Tendencias de la Tecnología en Seguridad Informáticacybsec.com/upload/vmontero_Tendencias_de_la... · Tendencias de la Tecnología en Seguridad Informática SELinux–SecurityEnhacedLinux

Tendencias de la Tecnologíaen Seguridad Informática

Victor H. MonteroVictor H. [email protected]@cybsec.com

21 de Septiembre de 200621 de Septiembre de 2006Hotel Hotel SheratonSheraton

Buenos Aires Buenos Aires -- ARGENTINAARGENTINA

2

© 2006

Tendencias de la Tecnología en Seguridad Informática

AgendaAgenda

Tendencias Legacy

Mecanismos de defensa

Ataques: nuevos objetivos

3

© 2006


TendenciasTendenciasLegacyLegacy

4

© 2006


Management de la Seguridad Informática

Normativas

Administración LOGS

Infraestructura de Clave Pública (PKI)

Concientización

Proyectos informáticos en entornos seguros

Programación segura en Aplicaciones Web

Seguridad en Redes Inalámbricas

Segmentación de redes internas críticas

Sistemas de Prevensión de Intrusiones (IPS)

Tendencias Legacy

5

© 2006


MecanismosMecanismosde defensade defensa

6

© 2006

Tendencias de la Tecnología en Seguridad InformáticaMecanismos de Defensa

Pretty Good Privacy (PGP)

Web Application Firewall (WAF)

Secure Enhaced Linux (SELinux)

Network Admission Control (NAC)

Adhiriendo el concepto de Defensa en Profundidad,

analizaremos cuatro mecanismos de protección

que operan en distintos niveles y ámbitos:

7

© 2006


PGP PGP -- PrettyPretty GoodGood PrivacyPrivacy

Para algunas compañías, la implementación de una Infraestructura de Clave Pública es algo que escapa a las posibilidades.

Incluso en numerosos casos, la instalación y

administración de un Certificate Server es

difícil de justificar y manteer, o aún

innecesario.

Una alternativa es el uso de PGP en su

forma más simple: Claves Públicas/Privadas

sin la utilización de Certificados Digitales.

Mecanismos de Defensa

8

© 2006


PGP PGP -- PrettyPretty GoodGood PrivacyPrivacy

Beneficios:- Integridad- Confidencialidad (*)- No repudio

Desventajas:- Administración descentralizada- Solución no escalable- Posibilidad de efectuar ataques de

MITM+Ingeniería Social


9

© 2006


El Top Ten de los problemas de seguridad en aplicaciones Web

• Unvalidated Input: los valores de entrada de la aplicación no son

validados.

• Broken Access Control: las restricciones de qué puede hacer un usuario

validado no son implementadas apropiadamente.

• Broken Authentication: las credenciales de autenticación y/o los tokens de

sesión no están debidamente protegidos.

• Cross Site Scripting: la aplicación Web puede ser utilizada como medio de

transporte para ejecutar código Javascript arbitrario en el Navegador del

usuario final.

• Buffer Overflows: la aplicación Web y/o el servidor Web no verifican el

tamaño de los arreglos, permitiendo sobrescribir porciones de memoria.

WAF WAF –– Web Web ApplicationApplication FirewallFirewall


10

© 2006


El Top Ten de los problemas de seguridad en aplicaciones Web

• Injection Flaws: la aplicación pasa parámetros no validados cuando accede

a sistemas externos (por ejemplo bases de datos) o al sistema operativo. Esto

puede permitir a un atacante “inyectar” comandos en el sistema externo o

ejecutar comandos en el sistema operativo.

• Improper Error Handling: no se manejan debidamente las condiciones de

error.

• Insecure Storage: la aplicación no almacena de forma segura los datos y/o

archivos enviados por el usuario.

• Application Denial of Service: la aplicación es susceptible a que atacantes

denieguen el servicio a otros usuarios legítimos.

• Insecure Configuration Management: la configuración del servidor Web

alojando la aplicación es insegura.



11

© 2006


Técnicas de Ataque / Intrusión Web


Cross Site Scripting

Cross Site Request Forgeries

Session Prediction

Session FixationO.S. Commanding

SSI Injection

Path TraversalLDAP Injection

SQL Injection

Null Bytes

Archivos por Parámetros

Cross Site Tracing

Inverse Lookup Log Corruption

Phishing


12

© 2006


• VALIDAR EL INPUT y el OUTPUT• Limitar longitud y tipo de los parámetros

• White-List Approach vs Black-List Approach

• Escapear caracteres especiales

• Utilizar Stored Procedures o Consultas Parametrizadas.

• No mostrar mensajes de error

• ¿ Firewall Capa 3 (TCP/IP) ?• No nos protege: todos los ataques mencionados ocurren a través del puerto del Web Server (autorizado).

• ¿ IDS/IPS ?

• Nos puede proteger: permite rechazar patrones de ataques.


Soluciones


13

© 2006


En las soluciones se mencionan cambios a nivel de código entonces, ¿por qué un WAF?

• Tiempo de implementación de los cambios a nivel de código (desarrollo + testing).

• Tiempo de entrenamiento (en programación segura) de los programadores.

• Factor humano: los programadores, como buenos humanos, no están exentos de cometer errores.

• Productos de terceros de los cuales no se tiene acceso al código fuente y dependemos de que el proveedor solucione los problemas.

• Sistemas Legacy


¿Por qué es necesario un WAF?


14

© 2006


Un WAF nos permite:• Acotar los tiempos: se detecta una nueva vulnerabilidad y se actualiza el WAF para protegernos.• Acotar el impacto de los errores de los programadores.• Proteger sistemas Legacy de los cuales se conocen las vulnerabilidades.• Proteger productos de terceros de los cuales se conocen las vulnerabilidades.• Poner foco en la problemática de seguridad de las aplicaciones Web: El administrador del WAF está formado en seguridad y es su foco principal, no siendo generalmente éste el caso de los programadores.

… reducir riesgos en el corto plazo …


¿Cómo lo soluciona un WAF?


15

© 2006


Arquitectura Web Física Típica



16

© 2006




Solución WAF

17

© 2006


NAC NAC –– NetworkNetwork AdmissionAdmission ControlControl

Integración de soluciones de seguridad hasta ahora aisladas:

antivirus, IPSs, 802.1x, anti-spyware, SUS.

Cuatro características fundamentales:

1) Verificación y evaluación de cumplimiento de políticas (usuarios y dispositivos)

II) Imposición de Políticas y Control de AccesoIII) RemediaciónIV) Flexibilidad de implementación – Política consistente


18

© 2006




INTERNET

PolicyServer

AntiVirusServer

CoreSwitch

WLANAccessPoint

Firewall

Participante dered remoto (VPN)

Participantes de red locales

Dispositivos de acceso a la red

19

© 2006



Pros:- Interoperabilidad entre plataformas ampliamente difundidas- Especificación abierta- Seguridad proactiva

Refuerza el cumplimiento de políticas de seguridadNivela la seguridad en el entorno de red que controlaManejo de “cuarentenas” para entidades que no cumplen la política establecida

Contras:- Pocos fabricantes en el mercado. Únicamente soluciones

propietarias.- Tecnología inmadura aún.- Necesidad de agentes locales ejecutándose en servidores y

estaciones de trabajo.


20

© 2006


SELinuxSELinux –– SecuritySecurity EnhacedEnhaced LinuxLinux


No es una nueva distribución de Linux. Es una extensión al Kernel de Linux diseñada para forzar políticas de control de acceso estrictas, aplicable a cualquier distribución de Linux.

Difundido e implementado por organismos fuertemente comprometidos con la seguridad informática (NSA y MITRE Corporation, entre otros)

Al igual que el Kernel de Linux, el código fuente de esta extensión es liberado a la comunidad Open Source.

21

© 2006



Linux/UNIX StandardUtiliza la técnica de control de acceso discrecional (DAC). Basa las decisiones de acceso en la identidad y propiedad. Cada usuario tiene control absoluto sobre los archivos y procesos que le pertenecen, heredando estos últimos los derechos del usuario que los invoca. No se controla el flujo de los datos.

SELinuxSuma la potencia de las técnicas de Control de acceso mandatorio(MAC) y políticas asociadas (Control de acceso basado en roles, Type Enforcement, Multi-Level Security) a los mecanismos de seguridad nativos de Linux, con el objetivo de permitir forzar la separación de información en base a requerimientos de confidencialidad e integridad.


22

© 2006



FuncionamientoOperaciónOperación

DACDAC

SELinux

MAC

SELinux

MAC PolíticasPolíticas

Primer chequeo realizado a nivel DAC

Consulta la Base de Datos de políticas para realizar chequeos adicionales

El DAC implementado

nativamente en Linux tiene

prioridad sobre el MAC

Si un acceso es denegado por

los permisos tradicionales de

Linux, entonces SELinux no

toma partido.


23

© 2006


SELinuxSELinux –– SecuritySecurity EnhacedEnhaced LinuxLinuxPros:

- Permite limitar a programas de usuario y servidores del sistema al mínimo nivel de privilegios que necesitan para ejercer su función.

- La seguridad de un sistema Linux no modificado depende de la correctitud del kernel, todas las aplicaciones privilegiadas, y sus respectivas configuraciones. Un problema en cualquiera de esas áreas puede permitir el compromiso del sistema. En contraste, la seguridad de un sistema SELinux depende principalmente de la correctituddel kernel y la configuración de su política de seguridad.

Contras:- Difícil de configurar- Mediano impacto en performance


24

© 2006


Ataques: Ataques: Nuevos objetivosNuevos objetivos

25

© 2006

Tendencias de la Tecnología en Seguridad InformáticaAtaques: Nuevos objetivos

Si bien en el último año se desprendieron

numerosas líneas de investigación sobre nuevas

metodologías de ataques y búsqueda de

vulnerabilidades en tecnologías recientes, gran

parte del foco está puesto en:

Client Side Attacks

BlackBerry

VoIP

26

© 2006


• Segmentación de redes públicas en DMZs.• Servidores hardenizados.• Stateful Firewalls / Proxys Reversos.• Intrusion Prevention Systems.• Monitoreo intenso de todo el tráfico que traspasa el perímetro.• Etc, etc, etc…

ClientClient SideSide AttacksAttacks

¿Cuáles son los principales problemas con los que se encuentra un atacante externo en la actualidad?

… conclusión: ya no es tan fácil efectuar una intrusión

remotamente como lo era hace unos pocos años …

Ataques: Nuevos objetivos

27

© 2006


El nivel de seguridad informática global de toda una instalación es igual al nivel

del eslabón menos seguro


Sin embargo, los bad boys siempre tuvieron bien en claro algo:

Con esta premisa, los chicos malos comenzaron desde hace ya algunos años a buscar un nuevo eslabón, distinto de los que venían utilizando en sus viejas andanzas, pero que permitiese llegar a su objetivo con la misma facilidad que en otras épocas…


28

© 2006



El objetivo es claro: escalar privilegios sobre la red interna

perpetrando el ataque remotamente.

En forma natural y casi lineal, surgieron las siguientes

preguntas:

- Quien tiene acceso a la red de la compañía en forma interna y externa?- Quien es el que abre cuanto mail de chistes le llega?- Quien ejecuta cuanto programa de ruiditos raros aparece?- Quien visita los sitios de futbol, blogs, noticias, y “esos otros”también siempre que puede…?


29

© 2006



La respuesta

puede ser una sola…

aquel a quien fríamente se lo denomina…

“Usuario”


30

© 2006



Existen numerosas vulnerabiliades que afectan al software

comúnmente instalado en las PCs clientes:

Navegadores de Internet

Clientes de correo electrónico

Mensajeros instantáneos

Reproductores multimedia

Etc…


31

© 2006



La idea? Atacar la PC del usuario, para usarla

como salto a la red interna.

Dos posibilidades:

La PC del usuario se encuentra conectada físicamente a la red interna

La PC del usuario se encuentra conectada remotamente a la red interna (vía Internet)

32

© 2006



Qué puede dificultar estos ataques?.

Implementación de seguridad en workstations:

Antivirus, antispyware, Personal Firewalls

Concientización del usuario

Implementación de filtros antispam corporativos

Implementación de filtros de contenido

Utilización de Proxies HTTP


33

© 2006


BlackBerryBlackBerry

Infraestructura:

Dispositivos Handheld

Red Movil (GSM)

Red RIM

Comunicación sobre Internet

BlackBerry Enterprise Server

BlackBerry Enterprise Server Connectors

BlackBerry Management Tools


34

© 2006


BlackBerryBlackBerry

Impacto en caso de ataques exitosos:

- Dispositivos Handheld- Divulgación de información- Control remoto del dispositivo de un usuario

- Red Movil (GSM)- Redirección de la comunicación

- Red RIM- Toma de control de la infraestructura RIM

- Comunicación sobre Internet- Impersonalización del servidor BlackBerry- Ataques de fuerza bruta

- BlackBerry Enterprise Server- Ejecución de código malicioso y escalación de privilegios

- BlackBerry Enterprise Server Connectors- Modificación de Políticas- Envío de mensajes masivos- Instalación de software en las handhelds


35

© 2006


VoIPVoIP

- Posibilidad de efectuar llamadas fraudulentas- SPIT (SPAM sobre VoIP)- Phishing telefónico- Denegaciones de servicio- Toma de conexiones establecidas- Escuchas telefónicas- Modificación de datos en la llamada

Numerosos problemas de seguridad detectados:

Se están desarrollando numerosas herramientas para automatizar muchos de los ataques listados!


36

© 2006


Otros temas Otros temas fashionfashion……

Rainbow Tables


Bluetooth

Drivers Hacking

Técnicas de bypass de IPSs

Seguridad en sistemas industriales

37

© 2006


Otros temas Otros temas fashionfashion……


Cada uno de estos temas y técnicas está siendo investigado en profundidad por especialistas y entusiastas en cada extremo del mundo…

CybsecLabsIndonesianDivision

38

© 2006


ConclusionesConclusiones

Resulta cada vez más sorprendente la agilidad y dinamismo que adquiere el rubro de la Seguridad de la Información.

Día a día, vemos como paralelamente al desarrollo de poderosas herramientas para proteger los activos, específicamente la información, se inventan nuevas técnicas y metodologías de ataque que pueden colapsar numerosos mecanismos de defensa supuestos infalibles.

Todo lo que hemos comentado quizá no es una buena noticia, pero es la realidad. LO UNICO QUE NO PUEDE PENSARSE ES QUE HAY QUE ASUMIR LA DERROTA, POR QUE LA SITUACIÓN NO DA PARA ELLO.

La solución continúa siendo la misma: aplicar estrategias adecuadas, disponer de recursos y estar constantemente actualizado, y………. si es necesario, buscar aliados que dispongan del know-how y la tecnología, para que sean nuestros socios en la misión de mantener día a día los sistemas funcionando y seguros.

39

© 2006


Preguntas?Preguntas?

Documents

Tendencias de la Tecnología en Seguridad Informáticacybsec.com/upload/vmontero_Tendencias_de_la... · Tendencias de la Tecnología en Seguridad Informática SELinux–SecurityEnhacedLinux