You are on page 1of 39

Tendencias de la Tecnologa

en Seguridad Informtica
Victor H. Montero
vmontero@cybsec.com

21 de Septiembre de 2006
Hotel Sheraton
Buenos Aires - ARGENTINA
Tendencias de la Tecnologa en Seguridad Informtica
2006

Agenda

Tendencias Legacy
Mecanismos de defensa
Ataques: nuevos objetivos

2
Tendencias de la Tecnologa en Seguridad Informtica
2006

Tendencias
Legacy

3
Tendencias de la Tecnologa en Seguridad Informtica
Tendencias Legacy
2006

Management de la Seguridad Informtica


Normativas
Administracin LOGS
Infraestructura de Clave Pblica (PKI)
Concientizacin
Proyectos informticos en entornos seguros
Programacin segura en Aplicaciones Web
Seguridad en Redes Inalmbricas
Segmentacin de redes internas crticas
Sistemas de Prevensin de Intrusiones (IPS)
4
Tendencias de la Tecnologa en Seguridad Informtica
2006

Mecanismos
de defensa

5
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

Adhiriendo el concepto de Defensa en Profundidad,


analizaremos cuatro mecanismos de proteccin
que operan en distintos niveles y mbitos:

Pretty Good Privacy (PGP)


Web Application Firewall (WAF)
Secure Enhaced Linux (SELinux)
Network Admission Control (NAC)

6
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

PGP - Pretty Good Privacy

Para algunas compaas, la implementacin de una


Infraestructura de Clave Pblica es algo que escapa a las
posibilidades.

Incluso en numerosos casos, la instalacin y


administracin de un Certificate Server es
difcil de justificar y manteer, o an
innecesario.

Una alternativa es el uso de PGP en su


forma ms simple: Claves Pblicas/Privadas
sin la utilizacin de Certificados Digitales. 7
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

PGP - Pretty Good Privacy

Beneficios:
- Integridad
- Confidencialidad (*)
- No repudio

Desventajas:
- Administracin descentralizada
- Solucin no escalable
- Posibilidad de efectuar ataques de
MITM+Ingeniera Social

8
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

WAF Web Application Firewall


El Top Ten de los problemas de seguridad en aplicaciones Web
Unvalidated Input: los valores de entrada de la aplicacin no son
validados.
Broken Access Control: las restricciones de qu puede hacer un usuario
validado no son implementadas apropiadamente.
Broken Authentication: las credenciales de autenticacin y/o los tokens de
sesin no estn debidamente protegidos.
Cross Site Scripting: la aplicacin Web puede ser utilizada como medio de
transporte para ejecutar cdigo Javascript arbitrario en el Navegador del
usuario final.
Buffer Overflows: la aplicacin Web y/o el servidor Web no verifican el
tamao de los arreglos, permitiendo sobrescribir porciones de memoria.

9
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

WAF Web Application Firewall


El Top Ten de los problemas de seguridad en aplicaciones Web
Injection Flaws: la aplicacin pasa parmetros no validados cuando accede
a sistemas externos (por ejemplo bases de datos) o al sistema operativo. Esto
puede permitir a un atacante inyectar comandos en el sistema externo o
ejecutar comandos en el sistema operativo.
Improper Error Handling: no se manejan debidamente las condiciones de
error.
Insecure Storage: la aplicacin no almacena de forma segura los datos y/o
archivos enviados por el usuario.
Application Denial of Service: la aplicacin es susceptible a que atacantes
denieguen el servicio a otros usuarios legtimos.
Insecure Configuration Management: la configuracin del servidor Web
alojando la aplicacin es insegura.
10
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

WAF Web Application Firewall


Tcnicas de Ataque / Intrusin Web

Null Bytes Session Prediction


SSI Injection
Phishing Cross Site Scripting
O.S. Commanding
Session Fixation
Inverse Lookup Log Corruption
Cross Site Request Forgeries
SQL Injection Archivos por Parmetros
Path Traversal
LDAP Injection
Cross Site Tracing
11
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

WAF Web Application Firewall


Soluciones

VALIDAR EL INPUT y el OUTPUT


Limitar longitud y tipo de los parmetros
White-List Approach vs Black-List Approach
Escapear caracteres especiales
Utilizar Stored Procedures o Consultas Parametrizadas.

No mostrar mensajes de error

Firewall Capa 3 (TCP/IP) ?


No nos protege: todos los ataques mencionados ocurren a travs del
puerto del Web Server (autorizado).

IDS/IPS ?
Nos puede proteger: permite rechazar patrones de ataques.
12
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

WAF Web Application Firewall


Por qu es necesario un WAF?

En las soluciones se mencionan cambios a nivel de cdigo entonces,


por qu un WAF?

Tiempo de implementacin de los cambios a nivel de cdigo


(desarrollo + testing).
Tiempo de entrenamiento (en programacin segura) de los
programadores.
Factor humano: los programadores, como buenos humanos, no
estn exentos de cometer errores.
Productos de terceros de los cuales no se tiene acceso al cdigo
fuente y dependemos de que el proveedor solucione los problemas.
Sistemas Legacy 13
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

WAF Web Application Firewall


Cmo lo soluciona un WAF?

Un WAF nos permite:


Acotar los tiempos: se detecta una nueva vulnerabilidad y se
actualiza el WAF para protegernos.
Acotar el impacto de los errores de los programadores.
Proteger sistemas Legacy de los cuales se conocen las
vulnerabilidades.
Proteger productos de terceros de los cuales se conocen las
vulnerabilidades.
Poner foco en la problemtica de seguridad de las aplicaciones Web:
El administrador del WAF est formado en seguridad y es su foco
principal, no siendo generalmente ste el caso de los programadores.

reducir riesgos en el corto plazo 14


Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

WAF Web Application Firewall

Arquitectura Web Fsica Tpica

15
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

WAF Web Application Firewall

Solucin WAF

16
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

NAC Network Admission Control

Integracin de soluciones de seguridad hasta ahora


aisladas:
antivirus, IPSs, 802.1x, anti-spyware, SUS.

Cuatro caractersticas fundamentales:

1) Verificacin y evaluacin de cumplimiento de polticas


(usuarios y dispositivos)
II) Imposicin de Polticas y Control de Acceso
III) Remediacin
IV) Flexibilidad de implementacin Poltica consistente

17
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

NAC Network Admission Control


Participantes de Dispositivos de
red locales acceso a la red

WLAN
Access
Point

Core
Switch

Policy AntiVirus
Firewall Server Server

INTERNET

Participante de
red remoto (VPN) 18
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

NAC Network Admission Control

Pros:
- Interoperabilidad entre plataformas ampliamente difundidas
- Especificacin abierta
- Seguridad proactiva
Refuerza el cumplimiento de polticas de seguridad
Nivela la seguridad en el entorno de red que controla
Manejo de cuarentenas para entidades que no cumplen la
poltica establecida

Contras:
- Pocos fabricantes en el mercado. nicamente soluciones
propietarias.
- Tecnologa inmadura an.
- Necesidad de agentes locales ejecutndose en servidores y
estaciones de trabajo. 19
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

SELinux Security Enhaced Linux

No es una nueva distribucin de Linux. Es una extensin al


Kernel de Linux diseada para forzar polticas de control de
acceso estrictas, aplicable a cualquier distribucin de Linux.

Difundido e implementado por organismos fuertemente


comprometidos con la seguridad informtica (NSA y MITRE
Corporation, entre otros)

Al igual que el Kernel de Linux, el cdigo fuente de esta


extensin es liberado a la comunidad Open Source.

20
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

SELinux Security Enhaced Linux

Linux/UNIX Standard
Utiliza la tcnica de control de acceso discrecional (DAC). Basa las
decisiones de acceso en la identidad y propiedad. Cada usuario tiene
control absoluto sobre los archivos y procesos que le pertenecen,
heredando estos ltimos los derechos del usuario que los invoca. No
se controla el flujo de los datos.

SELinux
Suma la potencia de las tcnicas de Control de acceso mandatorio
(MAC) y polticas asociadas (Control de acceso basado en roles,
Type Enforcement, Multi-Level Security) a los mecanismos de
seguridad nativos de Linux, con el objetivo de permitir forzar la
separacin de informacin en base a requerimientos de
confidencialidad e integridad.

21
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

SELinux Security Enhaced Linux

Funcionamiento
Operacin
Operacin
Primer chequeo
realizado a nivel
DAC

El DAC implementado DAC


DAC

nativamente en Linux tiene


prioridad sobre el MAC
SELinux
SELinux
Polticas
Polticas
Si un acceso es denegado por MAC
MAC

los permisos tradicionales de


Consulta la Base
Linux, entonces SELinux no de Datos de
polticas para
toma partido. realizar chequeos
adicionales 22
Tendencias de la Tecnologa en Seguridad Informtica
Mecanismos de Defensa
2006

SELinux Security Enhaced Linux


Pros:
- Permite limitar a programas de usuario y servidores del
sistema al mnimo nivel de privilegios que necesitan para
ejercer su funcin.
- La seguridad de un sistema Linux no modificado depende de
la correctitud del kernel, todas las aplicaciones
privilegiadas, y sus respectivas configuraciones. Un
problema en cualquiera de esas reas puede permitir el
compromiso del sistema. En contraste, la seguridad de un
sistema SELinux depende principalmente de la correctitud
del kernel y la configuracin de su poltica de seguridad.

Contras:
- Difcil de configurar
- Mediano impacto en performance
23
Tendencias de la Tecnologa en Seguridad Informtica
2006

Ataques:
Nuevos objetivos

24
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Si bien en el ltimo ao se desprendieron


numerosas lneas de investigacin sobre nuevas
metodologas de ataques y bsqueda de
vulnerabilidades en tecnologas recientes, gran
parte del foco est puesto en:

Client Side Attacks


BlackBerry
VoIP

25
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Client Side Attacks


Cules son los principales problemas con los que se
encuentra un atacante externo en la actualidad?

Segmentacin de redes pblicas en DMZs.


Servidores hardenizados.
Stateful Firewalls / Proxys Reversos.
Intrusion Prevention Systems.
Monitoreo intenso de todo el trfico que traspasa el permetro.
Etc, etc, etc

conclusin: ya no es tan fcil efectuar una intrusin


remotamente como lo era hace unos pocos aos

26
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Client Side Attacks


Sin embargo, los bad boys siempre tuvieron bien en claro algo:

El nivel de seguridad informtica global


de toda una instalacin es igual al nivel
del eslabn menos seguro
Con esta premisa, los chicos malos comenzaron desde hace ya
algunos aos a buscar un nuevo eslabn, distinto de los que
venan utilizando en sus viejas andanzas, pero que permitiese
llegar a su objetivo con la misma facilidad que en otras
pocas 27
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Client Side Attacks


El objetivo es claro: escalar privilegios sobre la red interna
perpetrando el ataque remotamente.

En forma natural y casi lineal, surgieron las siguientes


preguntas:

- Quien tiene acceso a la red de la compaa en forma interna y


externa?
- Quien es el que abre cuanto mail de chistes le llega?
- Quien ejecuta cuanto programa de ruiditos raros aparece?
- Quien visita los sitios de futbol, blogs, noticias, y esos otros
tambin siempre que puede?
28
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Client Side Attacks


aquel a quien framente se lo denomina

La respuesta

puede ser una sola

Usuario 29
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Client Side Attacks

Existen numerosas vulnerabiliades que afectan al software


comnmente instalado en las PCs clientes:

Navegadores de Internet

Clientes de correo electrnico

Mensajeros instantneos

Reproductores multimedia

Etc

30
Tendencias de la Tecnologa en Seguridad Informtica
2006

Client Side Attacks

La idea? Atacar la PC del usuario, para usarla


como salto a la red interna.

Dos posibilidades:

La PC del usuario se encuentra conectada


fsicamente a la red interna

La PC del usuario se encuentra conectada


remotamente a la red interna (va Internet)
31
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Client Side Attacks

Qu puede dificultar estos ataques?.


Implementacin de seguridad en workstations:
Antivirus, antispyware, Personal Firewalls

Concientizacin del usuario

Implementacin de filtros antispam corporativos

Implementacin de filtros de contenido

Utilizacin de Proxies HTTP

32
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

BlackBerry
Infraestructura:
Dispositivos Handheld

Red Movil (GSM)

Red RIM

Comunicacin sobre Internet

BlackBerry Enterprise Server

BlackBerry Enterprise Server Connectors

BlackBerry Management Tools


33
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

BlackBerry
Impacto en caso de ataques exitosos:
- Dispositivos Handheld
- Divulgacin de informacin
- Control remoto del dispositivo de un usuario
- Red Movil (GSM)
- Redireccin de la comunicacin
- Red RIM
- Toma de control de la infraestructura RIM
- Comunicacin sobre Internet
- Impersonalizacin del servidor BlackBerry
- Ataques de fuerza bruta
- BlackBerry Enterprise Server
- Ejecucin de cdigo malicioso y escalacin de privilegios
- BlackBerry Enterprise Server Connectors
- Modificacin de Polticas
- Envo de mensajes masivos
- Instalacin de software en las handhelds
34
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

VoIP

Numerosos problemas de seguridad detectados:

- Posibilidad de efectuar llamadas fraudulentas


- SPIT (SPAM sobre VoIP)
- Phishing telefnico
- Denegaciones de servicio
- Toma de conexiones establecidas
- Escuchas telefnicas
- Modificacin de datos en la llamada

Se estn desarrollando numerosas herramientas


para automatizar muchos de los ataques listados! 35
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Otros temas fashion

Rainbow Tables
Bluetooth
Drivers Hacking
Tcnicas de bypass de IPSs
Seguridad en sistemas industriales

36
Tendencias de la Tecnologa en Seguridad Informtica
Ataques: Nuevos objetivos
2006

Otros temas fashion


Cada uno de estos temas y tcnicas est siendo investigado
en profundidad por especialistas y entusiastas en cada
extremo del mundo

CybsecLabs
Indonesian
Division

37
Tendencias de la Tecnologa en Seguridad Informtica
2006

Conclusiones
Resulta cada vez ms sorprendente la agilidad y dinamismo que
adquiere el rubro de la Seguridad de la Informacin.

Da a da, vemos como paralelamente al desarrollo de poderosas


herramientas para proteger los activos, especficamente la informacin,
se inventan nuevas tcnicas y metodologas de ataque que pueden
colapsar numerosos mecanismos de defensa supuestos infalibles.

Todo lo que hemos comentado quiz no es una buena noticia, pero es la


realidad. LO UNICO QUE NO PUEDE PENSARSE ES QUE HAY QUE
ASUMIR LA DERROTA, POR QUE LA SITUACIN NO DA PARA ELLO.

La solucin contina siendo la misma: aplicar estrategias adecuadas,


disponer de recursos y estar constantemente actualizado, y. si
es necesario, buscar aliados que dispongan del know-how y la
tecnologa, para que sean nuestros socios en la misin de mantener da
a da los sistemas funcionando y seguros. 38
Tendencias de la Tecnologa en Seguridad Informtica
2006

Preguntas?

39