COMISARIA GENERAL DE POLICA JUDICIAL

U.D.E.F. CENTRAL
BRIGADA DE INVESTIGACIN TECNOLGICA

Jefe del Grupo de Seguridad Lgica

Inspector Pablo Alonso

Comisara General de Polica Judicial

ORGANIZACIN OPERATIVA
BRIGADA DE INVESTIGACIN TECNOLGICA

SECCIN OPERATIVA I

SECCIN OPERATIVA II

PROTECCIN AL MENOR
I y II

FRAUDES EN INTERNET
I y II

FRAUDE A LAS
TELECOMUNICACIONES

SEGURIDAD LGICA

REDES ABIERTAS

PROPIEDAD
INTELECTUAL

SECCIN TCNICA

INFORMES
APOYO TCNICO
FORMACIN
ESTUDIOS
I+D

Que es la seguridad?
La seguridad informtica se
encarga de la identificacin de las
vulnerabilidades de un sistema y
del establecimiento de
contramedidas que eviten que las
distintas amenazas posibles
exploten estas vulnerabilidades.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

CONCEPTO DE SEGURIDAD
Proceso consistente en mantener
un nivel aceptable de riesgo
percibido
Richard Bejtlich.
El Tao de la monitorizacin de seguridad en redes

Eventualmente TODO
sistema de seguridad
FALLAR.

Objetivos de la seguridad

Garantizar el CID

Confidencialidad: Que nadie ms lo vea

Integridad: Que nadie ms lo cambie

Disponibilidad: Que siempre est ah

Implantar las reglas de Oro

Autenticacin: Quin es

Autorizacin: Qu puede hacer

Auditora: Qu ocurri

Asegurar el No Repudio

Que nadie pueda decir que l NO FUE

Conceptos Bsicos

Vulnerabilidad.

Punto o aspecto del sistema o sus aplicaciones
que es susceptible de ser atacado o de daar la
s e g u r i d a d d e l m i s m o . Re p r e s e n t a n l a s
debilidades o aspectos falibles o atacables en un
sistema informtico.

Amenaza.

Posible peligro para el sistema. Puede ser una
persona (hacker), un programa (virus, caballo
de Troya, ...), o un suceso natural o de otra
ndole (fuego, inundacin, etc.). Representan
los posibles atacantes o factores que
aprovechan las debilidades del sistema.

Contramedida.

Tcnicas de proteccin del sistema contra las
amenazas.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Seguridad Informtica

CARACTERISTICAS A GARANTIZAR

Disponibilidad

El sistema se mantiene funcionando eficientemente y es
capaz de recuperarse rpidamente en caso de fallo.

Integridad

Permite asegurar que no se ha falseado la informacin, es
decir, que los datos recibidos o recuperados son
exactamente los que fueron enviados o almacenados, sin
que se haya producido ninguna modificacin.

Confidencialidad

Capacidad del sistema para evitar que personas no
autorizadas puedan acceder a la informacin almacenada
en l.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Seguridad Informtica
OTROS ASPECTOS

Autenticidad

Permite asegurar el origen de la informacin. La identidad
del emisor puede ser validada, de modo que se puede
demostrar que es quien dice ser.

Consistencia

Asegurar que el sistema se comporta como se supone que
debe hacerlo con los usuarios autorizados

Aislamiento

Regular el acceso al sistema, impidiendo que personas no
autorizadas entren en l.

Auditoria

Capacidad de determinar qu acciones o procesos se han
llevado a cabo en el sistema, y quin y cundo las han
llevado a cabo.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Seguridad Informtica

PRINCIPIOS FUNDAMENTALES

Principio de menor privilegio

Cualquier objeto (usuario, administrador, programa, sistema,
etc.) debe tener tan solo los privilegios de uso necesarios para
desarrollar su tarea y ninguno ms.

Principio del eslabn ms dbil

En todo sistema de seguridad, el mximo grado de seguridad no
es la suma de toda la cadena de medidas sino el grado de
seguridad de su eslabn ms dbil.

Punto de control centralizado

Se trata de establecer un nico punto de acceso a nuestro
sistema, de modo que cualquier atacante que intente acceder al
mismo tenga que pasar por l. No se trata de utilizar un slo
mecanismo de seguridad, sino de "alinearlos" todos de modo que
el usuario tenga que pasar por ellos para acceder al sistema.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Seguridad Informtica

PRINCIPIOS FUNDAMENTALES

Seguridad en caso de fallo

Este principio afirma que en caso de que cualquier

mecanismo de seguridad falle, nuestro sistema debe
quedar en un estado seguro.

Participacin universal

Cualquier mecanismo de seguridad que establezcamos

puede ser vulnerable si existe la participacin voluntaria
de algn usuario autorizado para romperlo.

Simplicidad

Mantener las cosas lo ms simples posibles, las hace ms

fciles de comprender mientras que la complejidad
permite esconder mltiples fallos.
BRIGADA DE INVESTIGACIN TECNOLGICA
CUERPO NACIONAL DE POLICIA

Seguridad Fsica y Ambiental

La norma ISO establece dos
categoras:

reas Seguras: Con la finalidad de
impedir el acceso no autorizado a las
instalaciones de la organizacin.

Seguridad en los equipos: A fin de
impedir la perdida, dao o robo de la
informacin.

SEGURIDAD LIGADA A LOS

RECURSOS HUMANOS.

Distingue tres fases:

Antes de la contratacin.

Durante el desarrollo del empleo.

En el cese o cambio de puesto de
trabajo.

Antes de la contratacin.

Se deben definir y documentar los
roles y responsabilidades en
seguridad describiendo el puesto de
trabajo de acuerdo al documento de
polticas de seguridad.

Se deben investigar los antecedentes
y referencias del candidato.

L o s r o l e s , r e s p o n s a b i l i d a d e s ,
trminos y condiciones del puesto de
trabajo deben figurar en el contrato.

Durante la contratacin.

Informar, concienciar y motivar a los
empleados para el cumplimiento de los
trminos y condiciones establecidos en
materia de seguridad.

Formar y capacitar al personal sobre sus
funciones y procedimientos respecto de la
seguridad.

Fijar y documentar un rgimen disciplinario
para las infracciones en materia de
seguridad

En el cese o cambio de puesto de

trabajo.

Se deben definir y documentar los roles y
responsabilidades tras el cese incluyendo
cualquier cuestin relacionada con los
acuerdos de confidencialidad.

Fijar procedimientos de devolucin de todo
el material proporcionado por la
organizacin. En caso de equipos cedidos o
vendidos al trabajador garantizar la limpieza
de los equipos.

Retirar los derechos de acceso que pudieran
habrsele otorgado.

Los cambios de puesto de trabajo deben
tratarse como si fueran un cese y una nueva
contratacin.

MEDIDAS DE PROTECCIN
ADMINISTRATIVAS Y ORGANIZATIVAS

El establecimiento de una poltica de
seguridad

El anlisis de riesgos y los planes de
contingencia

La asignacin de responsabilidades

La poltica de personal

POLTICAS DE SEGURIDAD

a) Ninguna seguridad

La medida ms simple posible es no hacer ningn esfuerzo en

seguridad y tener la mnima, cualquiera que sea, por ejemplo la
que proporcione el vendedor de forma preestablecida.

b) Seguridad a travs de ser desconocido

Con este planteamiento se supone que un sistema es seguro slo
porque nadie sabe de l.

c) Seguridad para anfitrin

El modelo plantea reforzar la seguridad de cada mquina anfitrin
por separado, y hacer todo el esfuerzo para evitar o reducir los
problemas de

seguridad que puedan afectar a ese anfitrin especfico.

d) Seguridad para redes

Conforme los entornos se hacen ms grandes y diversos, es ms
difcil

asegurar anfitrin por anfitrin, por ello ahora se tiende hacia un
modelo

de seguridad para redes

La seguridad requiere una visin global

DINMICA DE LA SEGURIDAD
La Seguridad
NO es un proceso puntual,
es un proceso CONTINUO.
Estimacin

Respuesta

Proteccin

Deteccin

RIESGO PARA LAS

ORGANIZACIONES
Riesgo = Amenaza x Vulnerabilidad x
Valor del bien
Amenaza Pasiva: Confidencialidad
(sniffer)
Amenaza Activa: Cambian el estado del
sistema

Que es una intrusin?

Es un conjunto de acciones que intentan comprometer la
integridad, confidencialidad o disponibilidad de algn
recurso. Se definen o clasifican a partir de una poltica de
seguridad.

Intrusiones para mal uso.- son ataques en puntos dbiles
conocidos de un sistema. Pueden ser detectados
observando y buscando ciertas acciones que se realizan a
ciertos objetos.

Intrusiones anmalas.- se basa en la observacin de
desviaciones de los patrones de uso normales del
sistema. Pueden ser descubiertos construyendo un perfil
del sistema que se desea supervisar, y detectando
desviaciones significantes del perfil creado.

TIPOS DE ATAQUES

Ataques contra la Disponibilidad

Denegacin de Servicios DOS, DDOS

Ataques contra la Integridad

Defacement.

Ataques contra la Confidencialidad

Fuerza Bruta, Robo de Credenciales, Robo de cookies,
Robo de informacin tcnicas de inyeccin.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Denegacin de servicio

Ataque DOS: Colapsar un sistema sobrecargndolo
de peticiones, de forma que sus usuarios legtimos
no puedan acceder.

Ataque DDOS: es un ataque DOS distribuido. Se
usan mltiples equipos zombis que lanzan el
ataque simultneamente.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Botnets

E l t e r m i n o b o t n e t h a c e
referencia a una red de bots
(originalmente robots de IRC
que simulaban una identidad
dentro de un canal).

Sus funciones originales eran el
control de canales y la simulacin
de participantes en juegos
multijugador.

A c t u a l m e n t e s e u s a n
esencialmente para Ataques de
DDoS, envo de (SPAM), alojar
herramientas y componentes
destinados al fraude (Phising),
manipulacin de encuestas,
votaciones y juegos online y
distribucin de malware.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

CRIMEWARE
Tipo de programa diseado especficamente para cometer
delitos (crmenes) de tipo financiero o similares, intentando
pasar desapercibido por la vctima. Por extensin, tambin hace
referencia a aplicaciones web diseadas con los mismos
objetivos.
Un crimeware puede robar identidades, datos confidenciales,
contraseas, informacin bancaria, etc. Tambin puede servir
parta robar la identidad o espiar a una persona o empresa.
El trmino fue ideado por Peter Cassidy, Secretario General del
Anti-Phishing Working Group, para distinguir este
tipo de
software de otros malignos como malwares, spywares,
adwares, etc. (Aunque muchas veces stos emplean tcnicas
similares para propagarse o actuar).
La industria del crimeware sigue creciendo a travs de la puesta
en desarrollo y comercializacin de nuevos paquetes de exploits
pre-compilados que se suman a la oferta de alternativas
destinadas a facilitar las maniobras delictivas a travs de
Internet.

BLACK HOLE EXPLOITS KIT

Black Hole Exploits Kit, una aplicacin web desarrollada en
Rusia pero que adems incorpora para su interfaz el idioma
ingls, y cuya primera versin (beta por el momento) est
intentando insertarse en el mercado clandestino desde principios
de septiembre de 2010. Su costo esta determinado en funcin
de una serie de caractersticas que intentan diferenciarlo del
resto.
Por ejemplo, adquirir este crimeware durante 1 ao (por el
momento el tiempo mximo) tiene un costo de $ 1500 dlares,
mientras que una licencia semestral y trimestral, cuestan $
1000 y $ 700 respectivamente.

BLACK HOLE EXPLOITS KIT

QU SE BUSCA EN UN ATAQUE?

Objetivos de un ataque:

Denegacin de Servicio (DoS).

Robo de la informacin (BBDD,
propiedad industrial).

Destruir / daar informacin.

Controlar la mquina objetivo
(BotNets, SPAM, DDoS).

TIPOS DE VULNERABILIDADES

Tcnicas (bug)

Cross Site Scripting

Inyeccin SQL
Inyeccin de comandos
Falsificacin de frames
Desbordamiento de bfer
Listado directorios
Archivos/directorios backup
Archivos de configuracin
Etc.

Lgicas o funcionales (flaw)

Autenticacin defectuosa

Fallos en lgica de
negocio: no se valida un
nmero de tarjeta o de
cuenta

Modificacin de precios

Modificacin de cookies

Escalada de privilegios
horizontal/vertical

SSL no requerido

Criptografa pobre

Info++ en mensajes de
error

Etc.


MODELO DE ESTRUCTURA DE RED

INTERNET

EL ATAQUE A SERVICIOS WEB

CON TECNICAS SQL INJECTION

Usuario malicioso

la primera password de la
tabla de usuarios es 6h4r15B

passwd=xyz
&rid=3+union+select+top+1
+password+from+usuarios=1&

dame la primera password

de la tabla que almacena
las cuentas de usuarios

Tecnicas de Inyeccin
.

El uso de tecnicas de inyeccin,

particularmente la inyeccin de SQL, son
muy frecuentes en todo tipo de incidentes
de seguridad en aplicaciones web.

Ocurre cuando los datos proporcionados

por el usuario se envan a un interprete
como parte de un comando o consulta sin
validarlos.

El atacante puede manipular la entrada
para forzar al interprete a ejecutar otras
consultas extrayendo o modificando los
registros de la base de datos.
BRIGADA DE INVESTIGACIN TECNOLGICA
CUERPO NACIONAL DE POLICIA

Ejemplos de SQL
Inyection

OR 1=1

;UPDATE usuarios SET
(password) VALUES (md5
(mipass)) where user=admin

EXEC master..xp-cmdshell cmd

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Soluciones.

Validacin de entrada: Comprobar longitud,
tipo, sintaxis de todos los datos de
entrada antes de ser mostrados o
almacenados.

Permitir los mnimos privilegios necesarios a
las aplicaciones que conectan a bases de
datos.

Evitar mensajes de error detallados.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Cross Site Scripting (XSS)

El Cross site scripting, tambin conocido
como XSS, es un tipo de inyeccin HTML
que se produce cuando una aplicacin toma
datos introducidos por el usuario y los enva
al navegador sin validarlos o codificarlos.

El script malicioso suele estar construido en
JavaScript pero existen variantes en otros
lenguajes de script.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Cross Site Scripting (XSS)

Permite al atacante ejecutar cdigo en el
navegador de la victima.

Sus finalidades pueden ser:

Desfigurar una web (Deface)

Insertar contenido inadecuado.

Robo de sesiones

Ataques de suplantacin (Phising)

Tomar el control del navegador

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Soluciones.

Validacin de entrada:

Usar un mecanismo de validacin de entrada
que compruebe longitud, tipo, sintaxis de
todos los datos de entrada antes de ser
mostrados o almacenados.

Codificacin de salida:

Codificar los datos de forma apropiada. (ej,
HTML Entities o MS Anti XSS library) de modo
que no puedan llegar a mostrarse o
almacenarse en forma ejecutable.

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA

Qu es un exploit?
Es una pieza de software, un
fragmento de datos, o una
secuencia de comandos cuyo
objetivo es automatizar el
aprovechamiento de una
vulnerabilidad.

Ejemplo de exploit

Troyanos

LA CREACIN DE TROYANOS
En 4 simples pasos:

Diseo

Ocultacin

Verificacin

Distribucin

Creacin de un troyano

Mediante el uso de packers comerciales o gratuitos

Creacin del Software

La Ingeniera Inversa

La Ocultacin

CREACIN DE TROYANOS
Las Tcnicas de ocultacin
Packers comerciales:

ASPack

Armadillo
ASProtect

FSG
EXECryptor

NSPack
UPack
Telock
MEW
PECompact

RUSSIAN BUSINESS NETWORK

(Equipos a prueba de balas)

RBN, ofrece una completa infraestructura para los
ciberdelitos. Phishing, malware, ataques DDoS,
pornografa infantiletc son soportados por este ISP
ruso. Para ello, se pone a disposicin del cliente varias
botnets, shells remotas en servidores crackeados,
servidores centralizados de gestin de estas
actividadesetc.

La RBN se encuentra en S. Petersburgo (Rusia) y
proporciona alojamiento web. Su actividad est tan
ntimamente relacionada con la industria del malware,
que muchos nodos han decidido bloquear directamente
toda conexin con direcciones pertenecientes a esta
red. Y no slo malware. Se dice que la mitad del
phishing mundial est alojado impunemente en alguno
de sus servidores.

En los ltimos aos no es fcil encontrar un incidente
criminal a gran escala en la que no aparezcan por algn
sitio las siglas RBN (o "TooCoin" o "ValueDot",
nombres anteriores con los que ha sido conocida).

RUSSIAN BUSINESS NETWORK

(Equipos a prueba de balas)

Ejemplo de ataque

Usuario malicioso

CONSEJOS GENERALES

Deshabilitar servicios y cuentas no utilizados.

Actualizacin de S.O. y aplicaciones (parches).
Uso de buenas contraseas.
Utilizacin de Firewalls
Chequeo de integridad de aplicaciones y S.O.
Back-ups peridicos.
Anlisis peridico de logs, monitorizar y graficar estadsticas.
Auditar con escaners de vulnerabilidades
Consultar Listas de vulnerabilidades
Limitar y controlar uso de programacin del lado del cliente
(javascript)
Tcnicas de defensa a fondo y puntos de choque en redes
Limitar tiempo querys
Desarrollo seguro de aplicaciones web.
Encriptacin del trfico
BRIGADA DE INVESTIGACIN TECNOLGICA
CUERPO NACIONAL DE POLICIA

CONTACTO

BRIGADA DE INVESTIGACIN
TECNOLGICA

C\ Julian Gonzalez Segador s/n 28.043
Madrid

Tfno. 91/582.24.67

Fax. 91/582.24.84

Web: http://www.policia.es/bit/index.htm

E-mail: seguridad.logica@policia.es
palonso@policia.es

BRIGADA DE INVESTIGACIN TECNOLGICA

CUERPO NACIONAL DE POLICIA