Robo de información

785 views
736 views

Published on

Robo de información en infraestructuras IT y SCADA

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
785
On SlideShare
0
From Embeds
0
Number of Embeds
97
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Robo de información

  1. 1. Robo de información en infraestructuras IT & SCADA José Ramón Palancomiércoles 3 de octubre de 12
  2. 2. Índice 1.El problema 2.Clasificación de la información 3.Escenario de robo/fuga de información 4.Evolución de los ataques 5.Respuesta ante ataques 6.Preguntasmiércoles 3 de octubre de 12
  3. 3. El problemamiércoles 3 de octubre de 12
  4. 4. El problema • Cada vez tratamos con más información • Mayor volumen de tráfico a través de Internet • Incremento de usuarios que acceden a los datosmiércoles 3 de octubre de 12
  5. 5. Conductas detectadas • Uso de aplicaciones no autorizadas • Uso indebido de dispositivos de trabajo • Acceso no autorizado (físico y lógico) • Seguridad en trabajadores remotos • Uso indebido de clavesmiércoles 3 de octubre de 12
  6. 6. Origen del robo Fuente: INEGImiércoles 3 de octubre de 12
  7. 7. Origen del robo Europa / USA Interno Externo 24% 76% Fuente: INEGImiércoles 3 de octubre de 12
  8. 8. Origen del robo Europa / USA México Interno Externo Interno Externo 24% 33% 67% 76% Fuente: INEGImiércoles 3 de octubre de 12
  9. 9. Perdida de informaciónmiércoles 3 de octubre de 12
  10. 10. Perdida de información Robo de información Extravío de dispositivos 29% 71%miércoles 3 de octubre de 12
  11. 11. Ataques comunes •Ataques malware •Fallos de software •Errores humanos •Actos de espionaje e invasión •Actos de sabotaje y vandalismomiércoles 3 de octubre de 12
  12. 12. Presupuesto en seguridad 100 12 11 22 18 75 23 24 24 1% - 1-2% 50 6 26 3-5% 11 8 6-7% 6 8-10% 10 11 10% + 25 11 Desconocido 13 12 7 14 15 16 0 Fuente: CSI Survey 2006 2007 2008miércoles 3 de octubre de 12
  13. 13. Términos • Integridad: Es la garantía de que • Impacto: Es la medida en la que los datos están protegidos de ser se materializa una amenaza modificados de manera accidental o deliberada • Riesgo: Probabilidad de que se produzca un impacto • Disponibilidad: Es la capacidad determinado en un activo, de permitir que la información dominio ó en toda la esté accesible para ser obtenida organización • Activo: Recurso del sistema de • Vulnerabilidad: Exposición a una información que es necesario amenaza de un activo debido a para que la organización los defectos de un sistema funcione correctamente • Ataque: Evento que atenta sobre • Amenaza: Evento que puede los sistemas que rodean un desencadenar un incidente en la activo con el fin de organización. Implica que se comprometerlos vean afectados los activos de la empresa (pérdidas ó daños). Es el origen de un posible ataquemiércoles 3 de octubre de 12
  14. 14. Activo Amenaza Frecuencia de materialización Impacto Vulnerabilidad Riesgo Decisión Reduce Reduce Servicio de salvaguarda Implementación Minimizadora Preventiva Mecanismos de salvaguarda Se incorpora amiércoles 3 de octubre de 12
  15. 15. Clasificación de la informaciónmiércoles 3 de octubre de 12
  16. 16. Tipos de información • Restringida: Información de uso exclusivo de un grupo de personas de la organización • Altamente confidencial • Confidencial • Interna • Públicamiércoles 3 de octubre de 12
  17. 17. Escenarios de robo/fuga de informaciónmiércoles 3 de octubre de 12
  18. 18. Corporate Network schememiércoles 3 de octubre de 12
  19. 19. Threats to data • Insecurity of access to information derived from users unconsciouslymiércoles 3 de octubre de 12
  20. 20. Threats to data • Malicious users create insecurity in the management of corporate informationmiércoles 3 de octubre de 12
  21. 21. Threats to data • Corporate information suffers an additional threat to the possibility of external attacks by hackers or competitorsmiércoles 3 de octubre de 12
  22. 22. New concernsmiércoles 3 de octubre de 12
  23. 23. Evolución de los ataquesmiércoles 3 de octubre de 12
  24. 24. Ataque clásico • Buscan servidores corporativos vulnerables expuestos en la DMZ • Una vez dentro de la DMZ se repìte el proceso para saltar a una base de datos o LDAP en la red interna • Una vez en la red interna se analizan claves haciendo sniffing de la red local para robar datos de los diferentes sistemasmiércoles 3 de octubre de 12
  25. 25. Ataque clásico: Obtención de información • Se usan diferentes herramientas que permiten ayudar a descubrir máquinas en la DMZ ó local • GHDB • bloques asignados • Trashingmiércoles 3 de octubre de 12
  26. 26. Ataque clásico: Escaneo / Enumeración • Análisis de zonas DNS • GHDB/BHDB • Identificación de sistema operativo: p0f • Escaneo de puertos para identificar servicios disponible: nmap • Revisión de seguridad web: w3af (sqli, directory transversal, ...)miércoles 3 de octubre de 12
  27. 27. Ataque clásico: Ganar acceso • Claves por defecto • Identificación de software vulnerable: nessus • Explotación de software vulnerable: metasploit • Ataque por fuerza bruta: medusa • Obtener fichero de claves cifradas y crackearlo: John The Rippermiércoles 3 de octubre de 12
  28. 28. Ataque clásico: Mantener acceso: rootkits • LKM para Linux (KBeast) • LD_PRELOAD Linux (Jynx Kit) • Connect back script Linux(darkBC) • Control Remoto Windows (PoisonIvy rat, Blackshades rat, DarkComet rat - descontinuado-)miércoles 3 de octubre de 12
  29. 29. Ataque clásico: Cubrir huellas • Limpieza de ficheros de logs • wtmp • wtmpx • utmp • utmpx • lastlog • ulw.c / szapper.cmiércoles 3 de octubre de 12
  30. 30. APT: Advanced Persisten Threat • Adaptación del modus operandi de mass infection botnets • Advanced: pueden explotarse fallos publicados ó no (zero day), pero los atacantes tienen perfiles altamente cualificados. • Persistent: la tarea puede llevar a cabo muchos meses hasta lograr acceso • Threat: Dirigido por organizaciones con muchos recursos económicosmiércoles 3 de octubre de 12
  31. 31. APT: Aurora Operation • Ataque coordinado contra 30 compañías (Google, Adobe, Juniper, ..) • Explota una vulnerabilidad no publicada: CVE-2010-0249 que afectaba a IE6 • Instala Trojan.Hydraq (no es muy avanzado)miércoles 3 de octubre de 12
  32. 32. APT: Obtención de información • Análisis de la organización • empleados y organigrama • software instalado • Herramientas: • FOCA • Maltego • LinkedInmiércoles 3 de octubre de 12
  33. 33. APT: investigación de explotación • Una vez conocido el software utilizado por una organización se procede a buscar vulnerabilidades publicadas y a localizar vulnerabilidades desconocidas. • Las aplicaciones más comunes son: • Adobe Acrobat Reader y Adobe Flash • Internet Explorer • Microsoft Word, Microsoft Excel • El payload consistirá en descargar un ejecutable para tomar control totalmiércoles 3 de octubre de 12
  34. 34. APT: Creación de malware • Puede hacerse a medida ó utilizarse builders para: • ZeuS • SpyEye • Limbo • Después es común utilizar packers para ocultar posibles strings que puedan ser utilizadas como firmas de antivirusmiércoles 3 de octubre de 12
  35. 35. APT: Protocolo C&C • Es un protocolo que permite a los atacantes tomar control de la máquina infectada y realizar tareas de gestión o incluso acceder a diferentes partes de la red • Suele ser un protocolo obfuscado para evitar ser detectado • Puede usar ssl • Puede estar camuflado • como tweets • como protocolo DNSmiércoles 3 de octubre de 12
  36. 36. APT: Ingeniería social / Spear phishing • SET: Social Engineering Toolkit • DNS Spoofing • Phishing • SMS Spoofing • Mass mailer • Wireless AP Spoofingmiércoles 3 de octubre de 12
  37. 37. APT SCADA • Supervisory Control And Data Acquisition • Procesos industriales (producción, fabricación..) • Procesos de Infraestructura: tratamiento de agua, tuberías de gas, petroleo • Procesos Facilities: monitorización de consumo de energía en centrales hidroeléctricas, nucleares, ..miércoles 3 de octubre de 12
  38. 38. APT: SCADA STUXNET • Descubierto en Junio 2010 • Aprovechaba una vulnerabilidad zero day que afectó a SIEMENS: CVE-2010-2772 • Atacaba infraestructuras críticas de centrales nucleares en Irán • El primer sistema en incluir un rootkit para PLC • Actualizable por P2P (aunque el servidor C&C no esté disponible)miércoles 3 de octubre de 12
  39. 39. APT: SCADA DUQU • Descubierto en Septiembre del 2010 • Explotaba una vulnerabilidad zero day que afectó a Microsoft Word: MS11-087 • Al igual que stuxnet, pretendía atacar programas nucleares, en el caso de Duqu afectó a: Francia, Holanda, Suiza, Ucrania, India, Irán y Sudán. • C&C Servers: Vietnan, Belgica, India y Chinamiércoles 3 de octubre de 12
  40. 40. APT: ESPIONAJE FLAME • También conocido como sKyWIper • Descubierto en Mayo del 2012 • Usado para acciones de espionaje en Oriente Medio • Es probablemente el malware más complejo de la historia • Se propaga por la red o mediante dispositivos USB • Controla comunicaciones Skype, Bluetooth, ... • Es enorme, incluye un intérprete LUAmiércoles 3 de octubre de 12
  41. 41. APT SCADA: Obtención de información • Inicialmente podemos utilizar Shodan para descubrir dispositivos SCADA conectados a la red • Pais • Tipo de dispositivo • Fabricante • Protocolos que acepta • Se puede obtener información de los brouchures de los fabricantesmiércoles 3 de octubre de 12
  42. 42. Respuesta ante ataquesmiércoles 3 de octubre de 12
  43. 43. Protección ante fuga de datos • Data Leakage Protection • Control de tráfico de red en diferentes protocolos • SMTP, FTP, .. • Análisis web: dropbox, gmail, facebook, pastebin, .. • Endpoint: análisis de tareas realizadas en el equipo de escritorio • Copiar ficheros confidenciales • Realizar capturas de pantalla de información sensiblemiércoles 3 de octubre de 12
  44. 44. Prevención de ataques clásicos • Preventivos / proactivos • Firewall • IPS • Post intrusión • Análisis forensemiércoles 3 de octubre de 12
  45. 45. Prevención de APT • Preventivo • No es 100% eficaz • Análisis en tiempo real de ficheros PDF, Office, ... • Endpoint que monitoriza procesos vulnerables • Post Intrusión • Ejecución en una máquina virtual • Análisis forense de malware (inmunity, ida pro, virustotal, ..)miércoles 3 de octubre de 12
  46. 46. Preguntasmiércoles 3 de octubre de 12

×