Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez

Fuga de información //INTRODUCCION
Fuga de información
http://www.uid0.com.ar

• IANUX Soluciones | Comunidad de
Software Libre
http://ianux.com | http://saltalug.org.ar
LPIC Oscar Gonzalez,
Senior IT Specialist
oscar.gonzalez@ianux.com.ar
http://www.uid0.com.ar

Agenda:
• Que es un ataque informático?
• Seguridad Informática
• Técnicas de Intrusión | Hacking
• Tools | Backtrack
• Contra-medidas o Hardening.
• Tips para prevenir

Que es la fuga de
información?
Es la salida no controlada de
información que hace que esta
llegue a personas no autorizadas o
sobre la que su responsable
pierde el control.

Seguridad Informática
la implementación de seguridad informática debe
proveer:
1) Integridad: Es la propiedad que busca mantener los datos libres de
modificaciones no autorizadas.
2) Disponibilidad: Es la característica, cualidad o condición de la
información de encontrarse a disposición de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones.
3) Confidencialidad de la información: Es la propiedad de prevenir
la divulgación de información a personas o sistemas no autorizados.

Que es un ataque informático?
Un ataque ocurre cuando una persona o un grupo de personas intenta
acceder, modificar o dañar un sistema o entorno.
Estos ataques generalmente intentan lograr algunos de estos objetivos:
Atacar la privacidad
Atacar la integridad
Atacar la disponibilidad
Atacar la autenticidad

Porque?
Las personas que atacan sistemas se ven motivadas por diferentes
razones:
Por diversión o desafío.
Por venganza.
Por terrorismo.
Rédito económico.
Ventaja competitiva.
Poder

Problemática
Los problemas de inseguridad actuales no se encuentran
favorecidos únicamente por usuarios maliciosos, sino que muchas
veces se encuentran ayudados por malas implementaciones de las
aplicaciones, desconocimiento, negligencia, etc.
Hemos catalogado los principales factores que pueden generar
problemas de seguridad en:
• Falta de políticas y/o normativas
• Uso de Protocolos inseguros
• Ambiente multilenguaje y multiproveedor
• Dispersión geográfica
• Falta de actualización de software de
base
• Uso incorrecto de las aplicaciones
• Errores en los programas
• Errores de configuración
• Passwords
• Falta de supervisión y/o control.

Conociendo al enemigo
Investigación
Penetración
Persistencia
Expansión
Logro del objetivo
Es importante conocer la forma en que proceden los intrusos para
conocer la manera de detenerlos y evitar la fuga de información
En general los intrusos realizan las mismas actividades cuando desean
ingresar o atacar a un sistema, por lo que podemos generalizar los
pasos en:

Investigación
Siempre antes de realizar un ataque, los intrusos realizan un
estudio del objetivo.
Generalmente consiste en obtener la siguiente información:
● Información de la empresa objetivo.
● Información del dominio objetivo: conociendo el nombre de la
empresa se puede obtener su información de dominio a través de
consultas tipo WHOIS.
● Información de los servidores: una vez que el intruso obtuvo el
dominio, puede realizar consultas NSLOOKUP para conocer cuáles
son los servidores que tiene la empresa.
I
N
V
E
S
T
I
G
A
C
I
O
N

Investigación
Identificación de la plataforma: uno de los principales datos que
buscan de sus objetivos es la plataforma sobre la que trabajan
(Windows, Linux, Novell, etc.). Esto se puede realizar mediante la
utilización de técnicas de OS fingerprint | Banner Identification.
Identificación de los servicios: otra información importante que
buscan obtener los atacantes son los servicios que ofrecen los
servidores objetivos. Esto se puede realizar mediante escaneadores
de puertos (port-scanners)
Identificación de las personas: empleados de it, jefes etc
I
N
V
E
S
T
I
G
A
C
I
O
N
Contramedidas:
Como primer contramedida, es necesario restringir la información que se
difundirá a través de los servicios de DNS y WHOIS.
También se puede incluir filtrado de paquetes, para evitar la detección de
la plataforma y los servicios y un Sistema de Detección de Intrusos (IDS)
para detectar cuando se está produciendo un escaneo de puertos.

Investigación
I
N
V
E
S
T
I
G
A
C
I
O
N
Banner Identification
telnet 192.168.1.1 22
nc -v -n 192.168.27.1 22
wine sl.exe -v -b 192.168.27.1
xprobe2 192.168.27.1
amap -B 192.168.27.1 80
ingenieria_social -XD
Target Enumeration
nmap -sS -p 139 -O -D 24.213.28.234 192.168.27.1
Identificación de registros / dominios
http://archive.org
Identificación del Sistema Operativo
Netcraft http://news.netcraft.com/
GFI LANguard N.S.S
AutoScan (backtrack)
Scanrand scanrand -b10M -N 192.168.27.1:80,25,22,443
rotex http://www.robtex.com/
maltego

Penetración
P
E
N
E
T
R
A
C
I
O
N
En esta situación el atacante intentará acceder al objetivo. Para
realizar este paso, utilizan diferentes técnicas:
• Explotación de vulnerabilidades: existe algún producto instalado que
permita la ejecución de código arbitrario.
• Debilidad de contraseñas: una contraseña débil puede permitir el
ingreso de intrusos.
• Servicios mal configurados: un servicio que no esté adecuadamente
configurado puede permitir que intrusos hagan uso abusivo del
mismo, o incluso, que ejecuten código arbitrario.

Penetración
P
E
N
E
T
R
A
C
I
O
N
Contramedidas
• Explotación de vulnerabilidades: actualización constante del software
instalado.
• Debilidad de contraseñas: definir una política de contraseñas robusta.
• Servicios mal configurados: revisar periódicamente la configuración
de los servicios.
Como contra-medida general, siempre tenemos que tener en
cuenta al filtrado de paquetes y la revisión periódica de los
archivos de logs para conocer los eventos que han sucedido
en el sistema.

Persistencia
P
E
R
S
I
S
T
E
N
C
I
A
Una vez que un atacante ha logrado ingresar a un sistema,
generalmente realiza actividades para evitar ser detectado y deja
herramientas o puertas traseras en el sistema para poder mantener
un acceso permanente.
Para evitar ser detectado, en general un atacante busca los archivos
de auditoría o log del sistema, para borrarlos o modificarlos ocultando
su acceso y sus actividades. En Windows NT/2000, se puede realizar
borrando el contenido del Visor de Sucesos :(.
Contramedidas:
Para evitar que un intruso elimine los archivos de log, se puede optar
por mantenerlos guardados fuera del lugar donde se generan.
Es complicado evitar la copia de archivos, pero puede detectarse la
modificación de ellos. Existen herramientas que crean un hash de los
archivos de sistema, y avisan al administrador en caso de detectar
una modificación.

Expansión
Muchas veces, el objetivo final de un ataque no es
el primer sistema atacado, sino que se utilizan
varios saltos intermedios para lograr realizar un
ataque sin ser rastreados.
Esto puede generar que nuestro sistema sea
víctima y a la vez sea atacante.
Nuevamente, las contramedidas son el filtrado de
paquetes, los sistemas IDS, y el control periódico de
los archivos de log.
E
X
P
A
N
S
I
O
N

Logro del Objetivo
En este punto podríamos decir que la tarea del intruso ha llegado a su
objetivo.
A partir de aquí, podemos esperar diferentes acciones por parte del
intruso:
L
O
G
R
O
D
E
L
O
B
J
E
T
I
V
O
Desaparecer sin dejar rastro
Avisar al administrador que se ha ingresado al sistema
Comentar los fallos de seguridad encontrados a sus colegas
Hacer públicos los fallos de seguridad
Vender información y/o botnets

Que es lo que pasa, cuando no
le doy importancia a los
detalles...
Cuando sucede un ataque muchas veces no se damos ni cuenta. Y
buscamos responsables y causas para analizar porque fallaron.
1. El cliente es el primer testigoy la calidad del servicio disminuye.
2. Otras personas utilizan nuestro paquete de hosting, servidor,
cuenta de : email , bancaria , tarjetas de creditos etc
En resumen el sector de IT queda expuesto y se pierden clientes y
potenciales negocios ya que los activos se ven involucrados y
expuestos al mejor postor.

Tips para prevenir
(Empresas)
Clasifique rigurosamente la información de su empresa y
definir que se debe proteger
* Patentes
* Información personal delicada, como por ejemplo
expedientes médicos
* Contratos con terceros, nóminas, currículums de
empleados
* Números de tarjeta de crédito, operaciones bancarias
en general.
Cualquier empresa, por pequeña que sea, tiene
información que no desea que llegue a sus competidores.

Tips para prevenir
(Empresas)
SEGURIDAD FISICA
Control de acceso al edificio, cerraduras en todas las puertas,
cámaras de video vigilancia, extintores, uso de materiales
ignífugos en suelos y techos, salidas de emergencia, concesión y
revocación de tarjetas de acceso, tornos para controlar el acceso
de los empleados de uno en uno ... y cualquier otra cosa de ésta
índole que evite el robo o pérdida por accidente (incendio,
terremoto, ...) de la información clave de la empresa.
Hay que hacer especial hincapié en controlar el acceso físico a
todos los datos críticos de la empresa, separándolos de los
demás y permitiendo sólo su acceso a las personas responsables
de ellos, siempre de una forma controlada y guardando un
escrupuloso registro de cada acceso.

Tips para prevenir
(Empresas)
SEGURIDAD LÓGICA
Esto es lo que uno entiende por "seguridad" cuando habla de
servidores, bases de dato, ... Una buena seguridad lógica debe
controlar aspectos como una buena gestión de usuarios,
hardening de los servidores, política de mantenimiento y
parcheado de los servicios, topología de red, restricción de
permisos ...

Tips para prevenir
(Empresas)
COPIAS DE SEGURIDAD
Un error muy típico en las empresas pequeñas es guardar las copias de seguridad de todas las
bases de datos en un cajón sin cerradura, encima de un armario o en la mesa del administrador
de la red, donde resulta facilísimo llevárselas a casa, copiarlas y volverlas a dejar en su sitio.
No tiene ningún sentido establecer unos durísimos controles de seguridad lógica si luego
dejamos los backups tirados encima de un armario.
Como poco, las copias de seguridad deberían estar en un armario ignífugo cerrado, dentro de
un despacho también cerrado. Debería hacerse un rigurosísimo control del acceso a las
mismas. También es conveniente que estas copias no estuvieran en el mismo edificio que los
servidores de la empresa, ya que pudiera haber una catástrofe (incendio, inundación) y se
perderían tanto la copia como el original.
Algunas empresas tienen el centro de backup en otra ciudad y graban los datos síncronamente
a través de líneas dedicadas.
Otro concepto importante a mencionar en este punto es la continuidad de negocio. Esto viene a
ser un plan a seguir ante un desastre natural - pongamos que se quema el edificio. Debe existir
un plan detallado que cubra el procedimiento a seguir para levantar el servicio (reinicio de
servidores, en qué órden, cabinas de discos, comunicaciones, ...) y deben hacerse unas
pruebas anuales de dicho plan, con su correspondiente informe. Todo esto lo piden en
auditorías.

Tips para prevenir
(Empresas)
MOVILIDAD DE USUARIOS
En un mundo globalizado, donde nuestros usuarios se conectan con sus portátiles al CPD,
cualquiera, desde cualquier lugar del mundo, puede estar robándonos datos.
Debe existir un estricto control de quién puede conectarse y con qué medios. Debe
garantizarse que lo hagan desde un sistema operativo que cumple unos requisitos (firewall,
antivirus, parches de seguridad, ...),que se valida el usuario de forma segura (certificado +
usuario/password), que todos los protocolos de conexión van cifrados.
Pero el problema es que el usuario, desde casa, puede pinchar un pendrive y copiarse
toda la información sin dejar casi ningún rastro. Así pues, ante la posibilidad casi nula de
controlar lo que hace el usuario, debemos hacer que firme una política de buen uso, donde
se especifique la limitación del uso de los equipos de conexión al trabajo, etc, etc ...
Aparte de poner difícil que nos roben, nuestra preocupación debería ser que siempre
quede rastro de las acciones de los usuarios, y más en un entorno móvil, y tener las
herramientas legales necesarias para empapelarle (léase política de buen uso).

Tips para prevenir
(Empresas)
REENVÍO DE FICHEROS POR MAIL
Clásico entre los clásicos. Todo usuario puede enviarse documentos por correo, y no habrá
ningún tipo de rastro de lo que ha enviado si le pone un nombre cualquiera y lo envía
comprimido con contraseña (como mucho el tamaño, y también puede comprimirse junto a
otro archivo inútil para variarlo).
El acceso a los logs del servidor de correo no nos servirá de mucho en este caso.

Tips para prevenir
(Empresas)
AUDITORÍAS OBLIGATORIAS : LOPD (Ley Orgánica de
Protección de datos)
La LOPD (Ley Orgánica de Protección de datos) se ocupa de velar por el derecho a la
privacidad de las personas. Todas las empresas que manejen archivos (texto u ordenador)
con datos personales tienen obligación de declarar estos archivos ante la AEPD (la
Agencia de Protección de Datos) y de proteger dicha información. Como ejemplo de estos
ficheros estaría el fichero de nóminas de la empresa y los historiales médicos de un
hospital.
La auditoría de la LOPD se encarga de revisar el entorno en el que se encuentran dichos
ficheros así como la existencia de controles adecuados para garantizar que esa
información se trata de forma segura. Se miran cosas como los usuarios que tienen
acceso, las políticas de renovación de usuarios, los accesos remotos a la empresa, la
auditoría de accesos a dichos ficheros, la descripción de ficheros temporales (papel u
ordenador) ... y la existencia de una serie de procedimientos que describirían en detalle
cómo se realizan todos estos puntos.

Tips para prevenir
(Empresas)
AUDITORÍAS OBLIGATORIAS : PCI-DSS
PCI-DSS se encarga de garantizar la seguridad de las operaciones realizadas con tarjetas
de crédito. Esta auditoría trata de garantizar que todo punto por donde pasen tarjetas de
crédito es seguro: seguridad física, cifrado de las comunicaciones, segmentación de la red,
logs centralizados, gestión de usuarios y paswords, formación de empleados, existencia de
WAPs, gestión de eventos de seguridad, detectores de intrusos, antivirus, ... y un
larguísimo etc de cosas.
La sanción por no pasar PCI-DSS es simplemente la retirada de los permisos de VISA,
MASTERCARD, etc para procesar sus tarjetas (se les remite a ellos el resultado de la
auditoría).
Seguir estos tips y pasar estas auditorías no garantiza que nuestra información no sea
robada, pero al menos existe un estandard que seguir que pondrá las cosas mucho más
difíciles.

Tips para prevenir
(Internauta)
Administrar de manera segura multiples contraseñas
Keepass : http://keepass.info/
Verificar los certificados SSL , no validar certificados
autofirmados porque si, ni usar ssl v2 ni v3
Navegar en internet de ser posible en la versión https de
la web a visitar , instalar plugings
http://enigform.mozdev.org/
https://www.eff.org/https-everywhere
Greasemonkey + script redirect https
NoScript + Config https
No utilizar proxys anónimos, salvo que sean propios.

Tips para prevenir
(Internauta)
Utilizar la pc como un usuario sin privilegios de
administrador. Solo utilizar la maquina como
administrador cuando se necesite realizar
configuraciones e instalaciones de apps.
Firewall local
Politica Inbound:
bloquear todo menos los puertos que se utilicen
(80,443,53 etc según)
Politica Outbound:
bloquear todo menos los puertos que se utilicen
(21,22,25,465,587,993,995 etc según)

Tips para prevenir
(Internauta)
Antivirus : Instalar un antivirus que trabaje en base a
heurística, los basados en firma son obsoletos y
fácilmente burlados.
No instalar plugings o aplicaciones addons para ver
películas bajar / crakear programas etc , destinar una
maquina física o virtual destinada para ver películas bajar
musica etc.
Utilizar los protocolos seguros para todos los servicios
como por ejemplo pops imaps smtps https, scp en vez de
ftp etc etc
Sentido común y tener una maquina para probar cosas
nuevas!

Clase de fraudes
comunes
Pharming es la explotación de una vulnerabilidad en los
servidores DNS (Domain Name System) o en el de los
equipos de los propios usuarios, que permite a un
atacante redirigir un nombre de dominio a otra máquina
distinta.

Clase de fraudes
comunes
Phishing es un término que denomina un tipo de delito
dentro del ámbito de las estafas cibernéticas, y que se
comete mediante el uso de un tipo de ingeniería social
caracterizado por intentar adquirir información
confidencial de forma fraudulenta.

Clase de fraudes
comunes
El SMiShing es el término que se le ha dado a un tipo de
“Phishing” que se realiza por medio de ingeniería social
empleado mensajes de texto dirigidos a los usuarios de
Telefonía móvil.
http://youtu.be/vC8HUruv_Qk

Cuando ya estamos
hasta las manos
como procedemos?
No hay recetas magicas, el ataque es mucho mas facil pero una vez
infectado no se sabe por donde empezar para tapar el augero.
Monitorear todo las actividades de un servidor (caidas de
los sitios, cargas de cpu, colas de email, cantidad de
logueos, cantidad de procesos, memoria utilizada,
espacio en disco utilizado , que el sistema de logs este
funcionando etc etc)
Analizar todas las incidencias si o si!
Ejemplo de estar hasta las manos :(

Dudas? | Preguntas?

Gracias !!!
Hasta la proxima....

Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez

Más contenido relacionado

La actualidad más candente (20)

Destacado (8)

Similar a Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez (20)

Último (20)

Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez