Oriente Medio • Es probablemente el malware más complejo de la historia • Se propaga por la red o mediante dispositivos USB • Controla comunicaciones Skype, Bluetooth, ... • Es enorme, incluye un intérprete LUAmiércoles 3 de octubre de 12
  • APT SCADA: Obtención de información • Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA conectados a la red • Pais • Tipo de dispositivo • Fabricante • Protocolos que acepta • Se puede obtener información de los brouchures de los fabricantesmiércoles 3 de octubre de 12
  • Respuesta ante ataquesmiércoles 3 de octubre de 12
  • Protección ante fuga de datos • Data Leakage Protection • Control de tráfico de red en diferentes protocolos • SMTP, FTP, .. • Análisis web: dropbox, gmail, facebook, pastebin, .. • Endpoint: análisis de tareas realizadas en el equipo de escritorio • Copiar ficheros confidenciales • Realizar capturas de pantalla de información sensiblemiércoles 3 de octubre de 12
  • Prevención de ataques clásicos • Preventivos / proactivos • Firewall • IPS • Post intrusión • Análisis forensemiércoles 3 de octubre de 12
  • Prevención de APT • Preventivo • No es 100% eficaz • Análisis en tiempo real de ficheros PDF, Office, ... • Endpoint que monitoriza procesos vulnerables • Post Intrusión • Ejecución en una máquina virtual • Análisis forense de malware (inmunity, ida pro, virustotal, ..)miércoles 3 de octubre de 12
  • Preguntasmiércoles 3 de octubre de 12