tendencias en seguridad de la información -...
TRANSCRIPT
Tendencias en Tendencias en
Seguridad de la Seguridad de la
InformaciInformacióónn
Lic. Pablo MilanoCISSP / QSA / [email protected]
1 de Diciembre de 2010Asunción - Paraguay
Tendencias en Seguridad de la Información
AgendaAgendaAgendaAgenda
• Experiencias PCI en LATAM
• Desvanecimiento del Perímetro
• War Driving Asunción 2010
2222
Experiencias PCI en
Latinoamérica
3333
Cantidad de proyectos PCICantidad de proyectos PCICantidad de proyectos PCICantidad de proyectos PCI----DSS en clientes de CybsecDSS en clientes de CybsecDSS en clientes de CybsecDSS en clientes de Cybsec• Incluye auditorías, revisiones y análisis de GAP
Experiencias PCI en Latinoamerica
4444
Evolución de proyectos de PCI 2007-2010
05101520252007200820092010Trabajos RealizadosTrabajos en proceso
¿¿¿¿Con cuCon cuCon cuCon cuáááántos de los ntos de los ntos de los ntos de los íííítems cumplen las organizaciones?tems cumplen las organizaciones?tems cumplen las organizaciones?tems cumplen las organizaciones?
5555
Experiencias PCI en Latinoamerica
Evolución de cumplimiento promedio PCI-DSS
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
2008 2009 2010
Promedio de cumplimiento de
controles por año
6666
Experiencias PCI en Latinoamerica
Estado promedio de cumplimiento actual (por prioridad)
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
1 2 3 4 5 6
Promedio de cumplimiento por prioridades
(2010)
¿¿¿¿QuQuQuQuéééé es?es?es?es?• Escaneo automático de vulnerabilidades• Aplica a equipos externos del ambiente de tarjetas.• Lo debe realizar un proveedor homologado como “ASV”
Problemas habitualesProblemas habitualesProblemas habitualesProblemas habituales• Gran cantidad de falsos positivos• Informes “demasiado automáticos” sin análisis• Dificultad de las organizaciones en lograr un reporte “OK”
7777
Experiencias PCI en Latinoamerica
Escaneos ASV
Payment Application Data Security StandardPayment Application Data Security StandardPayment Application Data Security StandardPayment Application Data Security Standard• Standard de PCI para aplicaciones de pago• Empresas de desarrollo están en proceso de certificación• PCI SSC Mantiene lista de aplicaciones homologadas• Deadlines de marcas de tarjetas para compliance en 2012
8888
Experiencias PCI en Latinoamerica
PA-DSS
Ud está
Aquí
Asesoramiento Análisis GAP Certificación Compliance
Nuevas versiones de standardsNuevas versiones de standardsNuevas versiones de standardsNuevas versiones de standards
• El 28-OCT-2010 se publicó la versión 2.0 de PCI DSS y PCI PA-DSS• Las nuevas versiones serán efectivas el 1-ENE-2011• Incluyen cambios aclaratorios y de “evolución”.
Nuevo ciclo de vidaNuevo ciclo de vidaNuevo ciclo de vidaNuevo ciclo de vida
• Una versión nueva cada 3 años• Etapas de Feedback y revisión
9999
Experiencias PCI en Latinoamerica
PCI 2.0 (lo que viene… lo que viene…)
Ref: www.pcisecuritystandards.org
Desvanecimiento del Perímetro
10101010
Layout tLayout tLayout tLayout tíííípico de una redpico de una redpico de una redpico de una red• Redes internas y DMZs, saparadas por Firewalls de Internet (y del resto del mundo)• Concepto “intuitivo” de perímetro
11111111
Desvanecimiento del perímetro
Concepto tradicional del perímetro
Lan Interna DMZ
Perímetro
Internet /Redes externas
Servicios dServicios dServicios dServicios déééé ccccóóóómputo en la nubemputo en la nubemputo en la nubemputo en la nube
• Prestación de servicios informáticos a través de la red (Internet)
• Ubicación de los equipos “transparente” (remota)
• Hardware probablemente compartido con terceros
• Orientación a Servicios
• Software como Servicio (SAAS)
• Plataforma como Servicio (PaaS)
• Infraestructura como Sercicio (IaaS)
12121212
Desvanecimiento del perímetro
El “adentro” pasa “afuera”: La Nube
¿¿¿¿QuQuQuQuéééé pasa con mi perpasa con mi perpasa con mi perpasa con mi períííímetro?metro?metro?metro?
MotivaciMotivaciMotivaciMotivacióóóónnnn
• El ataque directo a los equipos se hace más complicado
• Firewalls, IDSs, IPSs, Parches, DMZs, etc.
• Tendencia en aumento: Ingeniería social al usuario final
• Eslabon más débil
• El usuario es “llave” para saltear el perímetro hacia adentro
IngenierIngenierIngenierIngenieríííía social tradicionala social tradicionala social tradicionala social tradicional
• Hacerse pasar por personal de sistemas
• Pedir usuarios y contraseñas, etc.
• Ya no es efectiva
• (los usuarios están “avivados”)
• Las técnicas de ingeniería social están mutando…
13131313
Desvanecimiento del perímetro
El “afuera” pasa “adentro”: Ingeniería Social 2.0
14141414
Desvanecimiento del perímetro
El “afuera” pasa “adentro”: Ingeniería Social 2.0
Nuevas tendencias en IngenierNuevas tendencias en IngenierNuevas tendencias en IngenierNuevas tendencias en Ingenieríííía Sociala Sociala Sociala Social
• Phishing Direccionado• A una organización específica• A clientes de un banco específico
• Aprovechamiento de eventos• Mundial de fútbol• Campañas de ayuda (ej: Mineros en Chile)
• Registración de dominios “estratégicos”• Similares a los utilizados por la empresa• Dominios utilizados internamente• Dominios simulando campañas de Marketing
• Combinación con otras técnicas• Utilización de redes sociales (ej: Grupos falsos)• Ingeniería social simultánea por varias vías• Vulnerabilidades del lado del cliente
A diario, se descubren y publican múltiples vulnerabilidades en distintas herramientas de software “de escritorio” que utiliza el usuario final
Y un largo etcétera…
Muchas de estas vulnerabilidades pueden ser explotadas para ejecutar código malicioso en las estaciones de trabajo de los usuarios
15151515
Desvanecimiento del perímetro
El “afuera” pasa “adentro” II: Client Side Attacks
Clientes de e-mail
Web Browsers
Procesadores de texto
Reproductores multimedia
Planillas de cálculo
Visualizadores PDF
Clientes de IM
Ejemplo de salto de perímetro con vulnerabilidades “client side”:
16161616
Desvanecimiento del perímetro
El “afuera” pasa “adentro” II: Client Side Attacks
1) El atacante envía un
archivo infectado con
un exploit al usuario
2) El usuario abre el
archivo y sin saberlo,
ejecuta el exploit
3) El exploit establece una
conexión saliente hacia
el atacante
4) El atacante toma
Control del equipo del
usuario
5) A través del usuario,
el atacante accede a los
servidores internos
17171717
Desvanecimiento del perímetro
Caso de estudio – Prueba de concepto
Caso Real (prueba de concepto)Caso Real (prueba de concepto)Caso Real (prueba de concepto)Caso Real (prueba de concepto)
• Ingeniería Social en marco de Pen Test (Abril 2010)
• Empresa argentina
• (Los nombres reales fueron reemplazados por confidencialidad)
• Combinación de varias de las técnicas mencionadas anteriormente
Organización: TUEMPRESA S.A
Dominio externos: TUEMPRESA.COM.AR
Dominio interno (AD): TUEMPRESANET
Info Adicional:
- Está implementando sistema WEB de soporte técnico
- Usuarios salen a internet via proxy autenticado
18181818
Desvanecimiento del perímetro
Caso de estudio – Prueba de concepto
Ataque 1Ataque 1Ataque 1Ataque 1
1) Se registró el dominio “tuempresatellevaalmundial.com.ar”
2) Se montó en dicho dominio, un sitio falso con el look&feel de la
empresa para registrarse por un sorteo por un viaje al mundial. (La
página solicitaba Log-In, simulando el “pop-up” del proxy)
3) Se envió un mailing masivo, también con el “look&feel” de la empresa,
invitando a los usuarios a acceder vía un link al sitio falso.
19191919
Desvanecimiento del perímetro
Caso de estudio – Prueba de concepto
TUEMPRESA S.A
Comunicación interna Argentina
20202020
Desvanecimiento del perímetro
Caso de estudio – Prueba de concepto
Ataque 1IAtaque 1IAtaque 1IAtaque 1I
1)Se registró el dominio “tuempresanet.com.ar”
2)Se montó en dicho dominio, un sitio falso con el “look&feel” de la
empresa con una simulación de un sitio de Help Desk (al igual que el
caso anterior, el sitio solicitaba Log-In
• helpdesk.tuempresanet.com.ar
3)Se tomó una muestra de números telefónicos y se llamó para hacer
una encuesta sobre el nuevo sistema de Help Desk
4)Cuando el usuario decía no conocerlo, se le pedía su e-mail para
enviarle mayor información
5)Por último se enviaba un e-mail falso, con links al sitio falso.
21212121
Desvanecimiento del perímetro
Caso de estudio – Prueba de concepto
TUEMPRESA S.A
Sitio Web falso de Help Desk
22222222
Desvanecimiento del perímetro
Caso de estudio – Prueba de concepto
Ataque 1II Ataque 1II Ataque 1II Ataque 1II
(simulación de client-side attacks)
1)Se generó una planilla de cálculos falsa llamada “sueldos_2010.xls”.
1)Al abrirla, se ejecutaba código que dejaba un “post” en un sitio Web (a
modo de prueba de concepto).
• Se incluia el nombre de PC y nombre de usuario
2)De dejaron 10 pendrives con este archivo “olvidados” en sitios
estratégicos
• Cafetería
• Baños
• Hall central de entrada
23232323
Desvanecimiento del perímetro
Caso de estudio – Prueba de concepto
ResultadosResultadosResultadosResultados
• Muestra total: 350 usuarios
• Más del 50% divulgaron sus contraseñas
• Durante 2 días, el “ataque” pasó desapercibido
• Usuarios abrieron la planilla falsa
• Desde equipos del trabajo
• Desde equipos de su casa
• Se obtuvo mucha información de la empresa
• Quejas sobre los diversos sistemas
• Nombres / versiones de aplicativos en uso
• Teléfonos, datos de contacto, más direcciones de mail.
War Driving Asunción 2010
24242424
Análisis de redes WiFi por diferentes zonas de la ciudad
25252525
War Driving Asunción 2010
Intro
1271 redes wifi detectadas
Tipo de encripción utilizado
26262626
War Driving Asunción 2010
Evolución
25%27% 27%
22%
Open WEP WPA WPA2
¿¿¿¿QuQuQuQuéééé nombre le ponen a las redes?nombre le ponen a las redes?nombre le ponen a las redes?nombre le ponen a las redes?• SSID (Service Set Identifier): Nombre identificador de una red WiFi• En base al relevamiento, los nombres más habituales son:
27272727
War Driving Asunción 2010
Top 10 SSIDs más comunes
#1 - default
#2 - linksys
#3 - dlink
#4 - airlive
#5 - kaiomy
#6 - hpsetup
#7 - belkin54g
#8 - trendnet
#9 - personal
#10 - gateway
¿¿¿¿Por quPor quPor quPor quéééé esto es relevante?esto es relevante?esto es relevante?esto es relevante?
Muchos sitios ofrecen redes abiertas de uso público
• Un restaurante, cafetería, heladería
• La recepción de un hotel
• Hasta lavaderos de autos
En la primer conexión podemos guardar la información de la red
¿Qué pasa si aparece otra red, con el mismo nombre de una de las que
tengo “guardadas”?
28282828
War Driving Asunción 2010
Redes furtivas (SSID Spoofing)
SSID Spoofing:SSID Spoofing:SSID Spoofing:SSID Spoofing:
• Consiste en instalar un “Access Point” malicioso, que se hace pasar
por otro (Ej: una de mis redes almacenadas).
• El AP furtivo puede “atacar” al cliente Wifi de distintas formas
• Espiando la conversación
• Enviando contenido falso (ej: exploits)
• Redirigiendo los pedidos a sitios maliciosos
• Existen herramientas en el mercado
• Karmetasploit
• Airbase-ng
• Razón de escaneos de redes Wifi PCI
29292929
War Driving Asunción 2010
Redes furtivas (SSID Spoofing)
Ejemplo de ataque con “SSID Spoofing”
30303030
War Driving Asunción 2010
Redes furtivas (SSID Spoofing)
Yo soy:• linksys• default• wifi• home• estudio
Conectado automáticamente a “linksys”
Redes conocidas:• Miempresa• linksys• dlink
www.google.com???
Si si, acá está…
31313131
War Driving Asunción 2010
Recomendaciones
En general:En general:En general:En general:
• Saber que estos ataques existen
• Configurar conexión automática únicamente a redes propias
• Mantener los parches y antivirus al día
En casa / Oficina:En casa / Oficina:En casa / Oficina:En casa / Oficina:
• Utilizar redes con encripción WPA2
• Utilizar SSIDS no predecibles
• No difundir SSID
Al utilizar redes pAl utilizar redes pAl utilizar redes pAl utilizar redes púúúúblicasblicasblicasblicas
• Utilizar únicamente si sabemos de quien es
• No engancharse a redes abiertas “buena onda”
¿Preguntas?