AR Santa Cruz Presentacion v2.pps

Jornadas de
Seguridad Informtica
Lic. Julio C. Ardita
jardita@cybsec.com
CYBSEC S.A. Security Systems

Ro Gallegos Santa Cruz
Argentina
Jornadas de Seguridad Informtica
Agenda
- Situacin actual en la Argentina y en el mundo
- Incidentes de seguridad informtica reales
- Conociendo al enemigo
- Ingeniera Social
- Medidas de Proteccin
- Seguridad de la red de la Gobernacin de Santa Cruz
Situacin actual en la
Argentina y en el mundo
Qu es la Seguridad Informtica?
La seguridad informtica concierne a la proteccin
de la informacin que se encuentra en un dispositivo

informtico (computadora, red, etc) y tambin a la
proteccin del acceso no autorizado a todos los
recursos del sistema.
El objetivo de la seguridad de la informacin es garantizar:
Durante la ultima dcada se incorpora con una

importancia creciente el concepto de la Seguridad
Informtica a la vez que este mismo concepto inicial
se transforma en el concepto de Seguridad de la
Informacin, permitiendo una mejor definicin del
problema que afecta a las Organizaciones.
Antes:
La seguridad informtica no era un gran problema.
Centros de cmputos pequeos y pocas terminales.
Redes aisladas de computadoras pequeas y slo
usuarios internos.
Hoy:
La seguridad Informtica es un tema prioritario.
Los sistemas informticos estn dispersos e
interconectados en toda la Organizacin.
Tenemos grandes redes; Internet; diversidad de
plataformas; mltiples sistemas operativos; usuarios
internos, externos e invitados; computadoras mviles, etc.
7
Realidad
- Los mismos problemas de seguridad
- Mayores responsabilidades
- Pocos recursos
- Masificacin del problema
Realidad
Sofisticacin de los ataques informticos
Durante abril de
2007 hubo ms
de 700 ataques
exitosos a
pginas Web
en Argentina.
Fuente: www.zone-h.org
http://www.zone-h.org/
10
Cantidad de vulnerabilidades informticas
CERT/CC
11
Incidentes de seguridad
informtica reales
12
CASO 1: Denegacin de servicio

Descripcin del incidente:
El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada
por un intruso que impidi la continuidad del negocio en sus casi 120
sucursales.
En un anlisis preliminar de la situacin determin que un intruso haba
dejado un programa que se ejecut el da viernes a las 19:00hs horas
y que bloqueaba el acceso al sistema de Ventas.
Se comenz a trabajar en dos lneas:
- Volver a la operacin normal.
- Deteccin, anlisis y rastreo del intruso.
13

Metodologa de Investigacin:
En relacin a la vuelta a la operacin normal:
1. Anlisis forense inmediato de los equipos afectados.
2. Deteccin de programas que impedan el normal funcionamiento del

Sistema de Ventas.
3. Anlisis de programas y modificaciones realizadas por el intruso.
4. Planteo de soluciones.
5. Pruebas sobre una sucursal de los cambios.

6. Aplicacin masiva de cambios y vuelta a la operacin normal.
14

En relacin a la deteccin, anlisis y rastreo del intruso:
1. Ingeniera reversa de los programas que dej el intruso
2. Determinacin de las actividades que realiz el intruso.

3. Deteccin de rastros de pruebas 4 das antes.
4. Determinacin de pruebas que podran indicar el perfil del intruso.
5. Anlisis de los sistemas de acceso remoto.
6. Evaluacin de las computadoras personales de los potenciales
sospechosos.
15

7. En el equipo de Jos se detectaron varios elementos (repeticin del
patrn de comportamiento del intruso por la forma en que ejecutaba
los comandos).
8. Se detect que otra computadora que contena evidencia y se
encontraba al lado del equipo de Jos misteriosamente fue formateada
y re-instalada dos das despus del incidente y en la misma se detect
el patrn de comportamiento del intruso.
16

Resultados obtenidos :
Se logr detectar la intrusin y se volvi la operacin normal en el
plazo inmediato.
De acuerdo a las caractersticas detectadas del patrn de

comportamiento, informacin encontrada, re-instalacin de un
equipo, conocimiento de las claves de acceso
necesarias, existe una gran probabilidad de que
el intruso fuera Jos.
17
CASO 2: Extorsin
Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no
hacer circular entre los Clientes de la misma informacin confidencial que
haba obtenido.
El intruso se comunicaba a travs de mensajes de correo electrnico y
en dos oportunidades envi dos documentos de Word escritos por el.
18
CASO 2: Extorsin
1. Se investigaron los mensajes de correo electrnico enviados por el
intruso y se determinaron que venan de Locutorios y/o Cybercafes.
2. En dos oportunidades el intruso realiz envos de mensajes de correo

electrnico conteniendo documentos de Word.
3. Se analizaron los documentos de Word con herramientas para anlisis
a nivel binario y se obtuvo informacin sobre nombres de archivos
internos, fechas de creacin, unidades donde fue copiado (apareca
una unidad A:) y apareca el directorio donde fue almacenado.
19
CASO 2: Extorsin
4. El usuario que apareca como Autor del documento en el anlisis era x
y la Organizacin x, eso implicaba que el archivo fue generado con un
Microsoft Word registrado a ese nombre.

5. Se analiz el nombre del directorio y apareci lo siguiente:
C:\Documents and Settings\oalvarez\Mis documentos\
6. Una de las personas que haban desvinculado de mala manera unos
meses antes era Omar Alvarez.
20
CASO 2: Extorsin
Resultados obtenidos:
Se logr determinar que el intruso fue Omar Alvarez, ya que escribi los
documentos con su computadora personal.
21
CASO 3: Modificacin de informacin

Un intruso ingres en la Base de Datos de personal y ejecut un script
SQL que aument el sueldo en un 70% a todo el personal el da 26 de
julio de 2005.
Un da despus, el sistema de liquidacin gener los pagos causando
graves problemas a la Organizacin.
Se comenz la investigacin analizando el Servidor de Produccin de
Personal.
22

1. Anlisis del Servidor UNIX de Produccin que contiene la Base de Datos.
2. Deteccin en el directorio principal del usuario Maria lo que pareca ser
el script SQL que se haba ejecutado.

3. Restriccin de las PCs de los usuarios que accedieron en ese momento.
4. Evaluacin de 9 PCs de los usuarios buscando archivos creados,
modificados y accedidos el da del incidente.
23

5. Se detect un solo equipo que tena archivos relevantes, el del usuario
Pedro. Se detect dentro del directorio C:\temp, un archivo que contena
parte del script detectado en el directorio del usuario Maria. Ese archivo
fue generado por la herramienta SQLPlus.
6. Se analizaron las conexiones al Servidor UNIX de Produccin el da del
incidente y se detect que el usuario Maria haba entrado desde el
Servidor de Desarrollo y tuvo una sesin abierta de 3 horas.
7. Se investig el Servidor de Desarrollo y se detect que unos minutos
antes de conectarse el usuario Maria al UNIX de Produccin, el usuario
Pedro haba entrado a Desarrollo desde su PC.
24

- Se busc los registros de la cmara de vigilancia de la entrada del
edificio y Maria se haba retirado 1 hora antes del incidente.
Servidor BD Desarrollo
PC Maria
1. Entra como
Pedro
2. Entra como Mara
Servidor BD Produccin
PC Pedro
3. Ejecuta el Script
- Script en directorio Maria
- Parte del script en un archivo temporal

del SQLPlus.
25

Resultados obtenidos:
Se determin que el intruso fue Pedro y que trato de incriminar al
usuario Maria.
26
Conociendo al enemigo
27
De quines nos protegemos...?

- Intrusos informticos.
- Extorsionadores.
- Espas Industriales.
- Usuarios del sistema.
- Ex-empleados.
- Crackers.
- Veinte millones de adolescentes.
28
De qu nos protegemos...?
Objetivos de los intrusos sobre un Sistema Informtico
- Robo de informacin confidencial.
- Fraude financiero.
- Dao a la imagen.
- Modificacin de archivos.
- Indisponibilidad de servicios crticos.
- Destruccin del Sistema Informtico.

- Sabotaje Corporativo.
29
Origen de los Ataques

1994
1998
2000
2002
2005
70%
60%
30%
25%
20%
EXTERNOS
30%
40%
70%
75%
80%
INTERNOS
30
Metodologa de un ataque
Los ataques pueden ser Externos o Internos
Los ataques externos son ms fciles de detectar y repeler que
los ataques internos. El atacante interno ya tiene acceso a la
red interna o incluso al mismo Server que quiere atacar.
Intruso Externo
Servers Internos
Barreras
Intruso Interno
31
Ingeniera Social
32
Ingeniera Social
La ingeniera social consiste en la manipulacin de las personas
para que voluntariamente realicen actos que normalmente no haran.
Un intruso normalmente utiliza esta tcnica con el fin de conseguir
informacin (usuarios y claves de acceso) para ingresar a un sistema
de una Empresa.
33
Formas de Ingeniera Social

Existen tres grandes formas de ingeniera social: La ms comn
es la telefnica, donde el intruso tratar de obtener informacin
a travs de un llamado . Otra forma es la del e-mail, donde
nos pedirn informacin va un mensaje de correo electrnico

y finalmente la personal, donde el intruso se hace presente de
forma fsica y pide informacin.
34
Situacin en la Empresa ACME

Se realiz una Prueba de Ingeniera Social sobre los siguientes
objetivos:
Planta ACME1.
Planta ACME2.
Site Central.
Sucursal 1.
Para la muestra se tomaron 43 casos.

El resultado fue que 39 personas brindaron
informacin crtica (usuarios y claves de
acceso).
35
Situacin en la Empresa ACME

El 90% del personal entreg informacin crtica.
Tres personas adems entregaron informacin crtica
de otros empleados.
No hubo ningn tipo de alertas o avisos al rea de
Sistemas durante, antes o despus de la Prueba.
Las claves de acceso utilizadas son triviales.

36
Estrategias de Defensa ante Ataques de Ingeniera Social
Educacin y concientizacin.
Polticas de Seguridad Informtica.

Sanciones duras y concretas.
37
Medidas de Proteccin
38
Firewalls
Un sistema que permite cumplir con una poltica de acceso.
Se utiliza para proteger una red de computadoras segura conectada
a una red insegura (Internet).
INTERNET
Red
Interna
Firewall
39
Sistemas de deteccin de intrusiones

-
Un sistema que intenta detectar cuando un intruso trata de

ingresar en forma no autorizada o trata de realizar una accin
peligrosa.
Los IDS funcionan las 24 horas, los 365 das del ao.
Detectan intrusiones en tiempo real tomando acciones preestablecidas.
40

IDS de Red
- Analizar el trfico de una red.
- Deben poder visualizar el trfico a monitorear.
- Se basan en firmas de ataques pre-establecidas que se
actualizan.
- Los ms utilizados son: SNORT, RealSecure, NFR y
el IDS de CISCO.
41

IDS de Host
- Analizar el comportamiento del equipo sobre el cual
se encuentran instalados.
- Evalan procesos, conexiones de red, analizan logs, etc.
- Se basan en firmas de ataques pre-establecidas que se

actualizan.
- Los ms utilizados son: RealSecure y NetIQ Vigilent.
42
Sistemas de Prevencin de Intrusiones (IPS)

Los IPS actualmente se utilizan en los enlaces WAN para frenar
los worms internos o en la conexin con Internet.
Depende la ubicacin, necesitan un tunning muy avanzado para
ser altamente efectivos.
Se basan en los IDS, pero bloquean el trfico considerado
intrusivo.
Requiere de un Administrador con conocimientos avanzados.
43
Seguridad en redes inalmbricas

- Implementar aspectos de
seguridad de la tecnologa.
- No utilizar WEP Esttico.

- Utilizar WPA/WPA2.
- La red Wireless debe ir a

una DMZ.
44
Seguridad en aplicaciones WEB

Las nuevas aplicaciones que se desarrollan son Web-enable.
Esto permite a una organizacin desarrollar aplicaciones internas
y que rpidamente puedan ser utilizadas en Extranet y/o Internet.
Programacin segura de aplicaciones web (impedir bufferoverflow, cross-site scripting, path transversal y sql injection,
entre otras).
- Medidas anti-phishing.
- OWASP
www.owasp.org
45
Certificados digitales
Elevan el nivel de seguridad en el Sistema Informtico,
ya que el Usuario sabe que opera en un Site seguro.

Permiten autenticar personas y equipos informticos.
Permiten adems activar la encriptacin de la informacin

que se transmite.
46
Encriptacin de las comunicaciones

Las comunicaciones que se transmiten entre los Sistemas
Informticos deben ir encriptadas con algoritmos fuertes cuando

los datos viajen por redes pblicas no seguras.
El protocolo de encriptacin ms utilizando para el Comercio
Electrnico es el SSL, que es muy fuerte y se encuentra presente

en la mayora de los Browsers. Otros protocolos utilizados son:
AES y 3DES.
47
Filtrado de redes a travs de VLANs

En redes internas, se deben utilizar las VLANs (Virtual LANs)
para separar lgicamente las

redes e implementar mecanismos
de filtrado de seguridad entre las
distintas VLANS con ACLs.
En una red interna se utiliza para
separar las redes de Servidores
y Estaciones de Trabajo.
48
VPN - Virtual Private Networks

Una VPN utiliza mecanismos de tunneling, encriptacin,
autenticacin y control de acceso para conectar usuarios o

Empresas a travs de redes pblicas como Internet.
Interconexin
de un usuario
49
VPN - Virtual Private Networks

Tambin se utiliza para interconectar dos sucursales de una
Empresa a travs de redes pblicas como Internet.
50
Mantenimiento de la seguridad
- La seguridad informtica es DINMICA y por eso requiere
indefectiblemente de un mantenimiento permanente.
- Establecimiento de una Poltica de Mantenimiento de la
Seguridad en los sistemas informticos (Dispositivos,
Servidores, Estaciones de Trabajo y Aplicaciones), que incluya:
Correccin de Vulnerabilidades.
Aplicacin de Patches de Seguridad.
Monitoreo de LOGS.
51
Proyectos informticos en un entorno seguro

La tendencia es incorporar la seguridad informtica desde el
nacimiento del proyecto.
- Lineamientos de seguridad.
- Desarrollo de aplicaciones.
- Instalacin y configuracin.
- Prueba pre-produccin.
- Mantenimiento y soporte tcnico.
52
Anti-virus/spyware/spam
- Apoyarse en herramientas conocidas
- Problemtica de los Anti-virus
(Actualizacin Distribucin Monitoreo centralizado).
- Problemtica de los anti-spyware
(Actualizacin Distribucin Monitoreo centralizado).
- Problemtica de los Anti-spam
(Metodologa de filtrado Mensajes en cuarentena Filtros
avanzados).
53
Prevencin a nivel Personal

No dejar informacin sensible sobre el escritorio, cajones,
post-it, etc.
Bloquear siempre la estacin de trabajo antes de alejarse
de la misma.
Respetar las normas de seguridad definidas.

Asegurar las notebooks y encriptar la informacin
sensible.
No abrir mensajes de correo no confiables, no esperados,
o de remitentes desconocidos.
No utilizar contraseas triviales.
Pensar que escribir o no en un mail o en papel.
54
Prevencin a nivel Personal

No acceder a sitios web no confiables.
Destruir documentos importantes, antes de desecharlos.
Guardar informacin sensible bajo llave.
No divulgar a nadie datos sensibles como nombres de
usuario, contraseas, etc.
Reportar toda actividad sospechosa a la mesa de ayuda.
55
Seguridad de la red
de la
Gobernacin de Santa Cruz
56
Seguridad de la Red
Proyecto de asegurar la red de la Gobernacin de Santa
Cruz.
Etapas:
1. Anlisis de la situacin actual
2. Diseo
3. Implementacin de soluciones
57
Topologa de la
red propuesta
- Capa Internet
- Capa Servidores
- Capa Interna
58
Capa de Internet
59
Capa de Servidores, Testing y enlaces
60
Capa interna
61
Estrategias de Gestin de la SI
- Establecer una gestin centralizada de la Seguridad
Informtica.
- Establecer un organigrama formal para la gestin de la
Seguridad Informtica que cubra las responsabilidades
necesarias.
- Formar un staff de personal idneo, capacitado y
correctamente dimensionado para las tareas de
seguridad.
62
Estrategias de Gestin de la SI
- Hosting centralizado de servidores, aplicaciones y
conexin a Internet.
- Data Center Provincial.
- Clasificacin de Organismos y Dependencias conectados a
la red provincial y gestin de seguridad.
63
Recomendaciones Tecnolgicas
Autenticacin centralizada
Se recomienda converger hacia un esquema de autenticacin
centralizada para optimizar la seguridad y la facilidad de
administracin de accesos en los sistemas internos.
Se recomienda implementar soluciones Active Directory o LDAP

y adaptar la mayor cantidad de sistemas para que autentiquen
usuarios contra estos.
Hoy en da existe una gran interoperabilidad entre diferentes

plataformas para este tipo de soluciones.
64
Sistemas operativos modernos
Se recomienda utilizar versiones de sistemas operativos
modernos y con soporte por parte del Proveedor.
Windows NT 4.0 ya no se encuentra ms soportado por MS.
65
Acceso a Internet y navegacin controlada
Se recomienda la implementacin de un nico Proxy de
navegacin web y salida de otros protocolos.
La solucin ideal sera ubicar un Proxy que realice autenticacin
de usuarios, filtro de contenido, cache y logging.

Se recomienda para mejorar la gestin del filtro de contenidos
y protocolos organizar diferentes perfiles de usuarios.
66
Administracin de parches
Se recomienda actualizar peridicamente los parches de
seguridad de todos los sistemas.
Tambin se recomienda utilizar servidores de prueba para
testear la confiabilidad de los parches antes de implementarlos
en el entorno de produccin.
67
Protocolos encriptados
Se recomienda la no utilizacin de protocolos que no implementan
encriptacin para la comunicacin de pares de usuario/password.
Algunos de los protocolos vulnerables son: Telnet, FTP, HTTP,
SMTP y POP. Actualmente existen alternativas seguras para
cualquier plataforma. Por ejemplo: SSH, SFTP,HTTPS, S/SMTP,
IMAP, SSL, entre otros.
68
Preguntas?

jardita@cybsec.com
www.cybsec.com
Gracias por
acompaarnos
jardita@cybsec.com
www.cybsec.com

AR Santa Cruz Presentacion v2.pps

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

AR Santa Cruz Presentacion v2.pps

Enviado por

Direitos autorais:

Formatos disponíveis

Jornadas de

CYBSEC S.A. Security Systems

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

de la informacin que se encuentra en un dispositivo

Jornadas de Seguridad Informtica

El objetivo de la seguridad de la informacin es garantizar:

Jornadas de Seguridad Informtica

Durante la ultima dcada se incorpora con una

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

- Los mismos problemas de seguridad

- Masificacin del problema

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

Cantidad de vulnerabilidades informticas

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

CASO 1: Denegacin de servicio

Jornadas de Seguridad Informtica

CASO 1: Denegacin de servicio

2. Deteccin de programas que impedan el normal funcionamiento del

5. Pruebas sobre una sucursal de los cambios.

Jornadas de Seguridad Informtica

CASO 1: Denegacin de servicio

2. Determinacin de las actividades que realiz el intruso.

Jornadas de Seguridad Informtica

CASO 1: Denegacin de servicio

Jornadas de Seguridad Informtica

CASO 1: Denegacin de servicio

De acuerdo a las caractersticas detectadas del patrn de

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

2. En dos oportunidades el intruso realiz envos de mensajes de correo

Jornadas de Seguridad Informtica

Microsoft Word registrado a ese nombre.

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

CASO 3: Modificacin de informacin

Jornadas de Seguridad Informtica

CASO 3: Modificacin de informacin

el script SQL que se haba ejecutado.

modificados y accedidos el da del incidente.

Jornadas de Seguridad Informtica

CASO 3: Modificacin de informacin

Jornadas de Seguridad Informtica

CASO 3: Modificacin de informacin

- Script en directorio Maria

- Parte del script en un archivo temporal

Jornadas de Seguridad Informtica

CASO 3: Modificacin de informacin

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

De quines nos protegemos...?

Jornadas de Seguridad Informtica

- Destruccin del Sistema Informtico.

Jornadas de Seguridad Informtica

Origen de los Ataques

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica

Jornadas de Seguridad Informtica