Madrid, octubre de 2005
SIN CLASIFICAR
Presentación FORO: V Jornadas Internet de Nueva Generación SESIÓN: Seguridad en Internet OBJETIVO: Describir las amenazas y vulnerabilidades a
que están sometidos los Sistemas de las TIC en Internet y las medidas para contrarrestarla contrarrestarlas. s.
PONENTE:
- Pablo López - Centro Criptológico Nacional
FECHA: 18 de octubre de 2005
SIN CLASIFICAR
Presentación FORO: V Jornadas Internet de Nueva Generación SESIÓN: Seguridad en Internet OBJETIVO: Describir las amenazas y vulnerabilidades a
que están sometidos los Sistemas de las TIC en Internet y las medidas para contrarrestarla contrarrestarlas. s.
PONENTE:
- Pablo López - Centro Criptológico Nacional
FECHA: 18 de octubre de 2005
SIN CLASIFICAR
Índice
* Introducción * Amenazas y Vulnerabilidades * Internet - Spyware - Correo Basura (Spamming) - Fraude (Phising / Pharming) - Zombies-Botnets
* Medidas de Seguridad * Conclusiones
SIN CLASIFICAR
Introducción La protección de los Sistemas de las Tecnologías de la Información y Comunicaciones (TIC) es una actividad crítica en la consecución de los objetivos de una Organización debido a la importancia que tiene la información que manejan dichos Sistemas
SIN CLASIFICAR
Los Nuevos Parámetros
El Conocimiento. Las Telecomunicaciones. Los Sistemas de Información.
SIN CLASIFICAR
Seguridad de las TIC Personal Información En la mente de las personas
Material
En un papel
Instalaciones Actividades En un sistema de información
STIC Seguridad Personal
Seguridad Documentación
SIN CLASIFICAR
Problemática
La información se almacena en forma compacta y puede ser recuperada, copiada, transmitida o manipulada de forma rápida y clandestina. La información es accesible desde terminales situados lejos del entorno físico donde se encuentra situado el servidor. La naturaleza electrónica del sistema genera radiaciones electromagnéticas comprometedoras no intencionadas que pueden ser recogidas desde el exterior (TEMPEST ). Se hace difícil implementar la necesidad de conocer.
SIN CLASIFICAR
Amenaza y Vulnerabilidad
Amenaza: Cualquier circunstancia susceptible de lograr que la
Vulnerabilidad: Es la existencia de lagunas o debilidades en el
información sufra una pérdida de confidencialidad, integridad y disponibilidad.
Sistema o falta de control en las medidas de seguridad implementadas que permitiría o facilitaría que una amenaza actuase contra un activo. Riesgo: Probabilidad de que la amenaza actúe sobre el activo. Se utiliza para cuantificar el daño (probable) que puede causar la amenaza.
SIN CLASIFICAR
Riesgo Residual valor valor
mide el interés de los
activos activos
se materializan sobre los
amenazas amenazas
sufren una permiten estimar el
impacto impacto
degradación degradación
causan una cierta
permiten estimar el
ocurren con una cierta
frecuencia frecuencia
riesgo riesgo mitigan el
limitando el perjuicio de forma correctiva
salvaguardas salvaguardas limitan el riesgo a un valor
riesgo riesgoresidual residual
limitando la ocurrencia de forma preventiva
SIN CLASIFICAR
El Intruso está Dentro La concienciación del personal es primordial, los empleados constituyen una de los elementos fundamentales dentro de la arquitectura de seguridad de la Organización y tienen que asumir esa responsabilidad
un empleado puede convertirse en una amenaza para la seguridad
Importancia del Factor Humano
El 60 % de los problemas de seguridad son internos a la Organización.
SIN CLASIFICAR
Importancia del Factor Humano - Usuario ¿amigo o enemigo? - Usuarios, principal razón para tener un Sistema. - Los propios empleados de una Organización representan
una amenaza significativa y poco considerada. - Los agentes internos son responsables de la mayoría de las pérdidas económicas. - La amenazas internas no serán nunca eliminadas completamente.
SIN CLASIFICAR
Importancia del Factor Humano - Usuario ¿amigo o enemigo? - Acuerdos de confidencialidad, selección rigurosa y la inclusión de la seguridad como responsabilidad contractual constituyen buenas prácticas. - El personal debe conocer los riesgos y sus consecuencias. - Los responsables del Sistema deben saber que hacer y a quién informar, en todo momento, en caso de incidente. - Seguimiento/control del personal que debe cubrir las tareas críticas de la Organización.
SIN CLASIFICAR
Amenazas a las Transmisiones
Líneas de Comunicaciones
- Equipos de Comunicaciones (Teléfono / Fax / Datos) - Líneas Telefónicas En el domicilio / oficina En el edificio / calle En la central telefónica Enlaces Telefónicos Satélite / Radio enlaces (en desuso) Fibra Óptica / Cable Submarino
-
Telefonía Móvil Redes de Ordenadores
Redes Inalámbricas
- LAN / WAN / INTERNET - WMAN (WIMAX) - WLAN (WIFI) - WPAN (Bluetooth)
SIN CLASIFICAR
Internet SERVICIOS
ISP
ACCESO
IP (198.23.55.255) Fecha y Hora
COMUNICACIÓN
Acceso Web Chat Foros Telefonía Mail Comercio electrónico Consultoría ...
SIN CLASIFICAR
Software Dañino (Malware)
Programas que realizan acciones maliciosas/negativas para el usuario sin su consentimiento
Virus
- Programas con capacidad de replicación, cuya actividad se hace patente.
Gusanos
Caballos de Troya
- Programas autocontenidos con capacidad de propagación. - Programas que realizan actividades ocultas para el usuario o Sistema donde se ejecutan.
SIN CLASIFICAR
Espías
(Adware–Spyware–Stealers)
“Spyware” es todo aquel software utilizado con objeto de rastrear, identificar y perfilar las actividades de los usuarios sin su consentimiento Suelen instalarse con alguna “utilidad” gratuita. Integrados en programas originales. Son discretos, no llaman la atención. Recopilan información del usuario.
-
Páginas que visitan. Horarios de conexión. Servidores donde se conectan. Software instalado.
Envían toda la información obtenida.
SIN CLASIFICAR
Espías
(Adware–Spyware–Stealers)
Entre los programas espías se pueden encontrar diversas familias Cookies
- Las “cookies” permiten identificar las áreas de interés y los
hábitos de utilización por parte de los usuarios. Adware - Programas que instalen componentes en el ordenador para registrar la información personal del usuario. Monitores del Sistema - Programas que capturan todo aquello que el usuario realiza en su ordenador almacenándolo cifrado o enviándolo automáticamente. Caballos de Troya - Auténtico “malware”: acceso remoto, instalación automática de programas, cifrado de discos, destrucción de archivos, ...
SIN CLASIFICAR
Correo Basura (Spamming)
El “spam” consiste en el envío masivo de mensajes electrónicos no solicitados. Además del correo electrónico, otras tecnologías objeto de “spam” incluyen grupos de noticias, motores de búsqueda,…
- El “spam” también aparece en teléfonos móviles (SMS/MMS), fax -
y sistemas de mensajería instantánea. Los “spammers” actúan sobre el protocolo SMTP modificando la cuenta origen de los mensajes. Los “spammers” buscan y hacen uso de Sistemas vulnerables (“mail relays” y servidores “proxy” abiertos) y utilizan cada vez más las redes de ordenadores infectados (botnets). En mayo de 2004, más del 80% de todos los e-mails en US estaban clasificados como “spam”.
SIN CLASIFICAR
Fraude (Phising)
“Phising” es un ataque de ingeniería social a través de correo electrónico o mensajería instantánea caracterizado por intentos fraudulentos de adquisición de información sensible mediante suplantación
- “Phising” se basa en la capacidad innata de las personas a revelar -
cualquier información que se les pregunte. Últimamente, se han detectado vías alternativas como el teléfono o el fax. Normalmente se utiliza con fines delictivos, duplicando páginas web de entidades financieras de renombre. El mensaje pediría que la víctima revelara su contraseña con variadas excusas como la verificación de la cuenta o confirmación de la información de la facturación.
SIN CLASIFICAR
Fraude
(Pharming)
“Pharming” es la explotación de una vulnerabilidad en servidores DNS que permite a un “hacker” usurpar un nombre de dominio y redirigir todo el tráfico web legítimo a otra ubicación
- El término “pharming” deriva del ya conocido “phising”, aunque -
hasta la fecha no se ha demostrado su uso delictivo. Si el “website” falsificado se corresponde con el de un banco, se puede obtener información sensible de forma fraudulenta. El “pharming” es posible en “websites” sin protección “SSL” o cuando los usuarios ignoran los avisos de certificados de servidor no válidos.
SIN CLASIFICAR
Crimen Telemático Organizado (Zombies-Botnets)
Las máquinas "zombie" son computadoras comprometidas por algún tipo de “malware” al servicio de terceras personas para ejecutar actividades hostiles con el total desconocimiento del usuario del equipo
- Grupos organizados pueden controlar a redes de decenas de -
miles de ordenadores infectados (botnets). Concentrar tráfico generado (múltiples fuentes) en una sóla red o servidor (DDoS). Creación de sofisticadas estructuras para envío de correo basura (spam). Gestión de servicios relativos al fraude (phishing).
SIN CLASIFICAR
Crimen Telemático Organizado (Zombies-Botnets)
“Botnet” es un término utilizado para una colección de robots (software) autónomos que pueden ser controlados remotamente por diversos medios (IRC / P2P) con propósitos maliciosos
- Las máquinas "zombie" se aglutinan en las denominadas “botnets”. - Los sistemas se comprometen utilizando diversas herramientas -
(gusanos, caballos de troya, puertas traseras, etc…). Los zombies pueden escanear su entorno propagándose a través de las vulnerabilidades detectadas (contraseñas débiles, exploits, buffer overflows, etc…). La misión de los “botnets” es esencialmente la gestión de los “zombies” creando una infraestructura común de mando y control.
SIN CLASIFICAR
Crimen Telemático Organizado (Zombies-Botnets)
Utilización de “botnets” para generar “spam”
1.- Infección de potenciales objetivos mediante virus. 2.- El equipo comprometido se registra en un servidor IRC u otro soporte de comunicaciones. 3.- Un “spammer” accede al “botnet”. 4.- El “spammer” remite instrucciones a través del servidor IRC a los equipos infectados. 5.- Los “zombies” generan correo basura.
SIN CLASIFICAR
Ataque Combinado La tendencia actual es la actuación de “malware” en conjunción con una estrategia deliberada para controlar el mayor número de equipos posible
- El ataque lo inicia un troyano que puede llegar como adjunto a un -
correo electrónico. El usuario decide abrir el mensaje de correo permitiendo al troyano descargar otros componentes del ataque. Tras este primer troyano llega otro encargado de desactivar posibles antivirus, otros programas de seguridad y bloquea el acceso a webs de seguridad. Por último, llega el último programa que completa el ataque y que convierte al sistema víctima en un auténtico “zombie” controlable a distancia.
SIN CLASIFICAR
¿Qué se puede hacer?
Formación y Concienciación / Procedimientos de seguridad Seguridad Física / Personal / Documental Seguridad Criptológica (CRIPTOSEC) Seguridad de las Transmisiones (TRANSEC) Seguridad de las Emanaciones (EMSEC) Seguridad de Ordenadores (COMPUSEC)
- Seguridad soportes información - Identificación / Autenticación - Seguridad contra SW dañino
Internet Correo (spam, virus, phising, dialers,…)
Seguridad de Redes (NETSEC) - Seguridad Perimetral / Wireless / Bluetooth Inspecciones de Seguridad Gestión de Incidentes de Seguridad
SIN CLASIFICAR
Formación y Concienciación Las personas son la amenaza más seria a los Sistemas ya sea de manera no intencionada, por accidente o por ignorancia, o intencionada Uno de los requisitos más importantes será el de formación y sensibilización del personal. La manera más efectiva de mejorar la seguridad es mediante la mentalización sobre la importancia de la misma y su incorporación en la actividad laboral. La seguridad debe considerarse como parte de la operativa habitual, no como un extra añadido.
SIN CLASIFICAR
Funciones del CCN (Normativa)
Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los Sistemas de las tecnologías de la información y las comunicaciones de la Administración.
-
CCN-STIC 000: Instrucciones/Políticas STIC CCN-STIC 100: Procedimientos CCN-STIC 200: Normas CCN-STIC 300: Instrucciones Técnicas CCN-STIC 400: Guías Generales CCN-STIC 500: Guías Entornos Windows CCN-STIC 600: Guías Otros Entornos CCN-STIC 900: Informes Técnicos
SIN CLASIFICAR
Productos Certificados
SIN CLASIFICAR
Seguridad de Ordenadores
Configuraciones Seguras
Inspecciones STIC
- Software de Seguridad • Antivirus / Anti-Malware • Borrado Seguro • Cifrado Software • Respaldo de Datos - Hardware • Etiquetas antimanipulación - Análisis - Verificación - Test de Penetración
SIN CLASIFICAR
Seguridad Perimetral Asegurar el perímetro es una de las estrategias defensivas más eficaces comúnmente utilizadas desde antaño en el campo de la seguridad.
-
Internet
DMZ ext
Reducir superficie de exposición. Crear puntos controlados de acceso. Centrar la defensa en esos puntos. Reforzar eficacia (elementos añadidos)
R ext
DMZ int
M ext
Intranet 1
Recomendaciones • • • • • •
Elementos de Comunicaciones Cortafuegos Sistemas de Detección Intrusiones Sistemas Prevención Intrusiones Sistemas y Redes Trampa Gestores de Eventos de Seguridad
D MZ P r o t e g i d a
R
Intranet 2
R int
Red Proteg id a
M
M int
SIN CLASIFICAR
Seguridad Wireless Son evidentes los riesgos y ventajas que ofrece esta tecnología y deben ser tratados de forma cuidadosa para garantizar la confidencialidad, integridad y disponibilidad de esta infraestructura
- Acceso a los “AP” sólo por personal autorizado (Seguridad Física) - Identificar área de cobertura de los “AP” (potencia de Tx) - Eliminar parámetros por defecto • • • •
Contraseñas de un sólo uso Control de acceso por “MAC” Anular difusión de “SSID” Selección adecuada de canales para evitar interferencias.
- Actualización del SW de los “AP”
SIN CLASIFICAR
Herramientas de Seguridad Productos hardware y software que proporcionan una capacidad más automatizada de control, operación y/o gestión de diferentes aspectos de un Sistema
-
Análisis de vulnerabilidades. Detección o prevención de intrusiones. Detección de software o código malicioso. Análisis de registro de eventos. Monitorización del tráfico. Mejora de la Seguridad del Sistema. Herramientas de cifrado software.
SIN CLASIFICAR
Búsqueda de Vulnerabilidades
SIN CLASIFICAR
Inspecciones de Seguridad Las Inspecciones de Seguridad constituyen el medio necesario que permite verificar la seguridad implementada en un Sistema y que los servicios y recursos utilizados cumplan con lo mínimo especificado y requerido Metodología basada en las mejores prácticas y un amplio consenso
SIN CLASIFICAR
Inspecciones de Seguridad El 99 % de los compromisos de seguridad denunciados son resultado de vulnerabilidades conocidas o errores de configuración, para los cuales habían salvaguardas y contramedidas disponibles Efectuar Inspecciones de Seguridad Frecuencia = Importancia del Sistema Recursos y Herramientas Adecuadas Metodología = Estándar de Referencia Periodicidad - No “Instantánea de Seguridad”
SIN CLASIFICAR
Gestión de Incidentes Un incidente de seguridad en un Sistema de las TIC, lo constituye cualquier circunstancia/condición del entorno del Sistema (persona, máquina, suceso o idea) en la que pueda verse amenazada la información y pueda dar lugar a una pérdida de:
- Confidencialidad - Integridad - Disponibilidad así como la pérdida de Disponibilidad e Integridad de los propios Sistemas Los incidentes de seguridad son a menudo extremadamente complejos, pudiendo aparecer en cualquier momento y causar importantes molestias, daños y pérdidas económicas
SIN CLASIFICAR
Gestión de Incidentes (objetivos)
Establecer una rápida vía de comunicación de los hechos que permita una reacción en tiempo adecuado. Llevar a cabo registro y contabilidad de los incidentes de seguridad. Aislar el incidente (no aumente el riesgo). Mantener y recuperar información/servicios. Determinar modo, medios, motivos y origen del incidente. Señalar e identificar el origen del incidente cuando sea posible. Analizar y proponer las correspondientes contramedidas.
SIN CLASIFICAR
Conclusiones
Tomar conciencia de los riesgos. • Medidas Legislativas, Procedimentales, Organizativas y Técnicas. Recomendaciones STIC. • Configuraciones de Seguridad. • Herramientas de Seguridad. • Inspecciones STIC.
Asistencia del Personal responsable de Seguridad. • Comunicación de incidentes.