Security On Site I

Chema Alonso
MVP Windows Server Security
Informtica 64

chema@informatica64.com

Agenda
Principios de Seguridad
Ataques a Sistemas
Actualizaciones de Seguridad
Seguridad en Servidores
Seguridad en Clientes

Principios de Seguridad

Seguridad
La seguridad depende de 3 factores:
Procesos:
Procedimientos y operaciones en nuestros
entornos

Personas
Poca formacin

Tecnologa:
Estndares (TCP/IP)
Productos de los fabricantes (IIS,Apache)
Desarrollos personales

Porque Atacan?
Hacer Dao

Motivos Personales

Alterar, daar or borrar

informacin
Denegar servicio
Daar la imagen pblica

Desquitarse
Fundamentos polticos o
terrorismo
Gastar una broma
Lucirse y presumir

Motivos Financieros
Robar informacin
Chantaje
Fraudes Financieros

Impacto de los Ataques

Prdida de
Beneficios

Daos en la
reputacin

Deterioro de la
confianza de los
inversores

Daos en la
confianza de los
clientes

Datos
comprometidos

Consecuencias
legales
(LOPD/LSSI)

Interrupcin de
los procesos de
Negocio

Bug
Un error de software o computer bug, que
significa bicho de computadora, es el resultado
de una falla de programacin introducida en el
proceso de creacin de programas de
computadora. El trmino bug fue acreditado
errneamente a Grace Murray Hopper, una
pionera en la historia de la computacin, pero
Thomas Edison ya lo empleaba en sus trabajos
para describir defectos en sistemas mecnicos
por el ao 1870.
Fuente: Wikipedia en Espaol

Exploit
Exploit (viene de to exploit - aprovechar) - cdigo escrito
con el fin de aprovechar un error de programacin para
obtener diversos privilegios. software.
Un buen nmero de exploits tienen su origen en un
conjunto de fallos similares. Algunos de los grupos de
vulnerabilidades ms conocidos son:
Vulnerabilidades de desbordamiento de pila o buffer overflow.
Vulnerabilidades de condicin de carrera (Race condition).
Vulnerabilidades de error de formato de cadena (format string bugs).
Vulnerabilidades de Cross Site Scripting (XSS).
Vulnerabilidades de inyeccin SQL (SQL injection).
Vulnerabilidades de inyeccion de caraceres (CRLF).

Fuente: Wikipedia en Espaol

Payload
In computer virus jargon, the payload of
a virus or worm is any action it is
programmed to take other than merely
spreading itself. The term is used for all
intended functions, whether they actually
work or not.
Fuente: Wikipedia

Software Seguro
El software Fiable es aquel que hace lo que se
supone que debe hacer.
El software Seguro es aquel que hace lo que se
supone que debe hacer, y nada mas.
Son los sorprendentes algo mas los que producen
inseguridad.

Para estar seguro, debes de ejecutar solo

software perfecto :-)
O, hacer algo para mitigar ese algo mas

Cdigo y poder
El cdigo fuente es poder
Tanto para defenderse como para atacar

Compartir el cdigo es compartir el poder.

Con los atacantes y defensores

Publicar el cdigo fuente sin hacer nada

ms degrada la seguridad
Por el contrario, publicar el cdigo fuente
permite a los defensores y a otros elevar
la seguridad al nivel que les convenga.

Proceso explotacin
Vulnerabilidad
1.- Se descubre una vulnerabilidad
a) Por el fabricante
b) Por un tercero
2.- Se aprende a explotarlo
a) Ingeniera inversa de Cdigo
b) Ingeniera inversa de Patch
3.- Se usa un Payload para automatizar

Nmero de dias transcurridos entre la publicacin del update de seguridad y el

impacto del virus

Win32
Linux/Unix

Nombre
del Virus

Slammer

BugBear

Slapper

Ramen

Klez

Lion

Scalper

Nimda

CodeRed

Blaster

Vulnerabilidades
http://www.securityfocus.com/bid

Sofisticacin de los Ataques vs.

Conocimientos requeridos

Ataques a Sistemas

Ataque:
Envenenamiento ARP

Tcnicas de Spoofing
Las tcnicas spoofing tienen como
objetivo suplantar validadores
estticos
Un validador esttico es un medio de
autenticacin que permanece invariable
antes, durante y despus de la
concesin.

Niveles Afectados
SERVICIO

Nombres de dominio
Direcciones de correo electrnico
Nombres de recursos compartidos

RED

Direccin IP

ENLACE

Direccin MAC

Tipos de tcnicas de Spoofing

Spoofing ARP

Envenenamiento de conexiones.

Man in the Middle.

Spoofing IP

Rip Spoofing.

Hijacking.
Spoofing SMTP
Spoofing DNS

WebSpoofing.

ta
es
1
:5
1.
66
1.
7:
1.
:7
en :88
99 44
5:

1.1.1
.1

1.
99 1.
:8 1.2
8: e
77 st
:6 a e
6: n
55
:4
4

Ataque ARP Man In The Middle

e
n
e
i
nt
e
i
Qu 1.2?
.
1.1
1.1.1.2 esta en
00:11:22:33:44:55:66

1.1.1
.2

Proteccin contra Envenenamiento

Medidas preventivas.

Cifrado de comunicaciones.
IPSec.

Cifrado a nivel de Aplicacin:

S/MIME.

SSL.

Certificado de comunicaciones.

Proteccin contra Envenenamiento

Medidas reactivas.
Utilizacin de detectores de Sniffers.

Utilizan test de funcionamiento anmalo.

Test ICMP.
Test DNS.
Test ARP.

Sistemas de Deteccin de Intrusos

Frase vs. Passwords

Ataque:
SQL Injection

Explotacin del Ataque

Aplicaciones con mala comprobacin de datos de entrada.
Datos de usuario.
Formularios
Text
Password
Textarea
List
multilist

Datos de llamadas a procedimientos.

Links
Funciones Scripts
Actions

Datos de usuario utilizados en consultas a base de datos.

Mala construccin de consultas a bases de datos.

Riesgos
Permiten al atacante:
Saltar restricciones de acceso.
Elevacin de privilegios.
Extraccin de informacin de la Base de
Datos
Parada de SGBDR.
Ejecucin de comandos en contexto
usuario bd dentro del servidor.

Tipos de Ataques
Ejemplo 1:
Autenticacin de usuario contra base de
datos.
Usuario
Clave

****************

Select idusuario from tabla_usuarios

Where nombre_usuario=$usuario
And clave=$clave;

Tipos de Ataques
Ejemplo 1 (cont)
Usuario

Administrador

Clave

or 1=1

Select idusuario from tabla_usuarios

Where nombre_usuario=Administrador
And clave= or 1=1;

Tipos de Ataques
Ejemplo 2:
Acceso a informacin con procedimientos
de listado.
http://www.miweb.com/prog.asp?parametro1=hola

http://www.miweb.com/prog.asp?parametro1=1

Tipos de Ataques
Ejemplo 2 (cont):
http://www.miweb.com/prog.asp?parametro1= union select
nombre, clave,1,1,1 from tabla_usuarios; otra instruccin;
xp_cmdshell(del c:\boot.ini); shutdown -
http://www.miweb.com/prog.asp?parametro1=-1 union select .....;
otra instruccin; --

Contramedidas
No confianza en medias de proteccin en cliente.
Comprobacin de datos de entrada.
Construccin segura de sentencias SQL.
Fortificacin de Servidor Web.
Cdigos de error.
Restriccin de verbos, longitudes, etc..
Filtrado de contenido HTTP en Firewall.

Fortificacin de SGBD.
Restriccin de privilegios de motor/usuario de acceso desde web.
Aislamiento de bases de datos.

Ataque:
Cross-Site Scripting (XSS)

Explotacin del Ataque

Datos almacenados en servidor desde
cliente.
Datos van a ser visualizados por otros
cliente/usuario.
Datos no filtrados. No comprobacin de
que sean dainos al cliente que visualiza.

Riesgos
Ejecucin de cdigo en contexto de
usuario que visualiza datos.
Navegacin dirigida
Webspoofing
Spyware
Robo de credenciales
Ejecucin de acciones automticas
Defacement

Tipos de Ataques
Mensajes en Foros.
Firma de libro de visitas.
Contactos a travs de web.
Correo Web.
En todos ellos se envan cdigos Script
dainos.

Contramedidas
Fortificacin de aplicacin
Comprobacin fiable de datos

Fortificacin de Clientes
Ejecucin de clientes en entorno menos
privilegiado.
Fortificacin de navegador cliente.
MBSA.
Polticas.

Ataque:
Troyanos
Hay un amigo en mi

Definicin
Programa que se ejecuta sobre nuestra
mquina y cuyo control no depende de
nosotros.
Los Hackers lo llaman Boyfriend.
Mil formas, mil colores, mil objetivos.

Obtencin de Privilegios
El programa corre sobre nuestra
mquina.
Corre con una identificacin de usuario
del sistema.
Debe obtener privilegios para poder
ejecutarse.
Cmo los obtiene?

Obtencin de Privilegios
Fallo en la cadena:
Procesos:
Sistema no cerrado.

Tecnologa:
Fallo en sw de sistema operativo
Fallo en sw ejecucin de cdigos.

Personas:
Ingeniera Social: Que lindo programita!
Navegacin privilegiada

Objetivos
Control remoto:
Instalan suites de gestin del sistema.

Robo de informacin
Modificacin del sistema:
Phishing
Creacin de usuarios
Planificacin de tareas
....

Instalacin del Troyano

Se suele acompaar de un caballo para
tranquilizar a la vctima.
Se aaden a otro software.
EJ: Whackamole
Joiners, Binders

Incluidos en documentos que ejecutan

cdigo:
Word, excel, swf, .class, pdf, html, etc...

Instalacin del Troyano

Simulando ser otro programa
P2P, HTTP Servers
Paquetes Zip autodescomprimibles
Programas con fallo de .dll

Instaladores de otro SW

Troyanos Comerciales
Su difusin es extrema.
Se han hecho famosos debido a su
extensin.
Suelen ser utilizados por principiantes
Casi todos los sistemas Anti-Malware son
capaces de detectarlos.
An as siguen siendo tiles porque
mutan.

Algunos
Back Orifice
NetBus
NetDevil
SubSeven
Ptakks
......

Deteccin de Troyanos
Anti-Mallware
Antivirus
AntiSpyware

Comportamiento anmalo del sistema

Configuraciones nuevas
Cambio en pginas de navegacin
Puertos
....

Prevencin contra Troyanos

Defensa en Profundidad
Mnimo Privilegio Posible
Mnimo punto de exposicin
Gestin de updates de seguridad
Antivirus/AntiSpyware
Ejecucin controlada de programas
Navegacin segura

Ataque:
RootKits
Los Otros

Definicin
Software malintencionado que tiene total
control de la maquina infectada y es
TOTALMENTE INVISIBLE, tanto para
para los usuarios de la maquina como
para todo el software que se ejecuta en
ella.

Que es un RootKit?
Originalmente Fichero Troyano con una puerta trasera
Cambia ficheros, ejmp., netstat.exe
Pueden ser detectados con herramientas tipo Tripwire

Hoy en da La mayora de los RootKits tienen

componentes en modo Kernel
Trastornan el TCB Trusted Computer Based
Ocultan cosas
Otras capacidades
Difciles de detectar y eliminar

Premisa: El atacante lo puede instalar de manera

directa o indirecta.

Breve Historia.
A principios de los aos 90s, los RootKits
aparecen por primera vez en el mundo Unix
Al final de los 90s, Greg Hoglund y su equipo
los introducen por primera vez en los entornos
Windows. http://www.rootkit.com
La creacin y la deteccin de los RootKits
continua evolucionando
Modo Usuario -> Modo Kernel -> flash RAM
Nuevas tcnicas en cada nivel

Que puede hacer?

Esconder:
A si mismo + algo que el intruso quiera.
Procesos
Ficheros y su contenido
Claves y valores del registro
Drivers en modo Kernel
Puertos

Sniffing Trafico de Red, Log de pulsaciones de

teclado
Elevacin de Privilegios - Modificacin de los testigos
de acceso (access token)
Cualquier cosa que un driver o el Sistema Operativo
pueda hacer

Interceptacin de APIs a
nivel de Usuario
Aplicacin
(Ejem., taskmgr, tlist)

PSAPI.DLL
EnumProcesses
MODO-USUARIO
MODO-KERNEL

NTDLL.DLL
NtQuerySystemInformation

NTOSKRNL.EXE

Cdigo Malicioso
RootKit

Interceptacin de APIs a
nivel del Ncleo KERNEL
Aplicacin
(Ejem., taskmgr, tlist)

PSAPI.DLL
EnumProcesses
MODO-USUARIO
MODO-KERNEL

NTDLL.DLL
NtQuerySystemInformation

NTOSKRNL.EXE

Cdigo Malicioso
RootKit

Hacker Defender
Es el RootKit mas extendido en los sistemas
Windows.
Ficha:
Autores:
Holy_Father holy_father@phreaker.net
Ratter/29A ratter@atlas.cz

Version: 1.0.0
Home Page: http://rootkit.host.sk, http://
hxdef.czweb.org
Programacin: Delphi
SO: NT, 2000, XP

Objetivo
Reescribir algunos segmentos de memoria en todos los
procesos que se ejecuten en una mquina para:
Esconderse a si mismo y esconder:
Ficheros
Procesos
Servicios de sistema
Drivers de sistema
Claves y valores del registro
Puertos abiertos

Engaar con el espacio libre en disco.

Enmascarar los cambios que realiza en memoria.
Instalar una puerta trasera con tecnologa de redirector
Soporta Procesos Root

Configuracin I
Se configura mediante un fichero INI que tiene
los siguientes campos:
[Hidden Table]: Listado de directorios ficheros y
procesos que deben ser ocultados
[Root Processes]: Procesos que no sern
infectados por el RootKit.
[Hidden Services]: Servicios que no se listarn
[Hidden RegKeys]: Claves del registro ocultas
[Hidden RegValues]: Valores del registro ocultos.

Configuracin II
[Startup Run]: Ejecutables que se ejecutan cada
vez que se inicia el RootKit.
[Free Space]: Espacio que se aade a cada
disco duro.
[Hidden Ports]: Puertos abiertos que han de ser
ocultados de aplicaciones tipo OpPorts, FPort,
Active Ports, Tcp View etc
[Settings]: 8 valores para configurar diferentes
cosas.

Deteccin
Lo mejor es no tener que detectarlos, pues no es
tarea fcil. Para ello hay que evitar que entren en
nuestra mquina:
Actualizar los parches del sistema
Utilizar antivirus
Utilizar firewalls
Utilizar Sistemas Operativos modernos

Si entran y somos capaces de detectarlos, la

nica solucin fiable es formatear.

Deteccin
Lo mas fcil es detectarlo antes de que se instale. (Antivirus,
antispyware, etc)
Si ya esta instalado se puede detectar de tres maneras:
Casualidad.
Cuelgues de la mquina
Software AntiRootKit
Tripwire.
http://www.tripwire.com/products/technology/index.cfm

RootkitRevealer de Sysinternals
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml

Blacklight de F-Secure
http://www.f-secure.com/blacklight/try.shtml

Las principales estrategias para poder detectarlos son:

Detectar la presencia del propio RootKit.
Detectar los recursos que esconden. Hacer de su virtud, su principal
debilidad.

Tcnicas de Deteccin
En Modo - Usuario:
Puenteando las intercepciones a las llamadas de la API
(escribiendo tus propias API)
Detectarlos en modo Kernel

En modo Kernel
Examinar directamente la estructura de datos en modo
Kernel sin hacer llamadas a las APIs
Verificacin de KiServiceTable
Verificacin de las firmas de las funciones que estn en
memoria.

Ambos se pueden detectar.

Herramientas de Debugging:
http://www.microsoft.com/whdc/devtools/debugging/
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml

Futuro - Presente
Rootkits de BIOS programados con ACPI
presentados en BlackHat Conference
Enero 2006
Rootkits de BBDD presentados en
Microsoft BlueHat Conference 2006
Rootkits VM presentados por Microsoft
Research y Universidad Michigan Marzo
2006.

Actualizaciones de
Seguridad

Terminologa y Consideraciones
acerca de las actualizaciones de
Seguridad

Timpacto
Triesgo

Herramientas de
Monitorizacin y Auditoria
El objetivo es dejar un Servidor en Da-0.
Zero Day Server es aquel que tiene todo el software
que corre en su sistema actualizado y no tiene
ningn bug conocido.
Es el mximo nivel de seguridad que se puede
alcanzar con el software que corre en un sistema.
Existen Zero Day Exploits

Auditorias de seguridad
No son las nicas que deben hacerse
Se deben realizar de forma automtica y de forma
manual [artesana].
Con la visin de un atacante y con la visin del
administrador.

Auditora Caja Negra

Se realiza desde fuera
Ofrece la visin de un hacker
No puede ser ejecutada desde dentro
Falsos positivos
No garantiza Servidor Seguro
No todos los escner ofrecen los mismos
resultados.
SSS, Nessus, GFI Languard, Retina, ISS
Real Secure, etc

Scanners de Vulnerabilidades
Satan, Saint, Sara
Shadow Security Scanner
http://www.safety-lab.com

GFI Languard Network Security Scanner

http:///www.gfihispana.com

Retina
http://www.eeye.com

Nessus
http://www.nessus.org

NetBrute, R3X

Auditora Caja Blanca

Se realiza internamente
Con privilegios y visualizacin completa del
sistema
Se utilizan herramientas proporcionadas por el
fabricante o propias
MBSA
EXBPA
MOM 2005
.

Actualizaciones en Microsoft
Security Patch
Critical Update
Update
Hotfix
Update Roll-Up
Service Pack

Niveles de Severidad
Rating

Definition

Critical

Exploitation could allow the propagation of an Internet

worm such as Code Red or Nimda without user action

Important

Exploitation could result in compromise of the

confidentiality, integrity, or availability of users data or
of the integrity or availability of processing resources

Moderate

Exploitation serious but mitigated to a significant

degree by factors such as default configuration,
auditing, need for user action, or difficulty of
exploitation

Low

Exploitation is extremely difficult, or impact is minimal

TechNet Security Bulletin Search:

http://www.microsoft.com/technet/security/current.asp

Gestin de Actualizaciones

MBSA
Ayuda a identificar sistemas Windows
vulnerables.
Escanea buscando actualizaciones no aplicadas y
fallos en la configuracin del software.
Escanea distintas versiones de Windows y distintas
aplicaciones.
Escanea en local o mltiples mquinas en remoto
va GUI o lnea de comandos.
Genera informes XML sobre los resultados de cada
equipo.

Corre en Windows Server 2003, Windows 2000

y Windows XP
Se integra con SMS 2003 SP1, con SUS y
WSUS

MBSA

EXBPA
Examina un despliegue de Exchange
Server y determina si esta configurado
siguiendo las recomendaciones de
Microsoft.
Genera una lista de puntos, como
configuraciones mejorables, u opciones no
recomendadas o soportadas.
Juzga la salud general del sistema.
Ayuda a resolver los problemas encontrados.

Busca tambin Actualizaciones de

Seguridad que falten.

EXBPA

Herramientas para la Gestin de

Actualizaciones
Usuario Final y Pequea Empresa:
Microsoft Update

Pequea y Mediana Empresa:

Windows Software Update Services

Mediana Empresa y Corporaciones:

SMS and the SMS Software Update
Services Feature Pack

Productos de Terceros
Compaa

Producto

URL

Altiris, Inc.

Altiris Patch Management

http://www.altiris.com

BigFix, Inc.

BigFix Patch Manager

http://www.bigfix.com

Configuresoft, Inc.

Security Update Manager

http://www.configuresoft.com

Ecora, Inc.

Ecora Patch Manager

http://www.ecora.com

GFI Software, Ltd.

GFI LANguard Network Security Scanner http://www.gfi.com

Gravity Storm Software, LLC

Service Pack Manager 2000

http://www.securitybastion.com

LANDesk Software, Ltd

LANDesk Patch Manager

http://www.landesk.com

Novadigm, Inc.

Radia Patch Manager

http://www.novadigm.com

PatchLink Corp.

PatchLink Update

http://www.patchlink.com

Shavlik Technologies

HFNetChk Pro

http://www.shavlik.com

St. Bernard Software

UpdateExpert

http://www.stbernard.com

Fortificacin de Servidores

Fortificacin
Consiste en la aplicacin de tres principios:
Defensa en Profundidad (DP):
Mximo nmero de medidas de proteccin que se puedan
aplicar siempre que:
Una medida no anule a otra
No haya deterioro en la disponibilidad del sistema

Mnimo Punto de Exposicin (MPE):

Un servidor solo ejecutar aquello que es estrictamente
necesario para su rol

Mnimo Privilegio Posible (MPP):

Cada componente del sistema se ejecuta con el menor de
los privilegios necesarios.

Se puede automatizar en funcin del rol

Plantillas de seguridad
Definen los valores necesarios para las directivas de
seguridad de los servidores en funcin de su rol y su entorno.
Se pueden aplicar de forma local o a travs del dominio.
Afectan a los siguientes componentes:

Gua

Cuentas de usuario.
Grupos restringidos.
Auditoras.
Servicios.
Derechos de usuarios.
Claves de registro.
Opciones de seguridad.
Sistema de ficheros.
Visor
de sucesos.en Windows Server 2003
de
Seguridad

Herramientas

Anlisis y configuracin

Resultante de polticas.
Sistema complementario de los
anteriores que evala no solo
plantillas de seguridad sino GPO.
Presenta dos herramientas:
RSoP. Herramienta grfica.
GPRESULT. Lnea de Comando.

GPMC

Seguridad en Servidores:
Windows 2003 SP1

Mejoras en la seguridad del Sistema

Post Setup Security Updates
Proteccin del Servidor durante el periodo en el
que se instala el Servidor y la instalacin de las
ltimas actualizaciones.
Windows Firewall esta activado por defecto si
explcitamente no se configura de otra manera
durante la instalacin.

Mejoras en la Seguridad del Sistema

Post Setup Security Updates

Mejoras en la Seguridad del Sistema

Post
Setup
Security
Updates
Se invoca
despus de:
Actualizacin de Windows NT4 a Windows Server
2003 SP1
Instalacin combinada de Windows Server 2003 y SP1

NO invocada despus de:

Actualizacin desde Windows 2000 a Windows Server
2003 SP1
Actualizacin desde Windows Server 2003 a SP1

Mejoras en la Seguridad del

Sistema Data Execution Prevention

Se configura en el Boot.ini

/noexecute=PolicyLevel
OptIn Se habilita el Software DEP. El Hardware DEP solo se activa
para aplicaciones que se configuran especficamente.
OptOut Se activan tanto el Software DEP como el Hardware DEP.
Solo se deshabilitan para aplicaciones especificadlas en al lista de
excepciones.
AlwaysOn El Software DEP y el Hardware DEP siempre estn
habilitadas. Cualquier excepcin es ignorada.
AlwaysOff El Software DEP y el Hardware DEP estn
deshabilitadas.

Mejoras en la Seguridad del Sistema

Security
Configuration
Wizard
Identifica puertos
abiertos

El asistente se debe de ejecutar con las aplicaciones

requeridas y los servicios arrancados.

Selecciona el role del servidor de la base de datos de

configuracin.
Configura los servicios requeridos.
Configura los puertos para el Firewall de Windows
Configura la seguridad para LDAP y SMB
Configura una poltica de auditoria
Configura los parmetros especficos de los roles que
tiene el servidor.

Mejoras en la Seguridad del Sistema

Security
Configuration
Wizard
La configuracin
se salva en un fichero XML.

Se aplica por el asistente

Se puede aplicar una poltica de seguridad

existente a otro equipo.

Se puede aplicar desde la lnea de comando.

scwcmd.exe configure /p:webserverpolicy.xml
Se puede usar en scripts
Sripts de instalacin desatendida

Security Configuration Wizard

Seguridad en Clientes

Bests Practices
Fortificacin estacin de Trabajo
Windows XP Service Pack 2
Gua de fortificacin de estaciones de
Windows XP (
http://www.microsoft.com/spain/technet)
Utilizacin de Firewall
Navegacin restringida
Uso de Antivirus/Antispyware
Formacin del usuario

Malicious Software Removal

Tool
Objetivos

Reducir el Impacto del malware en usuarios

Windows
Entender las tendencias del malware

Distribucin
Windows Update
Centro de Descargas
Sitio Web

Reporte disponible pblicamente

Actividad de MSRT

2.7 billones de
ejecuciones
270 millones de equipos

Resultados MSRT

16 millones de infecciones
5.7 millones de equipos infectados
1 infeccin cada 311

Reduccin del Impacto

Entender las tendencias

Troyanos de puerta trasera son la amenaza

mas significante y mas creciente
Los Rootkits son una amenaza emergente
Ingeniera Social 35%

Como ayuda Vista

Contra el Malware..
Prevencin
Aislamiento
Remedios

Prevencin
Amenaza

Tecnologa en Vista

Vulnerabilidad de Software

Ciclo de desarrollo seguro

Actualizaciones Automticas
Windows Firewall/IPSec
Data Execution Protection
Address Space Layout Randomization

Ingeniera Social

User Account Control

Windows Defender

Vulnerabilidad de la Poltica

Contrasea de Administrador en Blanco

Firma de drivers en 64 bit
Poltica de Firewall por Red

Aislamiento
Amenaza

Tecnologa en Vista

Comportamiento del Sistema

Integridad de Sistemas de 64-bit

Recursos del Sistema

Fortificacin de Servicios
Firewall Bidireccional
IE Protected Mode

Configuracin del Sistema

User Account Control

Windows Defender

Remedios
Amenaza

Tecnologa en Vista

Estado de la Seguridad

Centro de Seguridad de Windows

Limpieza de Spyware

Windows Defender

Limpieza de Virus

Windows Malicious Software Removal Tool

Mejoras en la Seguridad del Sistema

Data
Execution
Prevention
Forzada
por
el
hardware
y el software

DEP
Hardware
que el procesador lo soporte o implemente
Requiere
procesador marca reas de la memoria como No
ElEjecutable
excepto si especficamente contiene cdigo
ejecutable.
Puede causar problemas de compatibilidad.

DEP
Software
en cualquier procesador que soporte
Funcionalidad
Windows Server 2003
los binarios del sistema de ataques relacionados
Protege
con el manejo de las excepciones del sistema.
Es raro que cause problemas de compatibilidad.

Proteccin de la Memoria
Data Execution Protection
Address Space Layout Randomization
Stack

Code

ASLR

Locals
Return
Address
Parameters

DEP

Windows Code

LoadLibrary()

Library Code
Previous
Frames
Application Code

Integridad de Sistemas de 64
Application
bit
Interrupt Dispatch Table
CreateFile()
Kernel32.dll
CreateFileW()

Global Descriptor Table

System Service Dispatch
Table

ntdll.dll
ZwCreateFile()

Interrupt Dispatch
Table

System Service Dispatch Table

NtCreateFile()

2E

Cambio fundamental en la
operativa de Windows
Hace que el sistema funcione bien como un usuario
estndar
Proporciona un mtodo seguro para ejecutar aplicaciones
en un contexto elevado
Requiere marcar las aplicaciones que no sean UAC
Deja claro las acciones que tienen un impacto en todo el equipo

Virtualizacin del registro y ficheros para proporcionar

compatibilidad.
Escrituras en el registro de la maquina son redirigidas a
localizaciones de usuario si el usuario no tiene privilegios
administrativos
Efectivamente: cuentas estndar pueden ejecutar aplicaciones
que necesitan cuentas de administracin de manera segura.

Proteccin de cuentas Usuario

UAC (User Account Control)
Nos ayuda a implementar el principio de menor privilegio
de dos maneras distintas:
1.

El usuario no necesita tener privilegios administrativos para

realizar ciertas tareas para las que se necesitas esos privilegios
En cambio:
Se le pregunta al usuario por credenciales con mas privilegios

2.

Aunque el usuario tenga privilegios superiores( Ejem. un

administrador), se le pregunta al usuario por su consentimiento
antes de que esos derechos sean ejercitados
No se necesita volver a proporcionar las credenciales, solo se
necesita el consentimiento

Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp x

Internet Explorer 7
Adems de ser compatible con UAC, incluir:
Modo Protegido que solo permite a IE navegar sin mas
permisos, aunque el usuario los tenga. Ejem. Instalar
software
Modo de Solo-lectura, excepto para los ficheros temporales de
Internet cuando el navegador esta en Zona de seguridad de
Internet

Filtro contra Phising que actualiza Microsoft cada poco

tiempo y usa una red global de fuentes de datos
ActiveX Opt-in, da al usuario el control de los controles
Activex
Todos los datos de cache se eliminan con un solo click

MIC & UIPI

Mandatory Integrity Control (MIC).
Una aplicacin no puede acceder a datos que tengan un Nivel
de integridad superior al suyo.
Niveles de Integridad: Bajo, Medo, Alto y de Sistema
Los objetos con ACL tienen una nueva entrada ACE donde se
les asigna un nivel de Integridad
A cada proceso se le asigna un Nivel de Integridad en su
testigo de acceso

User Interfacer Privilege Isolation (UIPI)

Bloquea el acceso de procesos con Nivel de Integridad inferior
a procesos con Nivel de Integridad superior.

Filtro anti-Phishing
Proteccin dinmica contra Webs
Realiza
3 chequeos para proteger al usuario de
Fraudulentas
posibles timos:
1.
2.

3.

Compara el Sitio Web con la lista local de sitios legtimos conocidos

Escanea el sitio Web para conseguir caractersticas comunes a los
sitios con Phising
Cheque el sitio con el servicio online que tiene Microsoft sobre sitios
reportados que se actualiza varias veces cada hora

Dos niveles de Aviso y proteccin en la barra de

estado de IE7
Level 1: Warn
Level 2: Block
Suspicious Website
Signaled

Confirmed Phishing Site

Signaled and Blocked

Windows Defender
Monitorizacin
Deteccin
Limpieza
Software Explorer
SpyNet

10 Immutable Laws of Security

http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp
1

If an attacker can persuade you to run his program on your computer, it's not your
computer anymore.

If an attacker can alter the operating system on your computer, it's not your
computer anymore.

If an attacker has unrestricted physical access to your computer, it's not your
computer anymore.

If you allow an attacker to upload programs to your website, it's not your website
anymore.

Weak passwords prevail over strong security.

A machine is only as secure as the administrator is trustworthy.

Encrypted data is only as secure as the decryption key.

An out-of-date virus scanner is only marginally better than no virus scanner at all.

Absolute anonymity isn't practical, in real life or on the Web.

10

Technology is not a panacea.

 Preguntas ?

Web MVPs

TechNews
Suscripcin gratuita enviando un mail:
mailto:technews@informatica64.com

Grupos Reducidos de 10 a 15 asistentes. Cada

asistente tiene un escenario virtualizado para ejecucin
de laboratorios. Un tcnico por grupo imparte
explicaciones tericas y plantea y resuelve las practicas
con los asistentes al mismo tiempo que resuelve dudas.
6 horas de duracin cada uno y 24 horas los seminarios
de Contramedidas Hacker.
Sistemas http://www.microsoft.com/spain/HOLsistemas

Desarrollo http://www.microsoft.com/spain/HOLdesarrollo

Contacto
Chema Alonso
chema@informatica64.com
http://www.elladodelmal.com
http://www.vista-tecnica.com
http://www.informatica64.com/retohac
king