Inseguridad y computación en la nube Bogota, Colombia, Junio de 2011 Armando Carvajal Msc Seguridad Información Gerente Arquitecto de soluciones Globaltek Security
Índice de la conferencia Antecedentes, Terminología, Definiciones Riesgos de la computación en la nube Recomendaciones Casos de Uso: Algunas propuestas tomadas de RSA 2011 Predicciones, Conclusiones Demostración de jailbreak y pruebas de fortalezas de las claves en un dispositivo móvil
ANTECEDENTES, DEFINICIONES Y TERMINOLOGIA SOBRE LA COMPUTACION EN LA NUBE
Computacion en la nube 1961, John McCarthy propone que la computación en red sea como un servicio, tal como la electricidad [1] 2009, Algunas personas no creen que este concepto sea nuevo, Bruce Scheneir [2] Tomada de: http://blogempresarios.com/los-peligros-del-cloud-computing-ii/ / /
Computacion en la nube 2009, NIST: «Cloud computing is a model for enabling convenient, on demand network access to a shared pool of configurable and reliable computing resources (network, servers, storage, applications, services) that can be rapidly provisioned and released with minimal consumer management effort or service provider interaction» [3] Tomada de: http://blogempresarios.com/los-peligros-del-cloud-computing-ii/ / /
Computacion en la nube, sin complejidad: [4] Tomada de: http://www.csrc.nist.gov/groups/sns/cloud-computing/index-html
SaaS: Software as a service Es un servicio de software integrado que proporciona a los usuarios herramientas fundamentales para la operación del negocio: Correo, ofimática, Backups, Correo. No es de uso exclusivo de una organización en particular Tomada de: http://www.csrc.nist.gov/groups/sns/cloud-computing/index-html
PaaS: Plataforma como servicio Servicio ofrecido en la nube para los desarrolladores de aplicaciones Utilizando herramientas proporcionadas por el proveedor, pueden crear aplicaciones sin la necesidad de instalar programas en el punto final Tomada de: http://www.csrc.nist.gov/groups/sns/cloud-computing/index-html
IaaS: Infraestructura como servicio Almacenamiento, capacidad de computo, redes, servidores e infraestructura de alto desempeño sin tener que realizar grandes inversiones en infraestructura y recurso humano para que las administre Tomada de: http://www.csrc.nist.gov/groups/sns/cloud-computing/index-html
Computacion en la nube, un punto de vista muy simple: Tomada de: http://www.csrc.nist.gov/groups/sns/cloud-computing/index-html Tomado de Cloud Computing: A Brave New World for Security and Privacy, RSA 2011
RIESGOS DE LA COMPUTACION EN LA NUBE
Evidencia: Creciente numero alarmante de Incidentes de seguridad d de la información http://cloutage.org/
Evidencia: No queremos leerlo
Riesgos por políticas débiles de: Los controles de acceso por usuario, proceso y recursos a utilizar son débiles: Autenticación, Autorización, Accounting (AAA) Autenticación: Identificación única débil para rendición de cuentas Suplantación: No se esta haciendo autenticación de doble factor como mínimo
Riesgos por políticas débiles en: Baja frecuencia de actualización en el Análisis de riesgos No se están haciendo suficientes análisis de vulnerabilidades y pruebas de penetración al puno final El hipervisor i puede tener vulnerabilidades, d el punto final puede tener vulnerabilidades, ej: ipad, el Black berry, la tablet tblt marca xyz?)
Riesgos por políticas débiles en: Protección de datos sensibles: No sabemos que es confidencial, de uso interno, publico Cifrado de Comunicaciones confidenciales SIEM: Débil correlación de eventos basados en logs y gestión de incidentes Débil cadena de custodia en Investigación Forense
RECOMENDACIONES
RECOMENDACIONES Debemos alinearnos al negocio e iniciar por un único proceso que se pueda medir Por ejemplo probar un prototipo de un nuevo producto del proceso de ventas que rompa paradigmas, no solo que baje costos Db Debemos medir el rendimiento i de los servicios ofrecidos de los proveedores Debemos pedir SLA a los proveedores
RECOMENDACIONES SLA: Como se me resarcirán por los daños a mi patrimonio cuando el proveedor de computación en la nube incumpla lo pactado en seguridad de la información: Por ejemplo un ataque DDoS me dejo por fuera de mis sistemas de información por 3 días Es esto posible, hay evidencias?
RECOMENDACIONES Obtenga compromisos de los proveedores respecto de como se manejara la Confidencialidad y la Integridad de los datos sensibles Generalmente la disponibilidad no suele ser un problema en la computación en la nube Haga análisis de riesgos del negocio en ciclos y mida la confidencialidad i d y privacidad!! id d!!
RECOMENDACIONES Mida el grado de resiliencia de su organización (Gobierno, Seginfo, BCP) para mantenerse en la nube Clasifique su información antes de entrar a la computación en la nube (que es publico, que es de uso interno, que es confidencial) Cree una oficina de gestión de proyectos
RECOMENDACIONES C O Siga las políticas de «cloud computing» de su segmento de mercado (En EEUU para el sector gobierno es mandatorio ir hacia la computación en la nube) Cree modelos, arquitecturas y caminos que generen seguridad dda la alta dirección
RECOMENDACIONES Diseñe primero para el subproceso critico del negocio que probara antes de irse a la nube, No se lance a la nube sin modelar (arquitectar) No espere a que le digan «Mejor No» por que usted infunde inseguridad y miedo, Si le dicen no Muestre su mapa de riesgos del proceso que llevara a la nube, esto infunde seguridad y decisión
RECOMENDACIONES Haga segregación de datos Audite los servicios ii contratados t Informe mensualmente a la gente del negocio sobre las amenazas cambiantes Antes de entrar a la nube asegúrese que el proveedor permite cumplir con las regulaciones de su mercado: PCI, SOX, Circular 052, etc
APROXIMACIONES DE SOLUCIONES CASOS DE USO TOMADOS DE RSA 2011
Tomado de: Trusted IaaS Charlton Barreto, Intel Hemma Prafullchandra, HyTrust, RSA 2011
PREDICCIONES PARA LOS SIGUIENTES 10 ANIOS
PREDICCIONES En los próximos 10 anos la computación en la nube permitirá crecer el contenido para adultos en internet (nos atrae lo prohibido / falla que es intrinseca al ser humano=vulnerabilidad ) Crecerán las amenazas persistentes en forma polimorfica por el desafio y el extasis generado en nuestro cerebro al quebrar un sistema de información (Vulnerabilidad intrínseca al ser humano )
PREDICCIONES Aumento de incidentes por medio de dispositivos móviles / inalámbricos Apple y google competirán por el primer puesto en dispositivos iti móviles óil para acceder a la nube Apple/Tablet tendrá la mayor cantidad de aplicaciones disponibles para acceder a la nube y también la mayoría de fallas!
PREDICCIONES Se romperá el cifrado RSA por el aumento computacional distribuido en la nube Aumentaran los incidentes por hacking de webservices (La nube es puro web) Aumento descontrolado de ataques DDoS en la nube
PREDICCIONES Aumento de incidentes en seguridad de la información sobre datos sensibles Creceran los ataques desde el móvil por errores involuntarios de los usuarios El perímetro se desplazará hacia el usuario
PREDICCIONES (DELIRIOS) Los hinodoros inteligentes conectados a la nube en forma proactiva nos anticiparan posibles complicaciones por enfermedades latentes Las pantallas de nuestros computadores seran de cristal transparente y por medio de sensores no necesitaremos teclados y mouses
CONCLUSIONES Igual que antes: Si tenemos conciencia de los problemas enunciados tenemos soluciones que no necesariamente son de índole técnica El autor de esta charla insiste en volver al principio fundamental de hacer análisis de riesgos y generar métricas que muestren la gestión del riesgo en la nube (SGSI), como si fuera un PYG mensual
CONCLUSIONES Seguridad, privacidad, y responsabilidad para con los datos de mis clientes y los míos propios son los «principales problemas» de la computación en la nube Los proveedores deben ser mas transparentes con nosotros los clientes respecto de como me responderán por la seguridad de mi información
CONCLUSIONES La computación en la nube esta madurando y llego para quedarse entrenosotrosnosotros No es justo que se madure a punta de ensayo y error con nuestra información ió El fin justifica los medios?, es decir hay que bajar costos así sea que nos toque pasar a la nube y luego resolvemos lo del cuento de seguridad?
CONCLUSIONES Abogado del Diablo: Estamos exagerando? Quien asumirá los problemas legales y financieros de los impactos a la privacidad?
DEMO: HACKING DE UN IPHONE QUE PUEDE ACCEDER A LA NUBE
DEMO I JAILBREAK IPHONE 3
Paso 1: Descarga de la imagen ISO Se debe descargar la imagen ISO con extensión ipsw que sea igual o mayor a la versión de su iphone desde el sitio: http://www.felixbruns.de/ipod/firmware/
Paso 2: Descargar el software para hacer el Jailbreak Existen varias opciones como son: Redsnow Sn0wbreeze blackrain Para este caso se descarga Redsn0w Rd
Paso 3: Se ejecuta como administrador redsn0w
Paso 4: Modo DFU:
Paso 5: exploit que permita abrir las bandas para permitir que el celular funcione con la tarjeta SIM de cualquier proveedor
DEMO II ROMPER LA CLAVE DEL ROOT
Ataque de diccionario hydra t 8 l root f P password.lst S IP IPHONE ssh2 Clave = alpine Todos los IPHONE usan como administrador el usuario root con la clave alpine Es un riesgo para la seguridad de la información? ió Si alguien se apodera del root de mi iphone podría ver mi información sensible?
Sera difícil una sesión SSH?
Que es consolidated.db? db?
DEMO III ANÁLISIS DE VULNERABILIDADES PARA UN DISPOSITIVO MOVIL
Tengo IP en un teléfono móvil?
Vulnerabilidades en IPHONE4
Los Iphone 4 ver 4.3.3 (8J2) a la fecha tienen fallas:
BIBLIOGRAFIA [1] McCarthy, J., Centennial Keynote Address, MIT, 1961 [2] Bruce Schneir, www.scheneier.com/blog/archives/2009/06/cl com/blog/archives/2009/06/cl oud_computing.html [3] Pt Peter Mll Mell and Tim Grance, NIST, csrc.nist.gov/groups/sns/cloud computing/cloud computing v25.ppt t
BIBLIOGRAFIA [4] CLOUD SECURITY. A Comprehensive Guide to Secure Cloud Computing. Ronald L. Krutz and Russell Dean Vines. Cloud Computing Fundamentals. Chapter 2.