Conexión inversa. Análisis Forense en medios de pago.

760 views

Published on

Charla impartida por Pedro Sánchez de la empresa Conexión Inversa, en el evento "Asegura IT Camp2" que tuvo lugar los días 22, 23 y 24 de Octubre de 2010 en El Escorial

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
760
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Conexión inversa. Análisis Forense en medios de pago.

  1. 1. Anális is forens e en medios de pago E l mayor peligro de la red, es el us uario Técnicas de prevención y defensa
  2. 2. Agenda ● ¿Quienes somos? ● Estado actual ● La armada ● Caso: Ataque zulu ● Conclusiones
  3. 3. ¿Quienes somos?
  4. 4. ¿Quienes somos? Pedro Sánchez Zaragoza, SPAIN He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI y diversas metodologías de seguridad. También colaboro sobre análisis forense informático con las fuerzas de seguridad del estado y diversas organizaciones comerciales. También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret. Actualmente soy miembro de la Spanish Honeynet Project y trabajo en una gran organización como es ATCA
  5. 5. ¿Quienes somos? En el año 2001, se crea un equipo multidisciplinario con el objeto de reducir el fraude en las las nuevas tecnologías. Empezamos con una persona, aplicando controles, normas y metodologías. Ahora somos un conjunto de personas/áreas de la empresa, en todas las especialidades de la seguridad informática. Somos personas=profesionales. Lo que hacemos nos gusta, nada ni nadie nos impone (solo reportamos al Director General.)
  6. 6. ¿Quienes somos?
  7. 7. ¿Para quien trabajamos? ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales. Durante toda su trayectoria se ha destacado por su apuesta firme por la innovación, las últimas tecnologías y la inversión en proyectos de I+D+i, siendo una compañía pionera en el uso de Software Libre. La seguridad es una de sus máximas prioridades, lo que le ha llevado a convertirse en la primera entidad del sector financiero español en obtener la máxima certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC 27001. También dispone de la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría
  8. 8. Estado actual
  9. 9. La seguridad tradicional ha muerto  Desactivar servicios  Quitar paquetes innecesarios  Cambiar banners  Firewalls de red  HIDS (Host IDS)  ...
  10. 10. Si cambias tu banner...  Apache con PHP, windows con .asp …  Da exactamente igual
  11. 11. ¿IDS's & IPS's?  No queremos añadir un usuario a /etc/passwd  No queremos una shell  No nos interesa escanear la red
  12. 12. Solo queremos una cosa: 'Vuestro dinero'  TARJETAS DE CRÉDITO  COMPRAS FRAUDULENTAS  EXTORSIÓN
  13. 13. ¿Y que ahí de los XSS, SQL-i?  Auditorías trimestrales  Escaneo manual y automatizado de XSS, SQL- injection, ...  Lenguajes de programación cada vez más seguros  Firewalls de aplicación (WEB, FTP, …) en TODAS las entidades financieras  Mod-security  Juniper  ...
  14. 14. La seguridad tal y como la conocemos HA MUERTO SÓLO UN COMPLETO IGNORANTE INTENTARÍA ENTRAR EN UN BANCO
  15. 15. El usuario domestico...  SOFWARE PIRATA CON TROYANOS  0-DAYS (ADOBE, IEXPLORE, …)  EL PROPIO USUARIO
  16. 16. Nuevos troyanos  Keylogger, Captura imágenes  Consola de administración remota  Totalmente indetectables  Hechos por profesionales
  17. 17. ¿Es suficiente la seguridad actual de los usuarios?  Equipo actualizado  Software legal  Antivirus  Firewall  ...
  18. 18. ¿Quien es la victima más fácil?
  19. 19. 2.- Medidas actuales Medidas actuales en Banca Electrónica
  20. 20. ¿De verdad es suficiente?  Validación usuario/password  Teclados virtuales  Tarjeta de coordenadas  DNI-e  Tarjetas Chip (EMV)  Verificación por SMS, tokens, algún día ... Medidas actuales en BE
  21. 21.  Autopsy Case 1: Preguntale a Dimitri  Autopsy Case 2: Man in the mobile TRES Ejemplos REALES
  22. 22. Autopsy Case 2 El mito de dimitri
  23. 23. Case 1 •Autopsia del ataque: •PASO 1: 1.- El cliente hace 'click' en un vinculo sobre un falso correo 2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña 1 2 3.- El cliente introduce los datos y pulsa el botón enviar 4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo 3 4
  24. 24. Case 1 •PASO 2: 3.- El cliente recibe la página con sus datos y un campo más en el que le piden el DNI 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 4.- El cliente introduce los datos y pulsa el botón enviar 1.- El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente 1 2 4 5 5.- El malo envia el nuevo valor (dni) e intenta hacer una trasferencia automatica
  25. 25. Case 1 •PASO 3: 3.- El cliente recibe la página con sus datos y un campo más la solicitud de su token 2.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le sera mostrada con todos los datos del cliente 4.- El cliente introduce los datos y pulsa el botón enviar 1.- Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo 1 2 4 5 5.- El malo envia el nuevo valor (token) y realiza una transferencia automaticamente
  26. 26. Otras cosas que obtuvimos... Modificado Original
  27. 27. Otras cosas que obtuvimos... Modificado Original
  28. 28. http://www.misterdimitri.com
  29. 29. Man in the mobile
  30. 30. ● El atacante roba el nombre de usuario y contraseña en línea utilizando un software malicioso ● El atacante infecta el dispositivo móvil del usuario obligandole a instalar una aplicación maliciosa bajo su desconocimiento total. Este paso se realiza a través del envío de un SMS con un enlace malicioso al móvil. ● El atacante inicia la sesión con las credenciales robadas obligando a la autenticación a través de SMS. . ● Un SMS se envía al dispositivo móvil del usuario con el código de autenticación. El software malicioso intercepta el SMS y lo reenvía a otro terminal controlado por el atacante, sin dejar rastro de ello en el terminal de la víctima. ● El atacante se apropia del código de autenticación y completa la operación.
  31. 31. La armada
  32. 32. La armada ● Spectum: ● Servidor con relay abierto con una lógica que captura correos en formato raw para su posterior análisis en base a patrones. ● Ulises: ● Sonda espacial (araña) que busca en internet nombres de dominios iguales a los que protegemos en base a hash de imágenes. ● Perdido: ● Honeyweb, en base a un patrón de ataques a la página web entra el atacante en modo simulación.
  33. 33. La armada ● Arwen: ● Servidores con una base de datos de tarjetas de crédito ● Heracles: ● FTP's anónimos con objeto de recopilar lo que suben los usuarios o delincuentes ● Rare: ● Wifi abierta ● Odin ● Nodo de salida de TOR ● Zeus ● Proxy abierto
  34. 34. 348
  35. 35. passwords
  36. 36. Conclusiones
  37. 37. Conclusiones ● Por mucho que pongamos medios y seguridad en los sistemas de autenticacion seguimos pensando que el usuario está en IRAK (nunca sabes cuando te va a explotar) ● Tenemos un nuevo vector de ataque muy difícil de superar. (seguimos pensando) ● Aun con todo hay que ser proactivos y tener artes adivinatorias ● ¿Habrá que utilizar privilegios no administrativos en los móviles.? ● Los ciberdelincuentes van ganando, hay que retomar la seguridad y enfocarla a la conciencia
  38. 38. ● El hecho de disponer de sensores, nos ayuda en el arte de la predicción. ● No solo debemos de tener tecnología, si no disponer de capacidad analítica. ● Los clientes nos dan un buen 'feedback' ● Aumentemos la percepción de la seguridad en la sociedad
  39. 39. ¿Preguntas? pedro.sanchez@conexioninversa.com

×