peligros del mundo virtual

FORO:AMENAZAS REALESDELMUNDOVIRTUAL

YCÓMOMITIGARLAS

Miércoles 27de juliode2016

DAVIDPEREIRA

Miércoles 27 de julio de2016FORO:AMENAZAS REALESDELMUNDO

VIRTUAL YCÓMOMITIGARLAS

CEH,ECSA/LPT,CHFI,ENSA,ECSS,ECVP,CEI,QGSS,ECIH,EDRP,NFS,OPSEC,CICP,CCISO.

• +19AñosdeexperienciaenSeguridadInformáticayDFIR• HackerÉtico– Pentesterendiversasentidadesenelmundo,deámbitoscomoelFinanciero,Energético,Militar,Inteligencia,Diplomático,Minero,entreotros.

• Instructor/ConsultordeFuerzasdeCiberdefensa,FuerzasMilitaresyPolicía,envariosPaíses.

• ConferencistaInternacional

AGENDA– PrimeraSesión

FORO:AMENAZAS REALESDELMUNDOVIRTUAL YCÓMOMITIGARLAS

o Ciberseguridado TérminosComuneso Vectoresdeataquetécnico

o Phishing(RobodeClavesyDatosSensiblesenVivo)o InyeccióndeSQL(DemostraciónenVivo)o AtaquesWEBAvanzadosdelLadodelCliente(DemostraciónenVivo)o AtaquesaMóviles(CreacióndeMalwareparaAndroidenVivo)o InternetdelasCosas(AccesoaDispositivosenelMundoenVivo)

o VectoresdeataquesHumanos- Ingeniería social(demostracionesenvivo)o Hackeandoalhumanoo Programaciónneurolingüísticao Lenguajenoverbal

o Amenazasdealtoriesgo(demostraciónenvivo)o Malwareindetectable

Miércoles 27 de julio de2016

CIBERSEGURIDAD


Estrategias Políticas Estándares

SeguridaddelasOperacionesenelCiberespacio

ReduccióndeAmenaza

ReduccióndeVulnerabilidad DisuaciónAseguramiento

delaInfo.RespuestaaIncidentesResiliencia Recuperación

deDesastres


GLOSARIO



Ciberamenaza:Actividadmaliciosapotencialquepuedeocurrirenelciberespacio.

ElAtacantedebecontarcon:

Ciberataque:Asaltoqueaprovechauna vulnerabilidadenunsistema conectadoalCiberespacio.

Oportunidad Capacidad Intención

CONCEPTOS


Amenaza:Peligropotencialdequeocurraalgúneventoadversoquepuedaafectarlaprestacióndeunservicio.

Vulnerabilidad:Debilidadexistentepor:Diseño,Desarrollo,Implementación,Configuracióndeunaaplicaciónoservicioquepuedeseraprovechadaporunpotencialatacanteparatomarventajadeella.


CONCEPTOS


Ataque:AsaltodirectoaunsistemaosuscomponentesquepuedanafectarlaIntegridad,DisponibilidadoConfidencialidaddelainformación.

Malware:Tipoespecíficodesoftwarecreadoconpropósitosdañinos,maliciososeinclusoeconómicos.Ej.Ransomware,Rootkit,Troyano,Sparse,Oligomorficos.


EJEMPLOSDEVECTORESDEATAQUE


Phishing:Falsificacióndeunsitiowebconelobjetivoderecibirlasolicituddeloginoaccesodeunusuarioquehallegadoaélpormediodeunenlacemaliciosoenuncorreoelectrónicoounataquederedireccionamiento,afinderobarsuscredencialesoinformaciónprivilegiada.

InyecciónSQL(SQLi)AtaquequetomaventajadefallosenlaprogramacióndeunsitioWEBounaaplicación,pormediodelafaltadesanitizaciónenelinputdedatosenunsitiooporfallosdeverificaciónbooleanadelosvaloressuministrados.



AtaquesWEBdelladodelClienteMúltiplesataquespuedensergeneradoscontraelclientealnavegarunsitioWEB;algunosejemplosson:

Inyección(LDAP,SQL,Comandos)Ocurrecuandodatosnoconfiablessonenviadosaunintérpretecomopartedeuncomandooconsulta.Losdatoshostilesdelatacantepuedenengañaralinterpreteenejecutarcomandosnointencionadosoaccederdatosnoautorizados.




AtaquesWEBdelladodelCliente

XSSLasfallasXSSocurrencadavezqueunaaplicacióntomadatosnoconfiablesylosenvíaalnavegadorwebsinunavalidaciónycodificaciónapropiada.XSSpermitealosatacantesejecutarsecuenciasdecomandosenelnavegadordelavictimaloscualespuedensecuestrarlassesionesdeusuario,destruirsitiosweb,odirigiralusuariohaciaunsitiomalicioso.






XSS




CSRFUnataqueCSRFobligaalnavegadordeunavictimaautenticadaaenviarunapeticiónHTTPfalsificada,incluyendolasesióndelusuarioycualquierotrainformacióndeautenticaciónincluidaautomáticamente,aunaaplicaciónwebvulnerable.Estopermitealatacanteforzaralnavegadordelavíctimaparagenerarpedidosquelaaplicaciónvulnerableasumecomopeticioneslegítimasprovenientesdelavictima.





CSRF


SitioMalicioso.com

1.ElClientenavegaunsitioLegitimo

2.ElClientevisitaunsitiomaliciosogenerandounasesiónenotrapestaña.

3.Pormediodelasesiónestablecida,conelcliente,elsitiomaliciosoenvíapeticionesalsitiolegitimoennombredelavictima

SitioLegitimo.com




JavaScriptAlnavegarunsitio,seejecutandemaneraautomáticamúltiplescódigosdetipoScript.Estopuedeserutilizadoparagenerardiversosataques,desdecapturardatoshastaejecutarcomandosdeSistemaOperativoenlamáquinavíctima.





SessionFixationUnatacantepuedeenviarporcorreoelectrónicounasesiónpreviamenteestablecidaconunidgeneradoparaelatacanteycuandolavíctimahagaclicksobreelenlacevaaserdirigidoalsitiopararecibirsuscredencialesperovaaloguearseconeliddesesióndelatacante.





MalwareenDispositivosMóviles:

Casitodoelmalwaredemóvilesseorientaamonetización;Tenemos:

• TroyanosBancarios(CapturadeTAN)ej. Trojan-Spy.AndroidOS.SmsThief.fc• Ransomware• PublicidadAgresiva• ReempaquetadodeAplicaciones




InternetdelasCosas(IoT)

Lainsaciablenecesidaddeinterconectarnuestravidageneranuevosvectores:(SmartTV,RelojesInteligentes,CámarasWEB,etc.)

EstofacilitalavidadelosatacantesysesumaquelosdispositivosIoTnoestánorientadosalaSeguridadsinoalafuncionalidad,generandotráficosinencriptar,almacenamientoinseguro,funcionespordefecto,etc..


VECTORESDEATAQUEAHUMANOS


HackeandoalHumano

Lanaturalezadelaspersonasesconfiarlosunosenlosotros,ydeesosevalelaIngenieríaSocial,quepodemosdefinircomo:ElArtedelEngaño;Seutilizapararecabarinformaciónquenormalmenteunapersonanocompartiría.

AlgunasTécnicas:DumpsterDivingTailgatingPiggyBacking




ProgramaciónNeurolingüística(PNL)

Estastécnicassepuedenutilizarparatratarde:1.Detectarlaveracidaddelasrespuestasdeunapersona2.DeterminarelniveldeConvencimientoqueseestálogrando3.Influenciaralapersonaparalograrunobjetivo




ProgramaciónNeurolingüística(PNL)




LenguajeNoVerbalNuestrocuerpoyexpresionesnomienten!Pormediodeesteconocimientopodemosdeterminarfactoresdeconexiónodesconexióndeunapersonaparaconsuinterlocutor,nivelesdestress,comodidad,aprehensión,etc..

Sebasaenreaccioneslímbicasquenocontrolamosconscientemente.


AMENAZASDEALTORIESGO


MalwareIndetectableExistenmuchasamenazasdealtoriesgoparaunusuariofinal,peropensamosqueunadelasmáspeligrosasconsisteenelMalwarequeningúnmecanismodeAntimalwareodedetecciónestéencapacidaddecontramedirodetectar.

Tenemosmuchosejemplosdetécnicasavanzadasutilizadasparagenerarlaindetectabilidad,peromencionaremosalgunas:

1.Codificación,Ofuscación,Encripción2.SeparaciónEntreCabby,StubyPayload3.ShellScripting4.AntiHeurística5.AntiDebugging6.AltaLatencia


PREGUNTAS


DavidF.PereiraTwitter:@d4v1dp3r31r4Mail:[email protected]

Muchasgracias!!!!


AGENDASEGUNDASESION


• Antiphishingparatodos• Prevención deAtaquesDNS(ReflejadoyAmplificado)• DeteccióndeAtaquesWEBparausuariosfinales• DeteccióndeAtaquesWEBparaAdministradoresyWebmasters• DeteccióndeAtaquesdeDoSyDDoS• MitigaciónEfectivadeAtaquesDoSyDDoS• AntimalwareAvanzadoparausuariosFinales• AntimalwareAvanzadoparaTI• Phishing• InyeccióndeSQL


ANTIPHISHINGPARATODOS


ElPhishingcrecedíaadía,enunaprogresióngeométricaquetiendealinfinito;

Laúnicamaneraefectivadedefendernosesconcientizarnosydecidirnosernuncamásunavíctima;

TenemosciertosparámetrosquenospermitenidentificarelPhishingyalgunasherramientas.

QuedeboBuscar?(ValidezdelCertificadoSSL)

Herramientas:

NetcraftAntiPhishingToolbarPhishtank


PREVENCIONDEATAQUESDNS


ExistenmuchosataquescontralosServidoresDNS;

EntrealgunosdelosmáspeligrosostenemoselataqueReflejadoyAmplificadodeDNS:


AtacanteHacespoofdelaIPdela

VictimaBotnetdelAtacante

PeticionesPequeñas

OrigenFalso

RespuestasAmplificadasdelosOpenResolvers

ServidorVictima

PREVENCIONDEATAQUESDNS


PrevenciónyMitigación:

• NoRecursividadenNuestrosServidoresDNSAutoritativos

• VerificacióndeIpdeOrigen(AntiSpoofing)

• ListadeHostspermitidosodeconfianza

• ResponseRateLimiting


DETECCIONDEATAQUESWEBPARAUSUARIOS


NoessimpleparaunusuarioellogrardetectarqueestarecibiendounataqueatravésdeunSitioWEB;

NoobstanteexistenalgunasherramientasyprocedimientosquepuedendisminuirelnivelderiesgodelUsuario;entreotrostenemos:

• SuitedeSeguridad• SentidoComún• SiempreDesconfiar

Herramientas:

• NoScript• Ghostery• BetterPrivacy• AdBlocker


DETECCIONDEATAQUESWEBPARASYSADMINS


UnSysadmintienealamanoherramientasquepermitenincrementarsuniveldeseguridadydisminuirelnivelderiesgo;algunosejemplosson:

• WAF• RegladosdeDetecciónFuertes• IPSIDS• Logging• Correlacionamiento• SIEM• ProxyTerminacionSSL


DETECCIONDoSyDDoS


Tipos de Ataques DoS - DDoS

• TCP SYN Flood• TCP SYN - ACK Reflection Flood (DRDoS)• TCP Spoofed SYN Flood• TCP ACK Flood• TCP IP Fragmented Attack• HTTP and HTTPS Flood Attacks• INTELLIGENT HTTP and HTTPS Attacks • ICMP Echo Request Flood• UDP Flood Attack• DNS Amplification Attacks


MITIGACIONDoS- DDoS



SynProxy

SYNProxy

Syn

Syn/Ack

Ack

ClienteLegitimo

Atacante

Syn- Spoof

Syn/AckhaciaelSpoof

AggressiveAging

CierredelasSesionesnocontestadas

X

MITIGACIONDoS- DDoS


Source Rate LimitingCuando hay un número limitado de ips origen para una Botnet, ella puede utilizar sus IP para enviar paquetes con alta carga (agresivos).Estos paquetes consumen recursos del servidor; este tipo de ataques reciben el nombre de Multi-threaded

Mediante la identificación de valores atípicos en direcciones IP que rompen las normas, se puede denegar el acceso a ancho de banda excesivo.Como las direcciones IP en este tipo de ataques no son predecibles, es importante no perder de vista a millones de direcciones IP y su comportamiento para aislar a los valores extremos.Este aislamiento sólo se puede hacer en el hardware.


MITIGACIONDoS- DDoS


ConnectionLimitingDemasiadasconexionespuedencausarsobrecargaenunServidor.

Limitandoelnumerodesolicitudesdeconexionesnuevas,selepuededaralivioalServidor.

Estoselogradándolepreferenciaalasconexionesexistentesylimitandolassolicitudesdenuevasconexiones,permitiendounmejorusodelamemoriadelServidor


MITIGACIONDoS- DDoS


DynamicFilteringElfiltradoEstáticoesunatécnicacomúnenfirewalls,routers,etc..ysellevaacabopormediodeACL.

ElFiltradoDinámicoesrequeridocuandoeltipodeataqueylosatacantescambianconstantemente.

ElFiltradoDinámicoselograidentificandoloscomportamientosfueradelonormalycastigandoestecomportamientoporunperiodocortodetiempo,creandoreglasdeFiltradodecortaduraciónduranteelataqueyeliminándolasposteriormente.


MITIGACIONDoS- DDoS


GranularRateLimitingLosataquesDDoSsonimpredeciblesyenmuchasoportunidadessedirigenpormediodeBOTsyScripting;lospaquetesquelleganalServidorsondiferentesencadaocasión,;noobstantehaysimilitudesentrelospaquetesenunataqueindividual.LaTécnicaGRLidentificalastasasdetransferenciadeataquesanteriores;Losumbralessebasanencomportamientopasado,durantesesionesdeentrenamientoyseajustanadaptativamenteeneltiempo.LaGranularidadseaplicaaparámetrosdisponiblesenlasCapas3,4ylosencabezadosenlaCapa7;parámetroscomo:Origen,Destino,Puertos,MétodoHTTP,URL,Agentes,Cookies,HostReferrer


MITIGACIONDoS- DDoS


CountryBasedAccessControlLists(ACL)GranpartedeltráficoBotnetseoriginadesdeunnúmerolimitadodePaíses.EstosPaísesprobablementenoseanorigendetráficonormaldentrodelaOrganización;

PormediodeFiltrosbasadosenPaíses(IANA)sepuedereducirsignificativamenteeltráficoquerecibeelServidoryporendelaCarga,incluidotráficospoof.

EsrecomendablelaimplementacióndeestoscontrolesaniveldeHardwareynodeSoftwareportemasdedesempeño


MITIGACIONDoS- DDoS


DarkAddressScanPreventionLasdireccionesobscurassondireccionesipquenohansidoasignadasporlaIANA.(Bogon)CualquierpaqueterecibidodeunadeestasdireccionesnormalmenteestáasociadoaunataquequeinvolucraSpoofing.

• 108.8.180.1(whois- Info:IANAReserved)• 0.66.154.180(whois-Info:IANASpecialUse,RFC3330)• 248.4.49.192(whois-Info:IANASpecialUse,RFC3330)• 94.39.203.54(whois-Info:IANAReserved)


MITIGACIONDoS- DDoS



GeoDNSPermiteredireccionarlasvisitasdecualquierclientedeacuerdoallugargeográficoendondeestaposicionado

MITIGACIONDoS- DDoS



PiladeMitigaciondeDoS/DDoS

ANTIMALWAREPARAUSUARIOS


LosUsuariosnotienenqueestarindefensosanteelMalwareAvanzado;AlgunasRecomendacionesson:

• SentidoComún• SuitedeSeguridad• CiberHigiene• RevisióndeEnlaces• UsodeSandboxWEB

• https://www.virustotal.com/es/• https://virusscan.jotti.org/• http://www.threatexpert.com/submit.aspx

• NoPromiscuidad• HIDS/HIPS• FileIntegrityMonitoring/Verifying


ANTIMALWAREAVANZADOPARASYSADMINS



AniveldeTIpodemoscontarcon:

EndpointProtection(Symantec)ConsolaAntimalware(Symantec,Kaspersky,etc..)HIDS/HIPS(Consola)NIDS/NIPS(Consola)FileIntegrityMonitoring/Verifying(Tripwire)DetecciónAvanzada(Sandbox)(Symantec)

PROTECCIONSQLi



AlgunasrecomendacionesparaTIparaprotegersedelosataquesSQLi,son:

• UtilizarWAFycrearregladosfuertesenél• SymantecMalwareScan(IncluidoconelcertificadoSSL• AnálisisdeVulnerabilidadesSymantec(IncluidoconelCertificadoSSL)• PruebasEstáticasyDinámicasalcódigoFuentedelSitioweb• SanitizarelInputhaciaelSitio• DefensaenprofundidaddelaBasedeDatos

PREGUNTAS



DavidF.PereiraTwitter:@d4v1dp3r31r4Mail:[email protected]

Muchasgracias!!!!

peligros del mundo virtual

Technology