vulnerabilidades de los sistemas informáticos - … · de los sistemas informáticos formador...
TRANSCRIPT
1
Vulnerabilidades de los sistemas
informáticos
formador Ezequiel Llarena Borges
http://youtu.be/fDhAyoGALv4/
2
formador Ezequiel Llarena Borges
• Responsables de las vulnerabilidades que
afectan a los sistemas informáticos
• Debilidad en el diseño de los protocolos utilizados en las redes o No prevén situaciones anómalas o mal
comportamiento de alguna de las partes de la comunicación (DoS)
o Información sensible en texto plano (FTP, SMTP, Telnet)
o Security Not My Problem (SNMP)
3
• Errores de programación
• Configuración inadecuada de los sistemas informáticos
• Políticas de Seguridad deficientes/inexistentes
• Desconocimiento y falta sensibilidad de los usuarios y de los responsables de informática
• Disponibilidad de herramientas que facilitan ataques
• Limitación gubernamental tamaño claves criptográficas y a la utilización de este tipo de tecnologías
• Existencia de “puertas traseras” en los sistemas
• Descuido de los fabricantes
4
• Que afectan a equipos
• Que afectan a programas y aplicaciones informáticas
• Routers y cable-módems
• Cámaras web y servidores de vídeo
• Impresoras, escáneres, faxes…
• Teléfonos móviles y Smartphones
• Agendas electrónicas y tablets
5
• Sistemas operativos
• Servidores
• Bases de datos
• Navegadores
• Aplicaciones de ofimática
• Otras utilidades y aplicaciones informáticas
• Vulnerabilidades descubiertas en sus
productos
• Graves consecuencias a sus usuarios
• 2003 contra Microsoft vulnerable a virus
• Fallos masivos y en cascada en las redes
• Alertas de seguridad poco legibles para el
público general y elocuentes para los intrusos
6
• CERT: http://www.cert.org/
• CERT – INTECO: http://cert.inteco.es/
• SANS Institute: http://www.sans.org/
• OSSTMM (Open Source Security Testing Metodology Manual) http://www.isecom.org/osstmm/
• OWASP (Open Web Aplication Security Project) http://www.owasp.org/
formador Ezequiel Llarena Borges
7
• Conocer situación real de un sistema
• Mejorar su seguridad
• Verificar que los mecanismos de seguridad
funcionan correctamente
• Pueden establecer ranking en función de la
severidad
• Justificar la implantación nuevas de medidas
de seguridad
• Obtención de más recursos económicos
• Priorizar medidas a implantar en función de
las vulnerabilidades detectadas
• Selección de medidas basada en relación
coste/beneficio
8
• Parches del sistema operativo
• Seguridad del sistema de ficheros
• Cuentas y usuarios
• Servicios y aplicaciones instaladas
• Protocolos y servicios de red
• Control de acceso a los recursos
• Registros y auditorías de eventos
• Antivirus, cortafuegos, gestores backups
Revisión de
equipos y servidores
• Alcance y objetivos de las pruebas
• Conocimiento y experiencia del equipo que analiza las vulnerabilidades y realiza pruebas de intrusión en el sistema
• Aplicación de metodologías para realizar las pruebas
• Actualización periódica base datos vulnerabilidades
• Controlar y limitar riesgos derivados de las pruebas (disminución rendimiento equipos, DoS, exposición datos sensible)
• Pruebas periódicas o momentos puntuales
• Registras puntuaciones y resultados obtenidos para posterior análisis evolución seguridad
Aspectos importantes
9
• Elaborar una completa documentación o informe
Resumen ejecutivo Informe técnico detallado
Dirigido a personal no técnico Describa sistema objeto de estudio
Breve descripción trabajos realizados Recursos analizados y pruebas realizadas
Conclusiones gral. y recomendaciones Vulnerabilidades detectadas
Tratar no usar terminología técnica Medidas propuestas de mejora seguridad
Asegurar calidad pruebas realizadas y
evaluación por terceros
OSSTMM: Manual propuestas pruebas de auditoría técnica de seguridad
OWASP: Proyecto para evaluar seguridad aplicaciones web
NIST: Guía de pruebas de seguridad de red
CVE: Vulnerabilidades y Exposiciones Comunes (Publicación de Parches)
10
Evaluación de la
seguridad
TESTS DE PENETRACIÓN
(Herramienta Metodológica)
Tests de Penetración Externos
Tests de Penetración Internos
Evaluación de la
seguridad
Generación informes, análisis resultados, presentación de las conclusiones sobre la seguridad
Penetración, explotación huecos detectados
Detección y verificación vulnerabilidades en servidores estándar y aplicaciones propias
Averiguar tipo información susceptible de ser robada
11
Análisis de
vulnerabilidades
Realizados desde exterior de la red de la organización
Escaneo de puertos y detección
de protocolos utilizados
Análisis tráfico
cursado
Rango de direcciones
utilizado
Servicios ofrecidos
Política usuarios
passwords
Análisis de
vulnerabilidades
Realizados desde exterior de la red de la organización
Intentos conexión vía
Internet
Redes
Wifi
Intentos DoS
Explotación agujeros
seguridad conocidos
12
Análisis de
vulnerabilidades
Realizados desde interior de la red de la organización
Protocolos utilizados y servicios ofrecidos
Autenticación de usuarios
Políticas de contraseñas
Verificación seguridad lógica
(permisos y restricciones a los recursos software)
Análisis de
vulnerabilidades
Realizados desde interior de la red de la organización
Explotación agujeros de seguridad conocidos
Seguridad estaciones de
trabajo
Evaluación comportamiento antivirus y
otras herramientas
seguridad
Nivel detección intrusos
13
Herramientas comerciales y
freeware
NESSUS
SATAN
SPIKE ISS
NIKTO
Herramientas de evaluación de
vulnerabilidades
Nessus: Herramienta más utilizada, código abierto, soporte Linux y Windows
NMAP: Escanea puertos NMAP para descubrir servicios objetos de estudio
NASL: Lenguaje propietario para definir pruebas a partir base datos vulnerabilidades
CVE: Vulnerabilidades y Exposiciones Comunes (Publicación de Parches)
14
• Falsos positivos, hacen perder tiempo
• Falsos negativos, no se detectan algunos “huecos”, evitables si herramientas y bases datos vulnerabilidades actualizadas
• Impacto rendimiento del sistema, puede llegar a ralentizar de forma importante el sistema informático
Limitaciones y problemas
Herramientas de evaluación de
vulnerabilidades
• Replicar métodos de un posible atacante externo
• Sólo se dispone de información pública
• Identificar y explotar posibles agujeros seguridad
• Test penetración de aplicaciones
• Ataques simulados completos
Análisis de “caja negra”
• Equipo de auditoría dispone toda la información necesaria
• Configuración elementos de red
• Código fuente de las aplicaciones
• Documentación técnica sobre medidas seguridad implantadas
• Manuales de uso
• Archivos de configuración de servidores y aplicaciones
Análisis de “caja blanca”