Madrid, octubre de 2005

SIN CLASIFICAR

Presentacin

FORO: V Jornadas Internet de Nueva Generacin SESIN: Seguridad en Internet

que estn sometidos los Sistemas de las TIC en Internet y las medidas para contrarrestarlas.

OBJETIVO: Describir las amenazas y vulnerabilidades a PONENTE:

- Pablo Lpez - Centro Criptolgico Nacional

FECHA: 18 de octubre de 2005

SIN CLASIFICAR

ndice * Introduccin * Amenazas y Vulnerabilidades * Internet

Spyware Correo Basura (Spamming) Fraude (Phising / Pharming) Zombies-Botnets

* Medidas de Seguridad * Conclusiones

SIN CLASIFICAR

Introduccin
La proteccin de los Sistemas de las Tecnologas de la Informacin y Comunicaciones (TIC) es una actividad crtica en la consecucin de los objetivos de una Organizacin debido a la importancia que tiene la informacin que manejan dichos Sistemas

SIN CLASIFICAR

Los Nuevos Parmetros

El Conocimiento. Las Telecomunicaciones. Los Sistemas de Informacin.

SIN CLASIFICAR

Seguridad de las TIC

Personal

Informacin

Material

Instalaciones Actividades

En la mente de las personas

En un papel

En un sistema de informacin

STIC
Seguridad Personal Seguridad Documentacin

SIN CLASIFICAR

Problemtica

La informacin se almacena en forma compacta y puede ser recuperada, copiada, transmitida o manipulada de forma rpida y clandestina. La informacin es accesible desde terminales situados lejos del entorno fsico donde se encuentra situado el servidor. La naturaleza electrnica del sistema genera radiaciones electromagnticas comprometedoras no intencionadas que pueden ser recogidas desde el exterior (TEMPEST). Se hace difcil implementar la necesidad de conocer.

SIN CLASIFICAR

Amenaza y Vulnerabilidad

informacin sufra una prdida de confidencialidad, integridad y disponibilidad. Sistema o falta de control en las medidas de seguridad implementadas que permitira o facilitara que una amenaza actuase contra un activo. utiliza para cuantificar el dao (probable) que puede causar la amenaza.

Amenaza: Cualquier circunstancia susceptible de lograr que la

Vulnerabilidad: Es la existencia de lagunas o debilidades en el

Riesgo: Probabilidad de que la amenaza acte sobre el activo. Se

SIN CLASIFICAR

Riesgo Residual
valor valor
m ide el inters de los

activos activos

se m aterializan sobre los

am enazas am enazas

sufren una perm iten estim ar el

degradacin degradacin

causan una cierta ocurren con una cierta

im pacto im pacto

perm iten estim ar el

frecuencia frecuencia

riesgo riesgo
m itigan el

lim itando el perjuicio de form a correctiva

salvaguardas salvaguardas
lim itan el riesgo a un valor

lim itando la ocurrencia de form a preventiva

riesgo residual riesgo residual

SIN CLASIFICAR

El Intruso est Dentro

La concienciacin del personal es primordial, los empleados constituyen una de los elementos fundamentales dentro de la arquitectura de seguridad de la Organizacin y tienen que asumir esa responsabilidad

un empleado puede convertirse en una amenaza para la seguridad

Importancia del Factor Humano

El 60 % de los problemas de seguridad son internos a la Organizacin.

SIN CLASIFICAR

Importancia del Factor Humano

- Usuario amigo o enemigo? - Usuarios, principal razn para tener un Sistema. - Los propios empleados de una Organizacin representan
una amenaza significativa y poco considerada.

- Los agentes internos son responsables de la mayora de las

prdidas econmicas.

- La

amenazas internas completamente.

no

sern

nunca

eliminadas

SIN CLASIFICAR

Importancia del Factor Humano

- Usuario amigo o enemigo? - Acuerdos de confidencialidad, seleccin rigurosa y la
inclusin de la seguridad como responsabilidad contractual constituyen buenas prcticas.

- El personal debe conocer los riesgos y sus consecuencias. - Los responsables del Sistema deben saber que hacer y a
quin informar, en todo momento, en caso de incidente. tareas crticas de la Organizacin.

- Seguimiento/control del personal que debe cubrir las

SIN CLASIFICAR

Amenazas a las Transmisiones

Lneas de Comunicaciones
- Equipos de Comunicaciones (Telfono / Fax / Datos) - Lneas Telefnicas
En el domicilio / oficina En el edificio / calle En la central telefnica Enlaces Telefnicos Satlite / Radio enlaces (en desuso) Fibra ptica / Cable Submarino

Telefona Mvil Redes de Ordenadores

- LAN / WAN / INTERNET - WMAN (WIMAX) - WLAN (WIFI) - WPAN (Bluetooth)

Redes Inalmbricas

SIN CLASIFICAR

Internet
ISP SERVICIOS

ACCESO

COMUNICACIN

IP (198.23.55.255) Fecha y Hora

Acceso Web Chat Foros Telefona Mail Comercio electrnico Consultora ...

SIN CLASIFICAR

Software Daino
(Malware)

Programas que realizan acciones maliciosas/negativas para el usuario sin su consentimiento

Virus

- Programas con capacidad de replicacin, cuya actividad se

hace patente.

Gusanos

Caballos de Troya

- Programas autocontenidos con capacidad de propagacin. - Programas que realizan actividades ocultas para el usuario
o Sistema donde se ejecutan.

SIN CLASIFICAR

(AdwareSpywareStealers)

Espas

Spyware es todo aquel software utilizado con objeto de rastrear, identificar y perfilar las actividades de los usuarios sin su consentimiento Suelen instalarse con alguna utilidad gratuita. Integrados en programas originales. Son discretos, no llaman la atencin. Recopilan informacin del usuario.

Envan toda la informacin obtenida.

Pginas que visitan. Horarios de conexin. Servidores donde se conectan. Software instalado.

SIN CLASIFICAR

(AdwareSpywareStealers)

Espas

Entre los programas espas se pueden encontrar diversas familias Cookies

hbitos de utilizacin por parte de los usuarios. Adware - Programas que instalen componentes en el ordenador para registrar la informacin personal del usuario. Monitores del Sistema - Programas que capturan todo aquello que el usuario realiza en su ordenador almacenndolo cifrado o envindolo automticamente. Caballos de Troya - Autntico malware: acceso remoto, instalacin automtica de programas, cifrado de discos, destruccin de archivos, ...

- Las cookies permiten identificar las reas de inters y los

SIN CLASIFICAR

Correo Basura
(Spamming)

El spam consiste en el envo masivo de mensajes electrnicos no solicitados. Adems del correo electrnico, otras tecnologas objeto de spam incluyen grupos de noticias, motores de bsqueda,

- El spam tambin aparece en telfonos mviles (SMS/MMS), fax

y sistemas de mensajera instantnea. cuenta origen de los mensajes.

- Los spammers actan sobre el protocolo SMTP modificando la - Los spammers buscan y hacen uso de Sistemas vulnerables (mail
relays y servidores proxy abiertos) y utilizan cada vez ms las redes de ordenadores infectados (botnets). estaban clasificados como spam.

- En mayo de 2004, ms del 80% de todos los e-mails en US

SIN CLASIFICAR

Fraude
(Phising)

Phising es un ataque de ingeniera social a travs de correo electrnico o mensajera instantnea caracterizado por intentos fraudulentos de adquisicin de informacin sensible mediante suplantacin

- Phising se basa en la capacidad innata de las personas a revelar

cualquier informacin que se les pregunte. o el fax.

- ltimamente, se han detectado vas alternativas como el telfono - Normalmente se utiliza con fines delictivos, duplicando pginas
web de entidades financieras de renombre.

- El mensaje pedira que la vctima revelara su contrasea con

variadas excusas como la verificacin de la cuenta o confirmacin de la informacin de la facturacin.

SIN CLASIFICAR

(Pharming)

Fraude

Pharming es la explotacin de una vulnerabilidad en servidores DNS que permite a un hacker usurpar un nombre de dominio y redirigir todo el trfico web legtimo a otra ubicacin

- El trmino pharming deriva del ya conocido phising, aunque

hasta la fecha no se ha demostrado su uso delictivo.

- Si el website falsificado se corresponde con el de un banco, se

puede obtener informacin sensible de forma fraudulenta.

- El pharming es posible en websites sin proteccin SSL o

cuando los usuarios ignoran los avisos de certificados de servidor no vlidos.

SIN CLASIFICAR

Crimen Telemtico Organizado

(Zombies-Botnets)

Las mquinas "zombie" son computadoras comprometidas por algn tipo de malware al servicio de terceras personas para ejecutar actividades hostiles con el total desconocimiento del usuario del equipo

- Grupos organizados pueden controlar a redes de decenas de

miles de ordenadores infectados (botnets). red o servidor (DDoS). basura (spam).

- Concentrar trfico generado (mltiples fuentes) en una sla - Creacin de sofisticadas estructuras para envo de correo - Gestin de servicios relativos al fraude (phishing).

SIN CLASIFICAR

Crimen Telemtico Organizado

(Zombies-Botnets)

Botnet es un trmino utilizado para una coleccin de robots (software) autnomos que pueden ser controlados remotamente por diversos medios (IRC / P2P) con propsitos maliciosos

- Las mquinas "zombie" se aglutinan en las denominadas botnets. - Los sistemas se comprometen utilizando diversas herramientas
(gusanos, caballos de troya, puertas traseras, etc).

- Los zombies pueden escanear su entorno propagndose a travs

de las vulnerabilidades detectadas (contraseas dbiles, exploits, buffer overflows, etc). zombies creando una infraestructura comn de mando y control.

- La misin de los botnets es esencialmente la gestin de los

SIN CLASIFICAR

Crimen Telemtico Organizado

(Zombies-Botnets)

Utilizacin de botnets para generar spam

1.- Infeccin de potenciales objetivos mediante virus. 2.- El equipo comprometido se registra en un servidor IRC u otro soporte de comunicaciones. 3.- Un spammer accede al botnet. 4.- El spammer remite instrucciones a travs del servidor IRC a los equipos infectados. 5.- Los zombies generan correo basura.

SIN CLASIFICAR

Ataque Combinado
La tendencia actual es la actuacin de malware en conjuncin con una estrategia deliberada para controlar el mayor nmero de equipos posible

- El ataque lo inicia un troyano que puede llegar como adjunto a un

correo electrnico.

- El usuario decide abrir el mensaje de correo permitiendo al

troyano descargar otros componentes del ataque.

- Tras este primer troyano llega otro encargado de desactivar

posibles antivirus, otros programas de seguridad y bloquea el acceso a webs de seguridad. convierte al sistema vctima en un autntico zombie controlable a distancia.

- Por ltimo, llega el ltimo programa que completa el ataque y que

SIN CLASIFICAR

Qu se puede hacer?
Formacin y Concienciacin / Procedimientos de seguridad Seguridad Fsica / Personal / Documental Seguridad Criptolgica (CRIPTOSEC) Seguridad de las Transmisiones (TRANSEC) Seguridad de las Emanaciones (EMSEC) Seguridad de Ordenadores (COMPUSEC)

- Seguridad soportes informacin - Identificacin / Autenticacin - Seguridad contra SW daino

Internet Correo (spam, virus, phising, dialers,)

Seguridad de Redes (NETSEC) - Seguridad Perimetral / Wireless / Bluetooth Inspecciones de Seguridad Gestin de Incidentes de Seguridad

SIN CLASIFICAR

Formacin y Concienciacin
Las personas son la amenaza ms seria a los Sistemas ya sea de manera no intencionada, por accidente o por ignorancia, o intencionada
Uno de los requisitos ms importantes ser el de formacin y sensibilizacin del personal. La manera ms efectiva de mejorar la seguridad es mediante la mentalizacin sobre la importancia de la misma y su incorporacin en la actividad laboral. La seguridad debe considerarse como parte de la operativa habitual, no como un extra aadido.

SIN CLASIFICAR

Funciones del CCN

(Normativa)

Elaborar y difundir normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los Sistemas de las tecnologas de la informacin y las comunicaciones de la Administracin.

CCN-STIC CCN-STIC CCN-STIC CCN-STIC CCN-STIC CCN-STIC CCN-STIC CCN-STIC

000: Instrucciones/Polticas STIC 100: Procedimientos 200: Normas 300: Instrucciones Tcnicas 400: Guas Generales 500: Guas Entornos Windows 600: Guas Otros Entornos 900: Informes Tcnicos

SIN CLASIFICAR

Productos Certificados

SIN CLASIFICAR

Seguridad de Ordenadores
Configuraciones Seguras

- Software de Seguridad Antivirus / Anti-Malware Borrado Seguro Cifrado Software Respaldo de Datos - Hardware Etiquetas antimanipulacin - Anlisis - Verificacin - Test de Penetracin

Inspecciones STIC

SIN CLASIFICAR

Seguridad Perimetral
Asegurar el permetro es una de las estrategias defensivas ms eficaces comnmente utilizadas desde antao en el campo de la seguridad.
Internet

DMZ ext

Reducir superficie de exposicin. Crear puntos controlados de acceso. Centrar la defensa en esos puntos. Reforzar eficacia (elementos aadidos) Recomendaciones

R ext

DMZ int

M ext

Intranet 1

Elementos de Comunicaciones Cortafuegos Sistemas de Deteccin Intrusiones Sistemas Prevencin Intrusiones Sistemas y Redes Trampa Gestores de Eventos de Seguridad

DMZ Protegida

Intranet 2

R int

Red Protegida

M int

SIN CLASIFICAR

Seguridad Wireless
Son evidentes los riesgos y ventajas que ofrece esta tecnologa y deben ser tratados de forma cuidadosa para garantizar la confidencialidad, integridad y disponibilidad de esta infraestructura

- Acceso a los AP slo por personal autorizado (Seguridad Fsica) - Identificar rea de cobertura de los AP (potencia de Tx) - Eliminar parmetros por defecto

Contraseas de un slo uso Control de acceso por MAC Anular difusin de SSID Seleccin adecuada de canales para evitar interferencias.

- Actualizacin del SW de los AP

SIN CLASIFICAR

Herramientas de Seguridad
Productos hardware y software que proporcionan una capacidad ms automatizada de control, operacin y/o gestin de diferentes aspectos de un Sistema

Anlisis de vulnerabilidades. Deteccin o prevencin de intrusiones. Deteccin de software o cdigo malicioso. Anlisis de registro de eventos. Monitorizacin del trfico. Mejora de la Seguridad del Sistema. Herramientas de cifrado software.

SIN CLASIFICAR

Bsqueda de Vulnerabilidades

SIN CLASIFICAR

Inspecciones de Seguridad
Las Inspecciones de Seguridad constituyen el medio necesario que permite verificar la seguridad implementada en un Sistema y que los servicios y recursos utilizados cumplan con lo mnimo especificado y requerido
Metodologa basada en las mejores prcticas y un amplio consenso

SIN CLASIFICAR

Inspecciones de Seguridad
El 99 % de los compromisos de seguridad denunciados son resultado de vulnerabilidades conocidas o errores de configuracin, para los cuales haban salvaguardas y contramedidas disponibles
Efectuar Inspecciones de Seguridad Frecuencia = Importancia del Sistema Recursos y Herramientas Adecuadas Metodologa = Estndar de Referencia Periodicidad - No Instantnea de Seguridad

SIN CLASIFICAR

Gestin de Incidentes
Un incidente de seguridad en un Sistema de las TIC, lo constituye cualquier circunstancia/condicin del entorno del Sistema (persona, mquina, suceso o idea) en la que pueda verse amenazada la informacin y pueda dar lugar a una prdida de:

- Confidencialidad - Integridad - Disponibilidad

as como la prdida de Disponibilidad e Integridad de los propios Sistemas

Los incidentes de seguridad son a menudo extremadamente complejos, pudiendo aparecer en cualquier momento y causar importantes molestias, daos y prdidas econmicas

SIN CLASIFICAR

Gestin de Incidentes
(objetivos)

Establecer una rpida va de comunicacin de los hechos que permita una reaccin en tiempo adecuado. Llevar a cabo registro y contabilidad de los incidentes de seguridad. Aislar el incidente (no aumente el riesgo). Mantener y recuperar informacin/servicios. Determinar modo, medios, motivos y origen del incidente. Sealar e identificar el origen del incidente cuando sea posible. Analizar y proponer las correspondientes contramedidas.

SIN CLASIFICAR

Conclusiones

Tomar conciencia de los riesgos. Medidas Legislativas, Procedimentales, Organizativas y Tcnicas. Recomendaciones STIC. Configuraciones de Seguridad.
Herramientas de Seguridad. Inspecciones STIC.

Asistencia del Personal responsable de Seguridad. Comunicacin de incidentes.