Vous êtes sur la page 1sur 41

COMISARIA GENERAL DE POLICA JUDICIAL U.D.E.F.

CENTRAL BRIGADA DE INVESTIGACIN TECNOLGICA

Inspector Jorge Martn Garca Jefe del Grupo de Seguridad Lgica

El avance de la tecnologa y el desarrollo de la web han supuesto grandes ventajas para el usuario y nos permiten hacer cosas que hasta hace muy poco eran impensables. Podemos comunicarnos en tiempo real con personas que estn en el lado opuesto del planeta, obtener cualquier informacin de forma instantnea y utilizar servicios como la banca online o el comercio electrnico.

Este desarrollo ha alcanzado todas las facetas de la actividad humana. Podemos pagar nuestros impuestos, sacar entradas para el cine, hacer la compra, consultar las notas de un examen
BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

El numero de usuarios de Internet se incrementado un 300% en los ultimos 8 aos.

ha

Un 22% de la poblacin mundial son usuarios de Internet, mas de 1.400 de los 6.600 millones de habitantes.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Los 5 TLDs mas importantes concentran mas de 106 millones de dominios activos.
BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Segn algunos estudios en el ao 2.015 el trafico total de Internet podra alcanzar un ZETTABYTE.
BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

La Web sigue siendo uno de los servicios mas utilizados, solo superado por el P2P. Se observa una tendencia de fuerte crecimiento de los servicios basados en video.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Pero este avance no esta exento de peligros por lo que debemos adoptar una serie de medidas de seguridad.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Que es la seguridad? La seguridad informtica se encarga de la identificacin de las vulnerabilidades de un sistema y del establecimiento de contramedidas que eviten que las distintas amenazas posibles exploten estas vulnerabilidades.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Conceptos Bsicos
Vulnerabilidad.
Punto o aspecto del sistema o sus aplicaciones que es susceptible de ser atacado o de daar la seguridad del mismo. Representan las debilidades o aspectos falibles o atacables en un sistema informtico.

Amenaza.
Posible peligro para el sistema. Puede ser una persona (hacker), un programa (virus, caballo de Troya, ...), o un suceso natural o de otra ndole (fuego, inundacin, etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del sistema.

Contramedida.
Tcnicas de proteccin del sistema contra las amenazas.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

CARACTERISTICAS A GARANTIZAR

Seguridad Informtica

Disponibilidad
El sistema se mantiene funcionando eficientemente y es capaz de recuperarse rpidamente en caso de fallo.

Integridad
Permite asegurar que no se ha falseado la informacin, es decir, que los datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que se haya producido ninguna modificacin.

Confidencialidad
Capacidad del sistema para evitar que personas no autorizadas puedan acceder a la informacin almacenada en l.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Seguridad Informtica
OTROS ASPECTOS

Autenticidad
Permite asegurar el origen de la informacin. La identidad del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser.

Consistencia
Asegurar que el sistema se comporta como se supone que debe hacerlo con los usuarios autorizados

Aislamiento
Regular el acceso al sistema, impidiendo que personas no autorizadas entren en l.

Auditoria
Capacidad de determinar qu acciones o procesos se han llevado a cabo en el sistema, y quin y cundo las han llevado a cabo.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

PRINCIPIOS FUNDAMENTALES

Seguridad Informtica

Principio de menor privilegio


Cualquier objeto (usuario, administrador, programa, sistema, etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno ms.

Principio del eslabn ms dbil


En todo sistema de seguridad, el mximo grado de seguridad no es la suma de toda la cadena de medidas sino el grado de seguridad de su eslabn ms dbil.

Punto de control centralizado


Se trata de establecer un nico punto de acceso a nuestro sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por l. No se trata de utilizar un slo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

PRINCIPIOS FUNDAMENTALES

Seguridad Informtica

Seguridad en caso de fallo

Este principio afirma que en caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro.
Cualquier mecanismo de seguridad que establezcamos puede ser vulnerable si existe la participacin voluntaria de algn usuario autorizado para romperlo. Mantener las cosas lo ms simples posibles, las hace ms fciles de comprender mientras que la complejidad permite esconder mltiples fallos.

Participacin universal

Simplicidad

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

TIPOS DE ATAQUES

Ataques contra la Disponibilidad


Denegacin de Servicios DOS, DDOS

Ataques contra la Integridad


Defacement.

Ataques contra la Confidencialidad


Fuerza Bruta, Robo de Credenciales, Robo de cookies, Robo de informacin tcnicas de inyeccin.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Denegacin de servicio
Ataque DOS: Colapsar un sistema sobrecargndolo de peticiones, de forma que sus usuarios legtimos no puedan acceder. Ataque DDOS: es un ataque DOS distribuido. Se usan mltiples equipos zombis que lanzan el ataque simultneamente.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Hacker

Botnets
El termino botnet hace referencia a una red de bots (originalmente robots de IRC que simulaban una identidad dentro de un canal).

Internet

Zombie

Servidor Victima ` Zombie Zombie

Sus funciones originales eran el control de canales y la simulacin de participantes en juegos multijugador. Actualmente se usan esencialmente para Ataques de DDoS, envo de (SPAM), alojar herramientas y componentes destinados al fraude (Phising), manipulacin de encuestas, votaciones y juegos online y distribucin de malware.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Algunas Cifras:
Un estudio de Honeynet.org, especialistas en el seguimiento de redes automatizadas de mquinas comprometidas, efectuado entre Noviembre de 2004 y Enero de 2005, monitoriz ms de 100 botnets diferenciados, alguno de ellos con ms de 50.000 mquinas "zombie" comprometidas. Se llegaron a censar ms de 226.000 direcciones IP distintas por canal auditado.
Durante ese periodo de tiempo se detectaron 226 ataques DDOS contra 99 objetivos diferentes.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Defacement.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Motivo de los Ataques.


Web Application Security Consortium (WASC) The Web Hacking Incidents Database Annual Report 2007

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Metodo de Ataque
Web Application Security Consortium (WASC) The Web Hacking Incidents Database Annual Report 2007

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

The Open Web Application Security Project (O.W.A.S.P)


El proyecto OWASP comenz en septiembre de 2000 . Su misin consiste en crear una comunidad abierta en la que se puedan elaborar documentacin y herramientas relacionadas con la seguridad de las aplicaciones web y promover su difusin. http://www.owasp.org/ http://www.owasp.org/index.php/Spain

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Documentos O.W.A.S.P.
La lista OWASP Top Ten representa un resumen de las vulnerabilidades ms criticas y a la vez ms comunes existentes en aplicaciones web. http://www.owasp.org/documentation/topten

La gua OWASP Guide to Building Secure Web Application and Web Services es un manual para disear, desarrollar e implantar aplicaciones web seguras. http://www.owasp.org/documentation/guide

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

El TOP-TEN de O.W.A.S.P.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

El TOP-TEN de O.W.A.S.P.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Cross Site Scripting (XSS)


El Cross site scripting, tambin conocido como XSS, es un tipo de inyeccin HTML que se produce cuando una aplicacin toma datos introducidos por el usuario y los enva al navegador sin validarlos o codificarlos. El script malicioso suele estar construido en JavaScript pero existen variantes en otros lenguajes de script.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Cross Site Scripting (XSS)


Permite al atacante ejecutar cdigo en el navegador de la victima. Sus finalidades pueden ser: Desfigurar una web (Deface) Insertar contenido inadecuado. Robo de sesiones Ataques de suplantacin (Phising) Tomar el control del navegador

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

EJEMPLOS DE XSS
<script>alert()</script> <script src=http://server/file> </script> <img src=http://server/file></script>

Podemos ver mas en: http://ha.ckers.org/xss.html

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Soluciones.
Validacin de entrada:
Usar un mecanismo de validacin de entrada que compruebe longitud, tipo, sintaxis de todos los datos de entrada antes de ser mostrados o almacenados.

Codificacin de salida:
Codificar los datos de forma apropiada. (ej, HTML Entities o MS Anti XSS library) de modo que no puedan llegar a mostrarse o almacenarse en forma ejecutable.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Tecnicas de Inyeccin
. El uso de particularmente muy frecuentes de seguridad en tecnicas de inyeccin, la inyeccin de SQL, son en todo tipo de incidentes aplicaciones web.

Ocurre cuando los datos proporcionados por el usuario se envan a un interprete como parte de un comando o consulta sin validarlos.

El atacante puede manipular la entrada para forzar al interprete a ejecutar otras consultas extrayendo o modificando los registros de la base de datos.
BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Ejemplos de SQL Inyection


OR 1=1
;UPDATE usuarios SET (password) VALUES (md5 (mipass)) where user=admin

EXEC master..xp-cmdshell cmd

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Soluciones.
Validacin de entrada: Comprobar longitud, tipo, sintaxis de todos los datos de entrada antes de ser mostrados o almacenados.
Permitir los mnimos privilegios necesarios a las aplicaciones que conectan a bases de datos. Evitar mensajes de error detallados.

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Ejecucin de ficheros maliciosos


Una aplicacin vulnerable a la inclusin remota de ficheros (RFI) permite al atacante incluir cdigo hostil que produce ataques devastadores que muchas veces culminan con el compromiso total del servidor. Este tipo de ataques afecta a fundamentalmente a PHP y XML pero es posible en cualquier infraestructura que acepte ficheros del usuario.
BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Perdida de informacin y manejo inadecuado de errores.


Las aplicaciones pueden mostrar de forma no intencionada informacin sobre la configuracin de las aplicaciones o procesos internos de las mismas al producirse ciertas condiciones, como puede ser un error. Esta informacin puede ser aprovechada por el atacante para llevar a cabo otros ataques mas sofisticados.
BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

BRIGADA DE INVESTIGACIN TECNOLOGICA

CONSEJOS GENERALES
Deshabilitar servicios y cuentas no utilizados. Actualizacin de S.O. y aplicaciones (parches). Uso de buenas contraseas. Utilizacin de Firewalls Chequeo de integridad de aplicaciones y S.O. Back-ups peridicos. Anlisis peridico de logs, monitorizar y graficar estadsticas. Auditar con escaners de vulnerabilidades Consultar Listas de vulnerabilidades Limitar y controlar uso de programacin del lado del cliente (javascript) Desactivar informacin de errores Limitar tiempo querys Desarrollo seguro de aplicaciones web. Encriptacin del trfico

BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

CONTACTO
BRIGADA DE INVESTIGACIN TECNOLGICA Grupo de Seguridad Lgica C\ Julian Gonzalez Segador s/n 28.043 Madrid Tfno. 91/582.27.52 Fax. 91/582.27.56 Web: http://www.policia.es/bit/index.htm E-mail: delitos.tecnologicos@policia.es seguridad.logica@policia.es
BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA

Vous aimerez peut-être aussi