COMISARIA GENERAL DE POLICA JUDICIAL U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIN TECNOLGICA ORGANIZACIN OPERATIVA BRIGADA DE INVESTIGACIN TECNOLGICA SECCIN OPERATIVA I SECCIN OPERATIVA II SECCIN TCNICA PROTECCIN AL MENOR I y II FRAUDE A LAS TELECOMUNICACIONES FRAUDES EN INTERNET I y II SEGURIDAD LGICA INFORMES APOYO TCNICO FORMACIN ESTUDIOS I +D PROPIEDAD INTELECTUAL Comisara General de Polica Judicial REDES ABIERTAS BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA La seguri dad i nformti ca se encarga de la identificacin de las vulnerabilidades de un sistema y d e l e s t a b l e c i mi e n t o d e contramedidas que eviten que las di sti ntas amenazas posi bl es exploten estas vulnerabilidades. Que es la seguridad? Proceso consistente en mantener un nivel aceptable de riesgo percibido Richard Bejtlich. El Tao de la monitorizacin de seguridad en redes Eventualmente TODO sistema de seguridad FALLAR. CONCEPTO DE SEGURIDAD Objetivos de la seguridad Garantizar el CID Confidencialidad: Que nadie ms lo vea Integridad: Que nadie ms lo cambie Disponibilidad: Que siempre est ah Implantar las reglas de Oro Autenticacin: Quin es Autorizacin: Qu puede hacer Auditora: Qu ocurri Asegurar el No Repudio Que nadie pueda decir que l NO FUE Conceptos Bsicos Vulnerabilidad. Punto o aspecto del sistema o sus aplicaciones que es susceptible de ser atacado o de daar la seguri dad del mi smo. Representan l as debilidades o aspectos falibles o atacables en un sistema informtico. Amenaza. Posible peligro para el sistema. Puede ser una persona (hacker), un programa (virus, caballo de Troya, ...), o un suceso natural o de otra ndole (fuego, inundacin, etc.). Representan l os posi bl es at acant es o f act ores que aprovechan las debilidades del sistema. Contramedida. Tcnicas de proteccin del sistema contra las amenazas. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Seguridad Informtica CARACTERISTICAS A GARANTIZAR Disponibilidad El sistema se mantiene funcionando eficientemente y es capaz de recuperarse rpidamente en caso de fallo. Integridad Permite asegurar que no se ha falseado la informacin, es decir, que los datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que se haya producido ninguna modificacin. Confidencialidad Capacidad del sistema para evitar que personas no autorizadas puedan acceder a la informacin almacenada en l. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Seguridad Informtica OTROS ASPECTOS Autenticidad Permite asegurar el origen de la informacin. La identidad del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser. Consistencia Asegurar que el sistema se comporta como se supone que debe hacerlo con los usuarios autorizados Aislamiento Regular el acceso al sistema, impidiendo que personas no autorizadas entren en l. Auditoria Capacidad de determinar qu acciones o procesos se han llevado a cabo en el sistema, y quin y cundo las han llevado a cabo. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Seguridad Informtica PRINCIPIOS FUNDAMENTALES Principio de menor privilegio Cualquier objeto (usuario, administrador, programa, sistema, etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno ms. Principio del eslabn ms dbil En todo sistema de seguridad, el mximo grado de seguridad no es la suma de toda la cadena de medidas sino el grado de seguridad de su eslabn ms dbil. Punto de control centralizado Se trata de establecer un nico punto de acceso a nuestro sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por l. No se trata de utilizar un slo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Seguridad Informtica PRINCIPIOS FUNDAMENTALES Seguridad en caso de fallo Este principio afirma que en caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro. Participacin universal Cualquier mecanismo de seguridad que establezcamos puede ser vulnerable si existe la participacin voluntaria de algn usuario autorizado para romperlo. Simplicidad Mantener las cosas lo ms simples posibles, las hace ms fciles de comprender mientras que la complejidad permite esconder mltiples fallos. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Seguridad Fsica y Ambiental La norma ISO establece dos categoras: reas Seguras: Con la finalidad de impedir el acceso no autorizado a las instalaciones de la organizacin. Seguridad en los equipos: A fin de impedir la perdida, dao o robo de la informacin. Distingue tres fases: Antes de la contratacin. Durante el desarrollo del empleo. En el cese o cambio de puesto de trabajo. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. Antes de la contratacin. Se deben definir y documentar los r ol es y r esponsabi l i dades en seguridad describiendo el puesto de trabajo de acuerdo al documento de polticas de seguridad. Se deben investigar los antecedentes y referencias del candidato. Los r ol es, r esponsabi l i dades, trminos y condiciones del puesto de trabajo deben figurar en el contrato. Durante la contratacin. Informar, concienciar y motivar a los empleados para el cumplimiento de los trminos y condiciones establecidos en materia de seguridad. Formar y capacitar al personal sobre sus funciones y procedimientos respecto de la seguridad. Fijar y documentar un rgimen disciplinario para l as i nfracci ones en materi a de seguridad En el cese o cambio de puesto de trabajo. Se deben definir y documentar los roles y responsabilidades tras el cese incluyendo cualquier cuestin relacionada con los acuerdos de confidencialidad. Fijar procedimientos de devolucin de todo el material proporcionado por la organizacin. En caso de equipos cedidos o vendidos al trabajador garantizar la limpieza de los equipos. Retirar los derechos de acceso que pudieran habrsele otorgado. Los cambios de puesto de trabajo deben tratarse como si fueran un cese y una nueva contratacin. El establecimiento de una poltica de seguridad El anlisis de riesgos y los planes de contingencia La asignacin de responsabilidades La poltica de personal MEDIDAS DE PROTECCIN ADMINISTRATIVAS Y ORGANIZATIVAS POLTICAS DE SEGURIDAD a) Ninguna seguridad La medida ms simple posible es no hacer ningn esfuerzo en seguridad y tener la mnima, cualquiera que sea, por ejemplo la que proporcione el vendedor de forma preestablecida. b) Seguridad a travs de ser desconocido Con este planteamiento se supone que un sistema es seguro slo porque nadie sabe de l. c) Seguridad para anfitrin El modelo plantea reforzar la seguridad de cada mquina anfitrin por separado, y hacer todo el esfuerzo para evitar o reducir los problemas de seguridad que puedan afectar a ese anfitrin especfico. d) Seguridad para redes Conforme los entornos se hacen ms grandes y diversos, es ms difcil asegurar anfitrin por anfitrin, por ello ahora se tiende hacia un modelo de seguridad para redes La seguridad requiere una visin global DINMICA DE LA SEGURIDAD La Seguridad NO es un proceso puntual, es un proceso CONTINUO. Estimacin Proteccin Deteccin Respuesta RIESGO PARA LAS ORGANIZACIONES Riesgo = Amenaza x Vulnerabilidad x Valor del bien Amenaza Pasiva: Confidencialidad (sniffer) Amenaza Activa: Cambian el estado del sistema Es un conj unto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de algn recurso. Se definen o clasifican a partir de una poltica de seguridad. Intrusiones para mal uso.- son ataques en puntos dbiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos. Intrusiones anmalas.- se basa en la observacin de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado. Que es una intrusin? TIPOS DE ATAQUES Ataques contra la Disponibilidad Denegacin de Servicios DOS, DDOS Ataques contra la Integridad Defacement. Ataques contra la Confidencialidad Fuerza Bruta, Robo de Credenciales, Robo de cookies, Robo de informacin tcnicas de inyeccin. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Denegacin de servicio Ataque DOS: Colapsar un sistema sobrecargndolo de peticiones, de forma que sus usuarios legtimos no puedan acceder. Ataque DDOS: es un ataque DOS distribuido. Se usan mltiples equipos zombis que lanzan el ataque simultneamente. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Botnets Sus funciones originales eran el control de canales y la simulacin de parti ci pantes en j uegos multijugador. A c t u a l me n t e s e u s a n esencialmente para Ataques de DDoS, envo de (SPAM), alojar herramientas y componentes destinados al fraude (Phising), mani pul aci n de encuestas, votaciones y juegos online y distribucin de malware. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA El t er mi no bot net hace referencia a una red de bots (originalmente robots de IRC que simulaban una identidad dentro de un canal). Tipo de programa diseado especficamente para cometer delitos (crmenes) de tipo financiero o similares, intentando pasar desapercibido por la vctima. Por extensin, tambin hace referencia a aplicaciones web diseadas con los mismos objetivos. Un crimeware puede robar identidades, datos confidenciales, contraseas, informacin bancaria, etc. Tambin puede servir parta robar la identidad o espiar a una persona o empresa. El trmino fue ideado por Peter Cassidy, Secretario General del Anti-Phishing Working Group, para distinguir este tipo de software de otros malignos como malwares, spywares, adwares, etc. (Aunque muchas veces stos emplean tcnicas similares para propagarse o actuar). La industria del crimeware sigue creciendo a travs de la puesta en desarrollo y comercializacin de nuevos paquetes de exploits pre-compilados que se suman a la oferta de alternativas destinadas a facilitar las maniobras delictivas a travs de Internet. CRIMEWARE Black Hole Exploits Kit, una aplicacin web desarrollada en Rusia pero que adems incorpora para su interfaz el idioma ingls, y cuya primera versin (beta por el momento) est intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en funcin de una serie de caractersticas que intentan diferenciarlo del resto. Por ejemplo, adquirir este crimeware durante 1 ao (por el momento el tiempo mximo) tiene un costo de $ 1500 dlares, mientras que una licencia semestral y trimestral, cuestan $ 1000 y $ 700 respectivamente. BLACK HOLE EXPLOITS KIT BLACK HOLE EXPLOITS KIT Objetivos de un ataque: Denegacin de Servicio (DoS). Robo de la informacin (BBDD, propiedad industrial). Destruir / daar informacin. Controlar la mquina objetivo (BotNets, SPAM, DDoS). QU SE BUSCA EN UN ATAQUE? TIPOS DE VULNERABILIDADES Tcnicas (bug) Cross Site Scripting Inyeccin SQL Inyeccin de comandos Falsificacin de frames Desbordamiento de bfer Listado directorios Archivos/directorios backup Archivos de configuracin Etc. Lgicas o funcionales (flaw) Autenticacin defectuosa Fallos en lgica de negocio: no se valida un nmero de tarjeta o de cuenta Modificacin de precios Modificacin de cookies Escalada de privilegios horizontal/vertical SSL no requerido Criptografa pobre Info++ en mensajes de error Etc. MODELO DE ESTRUCTURA DE RED INTERNET passwd=xyz &rid=3+union+select+top+1 +password+from+usuarios=1& dame la primera password de la tabla que almacena las cuentas de usuarios la primera password de la tabla de usuarios es 6h4r15B Usuario malicioso EL ATAQUE A SERVICIOS WEB CON TECNICAS SQL INJ ECTION Tecnicas de Inyeccin . El uso de t ecni cas de i nyecci n, particularmente la inyeccin de SQL, son muy frecuentes en todo tipo de incidentes de seguridad en aplicaciones web. Ocurre cuando los datos proporcionados por el usuario se envan a un interprete como parte de un comando o consulta sin validarlos. El atacante puede manipular la entrada para forzar al interprete a ejecutar otras consultas extrayendo o modificando los registros de la base de datos. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Ejemplos de SQL Inyection OR 1=1 ;UPDATE usuarios SET (password) VALUES (md5 (mipass)) where user=admin EXEC master..xp-cmdshell cmd BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Soluciones. Validacin de entrada: Comprobar longitud, tipo, sintaxis de todos los datos de entrada antes de ser mostrados o almacenados. Permitir los mnimos privilegios necesarios a las aplicaciones que conectan a bases de datos. Evitar mensajes de error detallados. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Cross Site Scripting (XSS) El Cross site scripting, tambin conocido como XSS, es un tipo de inyeccin HTML que se produce cuando una aplicacin toma datos introducidos por el usuario y los enva al navegador sin validarlos o codificarlos. El script malicioso suele estar construido en JavaScript pero existen variantes en otros lenguajes de script. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Cross Site Scripting (XSS) Permite al atacante ejecutar cdigo en el navegador de la victima. Sus finalidades pueden ser: Desfigurar una web (Deface) Insertar contenido inadecuado. Robo de sesiones Ataques de suplantacin (Phising) Tomar el control del navegador BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Soluciones. Validacin de entrada: Usar un mecanismo de validacin de entrada que compruebe longitud, tipo, sintaxis de todos los datos de entrada antes de ser mostrados o almacenados. Codificacin de salida: Codificar los datos de forma apropiada. (ej, HTML Entities o MS Anti XSS library) de modo que no puedan llegar a mostrarse o almacenarse en forma ejecutable. BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA Qu es un exploit? Es una pieza de software, un fragmento de datos, o una secuencia de comandos cuyo objetivo es automatizar el aprovechamiento de una vulnerabilidad. Ejemplo de exploit Troyanos LA CREACIN DE TROYANOS En 4 simples pasos: Diseo Ocultacin Verificacin Distribucin Creacin de un troyano Mediante el uso de packers comerciales o gratuitos Creacin del Software La Ingeniera Inversa La Ocultacin ASPack ASProtect Armadillo EXECryptor FSG MEW NSPack PECompact UPack Telock Packers comerciales: CREACIN DE TROYANOS Las Tcnicas de ocultacin RBN, ofrece una completa infraestructura para los ciberdelitos. Phishing, malware, ataques DDoS, pornografa infantiletc son soportados por este ISP ruso. Para ello, se pone a disposicin del cliente varias botnets, shells remotas en servidores crackeados, servidores centralizados de gestin de estas actividadesetc. La RBN se encuentra en S. Petersburgo (Rusia) y proporciona alojamiento web. Su actividad est tan ntimamente relacionada con la industria del malware, que muchos nodos han decidido bloquear directamente toda conexin con direcciones pertenecientes a esta red. Y no slo malware. Se dice que la mitad del phishing mundial est alojado impunemente en alguno de sus servidores. En los ltimos aos no es fcil encontrar un incidente criminal a gran escala en la que no aparezcan por algn sitio las siglas RBN (o "TooCoin" o "ValueDot", nombres anteriores con los que ha sido conocida). RUSSIAN BUSINESS NETWORK ( Equipos a prueba de balas) RUSSIAN BUSINESS NETWORK ( Equipos a prueba de balas) Usuario malicioso Usuario malicioso Ejemplo de ataque CONSEJOS GENERALES Deshabilitar servicios y cuentas no utilizados. Actualizacin de S.O. y aplicaciones (parches). Uso de buenas contraseas. Utilizacin de Firewalls Chequeo de integridad de aplicaciones y S.O. Back-ups peridicos. Anlisis peridico de logs, monitorizar y graficar estadsticas. Auditar con escaners de vulnerabilidades Consultar Listas de vulnerabilidades Limitar y controlar uso de programacin del lado del cliente (javascript) Tcnicas de defensa a fondo y puntos de choque en redes Limitar tiempo querys Desarrollo seguro de aplicaciones web. Encriptacin del trfico BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA CONTACTO BRIGADA DE INVESTIGACIN TECNOLGICA C\ Julian Gonzalez Segador s/n 28.043 Madrid Tfno. 91/582.24.67 Fax. 91/582.24.84 Web: http://www.policia.es/bit/index.htm E-mail: seguridad.logica@policia.es palonso@policia.es BRIGADA DE INVESTIGACIN TECNOLGICA CUERPO NACIONAL DE POLICIA