Chiclayo IT Security Day 2011

Seguridad de la Informacin Mitos y Tecnologas

Ing. Maurice Frayssinet Delgado http://mfrayssinet.blogspot.com/

Agenda
Introduccin a la Seguridad de la Informacin Legislacin y Normas en el Per Equipo de Respuesta a Incidentes de Seguridad de la Informacin Ethical Hacking Seguridad con herramientas de software libre Diez Consejos Bsicos de Seguridad para las empresas segn INTECO Demostraciones en vivo

Introduccin a la Seguridad de la Informacin

Siempre estamos expuestos a riesgos

SEGURIDAD INFORMATICA Se refiere a la proteccin de la infraestructura de las Tecnologas de la Informacin y comunicacin que soportan el negocio

SEGURIDAD DE LA INFORMACION Se refiere a la proteccin de los activos de informacin fundamentales para el xito de cualquier organizacin

Sistema de Gestin de la Seguridad de la informacin

EJEMPLOS DE INFORMACIN
Correos electrnicos Bases de datos Hojas de calculo Pagina Web Imgenes Faxes Contratos Presentaciones Etc.

Diferentes Soportes

Diferentes Fuentes

ACTIVOS INFORMACION

Ciclo de Vida

Metodologa SGSI

Objetivo SGSI

Gestin del riesgo

ADECUADA GESTION DEL RIESGO MEDIANTE UN SGSI

Familia ISO 27000

Con el fin de proporcionar un marco de Gestin de la Seguridad de la Informacin utilizable por cualquier organizacin se ha creado un conjuntos de estndares llamados ISO/IEC 27000

ISO/IEC 27000

Objetivo de las Normas ISO/IEC 27000

Estas normas nos van a permitir disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal.

La seguridad y su justificacin desde el punto de vista del negocio.

 Desde tiempo inmemorables las organizaciones han puesto los medios necesarios para evitar el robo y manipulacin de sus datos confidenciales En la actualidad, el desarrollo de las nuevas tecnologas ha dado un giro radical a la forma de hacer negocios a la vez que ha aumentado los riesgos para las empresas que se exponen a nuevas amenazas

Desafortunadamente es relativamente fcil tener acceso a las herramientas que permiten a personas no autorizadas llegar hasta la informacin protegida con poco esfuerzo y conocimiento, causando graves perjuicios para la empresa

Riesgos

Riesgos Fsicos Riesgos Lgicos

Beneficios para la empresa al instalar un SGSI

Beneficios para la empresa al instalar un SGSI

Beneficios para la empresa al instalar un SGSI

Beneficios para la empresa al instalar un SGSI

Beneficios para la empresa al instalar un SGSI

Beneficios para la empresa al instalar un SGSI

Estadsticas

Estadsticas

Estadsticas

Estadstica

Estadstica

Hackers usan telfono como teclado o ratn para atacar por USB
Un telfono Android rooteado y conectado por USB actuar como teclado o ratn, permitiendo as atacar o controlar un ordenador vctima. Este hack se aprovecha de que los USB no pueden autentificar los dispositivos conectados como HID (Human Interface Device), as como de que el sistema operativo no pueda filtrar los paquetes USB, detalles que podran haber servido al usuario para esquivar la ofensiva.

CASOS

 Desafort

Hackers Peruanos
Martes, 13 de Noviembre de 2007 Hackers peruanos fueron perdonados por Chile y ya tienen ofertas del extranjero Chile dio hoy por cerrado el incidente que involucr a dos adolescentes peruanos de 15 y 16 aos que hace dos semanas hackearon la pgina web de la presidencia de ese pas, inform Csar Vargas, presidente de la Sociedad Nacional de Informtica, quien hoy recibi la visita de tres funcionarios de la embajada de ese pas.

Video Hacker Anonymous

Operacin Andes Libre Chile/Per http://www.youtube.com/watch?v=ADPsiajhcvM

Advanced PS/2 hardware keylogger

Keylogger para teclados ps/2 se coloca al cable del teclado

Advanced USB hardware keylogger

Keylogger para teclados usb se coloca al cable del teclado

KeyDemon modulo

Wireless

Donde lo compran! http://www.onlinespyshop.co.uk

Keylogger por conexin a tierra

Hackers han conseguido saber qu teclas estaban siendo pulsadas en un teclado conectado a un ordenador con tan slo realizar unas mediciones en la red elctrica. Ello es debido a que los teclados emiten una seal elctrica con cada pulsacin, cada tecla emite una pulsacin nica y debido a que los cables de los teclados no estn aislados, suelen emitir a travs de la lnea de tierra.

http://www.qfxsoftware.com/

http://www.qfxsoftware.com/

Websense http://www.websense.com/content/h ome.aspx

http://www.http-tunnel.com/html/

Legislacin y Normas en el Per

Constitucin poltica del Per

Artculo 2: Toda persona tiene derecho: 5. A solicitar sin expresin de causa la informacin que requiera y a recibirla de cualquier entidad pblica, en el plazo legal, con le costo que suponga el pedido. Se exceptan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional. 6. A que los servicios informticos, computarizados o no, pblicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.

Constitucin poltica del Per

Art. 200.- Son garantas constitucionales: 3.- El habeas data, que procede contra el hecho u omisin, por parte de cualquier autoridad, funcionario o personal, que vulnera o amenaza los derechos a que se refiere el artculo 2, incisos 5 y 6 de la Constitucin.

Normas
Con fecha 23 de julio del 2004 la PCM a travs de la ONGEI, dispone el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin: Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin en entidades del Sistema Nacional de Informtica. Se Actualiz el 25 de Agosto del 2007 con la Norma Tcnica Peruana NTP ISO/IEC 17799:2007 EDI.

Marco de las recomendaciones

La NTP-ISO 17799 es una compilacin de recomendaciones para las prcticas exitosas de seguridad, que toda organizacin puede aplicar independientemente de su tamao o sector. La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solucin de seguridad de acuerdo a sus necesidades. Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnologa. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cmo se utilizan.

NTP ISO 17799

En este sentido La Norma Tcnica Peruana ISO 17799, se emite para ser considerada en la implementacin de estrategias y planes de seguridad de la informacin de las Entidades Pblicas. La NTP NO exige la certificacin, pero si la consideracin y evaluacin de los principales dominios de acuerdo a la realidad de cada organizacin.

Equipo de Respuesta a Incidentes de Seguridad de la Informacin

Qu es CERT?
El trmino CERT proviene de las siglas en ingls Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantacin y gestin de medidas tecnolgicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio. Tambin es conocido por las siglas CSIRT (Computer Security and Incidente Response Team)

Qu es CERT?
El primer CERT se cre en 1988 en la Universidad Carnegie Mellon, en Estados Unidos (propietaria de esta marca registrada), y desde entonces han ido crendose este tipo de Equipos en todo el mundo y en distintos mbitos de la sociedad (Administracin, Universidad, investigacin, empresa, etc).

www.cert.org

www.pecert.gob.pe

Ethical Hacking

Hacker tico
Un hacker tico es el nombre adoptado para la realizacin de pruebas de penetracin o intrusin a redes informticas. Un hacker tico usualmente es un empleado o persona perteneciente a una organizacin, el cual intenta introducirse a una red informtica o un sistema informtico, utilizando mtodos y tcnicas hacker, pero su propsito principal es la bsqueda y resolucin de vulnerabilidades de seguridad que permitieron la intrusin.

Hackeo a nuestros sistemas

Las computadoras al rededor del mundo estn siendo sistemticamente victimizadas por un acechante hackeo. Este no es solo un hackeo generalizado, esta siendo ejecutado tan fcilmente que los atacantes comprometen un sistema, roban todo lo valioso y borran completamente su informacin en 20 minutos.

Objetivo del Ethical hacker

EI objetivo de Ethical Hacker es ayudar a la organizacin a tomar medidas preventivas en contra de ataques maliciosos atacando el sistema por si mismo, pero mantenindose dentro de los limites legales permitidos. Esta filosofa resulta de la practica probada: "Para atrapar a un ladrn debes pensar como un ladrn".

Exploracin
Reconocimiento Activo
Probar los sistemas en bsqueda de ms informacin Hosts accesibles Ubicacin de routers y firewalls Sistemas Operacionales Servicios en ejecucin Aplicaciones y sus versiones

Exploracin
Equivalente a tocar puertas Verificar cules sistemas

Estn activos Son alcanzables desde Internet

Barrido de pings Escaneo de puertos

Exploracin
Verificar en cada sistema

Qu servicios estn corriendo Qu puertos estn escuchando

Escaneo de puertos
TCP connect TCP SYN

Deteccin del sistema Operativo

Exploracin
Mapeo de Redes con Cheops Funciona para Linux Un atacante busca entender la topologa de nuestra red Conectividad Intranet DMZ, redes perimetrales Intranet La distribucin de enrutadores y hosts pueden mostrar vulnerabilidades

Herramienta Cheops
Permite saber al atacante donde se encuentran las cosas Fue escrito por Mark Spencer Disponible en : http://cheops-ng.sourceforge.net/download.php Proporciona un mapa de red generado por pings y traceroute. Funciona como un network neighborhood para mquinas Unix.

Herramienta Cheops
Herramienta de Gestin Ofrece una interfaz grfica agradable para descubrimiento de red
Muy ruidosa No es conveniente si se busca mantener un perfil bajo No es conveniente si no se quiere ser detectado.

Herramienta Cheops
Esencialmente es usada para:
Mapeo / trazado Acceso fcil a funciones de gestin (ping, traceroute, ftp , secure shell) Escaneo de puertos OS Fingerprinting

Como funciona Cheops

Realiza ping a todos las estaciones para ver cuales responden Traceroute para cada estacin Por medio de un anlisis de por cuales pasa un paquete y por cuales no, se puede determinar la topologa. Escaneo de puertos para cada estacin OS fingerprinting para determinar el sistema operacional de las estaciones

Pantalla de Cheops

Caractersticas de Cheops
Pginas mltiples: Multiple Pages Permite Organizar la red dentro de pginas de forma conveniente y hacer grupos de acuerdo la funcin de cada una, de esa forma se especifican reas o redes especficas

Caractersticas de Cheops
Deteccin de Sistemas Operativos: OS Detection : Permite detectar los sistemas operativos de los hosts y adiciona un icono correspondiente a cada uno.

Caractersticas de Cheops
Encontrar: Find Permite encontrar hosts sobre una gran red

Caractersticas de Cheops
Mapear: Mapping:
Permite mapear la red mostrando rutas de la red, esta caracterstica es diseada para grandes redes, con routers, subredes etc. Tambin tiene funcionalidades para redes LAN simples.

Caractersticas de Cheops
Servicios: Services Con un click derecho sobre cada host se pueden observar cada uno de los servicios disponibles y acceder a ellos facilmente

Caractersticas de Cheops
Mltiples vistas: Multiple views:
Para grandes redes, es posible ver iconos para redes completas o una lista simple de redes. Se pueden manejar dominios, hostname, IP address etc.

Caractersticas de Cheops
Escaner de Puertos de propsito general: Generalized Port Scanner:
Incluye un port scanner de TCP para ver que puertos estn en uso sobre la red

Caractersticas de Cheops
Probador de versiones de servicios: Services Probing:
Permite recuperar la versin de los servicios habilitado para llevar un control de actualizacin sobre ellos

Caractersticas de Cheops
Monitoreo: Monitoring Support
Permite monitorear los servidores crticos y notificar inmediatamente a travs de event log, standard de correo, cuando sucede algo extrao.

Herramienta Nmap para escaneo de puertos

Herramienta de escaneo muy til con capacidades avanzadas Altamente popular Escrito por Fyodor y disponible en http://www.insecure.org/nmap Posee un ambiente grfico nmapfe en el mismo sitio Existe versin para unix y para windows

Herramienta Nmap para escaneo de puertos

Es una herramienta supremamente til para los atacantes y tambin para los que hacen Ethical hacking, ya que permite auditar los sistemas por los puertos abiertos NMAP habla con la tarjeta de red y se necesita un driver conocido como winpcap en windows o libpcap en linux Ej: Linux: nmap sS PO T Insane host

Herramienta Nmap para escaneo de puertos

Maneja varios tipos de escaneos:

Connect TCP scans

Usa negociacin completa Solo el syn inicial Ms difcil de detectar y ms rpido Ms imperceptible, puede pasar algunos filtros. Ms imperceptible, puede pasar algunos filtros. Puede pasar algunos filtros de paquetes

SYN scan (Half Open)

ACK scan

FIN scan

SYN scan con fragmentos IP

UDP scan FTP proxy Bounce Attack scan RPC scan Prueba de prediccin de secuencia TCP

Nmap ACK
Una configuracin en la que se busca permitir conexiones salientes pero no entrantes Si la configuracin del router define que solo conexiones con el bit ACK activado podrn entrar. Esto bloquea el inicio de sesiones desde el exterior Pero an es posible realizar escaneo y pasar los filtros.

Nmap Bounce Scan

FTP permite que un usuario le haga forward de un archivo a otro sistema Esto puede ser utilizado para realizar un bounce scan Por medio de esta tcnica la vctima no puede identificar realmente de donde viene el escaneo.

Nessus
Nessus es un escner de vulnerabilidades gratuito Puede ser usado por hackers o por organizaciones El proyecto fue iniciado por Renaud Deraison Disponible en http://www.nessus.org Consiste de un mdulo cliente y un mdulo servidor, con plug-ins modulares para pruebas individuales.

Otras Herramientas
Herramientas de distribucin libre:
SARA (http://www-arc.com/sara/) SAINT (http://www.saintcorporation.com/products/saint _engine.html) NESSUS (http://www.nessus.org)

Herramientas comerciales
Internet scanner (http://www.iss.net) Cisco Secure Scanner (Antes NetSonar)

Certificacin CEH
El programa CEH certifica individuos en una disciplina especifica de seguridad de redes de 'Hackeo Etico" desde una perspectiva neutral. Este certificado fortalecer a Oficiales de Seguridad, Auditores, Profesionales de Seguridad, Administradores de Sitios y todo aquel interesado en la integridad de la infraestructura de sus redes.

Mdulos
Module 1: Introduction to Ethical Hacking Module 2: Hacking Laws Module 3: Footprinting Module 4: Scanning Module 5: Enumeration Module 6: System Hacking Module 7: Trojans and Backdoors Module 8: Viruses and Worms Module 9: Sniffers

Mdulos
Module 10: Social Engineering Module 11: Phishing Module 12: Hacking Email Accounts Module 13: Denial-of-Service Module 14: Session Hijacking Module 15: Hacking Web Servers Module 16: Web Application Vulnerabilities Module 17: Web-Based Password Cracking Techniques Module 18: SQL Injection

Mdulos
Module 19: Hacking Wireless Networks Module 20: Physical Security Module 21: Linux Hacking Module 22: Evading IDS, Firewalls and Detecting Honey Pots Module 23: Buffer Overflows Module 24: Cryptography Module 25: Penetration Testing Module 26: Covert Hacking Module 27: Windows Based Buffer Overflow. Exploit Writing Module 28: Reverse Engineering Module 29: Hacking Routers, cable Modems and Firewalls

Seguridad con Herramientas de software Libre

Herramientas de Seguridad
Firewall iptables Proxy Squid Detector Intrusos Snort Monitoreo Trafico nmap iptraf

iptables

Squid

Snort

iptraf

Diez Consejos Bsicos de Seguridad para las empresas Segn INTECO

Laboratorio Implementacin Firewall con Linux

Ing. Maurice Frayssinet Delgado

mfrayssinet@hotmail.com maurice.frayssinet www.facebook.com/maurice.frayssinet http://mfrayssinet.blogspot.com |