[IN] Seguretat. I Jornades GPL Tarragona, 2009

Transcripción

1 [IN] Seguretat I Jornades GPL Tarragona, 2009 " Aceptar la nostra vulnerabilitat en lloc d ocultarla és la millor manera d adaptarse a la realitat" David Viscott, Psiquiatra i escriptor, Ponent: Lluís Calero 1

2 Presentació La seguretat està en un estat constant d evolució. Empresa La nova informàtica de l usuari Atacant remot Vs local Escenari Objectius Intrusions Ciberguerra InmunOS 1.0 2

3 Empresa Empresa especialitzada en seguretat telemàtica, actuació desde Reduïda però selecta cartera de clients. Importem coneixement i tecnologia: EEUU, Alemania, Suissa Treballs de I+D en seguretat desde

4 Empresa Mètode Pentest Seleccionem i gestionem RRHH especialitzats per cada projecte de forma singular. Tiger Teams sota demanda formats per experts provinents de dins i fora de les nostres fronteres. Cap equip porta de forma simultània dos projectes d envergadura. 4

5 Empresa Valor Pentest Experiència treballant amb entitats financeres, asseguradores, sector energétic, multinacionals, defensa, AAPP, etc. Formació completament personalitzada pel client: MLS, programació d exploits, web hacking avançat, hardening Àgils a la planificació i execució de projectes de seguretat. 5

6 Empresa Repercussió pública 6

7 Empresa Presentació Hugo Vázquez CEO Responsabilitats: Dep. I+D, Evaluació de solucions de seguretat, gestió de Tiger Teams. Àreas Tecnológicas de Interés: Seguretat del S.O., Sistemes d autentificació, 7

8 Empresa Presentació Luís Calero Director Técnic de Pentest Responsabilitats: Desenvolupament i defensa de projectes a les TI, gestió de Tiger Teams,I+D. Àreas Tecnológicas d Interés: Comunicacions,Seguretat a nivell de servidors, Sistemes de seguridad perimetral 8

9 La nova informàtica de l usuari Llei de Moore 9

10 La nova informàtica de l usuari Recursos I L usuari final te recursos molt poderosos Ordinadors personals amb capacitats de procés de Ghz. Sistemes d accés a Internet amb velocitats de ++ 20Mbps/1Mbps. Minibooks, PDA s, smart phones, etc. 10

11 La nova informàtica de l usuari Recursos II Avui dia l usuari té al seu abast: Emmagatzemar de l ordre de Terabytes 1000 GB- Múltiples sistemes: - Tarjetes de memoria: SD, MMC,... - USB sticks - DVD, CD,... Multiples gadgets : móvils, ipods, reproductors MP3,consoles... Serveis d emmagatzemar en remot Tecnologies inalàmbriques (WIFI, BT,...) connexió permanent- Accés a innumerables recursos on-line els objectius- 11

12 12

13 La nova informàtica de l usuari Recursos III L usuari disposa d accés a TOT tipus d informació a Internet - Sistemes -arquitectures, sistemes operatius, etc- - Seguretat de S.O, protocols, aplicacions... - Técniques d atac a qualsevol tecnología- - Vulnerabilitats centres de fonts fiables- - Exploits complets BBDD s molt actualizades- - Técniques d ocultació... 13

14 Atacant remot Vs local Remot Molt difícil de controlar Molt difícil d identificar Molt difícil de perseguir 14

15 Atacant remot Vs local Local Te accés a informació privilegiada Confiem amb ell Te accés físic al recinte Pot tenir accés físic als sistemes Pot coneixer el codi font de les aplicacions Pot aprofitar les debilitats corporatives conegudes Sap on es troben els actius d informació Sap com perjudicar a l empresa Coneix les mesures de seguretat Pot preparar un atac amb anys d antelació 15

16 Atacant remot Vs local Secretaria Vs dona de la neteja 16

17 Atacant remot Vs local Exemple real 17

18 Escenari Objectius Cossos de l ordre públic/defensa Administració Transport Aeri Institucions Científiques Banca Asseguradores Telefonia fixa i móvil Suministre Energétic Sistema Sanitari Xarxes de transport públic Borsa Qualsevol xarxa d ordinadors interessant 18

19 Escenari Caràcterístiques comuns de les intrusions Autentificacions débils Sistemes de gestió accesibles desde l exterior Firewalls permeables Sistemes de getió accesibles desde l exterior Sistemes no securitzats o securitzats amb DAC Escalada de privilegis sencilles Ingenieria social funciona siempre Intrusions físiques casi siempre Extremadament vulnerables desde dins, atacant local. Model de seguretat clàssic: Firewalls + IDS + Control d accesos físics = estic segur... 19

20 Escenari Ciber guerra 1987,referent de data, concepte de tot és electrónic. 2005, el Pentàgon va registrar més de 79 mil intents d intrusió a la seva xarxa, 1300 amb èxit conegut. 2007, atac procedent de Russia? cap a Estònia. Més de 120 atacs de DoS distribuït sobre diferents objectius, bancs, administració, hisenda 2007, atac procedent de Russia cap a Lituania, objectiu site agència tributaria.???? 20

21 Escenari Ciber guerra TimeLine, Estònia /27 d Abril del 2007,primers atacs que coincideixen amb la decisió de traslladar una estàtua política. Objectius: Sites personals del congrés, president, temes polítics 30 d Abril, Sites amb diaris nacionals fora de servei, primera reunió, pla d acció per protegir actius vitals com la banca online. 2 de Maig, ajuda globalitzada per part dels ISP s per intentar bloquejar els atacs de DoS. 5 de Maig, arresten al primer sospitós, després es alliberat. 8 de Maig, Estònia es prepara per rebre un nou atac de majors dimensions coincidint amb un acte militar. Primera reunió experts europeus a Tallin de Maig, Els atacants prenen el control de diferents equips arreu del món i coordinen un atac massiu, Hansbank queda fora de joc. 18 de Maig, el filtratge comença a funcionar, els atacs de DoS semblen disminuïr. New York times 21

22 Escenari Ciberguerra La OTAN envia experts per ajudar a Estònia davant dels atacs de possibles hackers russos. Nou camp de batalla, la xarxa. On és la linea? Actualment la OTAN i la Unió Europea no consideren els ciberatacs com una acció militar. La OTAN acorda posar en marxa un sistema de defensa del Ciberspai. EE.UU disposa d una estrategia nacional per a protegir el ciberspai, al mateix nivell que HomeLand security 22

23 Ciberguerra Vs Software lliure Bruce Schneier Ciberinsecurity; The cost o a Monopoly; How the dominance of Microsoft's products poses a risk to security Expertos militares La millor forma d evitar els atacs cibernétics es treien et màxim partit del software lliure Mitre, any 2002 "Prohibir el uso de fuentes abiertas tendría de forma inmediata y amplia un impacto fuertemente negativo en la capacidad del Departamento de Defensa para protegerse de ciberataques". En este mismo informe también se dice: "El software de fuentes abiertas suele proporcionar aplicaciones más seguras y económicas". 23

24 Un entorno de trabajo seguro 24

25 Inmunos 1.0 InmunOS consiste en un entorno extremadamente seguro donde poder ejecutar todo tipo de aplicaciones de un modo confiable, resultado de la experiencia acumulada a lo largo de más de diez años en la realización de Test de Intrusión. Tras años de investigación sobre aplicaciones de sistemas de seguridad avanzados conocidos -Seguridad Multinivel, Control de Accesos Basado en Roles, Protección de Memoria, etc. se llegó a la conclusión que si se deseaba robustez en la solución, ésta debía implementarse al nivel más profundo que permite el software: el núcleo del sistema operativo. De esa manera, y como respuesta a la necesidad de diseñar el producto desde los cimientos, se estudiaron las posibilidades que ofrecía la tecnología más avanzada en cada uno de los campos que componen la solución y se adoptaron las mejores teniendo en cuenta los siguientes factores: nivel de seguridad, madurez, escalabilidad y sencillez. De ésta forma, InmunOS incorpora la mejor combinación posible de tecnologías. 25

26 UNA NECESIDAD NO CUBIERTA Desde ahora, empresas y usuarios no tendrán que preocuparse por los problemas típicos que afectan al mundo actual de las Tecnologías de la Información: Infecciones de sistemas con código malicioso -virus, gusanos, malware, etc.- Pérdida de datos -por robo del ordenador o soporte digital- Pérdida de datos por fallos mecánicos o electrónicos -fallos de discos duros, placas base o periféricos- Pérdida de datos debido a desastres naturales -incendio, accidentes, etc.- Sabotajes deliberados Robo de información de acceso a sistemas de banca electrónica -phishing, pharming,troyanos otro dispositivo que contenga una imagen de InmunOS. Si se desea ejecutar InmunOS desde otro sistema operativo, se utiliza un software de virtualización. Para ello, se han desarrollado toda una serie de asistentes de instalación del entorno de virtualización - VMWare - que son completamente transparentes para el usuario. 26

27 UNA ARQUITECTURA ÚNICA El Kernel de InmunOS es el encargado de aplicar las políticas de control basadas en roles, velar porque no se ejecute código malicioso en zonas de memoria no permitidas y proteger la integridad del sistema de ficheros. El resto de aplicaciones se ejecutan en un nivel superior, encapsuladas mediante políticas RBAC, por lo que la dificultad de explotar una vulnerabilidad se une al impacto nulo que tendría en el sistema, habida cuenta de que el sistema se ejecuta en memoria y se restablece en cada reinicio del mismo. 27

28 UNA SOLUCIÓN, DOS SABORES InmunOS puede ejecutarse de dos maneras: en modo nativo y desde un sistema de virtualización. Para ejecutarlo en modo nativo, el ordenador debe arrancar desde un CD, USB La decisión de ejecutar InmunOS en modo nativo o bajo un entorno de virtualización, depende principalmente de las necesidades del usuario o la empresa. En modo nativo, InmunOS alcanza un grado de seguridad similar al de un sistema de información militar. En modo virtualizado, InmunOS mejora sustancialmente la seguridad del ordenador sobre aspectos concretos, como el acceso seguro a Internet: navegación, chat, P2P, etc. sin necesidad de cambiar su sistema. 28

29 DEMO InmunOS Beta 29

30 Gràcies per escoltar-me Generally in war the best policy is to take a state intact; to ruin it is inferior to this - SUN TZU Pentest, lcalero@pentest.es Inmunos, inmunos@inmunos.com 30