Tendencias en Seguridad de la Información Lic. Pablo Milano CISSP / QSA / PA-QSA pmilano@cybsec.com 1 de Diciembre de 2010 Asunción - Paraguay
Tendencias en Seguridad de la Información Agenda Experiencias PCI en LATAM Desvanecimiento del Perímetro War Driving Asunción 2010 2
Experiencias PCI en Latinoamérica 3
Trabajos 2007 2008 2009 2010Realizados en proceso 15 20 25 0510 Experiencias PCI en Latinoamerica Evolución de proyectos de PCI 2007-2010 Cantidad de proyectos PCI-DSS en clientes de Cybsec Incluye auditorías, revisiones y análisis de GAP 4
Experiencias PCI en Latinoamerica Evolución de cumplimiento promedio PCI-DSS Con cuántos de los ítems cumplen las organizaciones? 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Promedio de cumplimiento de controles por año 2008 2009 2010 5
Experiencias PCI en Latinoamerica Estado promedio de cumplimiento actual (por prioridad) Promedio de cumplimiento por prioridades (2010) 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1 2 3 4 5 6 6
Experiencias PCI en Latinoamerica Escaneos ASV Qu Qué es? Escaneo automático de vulnerabilidades Aplica a equipos externos del ambiente de tarjetas. Lo debe realizar un proveedor homologado como ASV Problemas habituales Gran cantidad de falsos positivos Informes demasiado automáticos sin análisis Dificultad de las organizaciones en lograr un reporte OK 7
Experiencias PCI en Latinoamerica PA-DSS Payment Application Data Security Standard Standard de PCI para aplicaciones de pago Empresas de desarrollo están en proceso de certificación PCI SSC Mantiene lista de aplicaciones homologadas Deadlines de marcas de tarjetas para compliance en 2012 Ud está Aquí Asesoramiento Análisis GAP Certificación Compliance 8
Experiencias PCI en Latinoamerica PCI 2.0 (lo que viene lo que viene ) Nuevas versiones de standards El 28-OCT-2010 se publicó la versión 2.0 de PCI DSS y PCI PA-DSS Las nuevas versiones serán efectivas el 1-ENE-2011 Incluyen cambios aclaratorios y de evolución. Nuevo ciclo de vida Una versión nueva cada 3 años Etapas de Feedback y revisión Ref: www.pcisecuritystandards.org 9
Desvanecimiento del Perímetro 10
Desvanecimiento del perímetro Concepto tradicional del perímetro Layout típico de una red Redes internas y DMZs, saparadas por Firewalls de Internet (y del resto del mundo) Concepto intuitivo de perímetro Perímetro Internet / Redes externas Lan Interna DMZ 11
Desvanecimiento del perímetro El adentro pasa afuera : La Nube Servicios dé cómputo en la nube Prestación de servicios informáticos a través de la red (Internet) Ubicación de los equipos transparente (remota) Hardware probablemente compartido con terceros Orientación a Servicios Software como Servicio (SAAS) Plataforma como Servicio (PaaS) Infraestructura como Sercicio (IaaS) Qu Qué pasa con mi perímetro? 12
Desvanecimiento del perímetro El afuera pasa adentro : Ingeniería Social 2.0 Motivación El ataque directo a los equipos se hace más complicado Firewalls, IDSs, IPSs, Parches, DMZs, etc. Tendencia en aumento: Ingeniería social al usuario final Eslabon más débil El usuario es llave para saltear el perímetro hacia adentro Ingeniería social tradicional Hacerse pasar por personal de sistemas Pedir usuarios y contraseñas, etc. Ya no es efectiva (los usuarios están avivados ) Las técnicas de ingeniería social están mutando 13
Desvanecimiento del perímetro El afuera pasa adentro : Ingeniería Social 2.0 Nuevas tendencias en Ingeniería Social Phishing Direccionado A una organización específica A clientes de un banco específico Aprovechamiento de eventos Mundial de fútbol Campañas de ayuda (ej: Mineros en Chile) Registración de dominios estratégicos Similares a los utilizados por la empresa Dominios utilizados internamente Dominios simulando campañas de Marketing Combinación con otras técnicas Utilización de redes sociales (ej: Grupos falsos) Ingeniería social simultánea por varias vías Vulnerabilidades del lado del cliente 14
Desvanecimiento del perímetro El afuera pasa adentro II: Client Side Attacks A diario, se descubren y publican múltiples vulnerabilidades en distintas herramientas de software de escritorio que utiliza el usuario final Clientes de e-mail Web Browsers Reproductores multimedia Clientes de IM Planillas de cálculo Procesadores de texto Visualizadores PDF Y un largo etcétera Muchas de estas vulnerabilidades pueden ser explotadas para ejecutar código malicioso en las estaciones de trabajo de los usuarios 15
Desvanecimiento del perímetro El afuera pasa adentro II: Client Side Attacks Ejemplo de salto de perímetro con vulnerabilidades client side : 3) 5) 1) 2) El 4) El A exploit El través usuario atacante establece del envía abre usuario, toma el una el conexión Control archivo atacante del infectado y saliente sin accede equipo saberlo, hacia con a del los un servidores ejecuta exploit el usuario atacante el al internos exploit usuario 16
Desvanecimiento del perímetro Caso de estudio Prueba de concepto Caso Real (prueba de concepto) Ingeniería Social en marco de Pen Test (Abril 2010) Empresa argentina (Los nombres reales fueron reemplazados por confidencialidad) Combinación de varias de las técnicas mencionadas anteriormente Organización: TUEMPRESA S.A Dominio externos: TUEMPRESA.COM.AR Dominio interno (AD): TUEMPRESANET Info Adicional: - Está implementando sistema WEB de soporte técnico - Usuarios salen a internet via proxy autenticado 17
Desvanecimiento del perímetro Caso de estudio Prueba de concepto Ataque 1 1) Se registró el dominio tuempresatellevaalmundial.com.ar 2) Se montó en dicho dominio, un sitio falso con el look&feel de la empresa para registrarse por un sorteo por un viaje al mundial. (La página solicitaba Log-In, simulando el pop-up del proxy) 3) Se envió un mailing masivo, también con el look&feel de la empresa, invitando a los usuarios a acceder vía un link al sitio falso. 18
Desvanecimiento del perímetro Caso de estudio Prueba de concepto Comunicación interna Argentina TUEMPRESA S.A 19
Desvanecimiento del perímetro Caso de estudio Prueba de concepto Ataque 1I 1)Se registró el dominio tuempresanet.com.ar 2)Se montó en dicho dominio, un sitio falso con el look&feel de la empresa con una simulación de un sitio de Help Desk (al igual que el caso anterior, el sitio solicitaba Log-In helpdesk.tuempresanet.com.ar 3)Se tomó una muestra de números telefónicos y se llamó para hacer una encuesta sobre el nuevo sistema de Help Desk 4)Cuando el usuario decía no conocerlo, se le pedía su e-mail para enviarle mayor información 5)Por último se enviaba un e-mail falso, con links al sitio falso. 20
Desvanecimiento del perímetro Caso de estudio Prueba de concepto Sitio Web falso de Help Desk TUEMPRESA S.A 21
Desvanecimiento del perímetro Caso de estudio Prueba de concepto Ataque 1II (simulación de client-side attacks) 1)Se generó una planilla de cálculos falsa llamada sueldos_2010.xls. 1)Al abrirla, se ejecutaba código que dejaba un post en un sitio Web (a modo de prueba de concepto). Se incluia el nombre de PC y nombre de usuario 2)De dejaron 10 pendrives con este archivo olvidados en sitios estratégicos Cafetería Baños Hall central de entrada 22
Desvanecimiento del perímetro Caso de estudio Prueba de concepto Resultados Muestra total: 350 usuarios Más del 50% divulgaron sus contraseñas Durante 2 días, el ataque pasó desapercibido Usuarios abrieron la planilla falsa Desde equipos del trabajo Desde equipos de su casa Se obtuvo mucha información de la empresa Quejas sobre los diversos sistemas Nombres / versiones de aplicativos en uso Teléfonos, datos de contacto, más direcciones de mail. 23
War Driving Asunción 2010 24
War Driving Asunción 2010 Intro Análisis de redes WiFi por diferentes zonas de la ciudad 1271 redes wifi detectadas 25
War Driving Asunción 2010 Evolución Tipo de encripción utilizado 25% 27% 27% 22% Open WEP WPA WPA2 26
War Driving Asunción 2010 Top 10 SSIDs más comunes Qu Qué nombre le ponen a las redes? SSID (Service Set Identifier): Nombre identificador de una red WiFi En base al relevamiento, los nombres más habituales son: #1 - default #2 - linksys #3 - dlink #4 - airlive #5 - kaiomy #6 - hpsetup #7 - belkin54g #8 - trendnet #9 - personal #10 - gateway Por qué esto es relevante? 27
War Driving Asunción 2010 Redes furtivas (SSID Spoofing) Muchos sitios ofrecen redes abiertas de uso público Un restaurante, cafetería, heladería La recepción de un hotel Hasta lavaderos de autos En la primer conexión podemos guardar la información de la red Qué pasa si aparece otra red, con el mismo nombre de una de las que tengo guardadas? 28
War Driving Asunción 2010 Redes furtivas (SSID Spoofing) SSID Spoofing: Consiste en instalar un Access Point malicioso, que se hace pasar por otro (Ej: una de mis redes almacenadas). El AP furtivo puede atacar al cliente Wifi de distintas formas Espiando la conversación Enviando contenido falso (ej: exploits) Redirigiendo los pedidos a sitios maliciosos Existen herramientas en el mercado Karmetasploit Airbase-ng Razón de escaneos de redes Wifi PCI 29
War Driving Asunción 2010 Redes furtivas (SSID Spoofing) Ejemplo de ataque con SSID Spoofing Yo soy: linksys default wifi home estudio Redes conocidas: Miempresa linksys dlink www.google.com??? Si si, acá está Conectado automáticamente a linksys 30
War Driving Asunción 2010 Recomendaciones En general: Saber que estos ataques existen Configurar conexión automática únicamente a redes propias Mantener los parches y antivirus al día En casa / Oficina: Utilizar redes con encripción WPA2 Utilizar SSIDS no predecibles No difundir SSID Al utilizar redes públicas Utilizar únicamente si sabemos de quien es No engancharse a redes abiertas buena onda 31
Preguntas?