Seguridad informática y protección de datos

Transcripción

1 Web Sciences Research Digitally signed by NOMBRE SANZ FUENTES JUAN IGNACIO - NIF S DN: c=es, o=fnmt, ou=fnmt Clase 2 CA, ou= , cn=nombre SANZ FUENTES JUAN IGNACIO - NIF S Reason: I am the author of this document Location: Pozuelo de Alarcón, Madrid (Spain) Date: :56:54 +01'00' ABC The ideal architect should be a man of letters, a skillful draftsman, a mathematician, familiar with historical studies, a diligent student of philosophy, acquainted with music; not ignorant of medicine, learned in the responses of jurisconsults, familiar with astronomy, and astronomical calculations Vitruvius 25 B.C. Seguridad informática y protección de datos Introducción: Evaluación de la Vulnerabilidad (VA Vulnerability Assessment) Escuela Politécnica Superior - Universidad CEU San Pablo Ingeniería Informática Seguridad informática y protección de datos - curso tercero (3º) Juan Ignacio Sanz Fuentes - jsanz.eps@ceu.es - D Juan Ignacio Sanz Fuentes Madrid - enero 2009 juanignacio.sanz@gmail.com

2 Contenido Ventanas de vulnerabilidad Conceptos Calcular ventanas de vulnerabilidad Cálculo de Riesgos Evaluación de la vulnerabilidad: Vulnerability Assessment (VA) PASO 1: Descubrir información PASO 2: Enumeración PASO 3: Detección Tecnologías de seguridad para realizar VA Tests de penetración/intrusión vs. VA ETAPA 1: recuperar información ETAPA 2: detectar vulnerabilidades ETAPA 3: atacar y penetrar Referencias

3 Ventanas de vulnerabilidad

4 Qué entendemos por vulnerabilidades Vulnerabilidad (hace tiempo...): Error en el código (SW) o en el hardware que una persona malintencionada podría aprovechar. Vulnerabilidad (concepto moderno): Error en el código (SW) o en el hardware o defecto en la configuración que una persona malintencionada podría aprovechar. Gestión de la vulnerabilidad: Gestión de parches Gestión de la configuración Gestión de la seguridad Clasificación: Propia de cada fabricante (vendor) Intento de normalización/estandarización: CVE (Common Vulnerabilities and Exposures). CVE-year-number Cuál es el problema real? Ventanas de vulnerabilidad

5 Ventanas de vulnerabilidad Ventana de vulnerabilidad: Intervalo de tiempo en el que un sistema es vulnerable a un defecto de seguridad, problema de configuración u otro aspecto que reduzca la seguridad. Ventana de vulnerabilidad desconocida (unknown window of vulnerability): intervalo de tiempo que transcurre desde que se descubre una vulnerabilidad hasta que el sistema se arregla (patch). Ventana de vulnerabilidad conocida (known window of vulnerability): intervalo de tiempo que transcurre desde que un fabricante lanza un parche hasta que el sistema se arregla (patch). Aspectos a tener en cuenta: Políticas de versiones/parches, configuraciones para el Plan de Seguridad Software de terceros, open source,.... Security mailing Lists de diversos fabricantes: Bugtraq VulnWatch Full-Disclosure Microsoft Security Bulletins Apple Security Alerts

6 Calcular ventanas de vulnerabilidad (I) Vulnerability Name IE createtextrange Vulnerability (CVE ) Sendmail Race Condition (CVE ) Approximate Date Reported to Vendor Date Vendor Released Patch Time Delta (days) 10/02/ /04/ /01/ /03/ Date Patch Installed / Risk mitigated WMF Vulnerability (CVE ) 27/12/ /01/ Quicktime QTS Overflow (CVE ) MediaPlayer BMP Overflow (CVE ) 17/11/ /01/ /10/ /02/

7 Calcular ventanas de vulnerabilidad (II) Vulnerability Name IE createtextrange Vulnerability (CVE ) Approximate Date Reported to Vendor Date Vendor Released Patch Time Delta (days) Date Third- Party Patch Released Time Delta (days) 10/02/ /04/ /3/ Date Patch Installed / Risk mitigated WMF Vulnerability (CVE ) 27/12/ /01/ /12/2005 4

8 Cronograma de algunas vulnerabilidades comprometedoras Sendmail Race Condition (CVE ) ENE FEB MAR RV VP XC WMF Vulnerability (CVE ) DEC ENE 1 5 XC 0 dias MAR 3P 4 dias VP 9 dias IE createtextrange Vulnerability (CVE ) FEB RV XC 3P ABR VP 80 dias 82 dias RV = Reported to Vendor VP = Vendor Released Patch 3P = Third Party Patch XC = Exploit Code 60 dias 42 dias 0 dias Windows Media Player BM Overflow (CVE ) OCT 1 5 NOV DIC ENE FEB RV VP XC 121 dias 120 dias 0 dias

9 Calcular el riesgo que presentan las vulnerabilidades Factores: Puntuación asignada por el fabricante Criticidad o nivel de compromiso de los sistemas afectados dentro de una organización Número de sistemas afectados dentro de una empresa Exposición de los sistemas afectados en la organización Riesgo = Vulnerabilidad x Ataques x Amenazas x Exposición (Risk = Vulnerability x Attacks x Threads x Exposure) Criticidad? Puntuación del fabricante? Entorno?

10 Ejemplos de Riesgo Un entorno de servidores de una compañía de alojamiento popular vulnerables a CVE (Condición de carrera de sendmail) V = 5, A = 2, T = 4, E = 5 R = 5 x 2 x 4 x 5 = 200 (1min máx) Para el mismo entorno de servidores de la misma empresa calcular la vulnerabilidad a CVE (Windows MetaFile) V = 5, A = 5, T = 1, E = 1 R = 5 x 5 x 1 x 1 = 25 (1min máx) Misma vulnerabilidad anterior CVE (Windows MetaFile) en un entorno de usuario final, que navega por Internet de forma habitual: V = 5, A = 5, T = 5, E = 3 R = 5 x 5 x 5 x 3 = 375 (1min máx)

11 CVSS: Common Vulnerability Scoring System métricas Fijadas por los fabricantes. Una vez asignadas NO cambian. fórmula Base Métricas del Grupo Base Vector de acceso Complejidad de acceso Autentificación punt. Base Impacto sobre la confidencialidad Impacto sobre la integridad Impacto sobre la disponibilidad Métricas del Grupo Temporal Vector de acceso Complejidad de acceso Autentificación Métricas del Grupo de Entorno Daños colaterales Distribución de objetivos Requisito de confidencialidad Requisito de integridad Requisito de disponibilidad métricas Fijadas por los fabricantes. Pueden modificar su valor a lo largo el tiempo. fórmula Temporal punt. Temporal métricas Fijadas por los usuarios finales en función de la configuración de su entorno fórmula Entorno punt. Entorno

12 Evaluación de la vulnerabilidad (Vulnerability Assessment VA)

13 Conceptos Métodos tradicionales y alternativos para descubrir vulnerabilidades Misión de reconocimiento militar: conocer fortalezas y debilidades Secuencia de tres pasos: Paso 1: Descubrimiento (Information gathering/discovery) Paso 2: Enumeración (Network Enumeration) Paso 3: Detección (Detection)

14 Paso 1: descubrimiento Proceso por el que nos aseguramos del contexto que se pretende evaluar: el objetivo el identificar y determinar el número total de sistemas y aplicaciones que se evaluarán. Resultado de esta etapa: hostnames rangos y direcciones IP puertos Información de contacto Proceso: No intrusivo: whois proporciona: dirección física, contactos, rangos de IP, servidores DNS (RIPE), Semi-intrusivo: nmap -sp (nmap -sl) Nessus (Tenable Network Security) y Retina (eeye Digital Security) Elaboran informes, automatizaciones, planificables, mayor precisión

15 Paso 2: enumeración Proceso para determinar el sistema operativo (OS fingerprinting) y las aplicaciones que residen en la máquina Puertos conocidos: que utilizan procesos con privilegios de root ICANN (Internet Corporation for Assigned Names and Numbers) e IANA (Internet Assigned Numbers Authority) nmap -sv Permite asociar puertos a aplicaciones y por tanto a vulnerabilidades: es la etapa previa a la detección

16 Paso 3: detección Permite determinar si un sistema o aplicación es susceptible de ser atacada (vulnerable) NO confirma que la vulnerabilidad existe (test de penetración) Herramientas de pago: Nessus (tenable Network Security) Retina (eeye Digital Security) Preguntan y comparan respuestas y en función de la respuesta deciden si existe vulnerabilidad o no.

17 Tecnologías de seguridad para realizar VA Interpretar datos de las herramientas de VA Duración del tiempo de sondeo Número de máquinas Vulnerabilidades por severidad Vulnerablidades totales Vulnerabilidades por máquina Remediar para evaluar Política de actualizaciones Puede compensar la ausencia de una infraestructura para VA Gestión de Actualizaciones y de Configuraciones Contabilidad de actualizaciones por máquina Control de configuración de cada máquina Exige el mantenimiento de gestores de BBDD y sistemas intermedios

18 Tests de Penetración/ Intrusión vs. VA (pen tests)

19 Tests de penetración A nivel de sistema, red o aplicación. Tipos de tests: black box: usuarios malintencionados, trata de explotar 0 day y otras vulnerabilidades. No hay reglas, explotar todos los recursos (SQL, XSS,...). Avanzadillas, revelar información, bots,... white box: con conocimiento previo de los bienes (diagramas de red, código fuente de aplicaciones, credenciales, etc). Limitados (disponibilidad), planificados, autorización previa,... Resultados: Validar programas y políticas de seguridad Valorar productos Conformar controles de seguridad (estrategias defense in-depth) Soporte a Auditorías de Internet (OWASP

20 Etapas de un Test de penetración Etapa 1: Recuperar información Etapa 2: Detectar vulnerabilidades Etapa divertida: identificar y confirmar vulnerabilidades Cómo proceder si sale a la luz una nueva vulnerabilidad? Datos de partida de la etapa anterior: Lista de sistemas comprobar Lista de sistemas que NO en necesario comprobar Etapa 3: Atacar y penetrar Interno, externo, o ambos Core Impact, Core Security, metodologías y Frameworks propios

21 Etapa 1: recuperar información Pasos 1 y 2 de la VA: descubrimiento y enumeración Resultados por máquina: IP address MAC address Sistema operativo Servicios Software instalado Clasificación de los bienes (assets) (Gestión del riesgo) Identificar assets: información, SW, HW, servicios de comunicaciones Identificar propietarios Parámetros: confidencialidad, valor, sensibilidad al factor tiempo, credenciales, destrucción Resultado: Diseñar y definir zonas de seguridad (Planificar la VA por diversos criterios: criticidad, localización,...) Programar los test de ataque Conocer y valorar la infraestructura necesaria para llevar a cabo VA

22 Etapa 2: detectar vulnerabilidades Empresa Producto URL eeye Digital Security Retina Tenable Network Security Nessus Internet Security Systems (ISS) Internet Scanner Configurar herramienta: Máquinas Puertos Auditoría (SANS Top 20 u otras) Opciones adicionales Credenciales Metodologías propias: OWASP en aplicaciones web ( Guide Project)

23 Vulnerability Assessments vs. Penetration Tests VAs: El tiempo es un condicionante El coste es un dato a tener en cuenta Se persigue ver si las correcciones funcionan Evaluar la tendencia PTs: Inventario de bienes limitado Necesitamos confirmar aspectos relativos a la seguridad Flexibilidad financiera El tiempo no es un problema

24 Cuándo sondear Razones para sondear (scan): Ante la aparición de nuevas vulnerabilidades Ante el lanzamiento de actualizaciones o parches Punto de control en el tiempo del estado de las políticas correctoras (Plan Director de Seguridad PDS) Compromiso entre rendimiento y alcance del sondeo (Clase C -> días!!!) Planificación Cuándo sondear Qué sondear Nuevas vulnerabilidades Lanzamiento de actualizaciones Punto de control Como respuesta inmediata al conocimiento de la vulnerabilidad. De lo más comprometido a lo menos comprometido Dependiendo de las políticas de configuración y eliminación de vulnerabilidades Ante cambios en el entorno Según las políticas o programas del PDS (bimensual, cuatrimestral) Compromiso rendimiento/ precisión. Sondear sistemas o aplicaciones concretos y dependientes de la vulnerabilidad. Valoración de VA tools (0 day) Sistemas comprometidos Ayuda en las auditorías de configuración: herramientas de gestión de configuraciones Totalmente dependiente de la herramienta de VA Dependerá del estado del proyecto y sondeos anteriores

25 Referencias

26 Referencias Robert J. Shimonski, Will Schmied, Dr. Thomas W. Shinder, Victor Chang, Drew Simonis, Damiano Imperatore. Building DMZs for Enterprise Networks by Syngress Publishing, Inc. Steve Manzuik, André Gold, Chris Gatford. Network Security Assessment: From Vulnerability to Patch by Syngress Publishing, Inc. Peter Mell, Karen Scarfone, Sasha Romanosky. A Complete Guide to the Common Vulnerability Scoring System. Version 2.0. June, Forum of Incident Response and Security Teams (FIRST). Disponible en The Open Web Application Security Project (OWASP). OWASP 2.0: A Guide to Building Secure Web Applications and Web Services 2.0 Black Hat Edition. July 27, Disponible en