Madrid, octubre de 2005

Transcripción

1 Madrid, octubre de 2005

2 Presentación FORO: V Jornadas Internet de Nueva Generación SESIÓN: Seguridad en Internet OBJETIVO: Describir las amenazas y vulnerabilidades a que están sometidos los Sistemas de las TIC en Internet y las medidas para contrarrestarlas. PONENTE: - Pablo López - Centro Criptológico Nacional FECHA: 18 de octubre de 2005

3 Índice * Introducción * Amenazas y Vulnerabilidades * Internet - Spyware - Correo Basura (Spamming) - Fraude (Phising / Pharming) - Zombies-Botnets * Medidas de Seguridad * Conclusiones

4 Introducción La protección de los Sistemas de las Tecnologías de la Información y Comunicaciones (TIC) es una actividad crítica en la consecución de los objetivos de una Organización debido a la importancia que tiene la información que manejan dichos Sistemas

5 Los Nuevos Parámetros El Conocimiento. Las Telecomunicaciones. Los Sistemas de Información.

6 Seguridad de las TIC Personal Información Material Instalaciones Actividades En la mente de las personas En un papel En un sistema de información Seguridad Personal Seguridad Documentación STIC

7 Problemática La información se almacena en forma compacta y puede ser recuperada, copiada, transmitida o manipulada de forma rápida y clandestina. La información es accesible desde terminales situados lejos del entorno físico donde se encuentra situado el servidor. La naturaleza electrónica del sistema genera radiaciones electromagnéticas comprometedoras no intencionadas que pueden ser recogidas desde el exterior (TEMPEST). Se hace difícil implementar la necesidad de conocer.

8 Amenaza y Vulnerabilidad Amenaza: Cualquier circunstancia susceptible de lograr que la información sufra una pérdida de confidencialidad, integridad y disponibilidad. Vulnerabilidad: Es la existencia de lagunas o debilidades en el Sistema o falta de control en las medidas de seguridad implementadas que permitiría o facilitaría que una amenaza actuase contra un activo. Riesgo: Probabilidad de que la amenaza actúe sobre el activo. Se utiliza para cuantificar el daño (probable) que puede causar la amenaza.

9 Riesgo Residual valor valor mide el interés de los activos activos se materializan sobre los amenazas sufren una permiten estimar el impacto impacto degradación permiten estimar el causan una cierta frecuencia ocurren con una cierta riesgo riesgo limitando el perjuicio de forma correctiva mitigan el limitan el riesgo a un valor salvaguardas riesgo riesgo residual residual limitando la ocurrencia de forma preventiva

10 El Intruso está Dentro La concienciación del personal es primordial, los empleados constituyen una de los elementos fundamentales dentro de la arquitectura de seguridad de la Organización y tienen que asumir esa responsabilidad un empleado puede convertirse en una amenaza para la seguridad

11 Importancia del Factor Humano El 60 % de los problemas de seguridad son internos a la Organización.

12 Importancia del Factor Humano - Usuario amigo o enemigo? - - Usuarios, principal razón para tener un Sistema. - Los propios empleados de una Organización representan una amenaza significativa y poco considerada. - Los agentes internos son responsables de la mayoría de las pérdidas económicas. - La amenazas internas no serán nunca eliminadas completamente.

13 Importancia del Factor Humano - Usuario amigo o enemigo? - - Acuerdos de confidencialidad, selección rigurosa y la inclusión de la seguridad como responsabilidad contractual constituyen buenas prácticas. - El personal debe conocer los riesgos y sus consecuencias. - Los responsables del Sistema deben saber que hacer y a quién informar, en todo momento, en caso de incidente. - Seguimiento/control del personal que debe cubrir las tareas críticas de la Organización.

14 Amenazas a las Transmisiones Líneas de Comunicaciones - Equipos de Comunicaciones (Teléfono / Fax / Datos) - Líneas Telefónicas En el domicilio / oficina En el edificio / calle En la central telefónica - Enlaces Telefónicos Satélite / Radio enlaces (en desuso) Fibra Óptica / Cable Submarino Telefonía Móvil Redes de Ordenadores - LAN / WAN / INTERNET Redes Inalámbricas - WMAN (WIMAX) - WLAN (WIFI) - WPAN (Bluetooth)

15 Internet ISP SERVICIOS ACCESO COMUNICACIÓN IP ( ) Fecha y Hora Acceso Web Chat Foros Telefonía Mail Comercio electrónico Consultoría...

16 Software Dañino (Malware) Programas que realizan acciones maliciosas/negativas para el usuario sin su consentimiento Virus - Programas con capacidad de replicación, cuya actividad se hace patente. Gusanos - Programas autocontenidos con capacidad de propagación. Caballos de Troya - Programas que realizan actividades ocultas para el usuario o Sistema donde se ejecutan.

17 Espías (Adware Spyware Stealers) Spyware es todo aquel software utilizado con objeto de rastrear, identificar y perfilar las actividades de los usuarios sin su consentimiento Suelen instalarse con alguna utilidad gratuita. Integrados en programas originales. Son discretos, no llaman la atención. Recopilan información del usuario. - Páginas que visitan. - Horarios de conexión. - Servidores donde se conectan. - Software instalado. Envían toda la información obtenida.

18 Espías (Adware Spyware Stealers) Entre los programas espías se pueden encontrar diversas familias Cookies - Las cookies permiten identificar las áreas de interés y los hábitos de utilización por parte de los usuarios. Adware - Programas que instalen componentes en el ordenador para registrar la información personal del usuario. Monitores del Sistema - Programas que capturan todo aquello que el usuario realiza en su ordenador almacenándolo cifrado o enviándolo automáticamente. Caballos de Troya - Auténtico malware : acceso remoto, instalación automática de programas, cifrado de discos, destrucción de archivos,...

19 Correo Basura (Spamming) El spam consiste en el envío masivo de mensajes electrónicos no solicitados. Además del correo electrónico, otras tecnologías objeto de spam incluyen grupos de noticias, motores de búsqueda, - El spam también aparece en teléfonos móviles (SMS/MMS), fax y sistemas de mensajería instantánea. - Los spammers actúan sobre el protocolo SMTP modificando la cuenta origen de los mensajes. - Los spammers buscan y hacen uso de Sistemas vulnerables ( mail relays y servidores proxy abiertos) y utilizan cada vez más las redes de ordenadores infectados (botnets). - En mayo de 2004, más del 80% de todos los s en US estaban clasificados como spam.

20 Fraude (Phising) Phising es un ataque de ingeniería social a través de correo electrónico o mensajería instantánea caracterizado por intentos fraudulentos de adquisición de información sensible mediante suplantación - Phising se basa en la capacidad innata de las personas a revelar cualquier información que se les pregunte. - Últimamente, se han detectado vías alternativas como el teléfono o el fax. - Normalmente se utiliza con fines delictivos, duplicando páginas web de entidades financieras de renombre. - El mensaje pediría que la víctima revelara su contraseña con variadas excusas como la verificación de la cuenta o confirmación de la información de la facturación.

21 Fraude (Pharming) Pharming es la explotación de una vulnerabilidad en servidores DNS que permite a un hacker usurpar un nombre de dominio y redirigir todo el tráfico web legítimo a otra ubicación - El término pharming deriva del ya conocido phising, aunque hasta la fecha no se ha demostrado su uso delictivo. - Si el website falsificado se corresponde con el de un banco, se puede obtener información sensible de forma fraudulenta. - El pharming es posible en websites sin protección SSL o cuando los usuarios ignoran los avisos de certificados de servidor no válidos.

22 Crimen Telemático Organizado (Zombies-Botnets) Las máquinas "zombie" son computadoras comprometidas por algún tipo de malware al servicio de terceras personas para ejecutar actividades hostiles con el total desconocimiento del usuario del equipo - Grupos organizados pueden controlar a redes de decenas de miles de ordenadores infectados (botnets). - Concentrar tráfico generado (múltiples fuentes) en una sóla red o servidor (DDoS). - Creación de sofisticadas estructuras para envío de correo basura (spam). - Gestión de servicios relativos al fraude (phishing).

23 Crimen Telemático Organizado (Zombies-Botnets) Botnet es un término utilizado para una colección de robots (software) autónomos que pueden ser controlados remotamente por diversos medios (IRC / P2P) con propósitos maliciosos - Las máquinas "zombie" se aglutinan en las denominadas botnets. - Los sistemas se comprometen utilizando diversas herramientas (gusanos, caballos de troya, puertas traseras, etc ). - Los zombies pueden escanear su entorno propagándose a través de las vulnerabilidades detectadas (contraseñas débiles, exploits, buffer overflows, etc ). - La misión de los botnets es esencialmente la gestión de los zombies creando una infraestructura común de mando y control.

24 Crimen Telemático Organizado (Zombies-Botnets) Utilización de botnets para generar spam 1.- Infección de potenciales objetivos mediante virus. 2.- El equipo comprometido se registra en un servidor IRC u otro soporte de comunicaciones. 3.- Un spammer accede al botnet. 4.- El spammer remite instrucciones a través del servidor IRC a los equipos infectados. 5.- Los zombies generan correo basura.

25 Ataque Combinado La tendencia actual es la actuación de malware en conjunción con una estrategia deliberada para controlar el mayor número de equipos posible - El ataque lo inicia un troyano que puede llegar como adjunto a un correo electrónico. - El usuario decide abrir el mensaje de correo permitiendo al troyano descargar otros componentes del ataque. - Tras este primer troyano llega otro encargado de desactivar posibles antivirus, otros programas de seguridad y bloquea el acceso a webs de seguridad. - Por último, llega el último programa que completa el ataque y que convierte al sistema víctima en un auténtico zombie controlable a distancia.

26 Qué se puede hacer? Formación y Concienciación / Procedimientos de seguridad Seguridad Física / Personal / Documental Seguridad Criptológica (CRIPTOSEC) Seguridad de las Transmisiones (TRANSEC) Seguridad de las Emanaciones (EMSEC) Seguridad de Ordenadores (COMPUSEC) - Seguridad soportes información - Identificación / Autenticación - Seguridad contra SW dañino Internet Correo (spam, virus, phising, dialers, ) Seguridad de Redes (NETSEC) - Seguridad Perimetral / Wireless / Bluetooth Inspecciones de Seguridad Gestión de Incidentes de Seguridad

27 Formación y Concienciación Las personas son la amenaza más seria a los Sistemas ya sea de manera no intencionada, por accidente o por ignorancia, o intencionada Uno de los requisitos más importantes será el de formación y sensibilización del personal. La manera más efectiva de mejorar la seguridad es mediante la mentalización sobre la importancia de la misma y su incorporación en la actividad laboral. La seguridad debe considerarse como parte de la operativa habitual, no como un extra añadido.

28 Funciones del CCN (Normativa) Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los Sistemas de las tecnologías de la información y las comunicaciones de la Administración. - CCN-STIC 000: Instrucciones/Políticas STIC - CCN-STIC 100: Procedimientos - CCN-STIC 200: Normas - CCN-STIC 300: Instrucciones Técnicas - CCN-STIC 400: Guías Generales - CCN-STIC 500: Guías Entornos Windows - CCN-STIC 600: Guías Otros Entornos - CCN-STIC 900: Informes Técnicos

29 Productos Certificados

30 Seguridad de Ordenadores Configuraciones Seguras - Software de Seguridad Antivirus / Anti-Malware Borrado Seguro Cifrado Software Respaldo de Datos - Hardware Etiquetas antimanipulación Inspecciones STIC - Análisis - Verificación - Test de Penetración

31 Seguridad Perimetral Asegurar el perímetro es una de las estrategias defensivas más eficaces comúnmente utilizadas desde antaño en el campo de la seguridad. - Reducir superficie de exposición. - Crear puntos controlados de acceso. - Centrar la defensa en esos puntos. - Reforzar eficacia (elementos añadidos) Internet DMZ ext DMZ int R ext M ext Recomendaciones Elementos de Comunicaciones Cortafuegos Sistemas de Detección Intrusiones Sistemas Prevención Intrusiones Sistemas y Redes Trampa Gestores de Eventos de Seguridad DMZ Protegida R R int Intranet 1 Intranet 2 Red Protegida M M int

32 Seguridad Wireless Son evidentes los riesgos y ventajas que ofrece esta tecnología y deben ser tratados de forma cuidadosa para garantizar la confidencialidad, integridad y disponibilidad de esta infraestructura - Acceso a los AP sólo por personal autorizado (Seguridad Física) - Identificar área de cobertura de los AP (potencia de Tx) - Eliminar parámetros por defecto Contraseñas de un sólo uso Control de acceso por MAC Anular difusión de SSID Selección adecuada de canales para evitar interferencias. - Actualización del SW de los AP

33 Herramientas de Seguridad Productos hardware y software que proporcionan una capacidad más automatizada de control, operación y/o gestión de diferentes aspectos de un Sistema - Análisis de vulnerabilidades. - Detección o prevención de intrusiones. - Detección de software o código malicioso. - Análisis de registro de eventos. - Monitorización del tráfico. - Mejora de la Seguridad del Sistema. - Herramientas de cifrado software.

34 Búsqueda de Vulnerabilidades

35 Inspecciones de Seguridad Las Inspecciones de Seguridad constituyen el medio necesario que permite verificar la seguridad implementada en un Sistema y que los servicios y recursos utilizados cumplan con lo mínimo especificado y requerido Metodología basada en las mejores prácticas y un amplio consenso

36 Inspecciones de Seguridad El 99 % de los compromisos de seguridad denunciados son resultado de vulnerabilidades conocidas o errores de configuración, para los cuales habían salvaguardas y contramedidas disponibles Efectuar Inspecciones de Seguridad Frecuencia = Importancia del Sistema Recursos y Herramientas Adecuadas Metodología = Estándar de Referencia Periodicidad - No Instantánea de Seguridad

37 Gestión de Incidentes Un incidente de seguridad en un Sistema de las TIC, lo constituye cualquier circunstancia/condición del entorno del Sistema (persona, máquina, suceso o idea) en la que pueda verse amenazada la información y pueda dar lugar a una pérdida de: - Confidencialidad - Integridad - Disponibilidad así como la pérdida de Disponibilidad e Integridad de los propios Sistemas Los incidentes de seguridad son a menudo extremadamente complejos, pudiendo aparecer en cualquier momento y causar importantes molestias, daños y pérdidas económicas

38 Gestión de Incidentes (objetivos) Establecer una rápida vía de comunicación de los hechos que permita una reacción en tiempo adecuado. Llevar a cabo registro y contabilidad de los incidentes de seguridad. Aislar el incidente (no aumente el riesgo). Mantener y recuperar información/servicios. Determinar modo, medios, motivos y origen del incidente. Señalar e identificar el origen del incidente cuando sea posible. Analizar y proponer las correspondientes contramedidas.

39 Conclusiones Tomar conciencia de los riesgos. Medidas Legislativas, Procedimentales, Organizativas y Técnicas. Recomendaciones STIC. Configuraciones de Seguridad. Herramientas de Seguridad. Inspecciones STIC. Asistencia del Personal responsable de Seguridad. Comunicación de incidentes.

40