De los #exploits al más m s allá!

Transcripción

1 De los #exploits al más m s allá! Joaquín Paredes Senior Security Consultant Ing. Iván Huertas Security Consultant 1

2 Agenda Tendencias en Seguridad para el 2013: APT como tendencia destacada APT & Botnets Anatomía de un Ataque Real: El caso RSA Qué es un Penetration Test? Pentester Vs. Hacker Penetration Test vs. Vulnerability Asessment Penetration Tests Profundos: Ejercicio de un Ataque Real Demo utilizando Core Impact Pro 2

3 Tendencias en Seguridad para el 2013 A Cyber Attack Results in a Human Death Malware Enters the Matrix through a Virtual Door It s Your Browser - Not Your System - that Malware Is After An Exploit Sold on the "Vulnerability Market" Becomes the Next APT We'll Pay for Our Lack of IPv6 Expertise Android Pick Pockets Try to Empty Mobile Wallets Fuente: 3

4 APT como tendencia destacada Las siglas se refieren al término en inglés Advanced Persistent Threat Advanced Persistent Threat (Amenaza Persistente Avanzada). 4

5 Qué es un APT? AdvancedPT Las entidades detrás del ataque poseen amplios conocimientos acerca de métodos y técnicas t de intrusión n de elite, que aprovechan para crear exploits y herramientas específicas para el compromiso de la infraestructura objetivo. 5

6 Qué es un APT? APersistentT Los objetivos de los atacantes son a largo plazo y trabajan para lograrlos sin ser detectados, esto requiere que el acceso que lograron se mantenga durante una ventana de tiempo grande que les permita repetido para ejecutar las tareas. acceso continuo o repetido 6

7 Qué es un APT? APThreat Estos ataques tienen objetivos concretos y son llevados a cabo por un grupo de personas que están altamente capacitados, motivados, organizados y bien financiados. Poseen acceso a los recursos necesarios para cumplir con lo propuesto. 7

8 APT & botnets Un ataque APT es conocido por mantener múltiples y variadas formas de acceso a una organización, donde una botnet puede ser uno de estos tantos. Cuando estas se combinan con los APT, los atacantes pueden llevar a cabo numerosos tipos de ataques simultáneos utilizando múltiples canales para implantar software malicioso y controlar la infraestructura comprometida. Estas botnets son utilizadas luego como parte de otros ataques. De esta forma, por ejemplo, es posible ocultar el país de origen de un ataque o bien obtener rédito económico de la infraestructura obtenida. 8

9 APT & botnets De esta forma es posible identificar dos amenazas diferentes, el robo de información como parte de una actividad de espionaje y la utilización de la infraestructura comprometida para llevar adelante nuevos ataques. Ambas amenazas afectan a la compañía víctima de distintas formas. Por ejemplo, la fuga de información secreta supone una gran perdida de valor para la compañía, incluso su reputación se ve afectada en el caso de que el hecho se vuelva público. Otro aspecto a tener en cuenta son los costos directos e indirectos asociados al ataque así como también al abuso de los recursos corporativos. 9

10 Anatomía a de un Ataque Real: El caso RSA Fuente: 10

11 Qué es un Penetration Test? Un Penetration Test es un ejercicio que se realiza con el fin de evaluar la seguridad de un sistema o una red simulando el ataque de una entidad maliciosa (hacker). Wikipedia Pentester Vs. Hacker Las pruebas ejecutadas por un pentester son coordinadas por las partes Un hacker no requiere autorización para ejecutar los ataques Un pentester concentra sus esfuerzos en sistemas limitados (acordados) Un hacker no limita la superficie de ataque Un pentester trabaja en un esquema limitado de tiempo Un hacker trabaja 24x7 los 365 días del año Un pentester siempre intenta evitar la disrupción del servicio objetivo Un DoS podría ser el fin en si mismo de un ataque ejecutado por un hacker 11

12 Penetration Test Vs. Vulnerability Assessment Vulnerability Assessment: Se realiza de manera automática usando scanners de vulnerabilidades Scope general y de gran tamaño Gran cantidad de falsos positivos Enfocado a encontrar la mayor cantidad de vulnerabilidades en el sistema auditado Presenta una breve descripción de cada vulnerabilidad encontrada No hay confirmación de que estas sean realmente explotables Penetration Test: Pruebas manuales y también utilizando herramientas Esfuerzos concentrados en sistemas específicos No existen los falsos positivos Esta enfocado en el descubrimiento y compromiso del eslabón más débil Hay pruebas de concepto para cada una de las vulnerabilidades encontradas Muestra el impacto real de las vulnerabilidades encontradas 12

13 Penetration Tests Profundos : Ejercicio de un Ataque Real 13

14 Web Services Web Applications Internal Network Penetration Test Profundo Client-Side External Network 14

15 Demo Comprometiendo a un usuario para luego tomar control de un servidor de la red interna 15

16 Preguntas? 16

17 Gracias! Joaquin Paredes Senior Security Consultant Ing. Ivan Huertas Security Consultant 17