Pacheco Cazadores Mitos Seguridad Informatica

Slide 1: 4to Seminario de Segu-Info Protegiendo mi Identidad Si no soy yo, ¿sos vos? Los Cazadores de Mitos de la Seguridad ALSO DERO F ERDA V Federico Pacheco Elitech – federicop@elitech.com.ar

Slide 2: 4to Seminario de Segu-Info Temario • Definiciones • Mitos sobre la protección por la conexión • Mitos sobre los Antivirus • Mitos y Hoaxes • Mitos sobre los Firewalls • Mitos sobre la Criptografía • Mito del usuario común • Mito de los Cajeros Automáticos • Mitos sobre los Backups • Mitos sobre la seguridad en el gobierno Norteamericano • Mito de las Fork Bombs • Mitos sobre “el dios” Google • Mito de los alcances del hacking • Mitos sobre la impunidad de los gobiernos y el • Mitos de la Seguridad Física uso de Internet • Mito del origen del bug informático • Mitos sobre la impunidad de las grandes • Mitos sobre Hotmail y MSN empresas • Mito del usuario de Linux • Mito del usuario engañado por Windows • Mito del usuario de Windows • Mitos del Análisis Forense Informático • Mitos sobre las Políticas de Seguridad • Mito de la solución de fallas en Linux • Mitos Históricos • Mitos sobre el panorama actual • Mitos sobre el Spam • Conclusiones • Mitos sobre la Seguridad Técnica • Referencias

Slide 3: 4to Seminario de Segu-Info Definiciones

Slide 4: 4to Seminario de Segu-Info Mitos sobre los Antivirus O ALSestá al día, no puede entrar ningún virus” F • “Mi antivirus – ¡Primero aparece el virus, y DESPUES la solución! O • “Los que ALS los virus son los mismos que hacen los F hacen antivirus” – ¡Claro! Y si trasciende la empresa pierde millones por imagen O • “Tener variosS FAL antivirus es la solución” – ¿Alguien testeó cada aplicación en relación con otra? ALSO • “No abro archivos adjuntos, estoy seguro” F – Un virus puede ingresar simplemente por estar online, por pendrives y por otros medios

Slide 5: 4to Seminario de Segu-Info Mitos sobre los Firewalls ALSO por Software, no corro peligro” F • “Tengo un Firewall – Ah… ¿Las aplicaciones no tienen errores? – ¿Y el resto de los peligros? ALSO • “Tengo un Firewall por Hardware, no corro peligro” F – Muy bien ¿Y que creen que hay dentro del hardware? – ¿Y el resto de los peligros? • “Combino software y hardware y me mantengo LSO AProblema solucionado” F actualizado. – Aparece mayor complejidad en el diseño del filtrado – Los ataques pueden aparecer por canales válidos

Slide 6: 4to Seminario de Segu-Info Mito del usuario común • “Mi PCALSO interesa a nadie, no hay peligro” F no le – Ok, la mía sola, no. Pero miles como la mía e infectadas formarían una perfecta red zombie – Como usuario corriente, soy una presa más fácil que una gran empresa – Con solo violar mi privacidad ya estoy expuesto a un ataque a mi identidad

Slide 7: 4to Seminario de Segu-Info Mitos sobre los Backups ALSO • “Mi backup está al día, puedo restaurar el F sistema sin peligro. Estoy seguro” – Los virus también pueden estar en los backups – El tiempo suele ser tirano al restaurar backups • “Hago backup de todo, si pasa algo lo tengo ALSO Puedo estar seguro” F resguardado. – ¿Lo pruebo cada tanto? – ¿Tengo definido un método de backup?

Slide 8: 4to Seminario de Segu-Info Mito de las Fork Bombs AL O • “Las fork bombsSson cosa del pasado” F – Mayo 2007: Tema candente en la blogosfera y Kriptopolis – En Linux (bash) • Ejemplo: “:(){ :|:& };:” • Prevención: limitar el número máximo de procesos por usuario – En Windows (BAT) :s start 0% goto :s

Slide 9: 4to Seminario de Segu-Info Mito de los alcances del hacking ERO RDAD electrónico es hackeable” VE • “Todo lo que sea – Enero 2008 • Grave fallo en routers hogareños. El exploit funciona incluso cuando el usuario ha cambiado la contraseña por defecto – Enero 2008 • Posibles vulnerabilidades las nuevas aeronaves Boeing 787 a través de las redes para pasajeros – Marzo 2008 • El gobierno holandés emite un aviso sobre un problema de seguridad del chip RFID de NXP Semiconductors. Existen más de 1.000 millones de tarjetas con este chip en todo el mundo. – Marzo 2008 • Aparecen pruebas de seguridad contra los marcapasos modernos basados en el control por RF – Marzo 2008 • A 8 meses de su salida, crackearon BD+ (sistema de protección de Blu-Ray) que se dijo que tardaría 10 años en romperse

Slide 10: 4to Seminario de Segu-Info Mitos de la Seguridad Física O • “Combinar protección S FAL física y electrónica es infalible” – “Scanner de huella dactilar de cerraduras y notebooks inviolables según su fabricante” • Se pudo violar utilizando un molde de la huella hecho en látex y en gel balístico • También se consiguió utilizando una fotocopia en papel blanco sobre el escáner – “Alarmas por sensor térmico para detectar personas en una habitación” • Se pudo violar el sistema visitiendo un traje ignífugo de bombero • También funcionó colocarse detrás de un cristal – “Alarmas con sensor de movimiento por ultrasonidos” • Se pudo violar el sistema utilizando una sábana que absorbía la señal del RF • También se pudo engañar al sensor moviéndose extremadamente despacio • Fuente: – Cazadores de Mitos (Discovery Channel, Episodio 59) – Agosto 2006

Slide 11: 4to Seminario de Segu-Info Mito del origen del bug informático ALSO • “Un fallo provocado por una polilla dentro una de las primeras computadoras F del mundo (Mark II - 1945) es el origen del término BUG” – Ciertamente una polilla quedó atrapada en un relé provocando un error de funcionamiento. Se lee: “1545 Relay #70 Panel F (moth) in relay. First actual case of bug being found” – Según el texto, el término “bug” para indicar errores ya existía – Este fue sin embargo el primer caso en que mencionaba un insecto de verdad – En un manual de electricidad de 1896 dice: “El término bug se utiliza para indicar un fallo en el funcionamiento de aparatos eléctricos” – Originalmente procedía de la telegrafía y también se utilizaba en las compañías teléfonicas para referirse al ruido en las líneas

Slide 12: 4to Seminario de Segu-Info Mitos sobre Hotmail y MSN ALSO F • “Hotmail se cierra” – ¿Quien cerraría un negocio tan grande y rentable? ALseO pago” F S hace • “Hotmail – Hotmail ya tiene un servicio pago (Windows Live Hotmail Plus) • “Hotmail esO ALS inseguro y fácil de hackear” F – Lo que es fácil de hackear son los usuarios, no Hotmail SO • “MSN se hace pago” FAL – La confianza de millones de usuarios por ser gratuito vale mas que el pago por un servicio • “Los sitios SO dicen quien nos borró o bloqueó en el MSN son reales” AL que F – Para ver quien nos borró, no hace falta ningún sitio especial – Ver quien nos bloqueó no es posible a ciencia cierta

Slide 13: 4to Seminario de Segu-Info Mito del usuario de Linux • “Estoy ALSO porque uso Linux” Fseguro – Linux también tiene bugs (y MAS que Windows) – Usar Linux no es lo mismo que usar BIEN Linux – La ingeniería social es independiente del S.O. – La falsa sensación de seguridad es mas peligrosa que cualquier amenaza

Slide 14: 4to Seminario de Segu-Info Mitos del usuario de Windows ALSO los parches, estoy seguro” F • “Tengo todos – No todos los ataques se producen por errores del sistema – A veces no está disponible el parche adecuado a tiempo AL O • “No usoSOutlook ni Internet Explorer, estoy seguro” F – Puede ayudar, pero también hay errores en otros

Slide 15: 4to Seminario de Segu-Info Mitos sobre las Políticas de Seguridad O • “En laFALS no necesito políticas, la seguridad es un tema técnico” empresa – Sin dirección ni objetivo, no hay criterios para resolver problemas técnicos – Las políticas de seguridad declaran la dirección de una organización para mantener la información segura y dictan el objetivo O FALS • “Políticas escritas. Trabajo finalizado” – Si las personas no saben acerca de ellas, su función y aplicación, son igual de útiles que el ángel guardián de los Kennedy – Es necesario tener estándares para explicar cómo se deben cumplir las políticas y reducir los tiempos de implementación – No se debe olvidar el análisis de riesgo

Slide 16: 4to Seminario de Segu-Info Mitos sobre el Spam ALSO es secreta. Estoy protegido.” “Mi F • dirección – El servidor de mail tiene mi dirección – Mis contactos tienen mi dirección – Cualquiera podría incluirme en cadenas, listas y suscripciones ERO RDAD VE • “Utilizo una dirección para recibir spam. Estoy mas tranquilo.” – Resuelve el problema de las verificaciones de existencia de cuenta – Puede canalizar mucho spam de manera eficiente ALSO protegido.” • “Mi proveedor de mail tiene sistema Antispam. Estoy F completamente – Muchos falsos positivos (listas, grupos) – En general solo se marcan los mails (**SPAM**, # Posible Spam #)

Slide 17: 4to Seminario de Segu-Info Mitos sobre el Spam DERO A “UtilizoRD E recepción con autorización inicial. Estoy protegido.” V • – Es muy tedioso al principio para todos los que nos escriben – Puede traer problemas con los sistemas automáticos de listas y suscripciones – Una vez autorizado, el filtrado es muy eficiente ALSO F • “Los captchas para evitar el spam en los sitios web son infalibles” – Febrero 2008 • En una semana cayeron los sistemas de captchas de Google y Windows Live Mail para evitar la creación de cuentas con bots – Investigación: http://www.websense.com/securitylabs/blog

Slide 18: 4to Seminario de Segu-Info Mitos de la Seguridad Técnica O los LS • “Solo FAexpertos son un problema para la seguridad” – El daño lo puede causar cualquiera que sepa utilizar: • Un Buscador (¿Google?) • Herramientas de enumeración (las hay online) • Un scanner de vulnerabilidades y puertos • Un framework de explotación de vulnerabilidades • “Estoy seguro, O FALS utilizo scanners de vulnerabilidades y no encuentro fallas” – Estas herramientas auditan respecto a una base de conocimiento – Existen otras técnicas de búsqueda de vulnerabilidades (Ej: Fuzzing) – La ingeniería social supera las barreras técnicas

Slide 19: 4to Seminario de Segu-Info Mitos sobre la protección por la conexión ALSO F • “Utilizo conexión Dial-UP, no debo preocuparme tanto” – Es cierto que los usuarios de banda ancha están mas expuestos – Sin embargo, en algún momento solo existían conexiones telefónicas, y también había intrusiones – Hay que tener mas precaución con las actualizaciones del sistema y antivirus (menos tiempo online) • “Estoy ALSO porque mi ISP me brinda protección” seguro F – ¿Delegarían totalmente su seguridad a un tercero? – Viendo la realidad, esos sistemas no parecen ser tan eficientes – ¿Es verdadera protección o un bonito truco de marketing?

Slide 20: 4to Seminario de Segu-Info Mitos y Hoaxes • Definición: Hoax – Mensaje de correo electrónico con contenido falso o engañoso – Normalmente parece provenir de una fuente seria y fiable • Objetivos: – Obtener direcciones de correo y datos personales – Confundir a la opinión pública – Otros tantos… • Primer hoax – Asunto: Good Times – Fecha: Diciembre 1994 (casi al tiempo del spam) – Tema: Alertaba sobre un supuesto virus que podía borrar el disco

Slide 21: 4to Seminario de Segu-Info Mitos y Hoaxes • Gatos Bonsai (Bonsai Kitten) • Sodium Laureth Sulfate en el Shampoo S • En Taiwan comen fetos humanos SO L • Llamadas de cierto número de teléfono para apropiarse de una línea FA • Ya eres HIV Positivo: jeringas infectadas en lugares públicos • Solidaridad con Brian • Ayuda a Cleto, el niño colombiano con "Elefantiasis Cumerdi" • Robo de órganos: despertar en una bañera con cicatrices • Saltemos todos para enderezar el eje de la tierra • Libro de geografía de USA enseña que el Amazonas es área internacional

Slide 22: 4to Seminario de Segu-Info Mitos de Hoaxes no tan míticos DEROAmazonas RDA • Deforestacion del VE – Lo negativo: Es cierto, pero hay formas más serias de protestar – Lo positivo: Al menos se genera conciencia – La organización Greenpeace lleva adelante diversas campañas DERO • Mujer nigeriana condenada a morir apedreada por estar embarazada soltera DA ER V – Lo negativo: El caso fue cierto, la protagonista era Safiya Tudu – Lo positivo: Safiya fue absuelta ese mismo año – La campaña oficial de Amnesty International finalizó en marzo de 2002

Slide 23: 4to Seminario de Segu-Info Mitos de Hoaxes Literarios ALSO F • El poema “Instantes” es de Jorge Luis Borges – Maria Kodama desmintió la autoría – Investigación de Iván Almeida: Borges Studies on Line. J. L. Borges Center for Studies & Documentation ALSO • El poema “La marioneta” es de Gabriel García Márquez F – El mismo García Márquez expresó en 1999: "Lo que más me puede matar es la vergüenza de que alguien crea que de verdad fui yo quien escribió una cosa tan cursi“ – García Marquez fue periodista, editor y escritor, pero NO poeta

Slide 24: 4to Seminario de Segu-Info Mitos sobre la Criptografía O • “El algoritmoFALS RSA, desarrollado en 1978, fue el primer sistema de cifrado asimétrico” – 1973: El matemático Clifford Cocks llegó a la misma conclusión que los creadores de RSA – Su trabajo fue considerado “alto secreto” por el gobierno británico y su contenido no se hizo público ni se patentó O • “Es seguro utilizar S y SHA-1 para verificar integridad de archivos” FALMD5 – 2005: Estudios de la Universidad de Shandong (China) demostraron que se pueden obtener colisiones fácilmente en algoritmos MD5 y SHA-1 • “Con el nivel de LSO A criptografía actual estamos seguros por años” F – Septiembre 2007: Investigaciones recientes revelan que con computadoras cuánticas ejecutando el algoritmo de Shor (demostrado por IBM) se podrían calcular claves públicas de algoritmos asimétricos

Slide 25: 4to Seminario de Segu-Info Mito sobre los Cajeros Automáticos ALSO • “Los cajerosFautomáticos son sistemas seguros” – Febrero 2008 • Un fallo técnico en los cajeros del Northern Bank (Irlanda) permitió a 7.500 clientes, durante 4 meses, retirar efectivo (más de medio millón de euros) que no se reflejó en sus cuentas • El problema se debió a una actualización mal realizada en la conexión entre los cajeros y el sistema nacional de procesamiento DERO RDA • “Algunos cajeros automáticos usan Windows” VE – Una imagen vale mas que mil palabras

Slide 26: 4to Seminario de Segu-Info Mito sobre los Cajeros Automáticos Un pop-up vale mas que mil palabras

Slide 27: 4to Seminario de Segu-Info Mito sobre los Cajeros Automáticos Febrero 2008: Red Link - Rosario (Santa Fe) Fuente: http://flickr.com/photos/bolche Un ejemplo Argentino vale mas que mil palabras

Slide 28: 4to Seminario de Segu-Info Mito sobre los Cajeros Automáticos Un Blue Screen vale mas que mil palabras

Slide 29: 4to Seminario de Segu-Info Mito sobre los Cajeros Automáticos Otro Blue Screen que vale mas que las otras mil palabras

Slide 30: 4to Seminario de Segu-Info Mitos sobre la seguridad en el gobierno Norteamericano ALSO • “Los sistemas de la Casa Blanca y el Pentágono son los mas seguros del mundo” F • Marzo 2008 – Por un problema en el filesystem de los mail servers de la Casa Blanca se perdieran un millón de mensajes en dos años y medio • Se atribuyó a la migración de Lotus Notes a Microsoft Exchange (2002) • En los ’90 un fallo similar hizo perder los emails enviados por gente cuyo nombre empezaba con “D” • Septiembre 2007 – El ejercito popular de liberación chino penetró en la red del Pentágono • Junio 2007 – Crackers provocan que 1500 máquinas del Departamento de Defensa queden inutilizadas • Fuentes – http://www.infobae.com - http://www.cnn.com - http://www.ft.com

Slide 31: 4to Seminario de Segu-Info Mitos sobre “el dios” Google Aes SO “Google L la empresa más cool de Internet” F • – Cada día crece más la percepción de que Google sabe demasiado sobre uno – Hace algunos años se acusaba a Microsoft de monopolizar, Google está haciendo lo mismo – Su colaboración con la censura de China no fue de agrado para la comunidad – Sus servicios individuales o combinados pueden ser peligrosos para nuestra privacidad • Google Desktop, Web Accelerator, GMail, Web History, iGoogle • Google Maps, Google Earth, Google Documents, Google Toolbar – Mantiene muchas empresas cautivas por medio de sus ganancias • Muchos negocios dependen del posicionamiento en su buscador • Mucha gente gana dinero por medio de Google Ads Además dan recomendaciones extremas sobre las contraseñas – Compró casi 40 empresas en 7 años – En síntesis • Googledependencia

Slide 32: 4to Seminario de Segu-Info Mitos sobre la impunidad de los gobiernos y el uso de Internet O R ADEevitar difundir imágenes de autoridades deVERD para • “El acceso a sitios de noticias y videos ha sido bloqueado por Beijing manifestaciones en el Tíbet” • Marzo 2008 – Las protestas han sido violentamente reprimidas por el ejército y la policía China, causando estupor a nivel mundial – Los videos en YouTube eran las únicas imágenes en las que se podían ver las disputas de Lhasa (capital del Tíbet) – China tiene largo historial de censuras a sitios de Internet • Fuentes – Google News, YouTube blocked in China amid Tibet riots (InfoWorld) – BBC Report on Tibet Protest 2008 (BBC via YouTube)

Slide 33: 4to Seminario de Segu-Info Mitos sobre la impunidad de las grandes O empresas R ADE VERD • “Sony/BMG coloca rootkits en sus CDs de música” • Septiembre 2007 – La empresa tenia antecedentes en distribuir rootkits como protección anticopia – F-Secure detectó que las memorias flash USM-F con lector de huellas digitales, instalan un driver que oculta una carpeta en el disco – Esta carpeta y los archivos no son visibles a las API comunes, pero sí a través de la línea de comandos. – Incluso pareciera poder ocultarse de los antivirus – También se publicó una comparativa entre este rootkit y el anterior • Fuente: http://www.f-secure.com/weblog/

Slide 34: 4to Seminario de Segu-Info Mito del usuario engañado por Windows DERO cuenta” “Windows hace cosas sin que RDA • E el usuario se de V • Septiembre 2007 – El portal Microsoft Watch ha revelado que Windows Update está actualizando algunos componentes sin notificar al usuario – Fuentes: http://windowssecrets.com - http://www.microsoft-watch.com • Noviembre 2007 – Bruce Schneier denuncia que el generador de números pseudo aleatorios “Dual EC DRBG” (basado en curvas elípticas) diseñado por NSA, presenta una debilidad utilizada como “backdoor” – Este algoritmo lo incorpora Windows Vista en el Service Pack 1 – Fuente: http://www.schneier.com/blog

Slide 35: 4to Seminario de Segu-Info Mitos del Análisis Forense Informático ALSO recuperar datos de la RAM” “Si apago la PC ya no F pueden • se • Febrero 2008 – Un estudio de la Universidad de Princeton explica que las memorias RAM no son tan volátiles – Según el estudio, se puede recuperar el contenido incluso varios segundos después de apagar un equipo • Fuente: http://citp.princeton.edu/memory • Datos recuperados de la RAM a 5, 30, 60 y 300 seg. de apagado

Slide 36: 4to Seminario de Segu-Info Mito de la solución de fallas en Linux DERO RDA • “En GNU/Linux los parches aparecen muy rápidamente” VE • Febrero 2008 – Grave problema de seguridad en el kernel de Linux – Distrowatch publicó un resumen con el tiempo de respuesta que de algunas distribuciones populares: • Debian 0 horas • Fedora 8 horas • Slackware 12 horas • Mandriva 19 horas • Red Hat / Ubuntu 27 horas • CentOS 37 horas

Slide 37: 4to Seminario de Segu-Info Mitos sobre el panorama actual • “No importa todo ALSO F esto, porque el panorama es alentador”

Slide 38: 4to Seminario de Segu-Info Un mito más y nos vamos… “Walt Disney LSO congelado” Aestá F

Slide 39: 4to Seminario de Segu-Info Conclusiones • Muchos mitos se basan en la opinión pública, que no es la mejor referencia en seguridad informática • Debemos tener cuidado con lo que proviene del “amigo de un amigo” • Siempre es bueno verificar las fuentes de información • Al final ya lo había dicho Shakespeare (1564-1616): – “Ser lo que soy, noSOnada sin la seguridad” es FAL

Slide 40: 4to Seminario de Segu-Info ¡Gracias por su atención!

Slide 41: 4to Seminario de Segu-Info Referencias Online • http://es.wikipedia.org • http://www.error500.net • http://www.barrapunto.com • http://www.rompecadenas.com.ar • http://www.kriptopolis.org

Slide 42: 4to Seminario de Segu-Info Licencia de uso: Creative Commons 2.5 Argentina http://creativecommons.org/licenses/by-nc-sa/2.5/ar/ Ud. puede:  Copiar, distribuir, exhibir, y ejecutar la obra  Hacer obras derivadas Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma especificada por el autor No Comercial. No puede usar esta obra con fines comerciales. Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta.