Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez

1,649 views
1,404 views

Published on

http://www.uid0.com.ar
Breve descripción de la charla:
La fuga de información es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para minimizar el impacto y se deben tener en cuenta la implementacion de procesos para mitigar en el caso desafortunado que así ocurra.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,649
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
59
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez

  1. 1. Fuga de información //INTRODUCCION Fuga de información http://www.uid0.com.ar
  2. 2. Fuga de información • IANUX Soluciones | Comunidad de Software Libre http://ianux.com | http://saltalug.org.ar Fuga de información //INTRODUCCION LPIC Oscar Gonzalez, Senior IT Specialist oscar.gonzalez@ianux.com.ar http://www.uid0.com.ar
  3. 3. Fuga de información Agenda: • Que es un ataque informático? • Seguridad Informática • Técnicas de Intrusión | Hacking • Tools | Backtrack • Contra-medidas o Hardening. • Tips para prevenir Fuga de información //INTRODUCCION
  4. 4. Que es la fuga de información? Fuga de información //INTRODUCCION Es la salida no controlada de información que hace que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control.
  5. 5. Seguridad Informática Fuga de información //INTRODUCCION la implementación de seguridad informática debe proveer: 1) Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. 2) Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. 3) Confidencialidad de la información: Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.
  6. 6. Que es un ataque informático? Un ataque ocurre cuando una persona o un grupo de personas intenta acceder, modificar o dañar un sistema o entorno. Estos ataques generalmente intentan lograr algunos de estos objetivos: Fuga de información //INTRODUCCION Atacar la privacidad Atacar la integridad Atacar la disponibilidad Atacar la autenticidad
  7. 7. Porque? Las personas que atacan sistemas se ven motivadas por diferentes razones: Fuga de información //INTRODUCCION Por diversión o desafío. Por venganza. Por terrorismo. Rédito económico. Ventaja competitiva. Poder
  8. 8. Problemática Los problemas de inseguridad actuales no se encuentran favorecidos únicamente por usuarios maliciosos, sino que muchas veces se encuentran ayudados por malas implementaciones de las aplicaciones, desconocimiento, negligencia, etc. Hemos catalogado los principales factores que pueden generar problemas de seguridad en: Fuga de información //INTRODUCCION • Falta de políticas y/o normativas • Uso de Protocolos inseguros • Ambiente multilenguaje y multiproveedor • Dispersión geográfica • Falta de actualización de software de base • Uso incorrecto de las aplicaciones • Errores en los programas • Errores de configuración • Passwords • Falta de supervisión y/o control.
  9. 9. Conociendo al enemigo Investigación Penetración Persistencia Expansión Logro del objetivo Fuga de información //INTRODUCCION Es importante conocer la forma en que proceden los intrusos para conocer la manera de detenerlos y evitar la fuga de información En general los intrusos realizan las mismas actividades cuando desean ingresar o atacar a un sistema, por lo que podemos generalizar los pasos en:
  10. 10. Investigación Fuga de información //INTRODUCCION Siempre antes de realizar un ataque, los intrusos realizan un estudio del objetivo. Generalmente consiste en obtener la siguiente información: ● Información de la empresa objetivo. ● Información del dominio objetivo: conociendo el nombre de la empresa se puede obtener su información de dominio a través de consultas tipo WHOIS. ● Información de los servidores: una vez que el intruso obtuvo el dominio, puede realizar consultas NSLOOKUP para conocer cuáles son los servidores que tiene la empresa. I N V E S T I G A C I O N
  11. 11. Investigación Fuga de información //INTRODUCCION Identificación de la plataforma: uno de los principales datos que buscan de sus objetivos es la plataforma sobre la que trabajan (Windows, Linux, Novell, etc.). Esto se puede realizar mediante la utilización de técnicas de OS fingerprint | Banner Identification. Identificación de los servicios: otra información importante que buscan obtener los atacantes son los servicios que ofrecen los servidores objetivos. Esto se puede realizar mediante escaneadores de puertos (port-scanners) Identificación de las personas: empleados de it, jefes etc I N V E S T I G A C I O N Contramedidas: Como primer contramedida, es necesario restringir la información que se difundirá a través de los servicios de DNS y WHOIS. También se puede incluir filtrado de paquetes, para evitar la detección de la plataforma y los servicios y un Sistema de Detección de Intrusos (IDS) para detectar cuando se está produciendo un escaneo de puertos.
  12. 12. Investigación Fuga de información //INTRODUCCION I N V E S T I G A C I O N Banner Identification telnet 192.168.1.1 22 nc -v -n 192.168.27.1 22 wine sl.exe -v -b 192.168.27.1 xprobe2 192.168.27.1 amap -B 192.168.27.1 80 ingenieria_social -XD Target Enumeration nmap -sS -p 139 -O -D 24.213.28.234 192.168.27.1 Identificación de registros / dominios http://archive.org Identificación del Sistema Operativo Netcraft http://news.netcraft.com/ GFI LANguard N.S.S AutoScan (backtrack) Scanrand scanrand -b10M -N 192.168.27.1:80,25,22,443 rotex http://www.robtex.com/ maltego
  13. 13. Penetración Fuga de información //INTRODUCCION P E N E T R A C I O N En esta situación el atacante intentará acceder al objetivo. Para realizar este paso, utilizan diferentes técnicas: • Explotación de vulnerabilidades: existe algún producto instalado que permita la ejecución de código arbitrario. • Debilidad de contraseñas: una contraseña débil puede permitir el ingreso de intrusos. • Servicios mal configurados: un servicio que no esté adecuadamente configurado puede permitir que intrusos hagan uso abusivo del mismo, o incluso, que ejecuten código arbitrario.
  14. 14. Penetración Fuga de información //INTRODUCCION P E N E T R A C I O N Contramedidas • Explotación de vulnerabilidades: actualización constante del software instalado. • Debilidad de contraseñas: definir una política de contraseñas robusta. • Servicios mal configurados: revisar periódicamente la configuración de los servicios. Como contra-medida general, siempre tenemos que tener en cuenta al filtrado de paquetes y la revisión periódica de los archivos de logs para conocer los eventos que han sucedido en el sistema.
  15. 15. Persistencia Fuga de información //INTRODUCCION P E R S I S T E N C I A Una vez que un atacante ha logrado ingresar a un sistema, generalmente realiza actividades para evitar ser detectado y deja herramientas o puertas traseras en el sistema para poder mantener un acceso permanente. Para evitar ser detectado, en general un atacante busca los archivos de auditoría o log del sistema, para borrarlos o modificarlos ocultando su acceso y sus actividades. En Windows NT/2000, se puede realizar borrando el contenido del Visor de Sucesos :(. Contramedidas: Para evitar que un intruso elimine los archivos de log, se puede optar por mantenerlos guardados fuera del lugar donde se generan. Es complicado evitar la copia de archivos, pero puede detectarse la modificación de ellos. Existen herramientas que crean un hash de los archivos de sistema, y avisan al administrador en caso de detectar una modificación.
  16. 16. Expansión Fuga de información //INTRODUCCION Muchas veces, el objetivo final de un ataque no es el primer sistema atacado, sino que se utilizan varios saltos intermedios para lograr realizar un ataque sin ser rastreados. Esto puede generar que nuestro sistema sea víctima y a la vez sea atacante. Nuevamente, las contramedidas son el filtrado de paquetes, los sistemas IDS, y el control periódico de los archivos de log. E X P A N S I O N
  17. 17. Logro del Objetivo Fuga de información //INTRODUCCION En este punto podríamos decir que la tarea del intruso ha llegado a su objetivo. A partir de aquí, podemos esperar diferentes acciones por parte del intruso: L O G R O D E L O B J E T I V O Desaparecer sin dejar rastro Avisar al administrador que se ha ingresado al sistema Comentar los fallos de seguridad encontrados a sus colegas Hacer públicos los fallos de seguridad Vender información y/o botnets
  18. 18. Que es lo que pasa, cuando no le doy importancia a los detalles... Fuga de información //INTRODUCCION Cuando sucede un ataque muchas veces no se damos ni cuenta. Y buscamos responsables y causas para analizar porque fallaron. 1. El cliente es el primer testigoy la calidad del servicio disminuye. 2. Otras personas utilizan nuestro paquete de hosting, servidor, cuenta de : email , bancaria , tarjetas de creditos etc En resumen el sector de IT queda expuesto y se pierden clientes y potenciales negocios ya que los activos se ven involucrados y expuestos al mejor postor.
  19. 19. Tips para prevenir (Empresas) Fuga de información //INTRODUCCION Clasifique rigurosamente la información de su empresa y definir que se debe proteger * Patentes * Información personal delicada, como por ejemplo expedientes médicos * Contratos con terceros, nóminas, currículums de empleados * Números de tarjeta de crédito, operaciones bancarias en general. Cualquier empresa, por pequeña que sea, tiene información que no desea que llegue a sus competidores.
  20. 20. Tips para prevenir (Empresas) Fuga de información //INTRODUCCION SEGURIDAD FISICA Control de acceso al edificio, cerraduras en todas las puertas, cámaras de video vigilancia, extintores, uso de materiales ignífugos en suelos y techos, salidas de emergencia, concesión y revocación de tarjetas de acceso, tornos para controlar el acceso de los empleados de uno en uno ... y cualquier otra cosa de ésta índole que evite el robo o pérdida por accidente (incendio, terremoto, ...) de la información clave de la empresa. Hay que hacer especial hincapié en controlar el acceso físico a todos los datos críticos de la empresa, separándolos de los demás y permitiendo sólo su acceso a las personas responsables de ellos, siempre de una forma controlada y guardando un escrupuloso registro de cada acceso.
  21. 21. Tips para prevenir (Empresas) Fuga de información //INTRODUCCION SEGURIDAD LÓGICA Esto es lo que uno entiende por "seguridad" cuando habla de servidores, bases de dato, ... Una buena seguridad lógica debe controlar aspectos como una buena gestión de usuarios, hardening de los servidores, política de mantenimiento y parcheado de los servicios, topología de red, restricción de permisos ...
  22. 22. Tips para prevenir (Empresas) Fuga de información //INTRODUCCION COPIAS DE SEGURIDAD Un error muy típico en las empresas pequeñas es guardar las copias de seguridad de todas las bases de datos en un cajón sin cerradura, encima de un armario o en la mesa del administrador de la red, donde resulta facilísimo llevárselas a casa, copiarlas y volverlas a dejar en su sitio. No tiene ningún sentido establecer unos durísimos controles de seguridad lógica si luego dejamos los backups tirados encima de un armario. Como poco, las copias de seguridad deberían estar en un armario ignífugo cerrado, dentro de un despacho también cerrado. Debería hacerse un rigurosísimo control del acceso a las mismas. También es conveniente que estas copias no estuvieran en el mismo edificio que los servidores de la empresa, ya que pudiera haber una catástrofe (incendio, inundación) y se perderían tanto la copia como el original. Algunas empresas tienen el centro de backup en otra ciudad y graban los datos síncronamente a través de líneas dedicadas. Otro concepto importante a mencionar en este punto es la continuidad de negocio. Esto viene a ser un plan a seguir ante un desastre natural - pongamos que se quema el edificio. Debe existir un plan detallado que cubra el procedimiento a seguir para levantar el servicio (reinicio de servidores, en qué órden, cabinas de discos, comunicaciones, ...) y deben hacerse unas pruebas anuales de dicho plan, con su correspondiente informe. Todo esto lo piden en auditorías.
  23. 23. Tips para prevenir (Empresas) Fuga de información //INTRODUCCION MOVILIDAD DE USUARIOS En un mundo globalizado, donde nuestros usuarios se conectan con sus portátiles al CPD, cualquiera, desde cualquier lugar del mundo, puede estar robándonos datos. Debe existir un estricto control de quién puede conectarse y con qué medios. Debe garantizarse que lo hagan desde un sistema operativo que cumple unos requisitos (firewall, antivirus, parches de seguridad, ...),que se valida el usuario de forma segura (certificado + usuario/password), que todos los protocolos de conexión van cifrados. Pero el problema es que el usuario, desde casa, puede pinchar un pendrive y copiarse toda la información sin dejar casi ningún rastro. Así pues, ante la posibilidad casi nula de controlar lo que hace el usuario, debemos hacer que firme una política de buen uso, donde se especifique la limitación del uso de los equipos de conexión al trabajo, etc, etc ... Aparte de poner difícil que nos roben, nuestra preocupación debería ser que siempre quede rastro de las acciones de los usuarios, y más en un entorno móvil, y tener las herramientas legales necesarias para empapelarle (léase política de buen uso).
  24. 24. Tips para prevenir (Empresas) Fuga de información //INTRODUCCION REENVÍO DE FICHEROS POR MAIL Clásico entre los clásicos. Todo usuario puede enviarse documentos por correo, y no habrá ningún tipo de rastro de lo que ha enviado si le pone un nombre cualquiera y lo envía comprimido con contraseña (como mucho el tamaño, y también puede comprimirse junto a otro archivo inútil para variarlo). El acceso a los logs del servidor de correo no nos servirá de mucho en este caso.
  25. 25. Tips para prevenir (Empresas) Fuga de información //INTRODUCCION AUDITORÍAS OBLIGATORIAS : LOPD (Ley Orgánica de Protección de datos) La LOPD (Ley Orgánica de Protección de datos) se ocupa de velar por el derecho a la privacidad de las personas. Todas las empresas que manejen archivos (texto u ordenador) con datos personales tienen obligación de declarar estos archivos ante la AEPD (la Agencia de Protección de Datos) y de proteger dicha información. Como ejemplo de estos ficheros estaría el fichero de nóminas de la empresa y los historiales médicos de un hospital. La auditoría de la LOPD se encarga de revisar el entorno en el que se encuentran dichos ficheros así como la existencia de controles adecuados para garantizar que esa información se trata de forma segura. Se miran cosas como los usuarios que tienen acceso, las políticas de renovación de usuarios, los accesos remotos a la empresa, la auditoría de accesos a dichos ficheros, la descripción de ficheros temporales (papel u ordenador) ... y la existencia de una serie de procedimientos que describirían en detalle cómo se realizan todos estos puntos.
  26. 26. Tips para prevenir (Empresas) Fuga de información //INTRODUCCION AUDITORÍAS OBLIGATORIAS : PCI-DSS PCI-DSS se encarga de garantizar la seguridad de las operaciones realizadas con tarjetas de crédito. Esta auditoría trata de garantizar que todo punto por donde pasen tarjetas de crédito es seguro: seguridad física, cifrado de las comunicaciones, segmentación de la red, logs centralizados, gestión de usuarios y paswords, formación de empleados, existencia de WAPs, gestión de eventos de seguridad, detectores de intrusos, antivirus, ... y un larguísimo etc de cosas. La sanción por no pasar PCI-DSS es simplemente la retirada de los permisos de VISA, MASTERCARD, etc para procesar sus tarjetas (se les remite a ellos el resultado de la auditoría). Seguir estos tips y pasar estas auditorías no garantiza que nuestra información no sea robada, pero al menos existe un estandard que seguir que pondrá las cosas mucho más difíciles.
  27. 27. Tips para prevenir (Internauta) Fuga de información //INTRODUCCION Administrar de manera segura multiples contraseñas Keepass : http://keepass.info/ Verificar los certificados SSL , no validar certificados autofirmados porque si, ni usar ssl v2 ni v3 Navegar en internet de ser posible en la versión https de la web a visitar , instalar plugings http://enigform.mozdev.org/ https://www.eff.org/https-everywhere Greasemonkey + script redirect https NoScript + Config https No utilizar proxys anónimos, salvo que sean propios.
  28. 28. Tips para prevenir (Internauta) Fuga de información //INTRODUCCION Utilizar la pc como un usuario sin privilegios de administrador. Solo utilizar la maquina como administrador cuando se necesite realizar configuraciones e instalaciones de apps. Firewall local Politica Inbound: bloquear todo menos los puertos que se utilicen (80,443,53 etc según) Politica Outbound: bloquear todo menos los puertos que se utilicen (21,22,25,465,587,993,995 etc según)
  29. 29. Tips para prevenir (Internauta) Fuga de información //INTRODUCCION Antivirus : Instalar un antivirus que trabaje en base a heurística, los basados en firma son obsoletos y fácilmente burlados. No instalar plugings o aplicaciones addons para ver películas bajar / crakear programas etc , destinar una maquina física o virtual destinada para ver películas bajar musica etc. Utilizar los protocolos seguros para todos los servicios como por ejemplo pops imaps smtps https, scp en vez de ftp etc etc Sentido común y tener una maquina para probar cosas nuevas!
  30. 30. Clase de fraudes comunes Fuga de información //INTRODUCCION Pharming es la explotación de una vulnerabilidad en los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio a otra máquina distinta.
  31. 31. Clase de fraudes comunes Fuga de información //INTRODUCCION Phishing es un término que denomina un tipo de delito dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.
  32. 32. Fuga de información //INTRODUCCION
  33. 33. Clase de fraudes comunes Fuga de información //INTRODUCCION El SMiShing es el término que se le ha dado a un tipo de “Phishing” que se realiza por medio de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil. http://youtu.be/vC8HUruv_Qk
  34. 34. Cuando ya estamos hasta las manos como procedemos? Fuga de información //INTRODUCCION No hay recetas magicas, el ataque es mucho mas facil pero una vez infectado no se sabe por donde empezar para tapar el augero. Monitorear todo las actividades de un servidor (caidas de los sitios, cargas de cpu, colas de email, cantidad de logueos, cantidad de procesos, memoria utilizada, espacio en disco utilizado , que el sistema de logs este funcionando etc etc) Analizar todas las incidencias si o si! Ejemplo de estar hasta las manos :(
  35. 35. Fuga de información //INTRODUCCION Dudas? | Preguntas?
  36. 36. Gracias !!! Hasta la proxima.... Fuga de información //INTRODUCCION

×