Upload File

seguridad web 09

29
Jorge Martín Inspector del Cuerpo Nacional de Policía Jefe del Grupo de Seguridad Lógica COMISARIA GENERAL DE POLICÍA JUDICIAL U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA Seguridad Web

Upload: congreso-de-webmasters

Post on 05-Dec-2014

2.213 views

Category:

Health & Medicine


1 download

Report

DESCRIPTION

Seguridad Web 09 - Inspector Martin - BIT CNP - Congreso de WebMasters

TRANSCRIPT

Page 1: Seguridad Web 09

Jorge MartínInspector del Cuerpo Nacional de

Policía Jefe del Grupo de Seguridad Lógica

COMISARIA GENERAL DE POLICÍA JUDICIAL

U.D.E.F. CENTRAL

BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Seguridad Web

Page 2: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 3: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 4: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 5: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 6: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 7: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 8: Seguridad Web 09

1. ALGUNAS CIFRAS

• 233 % de incremento de sitios maliciosos en el primer semestre de 2009.

• 77% de los sitios con malware eran sitios legítimos que habían sido comprometidos.

• 95% de los comentarios en blogs y foros es SPAM o contiene código malicioso.

• 87’7% del total de correo electrónico es SPAM.

• 37% de los ataques dirigidos a la web contienen código destinado a capturar datos.

• 57% de los ataques destinados a robar datos se efectúa mediante http.

Fuente: Websense Security Labs. Informe State of Internet Security, Q1 – Q2, 2009

http://www.websense.com/site/docs/whitepapers/en/WSL_Q1_Q2_2009_FNL.PDF

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

http://www.websense.com/site/docs/whitepapers/en/WSL_Q1_Q2_2009_FNL.PDF
Page 9: Seguridad Web 09

World Wide Webis now

World Wild West

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 10: Seguridad Web 09

2. Tendencias observadas

• Ataques combinados:

– Tecnicas que combinan spy phising/pharming.

– Infecciones mediante downloaders configurables.

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 11: Seguridad Web 09

• Web 2.0

– Aumento de ataques dirigidos al robo de credenciales de redes sociales.

– Malware especifico

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

2. Tendencias observadas

Page 12: Seguridad Web 09

Pagina falsa de acceso a Tuenti

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 13: Seguridad Web 09

Pagina falsa de acceso a Facebook

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 14: Seguridad Web 09

koobface

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 15: Seguridad Web 09

2. Tendencias observadas

• Ingeniería social.

– Pretextos agresivos: Cancelación de cuenta/servicio por motivos de seguridad, implicación en investigación criminal…

– Utilización de noticias de actualidad y personajes famosos.

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 16: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Spam de paypal con link a sitio phising

Page 17: Seguridad Web 09

Spam suplantando a la policía con link a un troyano

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 18: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Spam con enlace a video falso sobre la muerte de Michael Jackson

Page 19: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Blog en My.BarackObama.com con falso video

Page 20: Seguridad Web 09

También la gripe A

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 21: Seguridad Web 09

Rogue Antivirus

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 22: Seguridad Web 09

Ataques masivos

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 23: Seguridad Web 09

Ataques masivos. Beladen.

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Beladen Mass CompromiseAttack Date: 06/01/09Attack Details: Thousands of legitimate Web sites were discovered to be injected with maliciousJavaScript code that lead to an active exploit site. At least 40,000 hacked sites shared similar code masquerading as legitimate Google Analytics HTML code.In a matter of microseconds, the malicious site redirected users to a fake Google Analytics page that would chart the activity, and then forward them to the Beladen payload site. Once at the site, the script would check for a list of 15 to 20 known unpatched vulnerabilities to infect the visitor. If these attempts failed, the site would flag the user with a bogus virus alert and a pitch to install a rogue antivirus program.

Page 24: Seguridad Web 09

3. Conclusiones

• Las vulnerabilidades usadas no han cambiado, a cambiado el objetivo. – Tecnicas de inyección, XSS e ingeniería social.

• La web a pasado de ser el objetivo a ser un medio de ataque.– Forma de distribución de malware

• Los fines son fundamentalmente económicos y los ataques se dirigen a la captura de datos.

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 25: Seguridad Web 09

4. Algunos Consejos

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

• Deshabilitar servicios y cuentas no utilizados.• Actualización de S.O. y aplicaciones (parches).• Uso de “buenas” contraseñas.• Utilización de Firewalls• Chequeo de integridad de aplicaciones y S.O.• Back-ups periódicos.• Análisis periódico de logs, monitorizar y graficar estadísticas.• Auditorias, escaners de vulnerabilidades • Consultar Listas de vulnerabilidades • Limitar y controlar uso de programación del lado del cliente

(javascript)• Desactivar información de errores• Limitar tiempo querys • Desarrollo seguro de aplicaciones web.• Encriptación del tráfico

Page 26: Seguridad Web 09

• Gestión de incidentes:

• Atendemos consultas por correo electrónico con diferentes buzones por especialidades delictivas.

• Disponemos de un Centro Alerta Tecnológica con atención telefónica 24x7

• Colaboramos con otras entidades:

• Participamos en foros especializados:

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 27: Seguridad Web 09

Metodología:

• Análisis de logs

• Análisis forense de equipos

• Replicación y virtualización de entornos.

• Análisis de malware: Dinámico y reversing.

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 28: Seguridad Web 09

Medidas que contribuyen a una investigación exitosa.• Una buena política de seguridad bien documentada.

• Adecuada gestión de contraseñas.

• Adecuada gestión de logs, correlación, timestamping, replicación, controles de integridad…

• Detección temprana: revisión habitual de logs, estadisticas, graficas …

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

Page 29: Seguridad Web 09

COMISARIA GENERAL DE POLICÍA JUDICIAL - U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA


Seguridad en sitios web

seguridad web

Seguridad WEB 2.0

Programa Historia Seguridad Web

Seguridad en web 2

Procedimientos de Seguridad Web

Seguridad WEB - Principios básicos

VII foro de seguridad RedIris Seguridad en Web

sitiohistorico.sernageomin.clsitiohistorico.sernageomin.cl/pdf/mineria/seguridad/...  · Web view2012-03-09 · GUIA METODOLÓGICA DE SEGURIDAD PARA PRESENTACIÓN DE PROYECTOS DE

100%seguridad edición 09

Seguridad en la web

Seguridad en Servicios Web

09 seguridad de la información

Aqa soporte seguridad-web

2012-07-09-SERVICIO DE SEGURIDAD PRESIDENCIAL - Web

Seminario seguridad web Nexica

Aterrizando GDPR/RGPD - secureit.es · Seguridad en capa aplicación Mail Server Web Server 1 Web Server 3 Web Server 2 FortiWeb Seguridad en aplicaciones web. FortiMail Seguridad

Plan Estrategico Seguridad SESCAM 09-12

Soporte seguridad web

Seguridad del Sitio Web

Web quest seguridad en la web

Seguridad app web

Seguridad en web 2.0

Seguridad en aplicaciones web

Informática, seguridad y flexibilidadseminarioinformatica.uc.cl/images/pdf/2012/Seguridad... · 2015-09-02 · Temas Caso Web UC, quien? por qué? Computador hackeado Inteligencia

[HCDN] - 09/09/2014 - Seguridad Interior

Revista 09 web