Escolar Documentos
Profissional Documentos
Cultura Documentos
Seguridad Informtica
Lic. Julio C. Ardita
jardita@cybsec.com
Agenda
- Situacin actual en la Argentina y en el mundo
- Incidentes de seguridad informtica reales
- Conociendo al enemigo
- Ingeniera Social
- Medidas de Proteccin
- Seguridad de la red de la Gobernacin de Santa Cruz
Situacin actual en la
Argentina y en el mundo
Qu es la Seguridad Informtica?
La seguridad informtica concierne a la proteccin
Antes:
La seguridad informtica no era un gran problema.
Centros de cmputos pequeos y pocas terminales.
Redes aisladas de computadoras pequeas y slo
usuarios internos.
Hoy:
La seguridad Informtica es un tema prioritario.
Los sistemas informticos estn dispersos e
interconectados en toda la Organizacin.
Tenemos grandes redes; Internet; diversidad de
plataformas; mltiples sistemas operativos; usuarios
internos, externos e invitados; computadoras mviles, etc.
7
Realidad
- Mayores responsabilidades
- Pocos recursos
Realidad
Sofisticacin de los ataques informticos
Durante abril de
2007 hubo ms
de 700 ataques
exitosos a
pginas Web
en Argentina.
Fuente: www.zone-h.org
http://www.zone-h.org/
10
CERT/CC
11
Incidentes de seguridad
informtica reales
12
sucursales.
En un anlisis preliminar de la situacin determin que un intruso haba
dejado un programa que se ejecut el da viernes a las 19:00hs horas
y que bloqueaba el acceso al sistema de Ventas.
Se comenz a trabajar en dos lneas:
- Volver a la operacin normal.
- Deteccin, anlisis y rastreo del intruso.
13
14
los comandos).
8. Se detect que otra computadora que contena evidencia y se
encontraba al lado del equipo de Jos misteriosamente fue formateada
y re-instalada dos das despus del incidente y en la misma se detect
el patrn de comportamiento del intruso.
16
17
CASO 2: Extorsin
Descripcin del incidente:
Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no
hacer circular entre los Clientes de la misma informacin confidencial que
haba obtenido.
El intruso se comunicaba a travs de mensajes de correo electrnico y
en dos oportunidades envi dos documentos de Word escritos por el.
18
CASO 2: Extorsin
Metodologa de Investigacin:
1. Se investigaron los mensajes de correo electrnico enviados por el
intruso y se determinaron que venan de Locutorios y/o Cybercafes.
CASO 2: Extorsin
Metodologa de Investigacin:
4. El usuario que apareca como Autor del documento en el anlisis era x
y la Organizacin x, eso implicaba que el archivo fue generado con un
CASO 2: Extorsin
Resultados obtenidos:
Se logr determinar que el intruso fue Omar Alvarez, ya que escribi los
documentos con su computadora personal.
21
julio de 2005.
Un da despus, el sistema de liquidacin gener los pagos causando
graves problemas a la Organizacin.
Se comenz la investigacin analizando el Servidor de Produccin de
Personal.
22
23
parte del script detectado en el directorio del usuario Maria. Ese archivo
fue generado por la herramienta SQLPlus.
6. Se analizaron las conexiones al Servidor UNIX de Produccin el da del
incidente y se detect que el usuario Maria haba entrado desde el
Servidor de Desarrollo y tuvo una sesin abierta de 3 horas.
7. Se investig el Servidor de Desarrollo y se detect que unos minutos
antes de conectarse el usuario Maria al UNIX de Produccin, el usuario
Pedro haba entrado a Desarrollo desde su PC.
24
1. Entra como
Pedro
2. Entra como Mara
Servidor BD Produccin
PC Pedro
3. Ejecuta el Script
25
26
Conociendo al enemigo
27
- Ex-empleados.
- Crackers.
- Veinte millones de adolescentes.
28
De qu nos protegemos...?
Objetivos de los intrusos sobre un Sistema Informtico
- Robo de informacin confidencial.
- Fraude financiero.
- Dao a la imagen.
- Modificacin de archivos.
- Indisponibilidad de servicios crticos.
29
1998
2000
2002
2005
70%
60%
30%
25%
20%
EXTERNOS
30%
40%
70%
75%
80%
INTERNOS
30
Metodologa de un ataque
Los ataques pueden ser Externos o Internos
Los ataques externos son ms fciles de detectar y repeler que
los ataques internos. El atacante interno ya tiene acceso a la
red interna o incluso al mismo Server que quiere atacar.
Intruso Externo
Servers Internos
Barreras
Intruso Interno
31
Ingeniera Social
32
Ingeniera Social
La ingeniera social consiste en la manipulacin de las personas
para que voluntariamente realicen actos que normalmente no haran.
Un intruso normalmente utiliza esta tcnica con el fin de conseguir
informacin (usuarios y claves de acceso) para ingresar a un sistema
de una Empresa.
33
34
Site Central.
Sucursal 1.
35
Educacin y concientizacin.
37
Medidas de Proteccin
38
Firewalls
Un sistema que permite cumplir con una poltica de acceso.
Se utiliza para proteger una red de computadoras segura conectada
INTERNET
Red
Interna
Firewall
39
Los IDS funcionan las 24 horas, los 365 das del ao.
40
actualizan.
- Los ms utilizados son: SNORT, RealSecure, NFR y
el IDS de CISCO.
41
42
43
44
Programacin segura de aplicaciones web (impedir bufferoverflow, cross-site scripting, path transversal y sql injection,
entre otras).
- Medidas anti-phishing.
- OWASP
www.owasp.org
45
Certificados digitales
Elevan el nivel de seguridad en el Sistema Informtico,
46
47
48
Interconexin
de un usuario
49
50
Mantenimiento de la seguridad
- La seguridad informtica es DINMICA y por eso requiere
indefectiblemente de un mantenimiento permanente.
- Establecimiento de una Poltica de Mantenimiento de la
Seguridad en los sistemas informticos (Dispositivos,
Servidores, Estaciones de Trabajo y Aplicaciones), que incluya:
Correccin de Vulnerabilidades.
Aplicacin de Patches de Seguridad.
Monitoreo de LOGS.
51
52
Anti-virus/spyware/spam
- Apoyarse en herramientas conocidas
- Problemtica de los Anti-virus
(Actualizacin Distribucin Monitoreo centralizado).
- Problemtica de los anti-spyware
(Actualizacin Distribucin Monitoreo centralizado).
- Problemtica de los Anti-spam
(Metodologa de filtrado Mensajes en cuarentena Filtros
avanzados).
53
55
Seguridad de la red
de la
Gobernacin de Santa Cruz
56
Seguridad de la Red
Proyecto de asegurar la red de la Gobernacin de Santa
Cruz.
Etapas:
1. Anlisis de la situacin actual
2. Diseo
3. Implementacin de soluciones
57
Topologa de la
red propuesta
- Capa Internet
- Capa Servidores
- Capa Interna
58
Capa de Internet
59
60
Capa interna
61
Estrategias de Gestin de la SI
- Establecer una gestin centralizada de la Seguridad
Informtica.
- Establecer un organigrama formal para la gestin de la
Seguridad Informtica que cubra las responsabilidades
necesarias.
- Formar un staff de personal idneo, capacitado y
correctamente dimensionado para las tareas de
seguridad.
62
Estrategias de Gestin de la SI
- Hosting centralizado de servidores, aplicaciones y
conexin a Internet.
- Data Center Provincial.
- Clasificacin de Organismos y Dependencias conectados a
la red provincial y gestin de seguridad.
63
Recomendaciones Tecnolgicas
Autenticacin centralizada
Se recomienda converger hacia un esquema de autenticacin
centralizada para optimizar la seguridad y la facilidad de
administracin de accesos en los sistemas internos.
Recomendaciones Tecnolgicas
Sistemas operativos modernos
Se recomienda utilizar versiones de sistemas operativos
modernos y con soporte por parte del Proveedor.
Windows NT 4.0 ya no se encuentra ms soportado por MS.
65
Recomendaciones Tecnolgicas
Acceso a Internet y navegacin controlada
Se recomienda la implementacin de un nico Proxy de
navegacin web y salida de otros protocolos.
La solucin ideal sera ubicar un Proxy que realice autenticacin
66
Recomendaciones Tecnolgicas
Administracin de parches
Se recomienda actualizar peridicamente los parches de
seguridad de todos los sistemas.
Tambin se recomienda utilizar servidores de prueba para
testear la confiabilidad de los parches antes de implementarlos
en el entorno de produccin.
67
Recomendaciones Tecnolgicas
Protocolos encriptados
Se recomienda la no utilizacin de protocolos que no implementan
encriptacin para la comunicacin de pares de usuario/password.
Algunos de los protocolos vulnerables son: Telnet, FTP, HTTP,
SMTP y POP. Actualmente existen alternativas seguras para
cualquier plataforma. Por ejemplo: SSH, SFTP,HTTPS, S/SMTP,
IMAP, SSL, entre otros.
68
Preguntas?
www.cybsec.com
Gracias por
acompaarnos
Lic. Julio C. Ardita
jardita@cybsec.com
www.cybsec.com