seguridad de la informacion mitos y tecnologias

Seguridad de la Información

Chiclayo IT Security Day 2011


Mitos y Tecnologías

Ing. Maurice Frayssinet Delgado

http://mfrayssinet.blogspot.com/

Agenda

� Introducción a la Seguridad de la Información

� Legislación y Normas en el Perú

� Equipo de Respuesta a Incidentes de Seguridad de la Informaciónde la Información

� Ethical Hacking

� Seguridad con herramientas de software libre

� Diez Consejos Básicos de Seguridad para las empresas según INTECO

� Demostraciones en vivo

Introducción a la Seguridad de la

Información

Siempre estamos

expuestos a riesgos

SEGURIDAD INFORMATICA

Se refiere a la protección de la infraestructura

de las Tecnologías de la Información y

comunicación que soportan el negocio

SEGURIDAD DE LA INFORMACION

Se refiere a la protección de los activos de

información fundamentales para el éxito de

cualquier organización

Sistema de Gestión de la Seguridad de

la información

EJEMPLOS DE INFORMACIÓN

• Correos electrónicos

• Bases de datos

• Hojas de calculo

• Pagina Web

• Imágenes• Imágenes

• Faxes

• Contratos

• Presentaciones

• Etc.

ACTIVOS

INFORMACION

Diferentes

Fuentes

Diferentes

Soportes

INFORMACION

Ciclo de Vida

Metodología SGSI

Objetivo SGSI

Gestión del riesgo

ADECUADA GESTION DEL RIESGO MEDIANTE

UN SGSI

ISO/IEC

Con el fin de proporcionar un

marco de Gestión de la


Familia ISO 27000

ISO/IEC

27000


utilizable por cualquier

organización se ha creado un

conjuntos de estándares

llamados ISO/IEC 27000

Objetivo de las Normas ISO/IEC 27000

Estas normas nos van a permitir

disminuir de forma significativa

el impacto de los riesgos sin

necesidad de realizar grandes

el impacto de los riesgos sin

necesidad de realizar grandes

inversiones en software y sin

contar con una gran estructura

de personal.

La seguridad y su justificación desde

el punto de vista del negocio.el punto de vista del negocio.

• Desde tiempo inmemorables las

organizaciones han puesto los medios

necesarios para evitar el robo y manipulación

de sus datos confidenciales

• En la actualidad, el desarrollo de las nuevas

tecnologías ha dado un giro radical a la forma tecnologías ha dado un giro radical a la forma

de hacer negocios a la vez que ha aumentado

los riesgos para las empresas que se exponen

a nuevas amenazas

Desafortunadamente es

relativamente fácil tener acceso

a las herramientas que permiten

a personas no autorizadas llegar

hasta la información protegida hasta la información protegida

con poco esfuerzo y

conocimiento, causando graves

perjuicios para la empresa

Riesgos

• Riesgos Físicos

• Riesgos LógicosRiesgos Lógicos

Beneficios para la empresa al instalar

un SGSI

Estadísticas

Estadística

Hackers usan teléfono como teclado o

ratón para atacar por USB

• Un teléfono Android rooteado y conectado por

USB actuar como teclado o ratón, permitiendo así

atacar o controlar un ordenador víctima.

• Este hack se aprovecha de que los USB no pueden • Este hack se aprovecha de que los USB no pueden

autentificar los dispositivos conectados como HID

(Human Interface Device), así como de que el

sistema operativo no pueda filtrar los paquetes

USB, detalles que podrían haber servido al

usuario para esquivar la ofensiva.

CASOSCASOS

• Desafort

Hackers Peruanos

Martes, 13 de Noviembre de 2007

Hackers peruanos fueron perdonados por Chile y ya tienen ofertas del extranjero

Chile dio hoy por cerrado el incidente que Chile dio hoy por cerrado el incidente que involucró a dos adolescentes peruanos de 15 y 16 años que hace dos semanas hackearon la página web de la presidencia de ese país, informó César Vargas, presidente de la Sociedad Nacional de Informática, quien hoy recibió la visita de tres funcionarios de la embajada de ese país.

Video Hacker Anonymous

Operación Andes Libre Chile/Perú

http://www.youtube.com/watch?v=ADPsiajhcvM

Advanced PS/2 hardware keylogger

• Keylogger para

teclados ps/2 se

coloca al cable del

tecladoteclado

Advanced USB hardware keylogger

• Keylogger para

teclados usb se

coloca al cable del

tecladoteclado

KeyDemon modulo

Wireless

¡Donde lo compran!

http://www.onlinespyshop.co.uk

Keylogger por conexión a tierra

• Hackers han conseguido saber qué teclas estaban siendo pulsadas en un teclado conectado a un ordenador con tan sólo realizar unas mediciones en la red eléctrica.

• Ello es debido a que los teclados emiten una señal eléctrica con cada pulsación, cada tecla emite una pulsación única y debido a que los cables de los teclados no están aislados, suelen emitir a través de la línea de tierra.

http://www.qfxsoftware.com/

Websense

http://www.websense.com/content/h

ome.aspx

http://www.http-tunnel.com/html/

Legislación y Normas en el

Perú

Constitución política del Perú

• Artículo 2º: Toda persona tiene derecho:

• 5. A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con le costo que suponga el pedido. Se exceptúan las informaciones que afectan pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.

• 6. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.

Constitución política del Perú

• Art. 200.- Son garantías constitucionales:

• 3.- El habeas data, que procede contra el

hecho u omisión, por parte de cualquier

autoridad, funcionario o personal, que autoridad, funcionario o personal, que

vulnera o amenaza los derechos a que se

refiere el artículo 2º, incisos 5º y 6º de la

Constitución.

• Con fecha 23 de julio del 2004 la PCM a través de la

ONGEI, dispone el uso obligatorio de la Norma

Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI.

Tecnología de la Información: Código de Buenas

Prácticas para la Gestión de la Seguridad de la

Normas

Prácticas para la Gestión de la Seguridad de la

Información” en entidades del Sistema Nacional de

Informática.

• Se Actualizó el 25 de Agosto del 2007 con la Norma

Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.

Marco de las recomendaciones

� La NTP-ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector.

� La NTP fue redactada para que fuera flexible y no induce a � La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solución de seguridad de acuerdo a sus necesidades.

� Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan.

NTP ISO 17799

• En este sentido La Norma Técnica Peruana ISO –17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas.

• La NTP NO exige la certificación, pero si la • La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.

Equipo de Respuesta a Incidentes de Seguridad de la Información

¿Qué es CERT?

• El término CERT proviene de las siglas en inglés Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio.

• También es conocido por las siglas CSIRT (Computer Security and Incidente Response Team)

¿Qué es CERT?

• El primer CERT se creó en 1988 en la

Universidad Carnegie Mellon, en Estados

Unidos (propietaria de esta marca registrada),

y desde entonces han ido creándose este tipo y desde entonces han ido creándose este tipo

de Equipos en todo el mundo y en distintos

ámbitos de la sociedad (Administración,

Universidad, investigación, empresa, etc).

www.cert.org

www.pecert.gob.pe

Ethical Hacking

Hacker Ético

• Un hacker ético es el nombre adoptado para la realización de pruebas de penetración o intrusión a redes informáticas. Un hacker ético usualmente es un empleado o persona perteneciente a una organización, el cual perteneciente a una organización, el cual intenta introducirse a una red informática o un sistema informático, utilizando métodos y técnicas hacker, pero su propósito principal es la búsqueda y resolución de vulnerabilidades de seguridad que permitieron la intrusión.

Hackeo a nuestros sistemas

• Las computadoras al rededor del mundo están siendo sistemáticamente victimizadas por un acechante hackeo.

• Este no es solo un hackeo generalizado, esta • Este no es solo un hackeo generalizado, esta siendo ejecutado tan fácilmente que los atacantes comprometen un sistema, roban todo lo valioso y borran completamente su información en 20 minutos.

Objetivo del Ethical hacker

• EI objetivo de Ethical Hacker es ayudar a la organización a tomar medidas preventivas en contra de ataques maliciosos atacando el sistema por si mismo, pero manteniéndose dentro de los limites legales permitidos. dentro de los limites legales permitidos.

• Esta filosofía resulta de la practica probada: "Para atrapar a un ladrón debes pensar como un ladrón".

• Reconocimiento Activo

– Probar los sistemas en búsqueda de más información

– Hosts accesibles

Exploración

– Hosts accesibles

– Ubicación de routers y firewalls

– Sistemas Operacionales

– Servicios en ejecución

– Aplicaciones y sus versiones

• Equivalente a “tocar puertas”

• Verificar cuáles sistemas

– Están activos

Exploración

– Están activos

– Son alcanzables desde Internet

• Barrido de pings

• Escaneo de puertos

• Verificar en cada sistema

– Qué servicios están corriendo

– Qué puertos están escuchando

Exploración

• Escaneo de puertos– TCP connect

– TCP SYN

• Detección del sistema Operativo

• Mapeo de Redes con Cheops

– Funciona para Linux

– Un atacante busca entender la topología de

nuestra red

Exploración

nuestra red

• Conectividad Intranet – DMZ, redes

perimetrales

• Intranet

– La distribución de enrutadores y hosts pueden

mostrar vulnerabilidades

• Permite saber al atacante donde se encuentran las cosas

• Fue escrito por Mark Spencer

• Disponible en :

Herramienta Cheops

• Disponible en :

http://cheops-ng.sourceforge.net/download.php

• Proporciona un mapa de red generado por pings y traceroute.

• Funciona como un network neighborhood para máquinas Unix.

• Herramienta de Gestión

• Ofrece una interfaz gráfica agradable para

descubrimiento de red

Herramienta Cheops

descubrimiento de red

– Muy ruidosa

– No es conveniente si se busca mantener un perfil bajo

– No es conveniente si no se quiere ser detectado.

• Esencialmente es usada para:

– Mapeo / trazado

– Acceso fácil a funciones de gestión (ping, traceroute,

Herramienta Cheops

– Acceso fácil a funciones de gestión (ping, traceroute,

ftp , secure shell)

– Escaneo de puertos

– OS Fingerprinting

• Realiza ping a todos las estaciones para ver

cuales responden

• Traceroute para cada estación

• Por medio de un análisis de por cuales pasa un

Como funciona Cheops

• Por medio de un análisis de por cuales pasa un

paquete y por cuales no, se puede determinar

la topología.

• Escaneo de puertos para cada estación

• OS fingerprinting para determinar el sistema

operacional de las estaciones

Pantalla de Cheops

• Páginas múltiples: Multiple Pages

Permite Organizar la red dentro de páginas

de forma conveniente y hacer grupos de

acuerdo la función de cada una, de esa

Características de Cheops

acuerdo la función de cada una, de esa

forma se especifican áreas o redes

específicas

Detección de Sistemas Operativos: OS

Detection :

Permite detectar los sistemas operativos de los


Permite detectar los sistemas operativos de los

hosts y adiciona un icono correspondiente a

cada uno.

• Encontrar: Find

Permite encontrar

hosts sobre una gran

red


red

• Mapear: Mapping:

Permite mapear la red mostrando rutas de la red, esta característica es diseñada para


es diseñada para grandes redes, con routers, subredes etc. También tiene funcionalidades para redes LAN simples.

• Servicios: Services

Con un click derecho

sobre cada host se

pueden observar

cada uno de los


pueden observar

cada uno de los

servicios disponibles

y acceder a ellos

facilmente

• Múltiples vistas: Multiple views:

Para grandes redes, es posible ver iconos para redes completas o una


redes completas o una lista simple de redes. Se pueden manejar dominios, hostname, IP address etc.

• Escaner de Puertos de propósito general:

Generalized Port Scanner:

Incluye un port scanner de TCP para ver que

puertos están en uso sobre la red


puertos están en uso sobre la red

Probador de versiones de servicios:

Services Probing:

Permite recuperar la versión de los servicios

habilitado para llevar un control de


habilitado para llevar un control de

actualización sobre ellos

Monitoreo: Monitoring Support

Permite monitorear los servidores críticos y

notificar inmediatamente a través de event log,

standard de correo, cuando sucede algo


standard de correo, cuando sucede algo

extraño.

• Herramienta de escaneo muy útil con

capacidades avanzadas

• Altamente popular

• Escrito por Fyodor y disponible en

Herramienta Nmap para escaneo de

puertos

• Escrito por Fyodor y disponible en

http://www.insecure.org/nmap

• Posee un ambiente gráfico nmapfe en el

mismo sitio

• Existe versión para unix y para windows

• Es una herramienta supremamente útil para

los atacantes y también para los que hacen

Ethical hacking, ya que permite auditar los

sistemas por los puertos abiertos


puertos

sistemas por los puertos abiertos

• NMAP habla con la tarjeta de red y se necesita

un driver conocido como winpcap en windows

o libpcap en linux

– Ej: Linux: nmap –sS –PO –T Insane host

• Maneja varios tipos de escaneos:

– Connect TCP scans

• Usa negociación completa

– SYN scan (Half Open)

• Solo el syn inicial

• Más difícil de detectar y más rápido

– ACK scan

• Más imperceptible, puede pasar algunos filtros.


puertos

filtros.

– FIN scan

• Más imperceptible, puede pasar algunos filtros.

– SYN scan con fragmentos IP

• Puede pasar algunos filtros de paquetes

– UDP scan

– FTP proxy “Bounce Attack” scan

– RPC scan

– Prueba de predicción de secuencia TCP

• Una configuración en la que se busca permitir

conexiones salientes pero no entrantes

• Si la configuración del router define que solo

conexiones con el bit ACK activado podrán entrar.

Nmap ACK

conexiones con el bit ACK activado podrán entrar.

• Esto bloquea el inicio de sesiones desde el exterior

• Pero aún es posible realizar escaneo y pasar los

filtros.

• FTP permite que un usuario le haga forward de un

archivo a otro sistema

• Esto puede ser utilizado para realizar un bounce scan

Nmap Bounce Scan

• Esto puede ser utilizado para realizar un bounce scan

• Por medio de esta técnica la víctima no puede

identificar realmente de donde viene el escaneo.

• Nessus es un escáner de vulnerabilidades gratuito

• Puede ser usado por hackers o por organizaciones

• El proyecto fue iniciado por Renaud Deraison

Nessus

• El proyecto fue iniciado por Renaud Deraison

• Disponible en http://www.nessus.org

• Consiste de un módulo cliente y un módulo servidor, con plug-ins modulares para pruebas individuales.

• Herramientas de distribución libre:

– SARA (http://www-arc.com/sara/)

– SAINT (http://www.saintcorporation.com/products/saint_engine.html)

Otras Herramientas

_engine.html)

– NESSUS (http://www.nessus.org)

• Herramientas comerciales

– Internet scanner (http://www.iss.net)

– Cisco Secure Scanner (Antes NetSonar)

Certificación CEH

• El programa CEH certifica individuos en una disciplina especifica de seguridad de redes de 'Hackeo Etico" desde una perspectiva neutral.

• Este certificado fortalecerá a Oficiales de Seguridad, Auditores, Profesionales de Seguridad, Seguridad, Auditores, Profesionales de Seguridad, Administradores de Sitios y todo aquel interesado en la integridad de la infraestructura de sus redes.

Módulos

• Module 1: Introduction to Ethical HackingModule 2: Hacking LawsModule 3: FootprintingModule 4: ScanningModule 5: EnumerationModule 5: EnumerationModule 6: System HackingModule 7: Trojans and BackdoorsModule 8: Viruses and WormsModule 9: Sniffers

Módulos

• Module 10: Social EngineeringModule 11: PhishingModule 12: Hacking Email AccountsModule 13: Denial-of-ServiceModule 14: Session Hijacking Module 15: Hacking Web Servers Module 14: Session Hijacking Module 15: Hacking Web Servers Module 16: Web Application Vulnerabilities Module 17: Web-Based Password Cracking Techniques Module 18: SQL Injection

Módulos

• Module 19: Hacking Wireless NetworksModule 20: Physical SecurityModule 21: Linux HackingModule 22: Evading IDS, Firewalls and Detecting Honey PotsModule 23: Buffer OverflowsModule 24: CryptographyModule 23: Buffer OverflowsModule 24: CryptographyModule 25: Penetration TestingModule 26: Covert HackingModule 27: Windows Based Buffer Overflow. Exploit WritingModule 28: Reverse EngineeringModule 29: Hacking Routers, cable Modems and Firewalls

Seguridad con Herramientas de

software Libre

Herramientas de Seguridad

• Firewall iptables

• Proxy Squid

• Detector Intrusos Snort

• Monitoreo Trafico nmap iptraf• Monitoreo Trafico nmap iptraf

iptables

iptraf

Diez Consejos Básicos de Seguridad

para las empresas Según INTECO

Laboratorio Implementación Firewall

con Linux

Ing. Maurice Frayssinet Delgado

[email protected]

maurice.frayssinet

www.facebook.com/maurice.frayssinet

http://mfrayssinet.blogspot.com

|

seguridad de la informacion mitos y tecnologias

Technology